新规落地:个人车内敏感数据可要求删除,汽车数据滥用将终结?
在征求意见稿出炉三个月后,《汽车数据安全管理若干规定》(以下简称《规定》)正式出台,并在多处做出修改。其中,新增条款提出更为细化的要求,包括汽车数据被个人要求删除应在十个工作日内处理,应当建立投诉举报渠道等。
新京报贝壳财经记者对比征求意见稿看到,这一试行《规定》仍然倡导,汽车数据处理者在开展汽车数据处理活动中要坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
对此,相关人士表示,随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患突出。
该人士称,在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。
中国乘联会秘书长崔东树表示,随着规定的发布和实施,智能电动车加速发展将有更好的法律边界,这对行业规范发展意义重大,防止出现走弯路和走错路的风险,有利于中国汽车行业的智能电动化更好发展,也规范了网联化过度发展问题。
新增条款划出哪些红线?
要求删除数据应在十个工作日内响应,汽车数据滥用同样严重
相比于《征求意见稿》,本次正式出炉的《意见》新增内容划出的红线更为明确,其中关于汽车数据处理者处理敏感个人信息,提出细化要求,个人要求删除的,汽车数据处理者应当在十个工作日内删除。
此外,《规定》新增了国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。
《规定》称,汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。
“汽车数据存在无序收集和违规滥用现象”,崔东树向记者表示,目前相关智能设备违规收集个人信息、过度索权、侵害用户权益等问题早已成为了互联网行业的顽疾。汽车行业也面临同样问题。手机中下载各类 App,被要求要获取相机、定位、通讯录等等权限。然后莫名其妙收到售楼、保险、贷款等各种骚扰电话。这样的问题风险在智能网联汽车同样存在,而且可能更严重。很多驾驶者甚至都无法知道个人信息是如何被泄露出去的。
崔东树介绍,据研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB,数据类型包括车辆行驶数据、车身数据、操控数据等几十种。当车主在车内大屏上,打开各种应用的时候,同样会产生相应的数据。
“对汽车数据安全进行管理极其迫切”,崔东树表示,智能汽车产生的数据主要分为两部分,一类是用户数据,主要关于用户个人隐私,如微信上车会涉及用户账号和访问记录,车内摄像头、车内麦克风等也可能侵犯用户隐私。另外一类是车辆数据,包括地理位置、系统信息、业务相关的数据。
《规定》将如何对违规行为进行监管 ?
《规定》指出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。
相关人士则表示,《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。
“信息安全如今愈发受到国家重视”,中国政法大学传播法中心研究员、副教授朱巍对贝壳财经记者表示,本次规定的法律位阶比较低,但是国家网信管理部门可以以此作为抓手进行管理。规定中尚未提及的处罚办法,可以依据个人信息保护法进行处罚和处理,这对于汽车数据安全管理具有重大意义。
汽车数据应如何使用?
新规对用户隐私尤为看重,车企使用数据要保障用户知情权
贝壳财经记者注意到,《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。
对于处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
实际上,今年3月国家互联网信息办副主任杨小伟在答记者问时也提及,随着数字经济时代的到来,数据成为一种新型的生产要素和社会财富被不断分享、分析、利用,随之而来的个人隐私安全问题也成为数字社会首要关注点。
杨小伟表示,几年来,我国持续加强在当前大数据快速发展环境下的数据安全和个人隐私保护,其中就包括全国范围内深入实施网络安全法,进一步加强了在政策、法律、监管等多方面的统筹协调工作,从而在法律层面为数据安全和个人隐私保护提供法律保障。
而业内对此也早有呼声。今年3月,第十三届全国人大代表,上汽集团党委书记、董事长陈虹针对智能网联汽车对于数据泄露的防范不足等情况,提出对于数据违法的处罚力度不够等问题建议建立准入制度。
陈虹建议制定过程审查制度,应当要求智能网联汽车的制造和销售企业建立完备的数据安全管理和软件升级流程。同时借鉴互联网信息管理制度,智能网联汽车提供的数字服务内容也需要接受政府部门的监管和审查,并对所涉及的敏感数据及个人隐私数据出境问题做出明确的规定。
在保护隐私的前提下,数据应该如何被使用 ?
