· 监管规则针对新能源车辆、智能网联车辆的迭代更新

当前，新能源车辆、智能网联车辆渗透率不断提高。主机厂为增强竞争优势、加大产品差异化，不断在整车设计、局部设计中推出新功能.

其中部分功能直接关系到行车安全，被监管机构逐步纳入法律、法规、部门规章或国家强制性标准的监管范畴。主机厂需关注监管动态，在产品和功能设计细节上，做到合法合规，特别是符合新颁布的、具有强制约束力的法律法规或标准的要求，也宜关注新颁布的推荐性国家标准，在设计方面根据推荐性标准，达到更好的实践水平。

· 主机厂需关注精细化运营，关注用户互动文档的准确性和充分性

随着新能源汽车、智能网联汽车普及，新功能、改进功能不断增多，主机厂和智能网联服务商（特别是一些后装服务的服务商）应关注和用户的互动文档的设计、撰写工作，对新功能——特别是关涉行车安全的新功能，实现与用户准确、充分的告知与互动。

在日常实践中，用户告知文档主要体现在车书、操作手册、APP操作指南等各类用户沟通渠道。这些文本、文档的撰写，不仅仅需要关注普通文档的行文，更需要根据法律、法规以及特别是强制性国家标准的要求，对撰写文本的呈现进行设计和调整。

· 监管对“车端”形成常态化关注

在过去多年的APP违法违规收集个人信息执法活动中，监管部门几乎很少关注车端应用本身的个人信息保护问题。即使监管对一些主机厂的应用进行过检测、提出过批评或者通报，也集中在主机厂的手机端APP。

今年以来，在多批APP违法违规收集个人信息的通报中，提及车端应用，既涉及预装应用，也涉及通过车载应用市场下载的应用。

在智能网联车场景下，车端应用也通过移动网络（4G、5G等）连接和提供服务。相当一部分应用的核心运营内容以及对个人信息的处理方式与手机端高度相似，只是在交互逻辑、车端操作体验和行车安全性方面进行适配修改。

因此，对于个人信息保护和数据安全方面而言，车端应用的底层监管关注与手机端不应存在本质区别。主机厂和智能网联服务提供商应当更加关注车机端应用在个人信息保护方面的合规性，对标手机APP、小程序的个人信息保护实践标准，提升告知的透明度，获得用户的适当同意，在个人信息处理的一些细节方面严格对照监管要求，进行优化或整改。

· 车端应用个人信息处理常见问题

本次通报主要涉及的合规问题如下：

合规问题一：

多款车机预装APP以及车机应用商店中的APP无隐私政策。

经过多年APP违法违规收集个人信息的整改，目前手机端相当大部分主流APP以及小程序标配隐私政策，且大多可以实现单独成文。完全缺失隐私政策的情形在手机端越来越少。

但是，相当一部分场景的车机应用往往针对车机操作习惯进行修改，一部分主机厂也往往要求CP（内容供应方和服务方）针对具体车型做专门适配。在此开发过程中，由于过往对车机应用的个人信息保护合规重视力度不够，一些开发修改过程可能忽略对于隐私政策的适当纳入、放置，忽略适当的隐私政策弹窗及取得同意设计，最终导致个人信息保护方面存在严重瑕疵（例如完全缺失隐私政策等情况）。

合规问题二：

车机端APP在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

该问题的出现与上述“合规问题一”提及的开发流程和定制也存在关系。由于一些车机端应用需要针对车端环境（甚至具体车型）进行适配修改，修改过程中没有充分重视个人信息保护功能和流程的设置，导致例如“未通过弹窗等明显方式提示用户阅读隐私政策”这类明显的合规瑕疵出现。

合规问题三：

车机端APP的隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。

目前，逐一列出APP收集使用个人信息的目的、方式、范围等，在手机端应用的隐私政策审阅和整改中已经形成“标配”，是必须审阅的要点之一。

在车机应用中，由于一些应用经过专门调整与适配，其收集使用个人信息的目的、方式、范围等可能与手机应用存在不同，其委托的第三方或嵌入的第三方代码、插件也可能与手机应用存在差异。就该等变化，CP或主机厂也应当关注，在开发流程中，加入专门的隐私政策审阅环节，针对车机应用的实际情况进行调整。

· 汽车及泛出行行业服务主体往往处理大量个人信息

汽车行业企业向用户提供的智能网联服务普遍支持用户通过车机端、移动端和网页端等多种终端的接入与操作，应用功能涵盖影音娱乐、导航定位、辅助驾驶等丰富场景，涉及大量个人信息（包括用户的行踪轨迹、出行习惯等敏感个人信息）的处理活动。

多样的服务终端以及复杂的数据流转，直接面向车主的主机厂、自动驾驶企业以及泛出行行业的其他企业处理的个人信息量级往往庞大，相当数量的企业应已达到“100万人”量级门槛。

企业应关注尽早梳理数据资产，如处理的个人信息量级超过100万，应当指定个人信息保护负责人。

· 及时报送并梳理内部制度

“100万人”量级门槛的企业应在法定时限内完成个人信息保护负责人信息报送手续，同时也应尽快完善内部的个人信息保护管理制度，明确个人信息保护负责人的职责清单。

在明确个人信息保护负责人的职责清单时，也需要结合个人信息保护领域其他监管规定的要求，进行全面梳理。举例而言，《个人信息保护合规审计管理办法》明确要求，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。所以设计个人信息保护负责人职责时，应直接纳入负责人组织、负责个人信息保护合规审计工作的方面与细节。

· 政策法规发展脉络

为落实上述政策法规，上海发布了《上海市智能网联汽车测试与示范实施办法》《上海市智能网联汽车测试与应用管理办法》《上海市智能网联汽车高快速路测试与示范实施方案》，规定了提出申请、组织开展智能网联汽车测试与示范，同时承担相应法律责任的单位，达到一定测试或者示范里程并且期间未发生因车辆原因造成的安全事故，符合相关技术和资质要求，在通过相关测试和评审后，方可从道路测试升级为示范应用和示范运营，从而能够在上海市行政区域范围内开展特定路线的智能网联汽车载人、载物或者特种作业的商业化试运营活动。

· 各地智能网联汽车测试与示范运营

除上海之外，多地也在持续推进自动驾驶示范应用与示范运营的开展：