过去的一年，是数据合规领域的监管规则拼图补全、基础监管框架全面落地的一年。这一特点，也同样影响到汽车出行行业的数据合规工作。基于此，海问律师事务所傅鹏律师项目组特撰写《汽车出行行业数据合规监管年度盘点（2022年）》，盘点过去一年汽车行业的监管思路与趋势，总结年度监管的要点与亮点。从数据处理安全、个人信息安全、行业运行安全、自动驾驶安全四个方面，对汽车出行行业的数据合规立法与实践进行详细分析。

（如下为部分内容节选，欢迎扫码文末二维码，获取更多信息）

一、年度监管思路与趋势：压实合规义务，释放合规价值

（一）合规义务得到进一步压实

首先，由于法律规则总体补全、实施框架全面落地，监管部门开始具有较为全面性和系统性的抓手及法律依据，对汽车出行行业的数据处理者采取监管措施。

例如，《中华人民共和国网络安全法》（下称“网络安全法”）、《中华人民共和国数据安全法》（下称“数据安全法”）和《中华人民共和国个人信息保护法》（下称“个人信息保护法”）等数据合规领域的“三大基本法”在2021年临近结尾时全部颁布并生效。“三大基本法”奠定了各行业数据合规监管的主要基础制度，这同样也适用于汽车出行行业种类多样、错综复杂的数据处理行为。“三大基本法”相互补充，构建了相对全面的数据处理活动监管体系。

“三大基本法”齐备所带来的监管态势变化较为明显。例如，在网络安全法于2017年施行之际，虽然规定了关于个人信息保护的若干基本原则，但是缺乏系统性的监管规则架构和执行细节，也没有较为严重的违法后果，使得大量企业相对而言可以在个人信息保护的更多环节与方面持观望的态势。甚至在相当一段时间内，基于网络安全法开展的个人信息保护合规活动需要在很大程度上依赖《信息安全技术 个人信息安全规范》等不具有强制约束力的推荐性国家标准的指导来完成。但是，在个人信息保护法于2021年施行后，个人信息保护的原则以及合法性基础、个人信息主体权利、违反个人信息保护法的违法后果等一系列规定得到了明确，广大企业负有明确的一系列法律合规义务。又如，网络安全法提出了“重要数据”的概念，但是仅限于关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据应当在境内存储这一事项的要求，也没有比较系统性地提出数据分类分级等类似概念或制度要求。但是，随着数据安全法及一系列配套规定的颁布，广大数据处理者有义务采取数据分类分级等工作，并且有义务对重要数据采取更强的保护措施、负有更高的合规义务。此外，还有一系列制度，在2017年网络安全法颁布时并不存在，或并没有具体的要求，但是随着2021年个人信息保护法和数据安全法的施行，成为数据处理者硬性的合规义务。

以上规定，压实了广大企业的数据合规义务，这一方面给广大企业提出了更高的要求，另一方面也给广大企业的数据合规建设提供了更为明确的方向和更有帮助的指导。

此外，“三大基本法”之外，与汽车出行行业有关的监管细则、甚至是一系列行业垂直监管规定，都在2021年陆续出台。如下文第“二、年度监管要点与亮点：围绕“四个安全”，描绘合规基线”部分所详述，这一系列监管细则，在更大程度上，塑造了汽车出行行业数据合规日常实践的具体面貌。以《汽车数据安全管理若干规定（试行）》为例，第一次提出了“车内处理”“精度范围适用”等行业数据处理原则，为行业中的数据处理者提出了专项的、区别于其他行业实践的具体要求；第一次为行业重要数据的认定，提出了生效、有法律约束力的规定层面的细节规定，在一定程度上初步划定了行业重要数据的种类和大致范围。类似的规定和例子还有很多。这些行业监管细则，是汽车出行行业数据处理者需要格外注意的垂直监管要求。

上述基础规则和行业监管细则的出台，相应奠定或创设了汽车出行行业数据处理者日常的一系列申报、登记、备案事项，相当于为本行业数据处理者增加了一系列日常需要定期完成的“规定动作”。例如每个行业的数据处理者就其向境外传输数据的行为在达到相应的门槛或个人信息处理数量时需要申报数据出境安全评估，汽车行业重要数据处理者应每年进行年度汽车数据安全管理情况报送，车联网业务经营单位应当进行车联网网络安全定级备案，与车联网运营相关的主体应注意完成车联网卡实名登记等。

