随着我国智能网联汽车产业全球化布局步伐加快,汽车出口量激增,汽车数据跨境流动问题引发广泛关注。由于汽车数据、道路信息等与国家安全和社会公共利益紧密相连,加快构建我国汽车数据出境安全合规体系十分必要。6月13日,工业和信息化部等八部门起草的《汽车数据出境安全指引(2025版)(征求意见稿)》发布,并面向社会公开征求意见,反馈截止日期为7月13日前。
《汽车数据出境安全指引(2025版)(征求意见稿)》(下称《指引》)拟明确汽车数据出境的三大路径规则,提出9类可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免场景;此外,还细化了驾驶自动化、联网运行等六大业务场景下,需申报数据出境安全评估的重要数据类型与判定标准等。
数据出境实施流程图。图源《指引》
电信运营企业、自动驾驶服务商适用该指引
《指引》拟规定,汽车数据处理者按照该指引开展数据出境活动。《指引》首先给出定义,汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。
《指引》拟认定三种数据出境行为:(1)汽车数据处理者将在中华人民共和国境内运营中收集和产生的汽车数据传输至境外;(2)汽车数据处理者收集和产生的汽车数据存储在境内,境外的机构、组织或者个人查询、调取、下载、导出;(3)在境外处理境内自然人个人信息等其他数据处理活动。
车企可以通过哪些路径实现数据出境?《指引》拟提出必须申报安全评估的情形、通过订立标准合同或通过认证出境的情形以及9类豁免情形。南都记者注意到,前两种路径规则拟定的数量标准,可与去年3月正式施行的《促进和规范数据跨境流动规定》内容相对应。
具体而言,有向境外提供重要数据;自当年1月1日起累计向境外提供100万人以上个人信息或1万人以上敏感个人信息;关键信息基础设施运营者向境外提供个人信息等情形的,应当申报数据出境安全评估。若标准往下降一档,自当年1月1日起,累计向境外提供10万人以上、不满100 万人个人信息,或累计向境外提供不满1万人敏感个人信息的汽车数据处理者(非关键信息基础设施运营者),可在与境外接收方订立个人信息出境标准合同、通过个人信息保护认证两种方式中任选其一。
南都记者梳理发现,《指引》拟规定的9类豁免场景,其中6类与《促进和规范数据跨境流动规定》说法大概一致,涉及订立、履行合同,实施跨境人力资源管理,保护自然人生命健康和财产安全等情形。
不过,此次《指引》还新增了三个豁免场景——(1)因修补安全漏洞需要,汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求,已向工业和信息化部报告的安全漏洞数据;(2)因处置安全事件需要,汽车数据处理者按照行业网络安全、数据安全事件相关应急预案,已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据;(3)因消除汽车产品缺陷、实施召回需要,汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的 OTA 升级软件包对应的源代码。
车外实景影像、位置轨迹数据属重要数据
《指引》拟规定,汽车数据处理者向境外提供下述六大业务场景所列重要数据的,应当申报数据出境安全评估,并对具体数据类型与判定标准等作出细化。六大场景分别为研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形,其下又分为众多具体场景。
比如驾驶自动化场景下,驾驶自动化算法、驾驶自动化算法训练数据、驾驶自动化算法特征数据等属于重要数据,其中驾驶自动化算法训练数据包括训练影像及消息集、驾驶员决策数据集、组合驾驶辅助或自动驾驶系统决策或预测规划数据集、运行数据集等。
近年来,智能网联车的数据安全问题一直备受关注,这类汽车在行驶过程中会采集大量数据,不当跨境传输可能给国家安全带来隐患。《指引》拟规定联网运行的车路感知场景下,汽车数据处理者在车辆及路侧设备联网运行过程中,收集和产生的车外实景影像、雷达数据、位置轨迹数据、惯性导航数据、自动驾驶地图数据、构图类数据属于重要数据。
具体来看,车外实景影像包括摄像头拍摄图片、摄像头拍摄视频;雷达数据包括点云数据、结构化数据;时空定位数据、车辆高程属于位置轨迹数据;构图类数据指坐标相关的矢量数据等。
《指引》还拟给出描述性的具体判定规则,比如涉及道路的真实车辆流量、人员流量、物流等反映地级及以上行政区经济运行情况的数据,且累计时间大于等于30天;车外真实人脸边界框最小边长为32像素以上的;车外真实汽车号牌边界框最小边长为16像素以上的;涉及在境内运行的10万台以上车辆收集的等等。符合前述任意一项条件,可被列为车路感知场景下的重要数据。
车联网平台运营场景也被《指引》拟归为联网运行场景下的一个分类,具体指网络规划数据、充电运行数据。充电运行数据又细分为充电设施位置数据、车辆充电状态监测数据、充电消费数据,其中车辆充电状态监测数据的判定标准为涉及在境内运行的10万台以上车辆收集的,充电消费数据标准则是自当年1月1日起累计向境外提供100万人以上的。
南都记者注意到,《指引》还拟提出汽车数据出境安全保护要求。
在管理要求方面,汽车数据处理者应当明确汽车数据出境安全负责人,对本企业数据出境活动以及采取的保护措施进行监督,对本企业数据出境活动的安全性负责;应当建立汽车数据出境内部登记审批机制,设定审批权限和审批流程,对审批材料进行整理存档。
防护技术是重要的安全屏障。《指引》拟要求汽车数据处理者采用校验技术、密码技术、安全传输通道或者安全传输协议等措施,保证数据出境传输过程中汽车数据的保密性和完整性;应当对汽车数据出境传输行为进行安全监测,形成安全日志并留存。同时,汽车数据出境相关系统应当具备对境外数据接收方进行身份鉴权的能力,确保境外数据接收方身份真实性。
在日志要求方面,汽车数据处理者应当对汽车数据出境的网络通信行为进行记录,包括日期、时间、源IP地址、目的IP地址、源端口、目的端口等;对直接向境外传输汽车数据的主机的操作行为进行记录,包括用户信息、操作时间、操作对象、操作类型等,形成通信日志、操作行为日志等并进行留存,留存时间不少于3年。
采写:南都记者 樊文扬
全部评论 (0)