對智能網聯汽車的數據安全監管趨嚴。5月12日，國家網信辦發布《汽車數據安全管理若干規定（征求意見稿）》（以下簡稱“征求意見稿”）。

　　《征求意見稿》倡導運營者采取“默認不收集”原則。除非確有必要，每次駕駛時默認為不收集狀態，駕駛人的同意授權只對本次駕駛有效。這意味每次司機上車除了系安全帶之外，還需要再授權“同意收集”一次。

　　對于車輛位置、駕駛人或乘車人音視頻等敏感個人信息，如果駕駛人要求運營者刪除時，運營者應當在兩周內刪除。對于依賴上下游產業鏈支持的車企，要求刪除的數據可能并不在車企內部，互聯網行業隱私科技專家王磊認為，這一條款將增加車企的合規成本。

　　清華大學汽車研究所所長陳全世接受21世紀經濟報道采訪時表示，智能網聯汽車帶來便利的同時，也帶來了隱私風險以及國家安全挑戰。對智能網聯汽車進行約束規范是正確的。“但現在發布規范還是晚了些，智能汽車發展標準和法規應該走在前面，盡早布局。”

　　網約車采集圖像、信息脫敏等迎難題

　　《征求意見稿》是專門針對汽車數據安全的規定，明確了汽車數據處理活動場景中的個人信息和重要數據概念。

　　個人信息包括車主、駕駛人、乘車人、行人等個人信息，以及能夠推斷個人身份、描述個人行為等的各種信息。

　　重要數據則包括軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據；高于國家公開發布地圖精度的測繪數據；道路上車輛類型、車輛流量等數據；包含人臉、聲音、車牌等的車外音視頻數據等。

　　王磊認為《征求意見稿》中所稱的“個人信息”和“重要數據”，分別與審議中的《個人信息保護法》和《數據安全法》相銜接，分別保護“個人信息權益”和“國家主權、安全和發展利益，個人組織合法權益”這兩個不同的法益。

　　運營者在處理個人信息和重要數據過程中，倡導進行車內處理原則，除非確有必要不向車外提供；匿名化處理原則，確有必要向車外提供的，盡可能地進行匿名化和脫敏處理；最小保存期限原則，根據所提供功能服務分類型確定數據保存期限；默認不收集原則等。

　　比如“車內處理原則”，王磊解釋道，像高精地圖和攝像頭采集的車外信息，原則上不能傳到云端，除非確有必要。

　　諸如敏感區域的人流車流以及地理測繪數據等，也已是智能網聯汽車數據安全規范的重中之重。此前，《信息安全技術 網聯汽車 采集數據的安全要求》草案提出，網聯汽車通過攝像頭、雷達等傳感器從車外環境采集的道路、建筑、地形、交通參與者等數據，以及車輛位置、軌跡相關數據，不得出境。

　　值得注意的是，《征求意見稿》也明確了運營者的范圍：汽車設計、制造、服務企業或者機構，包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。

　　全國乘用車市場信息聯席會秘書長崔東樹告訴21世紀經濟報道記者，該規定不僅規范了車企或智能網聯車企，對滴滴等相關運營企業都提出了要求。給網約車、出租車如何采集圖像、信息處理脫敏、保證隱私安全等帶來了挑戰。

　　賦予駕駛人刪除信息權

　　《征求意見稿》中對個人信息和重要數據的處理都有了更嚴格的規定。

　　倡導的“默認不收集原則”，除非確有必要，每次駕駛時默認為不收集狀態，駕駛人的同意授權只對本次駕駛有效。這也意味著每次司機上車除了系安全帶之外，還需要授權“同意收集”一次。

　　此外，運營者收集個人信息應當取得被收集人同意，法律法規規定不需取得個人同意的除外。實踐上難以實現的（如通過攝像頭收集車外音視頻信息），且確需提供的，應當進行匿名化或脫敏處理，包括刪除含有能夠識別自然人的畫面，或對這些畫面中的人臉等進行局部輪廓化處理等。

