从效力性质上看，"GB/T"意味着《汽車(chē)数据要求》系推荐性國(guó)家标准，并不会直接对汽車(chē)数据处理(lǐ)者产生法律上的强制约束力。然而，以汽車(chē)数据场景下敏感个人信息处理(lǐ)活动為(wèi)例，对比《若干规定》与《汽車(chē)数据要求》，可(kě)发现该國(guó)标所提出的绝大部分(fēn)合规要求并非现有(yǒu)规则之外的创设，而是对《若干规定》等上位法的细化与解释：

表1：《汽車(chē)数据要求》与《若干规定》关于敏感个人信息处理(lǐ)规则对比表

《若干规定》自去年发布以来，业内对于其部分(fēn)规则的理(lǐ)解引发了诸多(duō)讨论，例如，何谓"增强行車(chē)安全的目的"[1]，如何理(lǐ)解"无法征得同意"与"向車(chē)外提供車(chē)外个人信息"以及"匿名化处理(lǐ)"[2]的顺序和逻辑，一直成為(wèi)实務(wù)中困扰車(chē)企的难题。从上表可(kě)以看出，《汽車(chē)数据要求》针对由《若干规定》引发的实務(wù)难题一一展开回应。可(kě)见，尽管其作為(wèi)推荐性國(guó)标并非强制性适用(yòng)，但可(kě)為(wèi)車(chē)企落实《若干规定》提供重要参考和指引。

此外，对比《汽車(chē)数据要求》与各省近期发布的汽車(chē)数据安全管理(lǐ)情况报告模板的结构（以第三节為(wèi)例），也可(kě)发现二者存在高度相似性。

表2：《汽車(chē)数据要求》与汽車(chē)数据年报模板对比表

结合《汽車(chē)数据要求》第1条"本文(wén)件适用(yòng)于汽車(chē)数据处理(lǐ)者开展汽車(chē)数据处理(lǐ)活动，适用(yòng)于汽車(chē)的设计、生产、销售、使用(yòng)和运维，也适用(yòng)于主管监管部门和第三方评估机构等对汽車(chē)数据处理(lǐ)活动进行监督、管理(lǐ)和评估"，車(chē)企对《汽車(chē)数据要求》的完整实施对于顺利通过汽車(chē)数据年报的重要性已不言自喻。

根据《汽車(chē)数据要求》，其适用(yòng)于汽車(chē)数据处理(lǐ)者的汽車(chē)数据处理(lǐ)活动。其中，汽車(chē)数据指汽車(chē)设计、生产、销售、使用(yòng)、运维等过程中涉及的个人信息和重要数据；汽車(chē)数据处理(lǐ)者指开展汽車(chē)数据处理(lǐ)活动的组织，包括汽車(chē)制造商(shāng)、零部件和软件供应商(shāng)、经销商(shāng)、维修机构以及出行服務(wù)企业等。

从数据类型上讲，并非車(chē)企在汽車(chē)设计、生产、销售、使用(yòng)、运维等过程中产生的全部与汽車(chē)相关的数据均属于《汽車(chē)数据要求》所规制的"汽車(chē)数据"，而仅考虑其中涉及个人信息和重要数据的部分(fēn)，这与《若干规定》采取了相同的规制逻辑。关于个人信息[3]及重要数据[4]的定义，亦沿用(yòng)了《若干规定》的表述。車(chē)企在判断自身合规风险时，可(kě)优先识别所处理(lǐ)的数据是否含个人信息或重要数据，以快速判定自身是否需适用(yòng)汽車(chē)数据层面的合规要求。

从适用(yòng)主體(tǐ)上讲，《汽車(chē)数据要求》明确其适用(yòng)于包括汽車(chē)制造商(shāng)、零部件和软件供应商(shāng)、经销商(shāng)、维修机构以及出行服務(wù)企业在内的主體(tǐ)，此等表述与《若干规定》一致。不过，实践中的出行服務(wù)企业，往往基于特殊行业监管要求或安全保障需要，在特定情形下难以履行《若干规定》的要求。据此，《汽車(chē)数据要求》明确提出了多(duō)种豁免场景，例如出租汽車(chē)和公共汽車(chē)等营运車(chē)辆向监管机构传输数据，不受"座舱数据不得向車(chē)外提供"的限制；正在提供出行服務(wù)的公共汽車(chē)持续收集座舱数据，不受"驾驶人选择终止收集座舱数据后，应关闭相应收集部件"的限制，这也體(tǐ)现了《汽車(chē)数据要求》的实践贴合性。

