适用场景
从事汽车设计、制造、销售、服务(含网约车、维修、保险)且业务涉及数据处理或出海的各类企业,尤其在研发智能网联、自动驾驶或向境外提供数据时需重点关注。
核心要点
1. 适用范围扩大至汽车全产业链
新规监管范围不仅涵盖传统汽车制造商和经销商,还延伸至汽车软件/部件供应商、维修机构、网约车平台及保险公司等,贯穿汽车设计、生产、销售、运维全链条。企业需明确自身是否被定义为“运营者”并承担相应责任。
2. 首次明确汽车重要数据范围
法规明确列出了六类重要数据,包括敏感区域人流车流数据、高精度测绘数据、充电网运行数据、道路车流数据、车外音视频数据等。处理这些数据前需向省级网信部门报告,并遵守更严格的本地化存储和出境评估要求。
3. 确立五大车内数据处理原则
核心原则包括:数据默认在车内处理不外传;确需外传需匿名化脱敏;按服务类型设定最小保存期限;根据功能精度限定采集范围;每次驾驶默认不收集,用户同意仅当次有效。这些原则直接影响智能汽车和网约车企业的数据收集模式。
4. 细化个人信息处理与出境要求
收集敏感个人信息(如位置、音视频)需每次驾驶单独授权,授权离座即失效;用户要求删除时需在2周内完成。所有个人信息和重要数据原则上需境内存储,出境必须通过国家网信部门的安全评估,且不得超出评估范围使用。
5. 新增数据处理报告义务
处理重要数据前需向省级网信部门报告数据类型、规模等信息。若处理个人信息涉及超10万人或处理重要数据,需每年提交年度数据安全管理报告。存在数据出境的,还需额外报告接收方、数据类型、境外存放地及投诉处理情况。
实务建议
- 立即开展数据资产盘点,识别业务中是否涉及六类重要数据及敏感个人信息,并建立分类分级台账。
- 审查现有数据收集流程,确保遵循“默认不收集、每次单独授权、离座失效”的同意机制,并为敏感数据提供便捷的查看和删除通道。
- 评估数据出境场景,提前规划数据本地化存储方案,为必要的数据出境启动安全评估准备材料。
- 建立内部数据合规报告机制,确保处理重要数据前及每年定期向网信部门履行报告义务。
- 更新用户手册和车载界面,明确告知数据收集类型、触发条件、目的及用户权益联系人,确保告知方式符合规定。
- 对合作伙伴的数据查询利用建立严格审批和监控措施,特别是对重要数据和敏感信息的访问。
风险提示
- 切勿认为只有整车厂才受监管,汽车软件供应商、维修商、网约车平台等同样属于“运营者”,需承担全部合规责任。
- 避免将用户一次性同意视为长期授权,收集敏感数据必须坚持“一次一授权”,且授权随驾驶行为结束而失效。
- 重要数据和个人信息出境前,绝不能心存侥幸绕过安全评估,违规出境将面临高额处罚甚至刑事责任。
- 年度报告义务有明确触发条件(处理超10万人个人信息或处理重要数据),企业需自我评估并主动履行,避免因未报告受罚。
- 删除用户数据需建立高效执行流程,确保在用户提出请求后2周内完成,拖延可能构成违规。