依法依规做好智能汽车数据出境安全评估

智能网联汽车是在普通汽车基础上增加了先进的传感器（雷达、摄像）、控制器、执行器等装置，并融合现代通信与网络技术，实现车与人、车、路、后台等智能信息交换共享，实现安全、舒适、节能、高效行驶，并最终可替代人来操作的汽车。2016年6月中国首个“国家智能网联汽车(上海)试点示范区”封闭测试区在上海嘉定正式开园。

有数据显示，2020年全球智能网联汽车销量为4266万辆，中国市场销量占比达16%。随着智能网联汽车如ADAS、泊车辅助等实用功能带来的便利，预计明年我国智能网联汽车销量占全球智能网联汽车销量的比重将提升至20%左右。

智能网联汽车从早期试验开发到目前的示范运营，以及最终落地商用，几乎每个环节都离不开多类市场主体、多种技术设备之间海量数据的收集、交互、处理等活动，由此也伴随着较高的数据安全风险。

2022年4月，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术汽车数据处理安全要求（报批稿）》，规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的安全要求，一方面强化了对于汽车数据处理者开展汽车数据处理活动的规范指引，另一方面也指导主管监管部门、第三方评估机构等对汽车数据处理活动进行监督、管理和评估。

在日前举办的以“智能社会与协同治理”为主题的2022世界人工智能大会智能社会论坛上，同济大学、上海人工智能实验室联合发布《智能网联汽车数据合规指引》，向企业提供智能网联汽车数据安全合规领域具有参考价值的指引，进一步提高智能网联汽车产业数据保护水平和数据安全应用能力。

“如何确保智能网联汽车数据处理行为符合国家法律要求，如何在保障智能网联汽车数据安全、保护数据主体利益的基础上，促进相关数据的充分利用，已经成为智能网联汽车产业健康和持续发展所亟待解决的问题。”上海人工智能实验室治理研究中心专家表示。

《指引》对相关数据出境时面临的问题作出了合规要求。

《指引》指出，个人数据出境的，相关单位在向境外提供数据前，要特别注意如下几方面的合规要求：向境外提供在中国境内运营中收集和产生的个人信息的，应遵循国家相关规定和相关标准的要求；通过签订标准合同的方式向境外提供个人信息的，应符合相关法律法规的规定；依照相关规定经过安全评估的，例如数据处理者属于关键信息基础设施的运营者的，应当遵循相关的规定进行数据出境安全评估；相关单位应评估数据接收方的主体背景情况，接收方应具备安全保护能力。

汽车充电网的运行数据，包含人脸信息、车牌信息等的车外视频、图像数据，涉及个人信息主体超过10万人的个人信息等，属于重要数据。《指引》指出，重要数据出境的，企业需要提前制定数据出境计划，涵盖重要数据的类型、数量和范围，遵守出境范围最小化原则；在向境外提供数据前，事先开展数据出境安全自评估。如果自评估结果为禁止出境的，可采取措施降低数据出境安全风险，调整数据出境计划，重新开展安全自评估；形成安全自评估报告，上报主管部门或者国家网信部门，并妥善保存至少2年；申报并通过国家网信部门组织的数据出境安全评估，并向所在省（区、市）通信管理局、工业和信息化主管部门报备重要数据出境安全评估结果；数据出境评估结果二年有效期内情势变化或者有效期届满，需重新申报评估；未重新申报评估的，应停止相关数据出境活动；可以按照标准合同与境外数据接收方订立数据出境相关合同或者具有法律效力的其他法律文件，充分约定双方权利和数据安全保护责任义务在重要数据出境前，对其采取数据脱敏处理并进行验证，使其不能被还原为原始数据。

此外，相关单位原则上应在境内存储国家核心数据，确需向境外提供的，应当依法依规进行数据出境安全评估。《指引》显示，国家核心数据的出境，可以参考重要数据出境的相关规定。向境外提供在中国境内运营中收集和产生的国家核心数据的安全评估，可以参照适用《数据出境安全评估办法》有关重要数据出境安全评估的规定。