关于《汽车数据安全管理若干规定》（试行）发布后企业需开展工作的解读

8月20日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》）。该规定将于2021年10月1日起施行。

作为我国汽车行业数据安全领域的重要法规，《规定》的施行将确立汽车行业数据安全及治理的基本框架，它将起到规范各企业数据处理活动，加强汽车产业数据安全保障，保护个人、组织合法权益，维护国家安全和利益的重要作用。

《规定》一共分为十九条。体系结构包括：目的意义、适用范围、定义、等级保护要求、数据安全原则、告知义务、授权与脱敏要求、采集的前提、报送风险评估报告、数据境内存储、出境核查、企业年报要求、安全评估、加强平台建设、建立投诉举报渠道、违法处理与追责等内容。

《规定》框架梳理

通过对《规定》的梳理，不难看出，后续仍有配套的操作细则需要明确，相信国家互联网信息办公室或有关部门将会在《规定》的框架下加紧制定相应的文件。对企业而言，《规定》的施行能够更加规范企业的数据处理活动，帮助企业做好数据安全合规工作。各企业需要依据《规定》加紧进行数据处理活动的调整。

我们认为企业后续数据安全工作主要将针对以下8个方面进行开展：

1、建立等保制度，开展等保工作

依据《规定》企业需要建立等级保护制度，并加强汽车数据保护，依法履行数据安全义务。

2、调整数据采集授权方式

依据《规定》第六条第二点：除非驾驶人自主设定，每次驾驶时默认设定为不收集状态。企业需要针对用户授权的方式进行调整，以符合《规定》的要求。

3、细化告知内容，车上增加正在采集的状态标识

依据《规定》第九条，企业需要将数据处理的必要性与影响告知用户，并且在车上提示数据收集状态，为个人终止数据收集提供便利。

4、建立采集数据的车内匿名化与轮廓化处理能力

依据《规定》第八条，企业今后以行车安全为目的对车外个人信息进行采集后且向车外提供的，需要进行匿名化处理，其中包括对人脸进行轮廓化处理。这意味着今后大部分智能网联汽车必须具备将数据在车内进行匿名化与轮廓化处理的能力。

5、增加用户进行数据查询、复制、申请删除的途径，并且十日内完成删除

需要为同意进行数据采集的用户提供申请删除数据的渠道，并且相应地为用户增加查询、复制其个人信息的途径。

6、数据安全年报工作

需要每年12月25日前向有关部门报送数据安全年报。

7、积极应对数据安全评估审查

从事数据处理的企业将接受有关部门的数据安全评估。

8、有跨境业务的企业需要符合企业数据出境核查和年报要求

有数据跨境传输行为的企业需要接受有关部门的核查以及在数据安全年报中增加数据出境活动的相关报告。

综上而言，《规定》是汽车产业数据安全的重要法规。对于企业合规而言，遵循《规定》相关规则并构建自身的合规体系是非常紧迫的现实需求。随着《规定》的落地与生效，我国汽车产业数据安全领域的监管制度将更为完善。《规定》的施行在短期内看企业需要进行相应的调整，从长远而言，对于企业加强数据安全管理，保障我国汽车产业的安全、健康发展将具有积极意义。

最后，在我国数据安全监管体系的建立过程中，我们呼吁企业与各有关部门应更加紧密地沟通与交流，从而促进共识，不断探索安全管理与产业发展相平衡的最佳实践。（作者：中汽协会大数据分会执行秘书长滕添益）