《汽車(chē)数据要求》第8条还特别明确了三种排除场景：

• 警車(chē)、消防車(chē)、救护車(chē)以及工程救险車(chē)等执行紧急任務(wù)时的汽車(chē)数据处理(lǐ)活动；

• 装置有(yǒu)专用(yòng)设备或器具的作业車(chē)辆在封闭场所内从事作业活动时的汽車(chē)数据处理(lǐ)活动；

• 测试車(chē)辆在封闭场地开展科(kē)研以及定型试验等活动时的汽車(chē)数据处理(lǐ)活动。

在《汽車(chē)数据要求》出台之前，实践中常见的场景是，車(chē)企因自身研发目的而需要处理(lǐ)汽車(chē)数据，但同时受限于《若干规定》中较為(wèi)严格的合规限制，例如"处理(lǐ)敏感个人信息应基于直接服務(wù)于个人的目的"[5]，进而导致車(chē)企研发场景下驾驶产生的座舱数据（可(kě)能(néng)含敏感个人信息），用(yòng)于算法训练、产品提升等处理(lǐ)活动陷入困境（难以论证算法训练、产品提升等研发行為(wèi)目的系"直接服務(wù)于个人"）。

《汽車(chē)数据要求》第8条所针对测试車(chē)辆及封闭场所等情形下的豁免，即為(wèi)解决上述困境。在此等测试及封闭场所下，其所涉及的地域范围通常有(yǒu)限，所针对的测试人员通常也充分(fēn)知情，故该场景下风险可(kě)控，且其他(tā)规范例如《智能(néng)网联汽車(chē)道路测试与示范应用(yòng)管理(lǐ)规范（试行）》已就封闭测试區(qū)（场）环境下的汽車(chē)数据处理(lǐ)进行特殊规制，故不必再通过《汽車(chē)数据要求》进行规制。

考虑到《汽車(chē)数据要求》效力位阶仅為(wèi)推荐性國(guó)标，而《若干规定》并未规定此等豁免情形，故其尚无法直接作為(wèi)車(chē)企豁免《若干规定》合规要求的法律依据。然而，考虑到《汽車(chē)数据要求》已是充分(fēn)结合实践的产物(wù)，其立法结构亦与《若干规定》及汽車(chē)数据年报高度相似，可(kě)以理(lǐ)解為(wèi)监管部门对本次國(guó)标中上述豁免规定持认同态度，或至少意味着，测试及封闭场所下的研发活动的监管风险将弱于商(shāng)用(yòng)场景。

1. 如何告知个人信息处理(lǐ)规则

整體(tǐ)上，《汽車(chē)数据要求》与《若干规定》中关于告知要求保持一致，明确告知方式可(kě)包括用(yòng)户手册单独章条提示、语音播放、車(chē)载显示面板单独弹窗提示、汽車(chē)使用(yòng)相关应用(yòng)程序交互、汽車(chē)销售协议单独章条提示、维修服務(wù)协议单独章条提示或出行服務(wù)应用(yòng)程序交互等，并要求使用(yòng)清晰易懂的文(wén)字向个人信息主體(tǐ)说明收集个人信息的具體(tǐ)情境和必要性。

不同之处在于，《若干规定》仅规定要求告知"保存地点、保存期限，或者确定保存地点、保存期限的规则"，实践中不少企业据此采用(yòng)了"实现处理(lǐ)目的所必要的最小(xiǎo)期限"等模糊表述，且大多(duō)数未告知在國(guó)内的具體(tǐ)存储地点。本次《汽車(chē)数据要求》则要求告知各类型个人信息的保存期限时应当具备且明确，例如30天或1年等；并要求所告知的保存地点应当精确到地级市，并且应当告知所有(yǒu)保存地点。

2. 如何处理(lǐ)敏感个人信息

《汽車(chē)数据要求》针对敏感个人信息处理(lǐ)提出了一系列增强要求，不过，对比《汽車(chē)数据要求》与《若干规定》（如上表1），可(kě)以发现其中大部分(fēn)规则均存在上位法依据，而并非创设新(xīn)的规则。其中值得关注的要点包括：