　　這對人臉這一敏感信息在汽車采集數據的場景下做出了規范。記者了解到，此前線下場景中對人臉采集的濫用便有爭議。由于人臉信息采集是非接觸性的、隱蔽的，很難像App等線上軟件一樣規制，也很難取得個人的單獨同意。

　　對于車輛位置、駕駛人或乘車人音視頻等敏感信息，《征求意見稿》允許車主查看、結構化查詢被收集的敏感個人信息，并且如果駕駛人要求運營者刪除時，運營者應當在兩周內刪除。

　　王磊分析稱，車企的情況跟互聯網公司不太一樣，一些研發車企可能會依賴上下游產業鏈的支持，比如車機系統，不一定是車企自己研發的。那么駕駛人要求運營者刪除數據時，數據可能沒有存儲在車企內部，車企還要聯系第三方合作商完成數據刪除。所以個人信息刪除權對車企的合規影響很大，甚至合規成本要高于互聯網企業。

　　特斯拉、蔚來等智能車企每年需匯報數據管理情況

　　《征求意見稿》中規定，處理個人信息涉及個人信息主體超過10萬人，或者處理重要數據的運營者，應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門。

　　匯報的內容包括處理數據的類型、規模、目的及必要性；數據的安全防護和管理措施，包括保存地點、期限等；與境內第三方共享數據情況；數據安全事故及處理情況；與個人信息和數據相關的用戶投訴及處理情況。

　　哪些企業會被納入這一例行匯報要求的管理范圍？王磊表示，特斯拉、蔚來、小鵬等做自動駕駛的車企，都需要有高精地圖才能完成自動導航駕駛，均是重要數據的運營者。而累計銷售的、有采集個人信息功能的車輛超過10萬輛，那么傳統車企可能也會被納入。

　　北京市盈科（深圳）律師事務所律師梅林認為，這一規定和對App運營者的管理相比嚴格了很多。“一方面是因為汽車數據安全對個人和國家的影響比一般App大很多，另一方面也是因為汽車行業都是大公司，有財力做這些事情。”

　　智能汽車發展標準和法規要走在前面

　　近期，百度、小米、360、華為等紛紛宣布跨界造車，造車似乎成為資本的風口。

　　據IDC預測，2035年全球智能駕駛汽車產業規模將突破1.2萬億美元，中國智能駕駛汽車規模也將超過2000億美元。

　　陳全世表示，智能網聯汽車的發展是雙刃劍，一方面帶來了便利，但另一方面行車軌跡、車內信息等面臨隱私風險，并且汽車攝像頭采集的精細地圖數據對國家安全的影響也需重視。

　　記者梳理發現，2020年2月，中央網信辦等11部門聯合發布《智能汽車創新發展戰略》，明確提出要確保用戶信息、車輛信息、測繪地理信息等數據安全可控。完善數據安全管理制度，加強監督檢查，開展數據風險、數據出境安全等評估。

　　今年起，關于智能網聯汽車的政策更為密集。

　　4月7日，工信部發布《智能網聯汽車生產企業及產品準入管理指南（試行）》（征求意見稿）。

　　4月28日，全國信息安全標準化技術委員會公布《信息安全技術 網聯汽車 采集數據的安全要求》標準草案，被視為我國首個網聯汽車采集數據國家標準。

　　5月12日，國家網信辦發布關于《汽車數據安全管理若干規定（征求意見稿）》。

　　梅林分析稱，工信部公開征求意見的《智能網聯汽車生產企業及產品準入管理指南（試行）》是針對智能網聯汽車產品的整體性要求，其中包括了對數據和網絡安全方面的規定，該規定除了對數據出境有具體要求外，其他數據方面的規定是概述性的。信安委發布的標準草案則是一個推薦標準，可以給行業提供操作思路，但不具有強制性。

　　“此次國家網信辦的《征求意見稿》是具有強制性的、專門針對汽車數據安全的規定，規定更詳細、指導性更強。”梅林表示。

　　陳全世認為，目前對智能網聯汽車進行約束規范是正確的。“但還是晚了些，應該在一年前或兩年前著手，智能汽車發展標準和法規要走在前面。”