因此，不论是以上的基础规则，还是行业监管细则，还是与汽车出行行业有关的申报、登记、备案事项，在过去的一年中，都经历了在其奠定之初的第一年实践“试水”过程。实践操作中，主管机关或数据处理者发现了存在的一系列问题，也反映出规则或制度层面一系列有待进一步修订或完善的部分。

二、 年度监管要点与亮点：围绕“四个安全”，描绘合规基线

(一) 数据处理安全

对汽车出行行业企业的数据处理活动提出更细致和更高的治理要求，是监管的方向和趋势之一。在过去一年多的时间里，汽车出行行业企业在日常数据处理、数据出境、资本运作或投融资项目的数据处理合规等方面，发生了一系列重要事件，折射出数个富有行业特点的数据处理关注要点。

1. 汽车数据“车内处理”之困

汽车数据应当以“车内处理”作为最重要的处理原则之一，是《汽车数据安全管理若干规定（试行）》明确提出的汽车出行行业数据处理原则。过去一年中，从业者和监管者就车内处理的含义、范围、合规要求以及在具体项目中的实践把握尺度，做出了不少尝试。

(1) 与汽车出行行业企业需要遵循“车内处理”原则有关的若干事件

● 2022年3月，比亚迪汽车APP关闭远程查看车外摄像头影像的“千里眼”功能，在比亚迪汽车APP中打开此功能会提示“根据国家最新法规要求，车外影像功能正在升级，敬请期待”。“千里眼”是比亚迪DiLink智能网联系统为用户提供的远程影像系统，可以通过车辆四周的摄像头查看汽车周边环境。[1]

● 2022年5月，高合汽车被曝光其“车车互联”功能可被用于由车主A远程调取车主B行车记录仪画面（画面含车外人员的个人信息）。同月，高合汽车发文回复“车车互联”功能属于车队出行、车路协同系统组成部分，出厂时默认关闭，通过二次确认隐私条款弹窗后才能开启。[2]

● 2022年5月，小鹏汽车表示，应主管部门发布的相关数据安全法规的要求，公司暂停“App端远程查看车外摄像头功能”。[3]

(2) 如何理解“车内处理”原则，以及该原则的例外

《汽车数据安全管理若干规定（试行）》要求汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”原则。即，除非确有必要，不向车外提供。《汽车数据安全管理若干规定（试行）》进一步规定，因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

上述规定，构成了汽车出行行业“车内处理”原则的基本内容。其核心监管思路在于，由于智能网联汽车的高速发展，车体包含了越来越多的传感器，也相应能够收集越来越多的车外数据和座舱数据。此类数据可能包含的个人信息相对敏感，实践中也难以就处理行为获得个人的同意。因此，如果没有经过匿名化处理，则难以避免成为不具有合法性基础的处理活动。

全国信息安全标准化技术委员会于2022年10月、国家市场监督管理总局并国家标准化管理委员会于2022年11月发布的《汽车采集数据处理安全指南（TC260-001）》、《信息安全技术 汽车数据处理安全要求》，在“车内处理”原则的基本框架和理念下，列示了更为具体、可适用性更强的例外情形。总体来看，控制车外处理数据的有限场景、对向车外提供的数据开展自动匿名化处理工作，可能是汽车出行行业企业具体落实该原则的可用途径。

1.《知名汽车宣布：停用远程摄像头功能》，网址：https://rmh.pdnews.cn/Pc/ArtInfoApi/article?id=27712308，最后访问日期：2022年11月20日。

2.《行车记录全暴露！高合汽车陷隐私泄露风波，律师：画面需脱敏》，网址：https://new.qq.com/rain/a/20220507A0CR0Y00，最后访问日期：2022年11月17日。

3.《车上的远程摄像头不能用了？小鹏汽车：应相关数据安全法规要求》网址：https://new.qq.com/rain/a/20220523A09S6000；最后访问日期：2022年11月20日。