北京时间5月12日，中国国家互联网信息办公室，发布了关于《汽车数据安全管理若干规定（征求意见稿）》（以下简称：汽车数据安全管理意见稿）公开征求意见的通知，意见反馈截止时间为2021年6月11日，反馈方式见文末。

这是中国首个关于汽车数据安全管理方面的法规，也是中国针对智能网联电动汽车蓬勃发展与时俱进的管理体现。汽车数据安全管理意见稿的出炉，与前段时间关于特斯拉被禁止进入特定区域不无关系。

例如，汽车数据安全管理意见稿的第十二条“个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估”。根据这条规定，特斯拉在中国跑的车辆数据要传回美国的服务器，就必须经过安全评估，如果特斯拉违规了，就可能会被重罚。

众所周知，智能网联电动汽车，随着智能化、电子化水平的提高，车载传感器能够收集的数据的多样性以及数量都呈现指数级的增长：

在车外：车载摄像头、激光雷达、毫米波雷达、定位传感器等等，能够对车辆行驶途径的道路、城市数据进行全方面的扫描和数据采集，从而影响道路及国家安全。
在车内：车内摄像头、定位设备、座位传感器等，都会采集到车内的车主及乘客的隐私信息，从而影响车主及乘客的隐私保护等。

随着汽车数据安全管理意见稿的出炉，对于智能网联电动汽车产生的数据的收集与管理，明确了主体、明确了数据范围、明确了收集方式、明确了隐私保护、明确了数据出境问题等等。有了这份汽车数据安全管理意见稿，将会规范和促进智能网联电动汽车的发展。

汽车数据安全管理意见稿的出炉，要比智能手机方面的数据安全管理快得多，目前，智能手机上的APP滥用用户数据已经导致用户出现大量的损失。而智能网联电动汽车产生的数据涉及了用户外，还涉及到道路安全、国家安全等，更应该早日明确并且监管，从而避免出现类似智能手机的数据管理困境。

对于智能网联电动汽车的参与者来说，不管是主机厂、供应商还是服务商等，都需要在汽车数据安全管理规定范围内，对智能网联电动汽车的数据进行收集以及挖掘其商业价值，这或许蕴藏着大量的合法的商机。也可以让智能汽车的数据领域，减少或者避免出现类似互联网数据黑产的机会。

对于车主来说，有了这份汽车数据安全管理意见稿，就可以清晰知道自己的数据走向，也可以最大限度的保护自己的隐私，提高自身的安全和维护自身的权益。对于监管层而言，有了汽车数据安全管理的规定，可以加强对汽车数据的监督和管理，从而保护车主的权益。

下面是汽车数据安全管理意见稿的一些重点内容：

一、智能网联电动汽车的重要数据包括了六大数据：

1、军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；2、高于国家公开发布地图精度的测绘数据；3、汽车充电网的运行数据；4、道路上车辆类型、车辆流量等数据；5、包含人脸、声音、车牌等的车外音视频数据；6、国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

二、数据采集和处理的原则：

1、车内处理原则，除非确有必要不向车外提供；2、匿名化处理原则，确有必要向车外提供的，尽可能地进行匿名化和脱敏处理；3、最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；4、精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；5、默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

附汽车数据安全管理若干规定（征求意见稿）全文

汽车数据安全管理若干规定

（征求意见稿）

第一条 为了加强个人信息和重要数据保护，规范汽车数据处理活动，维护国家安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，制定本规定。

第二条 运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中，收集、分析、存储、传输、查询、利用、删除以及向境外提供（以下统称处理）个人信息或重要数据，应当遵守相关法律法规和本规定的要求。

第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。

本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息，以及能够推断个人身份、描述个人行为等的各种信息。

本规定所称重要数据包括：

（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；

（二）高于国家公开发布地图精度的测绘数据；

（三）汽车充电网的运行数据；

（四）道路上车辆类型、车辆流量等数据；

（五）包含人脸、声音、车牌等的车外音视频数据；

（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确，与汽车的设计、制造、服务直接相关。

第五条 运营者应当落实网络安全等级保护制度，加强个人信息和重要数据保护，依法履行网络安全义务。

第六条 倡导运营者处理个人信息和重要数据过程中坚持：

（一）车内处理原则，除非确有必要不向车外提供；

（二）匿名化处理原则，确有必要向车外提供的，尽可能地进行匿名化和脱敏处理；

（三）最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；

（四）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；

（五）默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式，告知负责处理用户权益责任人的有效联系方式，以及收集数据的类型，包括车辆位置、生物特征、驾驶习惯、音视频等，并提供以下信息：

（一）收集每种类型数据的触发条件以及停止收集的方法；

（二）收集各类型数据的目的、用途；

（三）数据保存地点、期限，或者确定保存地点、期限的规则；

（四）删除车内、请求删除已经提供给车外的个人信息的方法步骤。

第八条 运营者收集和向车外提供敏感个人信息，包括车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等，应当符合以下要求：

（一）以直接服务于驾驶人或者乘车人为目的，包括增强行车安全、辅助驾驶、导航、娱乐等；

（二）默认为不收集，每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效；

（三）通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息；

（四）驾驶人能够随时、方便地终止收集；

（五）允许车主方便查看、结构化查询被收集的敏感个人信息；

（六）驾驶人要求运营者删除时，运营者应当在2周内删除。

第九条 运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外。实践上难以实现的（如通过摄像头收集车外音视频信息），且确需提供的，应当进行匿名化或脱敏处理，包括删除含有能够识别自然人的画面，或对这些画面中的人脸等进行局部轮廓化处理等。

第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的，方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据，同时应当提供生物特征的替代方式。

第十一条 运营者处理重要数据，应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式，以及是否向第三方提供等。

第十二条 个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。

我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的，适用其规定，我国声明保留的条款除外。

第十三条 运营者向境外提供个人信息或者重要数据的，应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据，保证数据安全。

第十四条 运营者向境外提供个人信息或者重要数据的，应当接受和处理所涉及的用户投诉；造成用户合法权益或公共利益受到损害的，应当依法承担相应责任。

第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等，向境外提供个人信息或重要数据。

国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等，运营者应当以明文、可读方式予以展示。

第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的，运营者应当采取有效措施保证数据安全，防止流失；严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频，以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。

第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者，应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门，内容包括：

（一）数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式；

（二）处理数据的类型、规模、目的及必要性；

（三）数据的安全防护和管理措施，包括保存地点、期限等；

（四）与境内第三方共享数据情况；

（五）数据安全事故及处理情况；

（六）与个人信息和数据相关的用户投诉及处理情况；

（七）国家网信部门明确的其他数据安全情况。

第十八条 如果存在向境外提供数据的情况，运营者应当在本规定第十七条基础上，报告以下情况：

（一）接收者的名称和联系方式；

（二）出境数据的类型、数量及目的；

（三）数据在境外的存放地点、使用范围和方式；

（四）涉及向境外提供数据的用户投诉及处理情况；

（五）国家网信部门明确的向境外提供数据需要报告的其他情况。

第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估，运营者应当予以配合。

参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息，不得将评估中获悉的信息用于评估以外目的。

第二十条 运营者违反本规定的，由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的，依法追究刑事责任。

第二十一条 本规定自2021年 月 日起施行。