针对敏感个人信息的同意期限，不应设置為(wèi)"始终允许"或"永久"，并且明确提出"為(wèi)语音识别功能(néng)需要处理(lǐ)语音数据，取得个人信息主體(tǐ)单独同意时，可(kě)為(wèi)个人信息主體(tǐ)提供单次、七天、三个月和一年等选项"。

原则上不应以改善服務(wù)质量、提升用(yòng)户體(tǐ)验以及研发新(xīn)产品等為(wèi)目的处理(lǐ)敏感个人信息。此处关于处理(lǐ)敏感个人信息的目的限制，可(kě)能(néng)意味着即使在已取得个人同意的情况下，如何不能(néng)建立明确的必要性，也不得基于上述目的处理(lǐ)敏感个人信息。

处理(lǐ)生物(wù)识别特征信息应当具有(yǒu)增强行車(chē)安全的目的和充分(fēn)的必要性，增强行車(chē)安全的目的包括身份验证以及驾驶人状态监测等。《若干规定》第九条就处理(lǐ)生物(wù)识别特征信息提出了"增强行車(chē)安全的目的"的要求，但业界对于何谓行車(chē)安全目的一直没有(yǒu)定论。

3. 哪些数据需要在境内存储？

《汽車(chē)数据要求》第4.6条明确规定，涉及座舱数据、位置轨迹数据、車(chē)外视频和車(chē)外图像数据，以及涉及个人信息主體(tǐ)超过10万人的个人信息，应当依法在境内存储，此乃《汽車(chē)数据要求》所设定的"本地化"要求。此前《若干规定》第十一条仅要求构成重要数据的汽車(chē)数据应当在境内存储，确需向境外提供的，应当向网信办申报安全评估。

除上述具體(tǐ)合规要求外，《汽車(chē)数据处理(lǐ)安全要求》亦在第4.7条明确了兜底式的原则要求。即处理(lǐ)重要数据，一般应当在完成脱敏处理(lǐ)后再进行其他(tā)处理(lǐ)；处理(lǐ)个人信息，一般应在匿名化处理(lǐ)或去标识化处理(lǐ)后再进行其他(tā)处理(lǐ)。

近两年，由于車(chē)外拍摄功能(néng)引起的数据安全事件屡屡出现，比如某品牌車(chē)企曾被爆出拥有(yǒu)"車(chē)車(chē)互联"功能(néng)，导致陌生車(chē)主可(kě)以看到其他(tā)車(chē)端所拍摄的車(chē)外画面；前段时间部分(fēn)車(chē)企作為(wèi)试点，其360哨兵功能(néng)/环视等功能(néng)被监管部门要求关停，更是将"車(chē)外数据匿名化"推上了各大車(chē)企开展合规整改的日程。基于此，《汽車(chē)数据要求》在《若干规定》基础上针对車(chē)外数据处理(lǐ)提出了一系列细化要求。

1. 向車(chē)外提供車(chē)外数据需先匿名化

《若干规定》第八条对此问题的规定為(wèi)"因保证行車(chē)安全需要，无法征得个人同意采集到車(chē)外个人信息且向車(chē)外提供的，应当进行匿名化处理(lǐ)"。而《汽車(chē)数据要求》第5条规定，"車(chē)外数据未完成匿名化处理(lǐ)前，不应向車(chē)外提供"，没有(yǒu)设置例外情形。

2. 如何开展車(chē)外数据匿名化

根据《汽車(chē)数据要求》，经过匿名化处理(lǐ)的视频以及图像应无法复原且无法关联个人信息主體(tǐ)，包括完整删除包含个人信息的图像或帧，或局部轮廓化处理(lǐ)个人信息，如擦除區(qū)域或替换為(wèi)其他(tā)无法关联个人信息主體(tǐ)且不可(kě)复原的其他(tā)图像。

