适用场景
从事汽车设计、制造、销售、服务(包括零部件、软件、维修、出行服务)且业务涉及智能网联、数据收集处理的中国出海企业,在进入或运营于对数据安全有严格监管的市场(如欧美)时需要重点关注。
核心要点
1. 明确汽车数据的广泛范围
汽车数据不仅包括车辆运行信息,更涵盖设计、生产、销售、使用、运维全链条中涉及的个人信息与重要数据。其中,个人信息指能识别车主、驾乘人员及车外人员的各种信息;重要数据则首次在法规中明确列出,包括敏感区域地理信息、经济运行数据、充电网数据、含人脸车牌的车外影像,以及涉及超10万人的个人信息集合等,一旦泄露可能危害国家安全与公共利益。
2. 义务主体覆盖全产业链
合规义务并非仅针对整车制造商。任何开展汽车数据处理活动的组织,包括汽车制造商、零部件供应商、软件提供商、经销商、维修机构以及出行服务企业等,均需遵守规定,责任主体聚焦于数据处理行为本身。
3. 处理数据需遵循核心原则与具体要求
处理汽车数据需合法、正当、具体、明确,且与汽车业务直接相关。法规特别倡导四大处理原则:车内处理、默认不收集、精度范围适用、脱敏处理。对于个人信息处理,有严格的告知、同意(特别是敏感信息的单独同意)及删除要求;对于重要数据,则必须履行境内存储、出境安全评估、年度报告等义务。
4. 重要数据出境面临严格监管
重要数据原则上应存储在境内。确需出境的,必须通过国家网信部门组织的数据出境安全评估,并严格按照评估批准的目的、范围、方式和规模进行。监管部门会进行抽查核验,违规出境将面临严重风险。
实务建议
- 立即开展数据资产盘点:识别业务中收集、产生的所有数据,特别是对照新规,明确哪些属于‘个人信息’和‘重要数据’。
- 建立并完善告知与同意机制:通过用户手册、车载屏幕、APP等显著方式,清晰告知用户数据处理详情,并为敏感信息获取单独同意。
- 落实数据本地化与出境评估:梳理重要数据流向,确保境内存储。如有出境需求,立即启动安全评估申报准备。
- 制定并演练数据删除流程:确保能在用户要求或触发条件时,特别是在10个工作日内完成敏感个人信息的删除。
- 构建年度报告与风险评估制度:针对重要数据处理活动,定期开展风险评估,并按规定向主管部门报告安全管理情况。
风险提示
- 误区:认为只有整车厂需要合规。实际上,产业链上的零部件、软件、服务商等只要处理汽车数据,都是义务主体。
- 误区:忽视‘涉及超10万人个人信息’即构成重要数据。这意味着大量用户数据的集合处理将触发更严格的监管义务。
- 注意事项:车外采集的人脸、车牌等信息属于重要数据,若无法征得同意(如保证行车安全时),必须进行有效的匿名化处理。
- 注意事项:突破‘车内处理’、‘默认不收集’等倡导性原则时,必须有充分理由并采取保护措施,否则可能在纠纷或审查中处于不利地位。