近年来越来越多的汽车向智能化转型，更多车型开始搭载摄像头和雷达等感知设备及语音系统，车内配置的软件还可以通过网络连接远程信息服务平台并进行数据交换，以实现智能辅助驾驶等功能，一些车型还可通过人工智能分析驾驶员的驾驶习惯等，为驾驶员及车内乘客提供娱乐、社交等附加服务。这些智能汽车（网联汽车）已不仅仅是代步的工具，它将如手机一般深入我们的日常生活，承载更多的生活功能。但与此同时，与手机一样，智能汽车的应用与开发也需要基于大量的数据及个人信息的处理，汽车驾驶还关乎人身安全，具有车内空间私密性和车外数据可能将涉及公共安全等特殊性。因此，个人信息及数据保护的问题也同样需要重视。

为加强个人信息和重要数据保护，规范汽车数据处理活动，维护国家安全和公共利益，2021年5月12日，国家互联网信息办公室发布了《汽车数据安全管理若干规定（征求意见稿）》（以下称为“征求意见稿”）开始公开征求意见。对于本次出台的征求意见稿，建议相关外资汽车相关行业的企业尤其关注以下几点：

01 关于征求意见稿设定的广泛的适用对象
智能汽车采集的大量数据不仅仅用于汽车的设计与制造商及经销商，还包括下游的售后维修保养、保险，以及与娱乐、出行、消费有关的行业。因此，征求意见稿中对适用对象“经营者”的定义方向是更广义的、开放的汽车行业。根据征求意见稿的第三条，适用征求意见稿的“经营者”指“汽车设计、制造及服务企业或机构”。即适用对象已不仅限于汽车制造商，还包括汽车部件、软件提供者、经销商、维修机构甚至是网约车公司、货车运输物流公司及保险公司等，几乎覆盖了汽车市场的上下游全链条。

02关于敏感个人信息和重要数据

根据征求意见稿的第二条，处理“个人信息及重要数据”的适用本规定。对于个人信息，征求意见稿并未进行定义，仅仅对常见的与汽车行业相关的个人信息进行了列举。因此，本规定中所称个人信息的定义应当与现行的法律法规保持一致，包括一般个人信息及敏感个人信息。

征求意见稿中列举了汽车采集的“敏感个人信息”，包括：车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等。征求意见稿还明确了汽车行业中的“重要数据”的范围，包括：

（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；

（二）高于国家公开发布地图精度的测绘数据；

（三）汽车充电网的运行数据；

（四）道路上车辆类型、车辆流量等数据；

（五）包含人脸、声音、车牌等的车外音视频数据；

（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

 
03对个人信息和重要数据的‘’默认不收集‘’原则

征求意见稿第六条倡导运营者处理个人信息和重要数据过程中坚持默认不收集原则，并规定：“除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。”此外，第八条规定：“对于敏感个人信息，每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效。”

这也将导致未来可能在驾驶人每次进入车内启动车辆前，均需在面板启动界面上单独点击“确认键”，或车内搭载的AI设备要求驾驶人口头回复时说出“同意”作出确认。

另外，征求意见稿第八条规定：“对于敏感个人信息，驾驶人要求运营者删除时，运营者应当在2周内删除。”这也对运营者（特别是一些技术实力不强的汽车行业下游的中小企业）在技术及管理上能否满足该合规要求带来了挑战。

 

04对个人信息和重要数据的本地存储和跨境传输的规制

《数据安全法》规定，除关键信息基础设施外的其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。在《个人信息保护法（草案）》(以下称为“个保法草案”)的第二次审议稿中，除国家机关外，仅就“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”处理个人信息时必须将其存储在中国境内。

在本次的征求意见稿的第十二条中明确，汽车行业中涉及征求意见稿规制的所有经营者处理的个人信息及重要数据必须存储在中国境内，即仅限中国大陆地区，不包括港澳台地区。因此，对于汽车行业的外资企业来说，根据业务需要将汽车数据本地化储存势在必行，建议尽早开始在中国境内设立数据存储中心，或使用中国境内的云储存。例如，2021年5月25日，特斯拉宣布已在中国建立数据中心，以实现数据存储本地化，并称今后所有在中国大陆市场销售的车辆所产生数据全部存储在境内。

另一方面，在个保法草案中，对个人信息的跨境传输的前提要件做的是一个可选择性的规定，即只要满足个保法草案第三十八条中的其中一项，便可合法跨境传输个人信息或数据，并不是所有的跨境传输都需要进行国家网信部门组织的安全评估。但是在本次有关汽车行业数据安全的征求意见稿中排除了其它选项，在向境外传输个人信息以及重要数据时，只能且必须以通过国家网信部门组织的数据出境安全评估为前提。

05新设的“年度数据安全管理情况”汇报义务
 

根据征求意见稿的第十七条的规定，“处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者”必须在每年的12月15日前向省级网信部门及有关部门进行安全管理情况汇报。汇报内容包括如下事项：

（一）数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式；

（二）处理数据的类型、规模、目的及必要性；

（三）数据的安全防护和管理措施，包括保存地点、期限等；

（四）与境内第三方共享数据情况；

（五）数据安全事故及处理情况；

（六）与个人信息和数据相关的用户投诉及处理情况；

（七）国家网信部门明确的其他数据安全情况。

外资汽车行业的相关企业要注意的是，如果存在向境外提供数据（征求意见稿的第十八条中仅提及到数据，并未提及个人信息，从规定的整体来看，这里不排除在今后的修正中补充个人信息的可能性。）的情况下，除上述事项外，还须汇报以下事项：

（一）接收者的名称和联系方式；

（二）出境数据的类型、数量及目的；

（三）数据在境外的存放地点、使用范围和方式；

（四）涉及向境外提供数据的用户投诉及处理情况；

（五）国家网信部门明确的向境外提供数据需要报告的其他情况。

本次发布的征求意见稿据称是我国第一次就某个行业的数据安全管理出台专门规定，早于金融等行业的数据安全的专门规定，可见我国监管部门对汽车行业数据安全的高度重视。

征求意见稿消除了汽车行业对个人信息和数据处理、国家安全及公共利益方面的一些疑惑，有利于快速发展的中国智能汽车行业走向规范发展。一些外资汽车行业的企业的研发部门设在国外，需要根据征求意见稿通过后的规定，对其涉及中国的数据进行专门管理，以满足其在中国销售的车辆的数据处理及跨境传输的合规要求，建议相关外资企业密切关注立法动态，及时跟进监管政策。
 

盈隆律师事务所TMT业务团队
 

盈隆律师事务所TMT（Technology Media Telecom，科技媒体通讯）业务团队紧跟粤港澳大湾区与海南自由贸易港的发展大势，深耕科技、媒体、通讯以及医药健康领域，由多名项目经验丰富的合伙人律师与资深律师集结而成。

团队致力于整合企业合规与风控、涉外法律事务、境内外投资、医疗健康产业以及“一带一路”等业务优势与项目经验，为境内外客户提供包括网络数据安全与运营合规、个人信息与隐私保护、行政审批与检查应对、跨境数据传输、智能医疗、知识产权、以及合规培训等多层次的法律服务。

盈隆律师事务所已为国内政府部门、大型企事业单位、跨国企业集团、初创科技企业等大量客户提供法律服务。团队具有丰富的法律实务经验，包括为国内省级某中外合作超级计算中心的设立与运营提供全程法律服务、承办国内某数据科技公司不正当竞争纠纷案件、为日本某物联网（IoT）行业的公司在中国的数据合规提供法律服务等。