图1：人脸脱敏示意图

3. 匿名过程应当限定处理(lǐ)目的

《汽車(chē)数据要求》第5 c）条对此问题进一步明确，"匿名化处理(lǐ)过程中，除分(fēn)析确定包含人脸以及車(chē)牌等个人信息的區(qū)域，以及对这些區(qū)域进行删除或局部轮廓化处理(lǐ)外，不应进行人脸比对、步态分(fēn)析以及语音识别等其他(tā)处理(lǐ)。"《汽車(chē)数据要求》的逻辑在于，此等車(chē)端处理(lǐ)行為(wèi)仍属于个人信息处理(lǐ)活动，需要具备合法性基础（例如获得同意），而由于此等场景下不具有(yǒu)征得車(chē)外人员同意的可(kě)能(néng)性，故据此否认了車(chē)端处理(lǐ)的方式。

根据《汽車(chē)数据处理(lǐ)安全要求》，座舱数据指通过摄像头、红外传感器、指纹传感器或传声器等部件从汽車(chē)座舱采集的可(kě)能(néng)包含个人信息的数据，以及对其进行加工后产生的数据。结合《汽車(chē)采集数据处理(lǐ)安全指南》，座舱数据不包括对汽車(chē)采集数据处理(lǐ)产生的操控记录数据。

考虑到座舱数据较其他(tā)数据对主體(tǐ)权益的影响更大，且其构成敏感个人信息的可(kě)能(néng)性较大（可(kě)能(néng)包括驾驶员和乘员的人脸、声纹、指纹、心律等数据），因此，《汽車(chē)数据处理(lǐ)安全要求》第6条就座舱数据处理(lǐ)提出了增强的安全要求：

• 默认不收集，除非驾驶员通过实體(tǐ)按键或触摸按键等方式主动选择，否则汽車(chē)应默认设定為(wèi)不收集座舱数据的状态；

• 原则上应車(chē)内处理(lǐ)，除非属于例外情形，可(kě)大致分(fēn)為(wèi)三类：1）取得个人信息主體(tǐ)同意后，為(wèi)实现语音识别功能(néng)以实时判断汽車(chē)控制指令，且实现功能(néng)后立即删除原始数据及处理(lǐ)结果；2）取得个人信息主體(tǐ)同意后，為(wèi)实现遠(yuǎn)程查看車(chē)内情况或云存储功能(néng)，向使用(yòng)者提供数据，且应采取安全措施并确保除使用(yòng)者之外的其他(tā)组织和个人无访问权限；3）基于执法、监管要求向有(yǒu)关公权力机关传输数据；

• 向用(yòng)户提供便利的终止收集活动的方式，如实體(tǐ)按键、语音控制、触摸按键以及汽車(chē)使用(yòng)相关应用(yòng)程序等；在某些涉及公共利益的特定场景下，為(wèi)保证行車(chē)安全及人身安全，可(kě)不关闭相关部件。

除前述针对具體(tǐ)数据处理(lǐ)活动的合规要求外，《汽車(chē)数据要求》还提出了如下具體(tǐ)管理(lǐ)要求：

• 开展汽車(chē)数据风险评估。包括汽車(chē)数据识别、数据处理(lǐ)活动识别、汽車(chē)数据安全风险识别和风险分(fēn)析及评价等。根据《若干规定》第十条，此等风险评估系专门针对重要数据，且应当向省级网信办和有(yǒu)关部门报送风险评估报告。

   

• 指定汽車(chē)数据安全管理(lǐ)负责人及用(yòng)户权益事務(wù)联系人。此等角色设定系《若干规定》的法定要求，《汽車(chē)数据要求》进一步明确汽車(chē)数据安全管理(lǐ)负责人应由汽車(chē)数据处理(lǐ)者主要负责人或分(fēn)管数据安全负责人担任，并熟悉我國(guó)数据安全和个人信息保护政策法规，且应具备安全管理(lǐ)工作经历；用(yòng)户权益事務(wù)联系人则负责受理(lǐ)和处置个人信息保护方面的投诉和举报，其应具备个人信息保护和个人权益保护方面的专业知识，且应当对外告知准确有(yǒu)效的姓名和联系方式。

   

• 建立安全事件应急处置机制，每年至少开展一次应急演练。此前《若干规定》第十三条要求汽車(chē)数据处理(lǐ)者开展汽車(chē)数据年报时，应当报送汽車(chē)数据安全事件和处置情况，本次《汽車(chē)数据要求》针对处置机制建立、应急演练等作出明确要求，并提出宜通过汽車(chē)数据存证、汽車(chē)数据溯源等机制支撑安全事件发生后的取证分(fēn)析。

   

