新法速递‖《汽车数据安全管理若干规定（试行）》

《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”）已经2021年7月5日国家互联网信息办公室2021年第10次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意，现予公布，自2021年10月1日起施行。

• 起草背景

随着电动汽车、智能网联汽车、车联网等与汽车相关的新技术、新业态、新模式的发展，当下汽车行业除了传统汽车行业的硬件价值之外，诸如自动驾驶、道路状况感应系统、汽车数据等软件价值正具有越来越重要的地位。但伴随汽车行业新兴商业模式而来的，还有对个人隐私的侵害，甚至还存在危害敏感信息和重要数据的隐患。

于是，今年以来，我国有关行政管理部门接连出台了汽车数据安全相关管理规定，如《智能网联汽车道路测试与示范应用管理规范（试行）》、《关于加强智能网联汽车生产企业及产品准入管理的意见》等，而这部《汽车数据安全管理若干规定（试行）》更为我国汽车数据安全管理、汽车行业健康有序发展添加了重要砝码。

• 主要内容

（一）规定了制定目的

《规定》第一条规定，为了规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，而制定本规定。

（二）规定了适用范围

根据第二条的内容，《规定》适用于在中华人民共和国境内开展汽车数据处理活动及其安全监管的活动。

（三）明确了《规定》所涉及到的重要术语的定义

《规定》中主要涉及到汽车数据、汽车数据处理、汽车数据处理者、个人信息、敏感个人信息、重要数据等术语，《规定》第三条对上述术语的含义进行了明确。

（四）规定了汽车数据处理者处理不同类型汽车数据时应遵循的原则

1.针对所有的汽车数据，《规定》第四条规定，汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。

2.针对利用互联网等信息网络处理汽车数据，《规定》第五条规定，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。

3.《规定》第七条、第八条规定了汽车数据处理者处理个人信息时应当达到的要求。

4.《规定》第九条规定了汽车数据处理者处理敏感个人信息时应当达到的要求。

5.针对重要数据，《规定》第十条规定，汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告；《规定》第十一条规定，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估；《规定》第十二条规定，汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

（五）规定了开展汽车数据处理活动的四大原则

《规定》第六条提出，汽车数据处理者在开展汽车数据处理活动中要坚持车内处理原则、默认不收集原则、精度范围适用原则和脱敏处理原则。

（六）规定了汽车数据处理者有关向行政管理部门进行报告的义务

《规定》第十三条规定，汽车数据处理者开展重要数据处理活动的，应当在每年十二月十五日前向有关部门报送相关年度汽车数据安全管理情况；《规定》第十四条规定，向境外提供重要数据的汽车数据处理者在第十三条要求的基础上，还应补充报告其他的相关情况。

（七）规定了对汽车数据处理者进行数据安全评估的行政机关的范围

《规定》第十五条规定，国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，根据处理数据情况对汽车数据处理者进行数据安全评估。

（八）规定了汽车数据处理者建立监督渠道的义务及法律责任

《规定》第十七条规定，汽车数据处理者开展汽车数据处理活动，应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。

（九）规定了追究汽车数据处理者的法律责任所依据的法律

《规定》第十八条规定，汽车数据处理者违反本规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定追究相应责任。

（责编：徐兆龙）