近期，廣東清遠發生一起嚴重的交通事故，事故車輛是理想汽車L7，理想汽車為了回應公眾質疑，調取了后臺數據，通過微博公開了事故的部分行駛數據。

從企業數據管理合規角度看，企業公開這些數據是否合規呢？

01

汽車數據管理的“三法一規”

在汽車智能化大趨勢下，車輛的數據越來越多，汽車產業中關于汽車數據的規定有這四項非常重要，不容忽視，業內將其歸納為“三法一規”。

·《中華人民共和國網絡安全法》2017年6月1日實施

·《中華人民共和國數據安全法》 2021年9月1日實施

·《中華人民共和國個人信息保護法》 2021年11月1日實施

·《汽車數據安全管理若干規定》（試行） 2021年10月1日實施

從上述法律和法規中，抽取有關數據公開的要求，見下：

《數據安全法》對于數據的處理提出的要求有3點值得注意：一是合法合規； 二是尊重公德和倫理；三是不得損害個人合法權益。

《個人信息保護法》對于信息處理的要求需要注意的：一是取得個人同意；二是要有合理，明確的目的，并應當與處理目的直接相關。

《汽車數據安全管理若干規定》基本上和上位法《個人信息保護法》的要求相同，需要數據處理者征求個人同意。

02

探討合法合規性

對于車企公開數據的行為，從上述法規來看，這種行為應當遵守數據處理和個人信息處理的要求。在此基礎上，探討下理想汽車公開事故數據的合法合規性。

首先，征求個人同意是重點，如果沒有經過同意，很明顯違背上述法律法規。就理想汽車發布的微博信息來看，起碼是沒有提及經個人同意，僅是調取后臺數據之后就發布了。

其次，數據公開的目的偏離法律提出的要求，《個人信息保護法》要求公開個人信息的目的應當明確，合理，應當與處理目的直接相關，對個人權益影響最小。理想汽車公開的目的是回應公眾質疑，至于公眾質疑什么以及數據的公開，其實均與本次交通事故無關。對于公眾質疑，最有公信力的回應是官方的通報。

03

應對法律法規，健全企業數據管理制度

按照《汽車數據安全管理若干規定》要求，企業應建立數據安全管理制度。建立一套行之有效的管理制度是一件系統管理工程，本文并非要介紹如何建立管理制度，僅就法規提出的一項要求進行下簡單介紹，《汽車數據安全管理若干規定》和《個人信息保護法》均提出了企業要指定負責人，這與歐盟GDPR法規要求指定數據保護官Data Protection Officer類似。但是，國內法規并為對DPO的要求沒有歐盟詳盡。

GDPR法規對DPO提出五項職責：

（1）通知和建議數據處理者或控制者以及員工遵守法規要求的數據保護條款；

（2）監管合規，包括責任分配、數據處理操作人員的意識提高和培訓以及相關審計；

（3）就數據保護影響評估提供建議，并監督其績效；

（4）與監管機構合作；

（5）監管機構與相關數據處理事件的聯絡對象。

此外，GDPR還提出了行為準則等要求，而且相對來說，比國內的法律在處罰力度上更嚴格。如果企業可以對標較為嚴格的法規建立的管理制度，有兩點好處：1是可以向下兼容國內要求；2是有助于企業海外合規。

結束語

汽車智能化必然會越來越多的數據產生，企業應對數據處理的合規挑戰，合規的使用個人數據，是每一家公司需要重視的挑戰。“三法一規”從頂層對車企在數據處理進行了規范，企業應當重視法律法規的要求。

返回第一電動網首頁 >