对此,中国汽研专家郑光伟解释道,对用户来讲,汽车数据安全相关规定最大的价值之一就在于可以管理个人车内敏感数据,以前运营商对数据的采集、使用几乎跳过用户授权。用户被收集的信息是个黑盒,更别提怎么用了。这一规定保障了用户对车辆数据的使用权,用户可时常查看自己被采集的数据,并有选择地管理部分数据,在卖车时,也可以提前删除车内个人数据。
郑光伟表示,一方面汽车数据的保护应当是全生命周期的,设计、生产、销售、运维、管理汽车过程中,另一方面企业要加强用户的知情权,车企利用大数据进行商业化运作不可避免,但在使用数据时,要保障用户的知情权的同时,对关键信息进行脱敏处理。
新京报贝壳财经记者对比征求意见稿看到,这一试行《规定》仍然倡导,汽车数据处理者在开展汽车数据处理活动中要坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
对此,相关人士表示,随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患突出。
该人士称,在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。
中国乘联会秘书长崔东树表示,随着规定的发布和实施,智能电动车加速发展将有更好的法律边界,这对行业规范发展意义重大,防止出现走弯路和走错路的风险,有利于中国汽车行业的智能电动化更好发展,也规范了网联化过度发展问题。
新增条款划出哪些红线?
要求删除数据应在十个工作日内响应,汽车数据滥用同样严重
相比于《征求意见稿》,本次正式出炉的《意见》新增内容划出的红线更为明确,其中关于汽车数据处理者处理敏感个人信息,提出细化要求,个人要求删除的,汽车数据处理者应当在十个工作日内删除。
此外,《规定》新增了国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。
《规定》称,汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。
“汽车数据存在无序收集和违规滥用现象”,崔东树向记者表示,目前相关智能设备违规收集个人信息、过度索权、侵害用户权益等问题早已成为了互联网行业的顽疾。汽车行业也面临同样问题。手机中下载各类 App,被要求要获取相机、定位、通讯录等等权限。然后莫名其妙收到售楼、保险、贷款等各种骚扰电话。这样的问题风险在智能网联汽车同样存在,而且可能更严重。很多驾驶者甚至都无法知道个人信息是如何被泄露出去的。
崔东树介绍,据研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB,数据类型包括车辆行驶数据、车身数据、操控数据等几十种。当车主在车内大屏上,打开各种应用的时候,同样会产生相应的数据。
“对汽车数据安全进行管理极其迫切”,崔东树表示,智能汽车产生的数据主要分为两部分,一类是用户数据,主要关于用户个人隐私,如微信上车会涉及用户账号和访问记录,车内摄像头、车内麦克风等也可能侵犯用户隐私。另外一类是车辆数据,包括地理位置、系统信息、业务相关的数据。
《规定》将如何对违规行为进行监管 ?
《规定》指出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。
相关人士则表示,《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。
“信息安全如今愈发受到国家重视”,中国政法大学传播法中心研究员、副教授朱巍对贝壳财经记者表示,本次规定的法律位阶比较低,但是国家网信管理部门可以以此作为抓手进行管理。规定中尚未提及的处罚办法,可以依据个人信息保护法进行处罚和处理,这对于汽车数据安全管理具有重大意义。
汽车数据应如何使用?
新规对用户隐私尤为看重,车企使用数据要保障用户知情权
贝壳财经记者注意到,《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。
对于处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
实际上,今年3月国家互联网信息办副主任杨小伟在答记者问时也提及,随着数字经济时代的到来,数据成为一种新型的生产要素和社会财富被不断分享、分析、利用,随之而来的个人隐私安全问题也成为数字社会首要关注点。
杨小伟表示,几年来,我国持续加强在当前大数据快速发展环境下的数据安全和个人隐私保护,其中就包括全国范围内深入实施网络安全法,进一步加强了在政策、法律、监管等多方面的统筹协调工作,从而在法律层面为数据安全和个人隐私保护提供法律保障。
而业内对此也早有呼声。今年3月,第十三届全国人大代表,上汽集团党委书记、董事长陈虹针对智能网联汽车对于数据泄露的防范不足等情况,提出对于数据违法的处罚力度不够等问题建议建立准入制度。
陈虹建议制定过程审查制度,应当要求智能网联汽车的制造和销售企业建立完备的数据安全管理和软件升级流程。同时借鉴互联网信息管理制度,智能网联汽车提供的数字服务内容也需要接受政府部门的监管和审查,并对所涉及的敏感数据及个人隐私数据出境问题做出明确的规定。
在保护隐私的前提下,数据应该如何被使用 ?
对此,中国汽研专家郑光伟解释道,对用户来讲,汽车数据安全相关规定最大的价值之一就在于可以管理个人车内敏感数据,以前运营商对数据的采集、使用几乎跳过用户授权。用户被收集的信息是个黑盒,更别提怎么用了。这一规定保障了用户对车辆数据的使用权,用户可时常查看自己被采集的数据,并有选择地管理部分数据,在卖车时,也可以提前删除车内个人数据。
郑光伟表示,一方面汽车数据的保护应当是全生命周期的,设计、生产、销售、运维、管理汽车过程中,另一方面企业要加强用户的知情权,车企利用大数据进行商业化运作不可避免,但在使用数据时,要保障用户的知情权的同时,对关键信息进行脱敏处理。