• 10个工作日内处理(lǐ)完成汽車(chē)数据安全投诉并记录。《若干规定》第十七条明确汽車(chē)数据处理(lǐ)者需建立投诉渠道，并及时处理(lǐ)用(yòng)户投诉举报，《汽車(chē)数据要求》则进一步明确"投诉渠道"即"電(diàn)话或即时通信平台等方式"，"及时"即"在10个工作日内处理(lǐ)完成"。

   

• 汽車(chē)制造商(shāng)应承担对第三方的管理(lǐ)义務(wù)。主要针对整車(chē)厂等汽車(chē)制造商(shāng)，要求其全面掌握其生产的整車(chē)所含各零部件收集、传输数据情况，对零部件供应商(shāng)处理(lǐ)汽車(chē)数据的行為(wèi)并进行约束和监督的要求。此等第三方管理(lǐ)义務(wù)系《汽車(chē)数据要求》所新(xīn)增，可(kě)以看出，目前监管部门仍倾向于将整車(chē)厂作為(wèi)监管抓手。整車(chē)厂应尽快建立供应商(shāng)管理(lǐ)制度，梳理(lǐ)第三方供应商(shāng)的数据处理(lǐ)情况，并根据各方数据处理(lǐ)角色，签署数据处理(lǐ)协议，明晰各方之间的权利义務(wù)及法律责任，以应对监管。

目前，全國(guó)已超过12个省市[7]陆续发布汽車(chē)数据年报报送通知，结合前述分(fēn)析，《汽車(chē)数据要求》本质上是监管部门结合《若干规定》及汽車(chē)行业实践的产物(wù)，車(chē)企关于《汽車(chē)数据要求》的合规遵循也会影响汽車(chē)数据年报的审查。据此，我们建议：

• 第一，针对隐私政策等告知文(wén)本、車(chē)端交互等同意界面设计等，由于其直接面向外部客户，所面临的投诉、举报风险以及监管压力较大，且此等文(wén)本、界面的整改难度通常相对可(kě)控，故建议优先对此部分(fēn)参照《汽車(chē)数据要求》进行逐项整改，并及时更新(xīn)相关文(wén)本。

   

• 第二，按业務(wù)场景开展数据资产梳理(lǐ)，采取基于数据分(fēn)类分(fēn)级的管控措施，并至少对个人信息（包括敏感个人信息、生物(wù)识别特征信息）、座舱数据、車(chē)外数据等《汽車(chē)数据要求》所明确的数据类型采取不同的管理(lǐ)要求和措施，例如，针对座舱数据，语音指令数据可(kě)在用(yòng)于实现判断汽車(chē)控制指令时向車(chē)外提供，車(chē)内视频和图像数据以及其他(tā)車(chē)内音频数据仅可(kě)用(yòng)于遠(yuǎn)程查看車(chē)内情况或云存储功能(néng)向"使用(yòng)者"提供。

   

• 第三，車(chē)端功能(néng)全梳理(lǐ)，重点关注《汽車(chē)数据要求》所提出的合规要求的落地。例如，目前不少車(chē)企所提供的语音识别功能(néng)仍為(wèi)一经开启后则始终保持开启状态，根据《汽車(chē)数据要求》，此等处理(lǐ)敏感个人信息的同意应当提供具體(tǐ)期限，而不应设置為(wèi)"始终允许"。建议应及时对相关界面设计及功能(néng)进行整改，如尚处于设计阶段的汽車(chē)数据处理(lǐ)者，建议在设计之初即按照PbD的理(lǐ)念，以《若干规定》《汽車(chē)处理(lǐ)要求》等作為(wèi)产品设计的指引和参照。

   

• 第四，针对汽車(chē)数据年报，考虑到《汽車(chē)数据要求》主體(tǐ)内容与《若干规定》及汽車(chē)数据年报模板结构的高度一致性，也反映了网信办近期关于汽車(chē)数据监管的侧重点。建议以《汽車(chē)数据要求》所明确的要点及颗粒度，作為(wèi)車(chē)企填写汽車(chē)数据年报的指引和参照。如車(chē)企关于数据处理(lǐ)活动及业務(wù)功能(néng)的现状尚未达到《汽車(chē)数据要求》所要求的合规水准，可(kě)在"其他(tā)补充情况"[8]中明确未来将进一步整改和完善的计划，作出合规承诺等。