应坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则……在《数据安全法》即将实施之际，又一重磅规定迎来发布。

8月20日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。

网信办有关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

对过度搜集数据说“不”

据网信办相关负责人介绍，出台《规定》主要基于以下两方面的考虑：

一是防范化解汽车数据安全风险的实践需要。

汽车数据处理能力日益增强、汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。

“比如，汽车数据处理者超越实际需要，过度收集重要数据；未经用户同意，违规处理个人信息，特别是敏感个人信息；未经安全评估，违规出境重要数据等。”该负责人表示。

二是保障汽车数据依法合理有效利用的客观需要。

同时，《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。一是处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。

深信服数据安全产品线总经理李玉亮解释，这意味着，采集的数据只能用于特定用途，在其它领域要想使用这些数据，则必须重新获得授权。

二是利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。

三是应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。

坚持车内数据车内处理原则

《规定》的一大特点是，坚持安全和发展并重，为减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则。

对此，《规定》根据个人信息、敏感个人信息进行了分类分级管理。针对个人信息，一是告知义务，汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。

二是征得同意义务，三是匿名化要求。《规定》指出，因保证行车安全需要，无法征得个人同意采集到个人信息且向车外提供的，应当进行匿名化处理。

针对敏感个人信息，在履行告知、征得个人单独同意等义务基础上，汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。

“针对个人生物识别特征信息，明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。”《规定》称。

此外，《规定》也提出了出境安全评估制度，重要数据应当依法在境内存储。

【记者】郜小平