国枫观察 | 【汽车数据合规系列】车外个人信息匿名化的合规演变及合规建议

一、 车外个人信息之于汽车数据

如上文表格中摘录的定义，《汽车数据规定》明确将汽车数据定义为个人信息数据和重要数据两类，而作为信安标委技术文件的《TC260》将汽车采集数据分为4类，并对4类中的车外数据进行了定义。最新出台的《一键停止收集车外数据指引（征求意见稿）》在沿用《TC260》定义的同时，也对车外数据定义进行了细微调整，但其本质仍然相同。

在众多造车新势力“内卷”的当下，越来越多的汽车厂商在智能网联汽车的基础上开始提供远程查看车辆内部、外部环境的功能。也逐步衍生出守卫模式、哨兵模式、寻车照片等各种可以实时或者记录车辆外部图片、视频、状况的功能。但在这些功能中，车外数据被车辆的雷达、摄像头进行了记录，出现了视频泄露、侵犯个人信息的情况。

为此，《汽车数据规定》第八条规定“汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。”提出了对于车外个人信息匿名化的要求。

当然，根据《汽车数据规定》的规定，车外数据中的个人信息数据与重要数据的边界存在交叉重叠的情况。例如，交通参与者的人脸信息、机动车车牌同时属于个人数据与重要数据；单独、少量的交通参与者信息在收集时并非重要数据，但如果这些数据累计到一定量，相关数据集整体构成重要数据。因此，在车外数据处理过程中，数据处理者必须判断收集的数据本身除是否属于个人信息外，是否明确落入重要数据的范畴。但由于《汽车数据规定》中，除设定了车内处理原则、默认不收集原则、精度范围适用原则及脱敏处理原则四项基本原则外，对于重要数据的收集、传输等的处理活动的规定，主要围绕在报送风险评估报告、境内存储、报送年度汽车数据安全管理情况等政府监管要求。因此，本文也仅就车外个人信息的匿名化进行梳理和论述。

1. 《汽车数据规定》第八条—原则+例外+例外

从《汽车数据规定》第八条可以得出3条车外个人信息保护的要求及例外规则，即：

1）原则：处理车外个人信息需获得个人的同意，包括收集及向车外提供。

2）例外：因保证行车安全需要采集车外个人信息，但无法征得个人同意的，可以采集后本地存储。

3）例外：采集后需要向车外提供个人信息的，应当进行匿名化处理。

（为简化归纳合规演变过程，根据《个人信息保护法》第十三条其他具有合法性基础而处理个人信息的情形暂不做展开。）

前述2项例外原则尚可以找寻到《个人信息保护法》所规定的合法性基础。例如，本地存储的情况下，车机系统运营者、智能网联系统运营者可能暂未处理个人信息，此时处理车外个人信息的主体为车主或驾驶人。《个人信息保护法》第七十二条“自然人因个人或者家庭事务处理个人信息的，不适用本法”，则无需履行告知同意的要求。而匿名化处理后的信息已不属于个人信息，其传输等处理亦无需履行告知同意的要求。

2. 《TC260》第5.3条—例外规则的例外

《TC260》第5条对于传输要求的规定中，第5.1条保持了与《汽车数据规定》第八条相同的规定，但第5.3条针对车外个人信息的匿名化设定了例外情形。

《TC260》第5.3条第a款“为实现5.1所述匿名化处理功能,需要通过远程信息服务平台实时执行匿名化处理操作的情形，但应确保原始数据传输到平台后不用于其他目的，并在匿名化处理后得到删除。”第5.3条第c款”为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能，需要通过网络向用户终端设备传输数据或使用远程信息服务平台存储数据的情形，但应在传输以及存储时采取加密等措施，确保用户数据只能由用户终端设备访问，在其他设备以及远程信息服务平台上无法访问。”

从前述规定可以得出2条例外规则的例外，即：

1）为进行匿名化处理，可以将含有个人信息的数据传输至车外远程平台进行匿名化。但需确保不用于其他目的、且删除原始数据。

2）用户远程监控、云盘存储时，可以将含有个人信息的车外数据传输至车外远程平台。但需加密传输、且确保其他主体和设备无法访问。

3. 《GB/T 41871》第5条及第6条—删除例外规则

但2022年发布的《GB/T 41871》又对《TC260》的例外规则进行了调整。《GB/T 41871》第5条车外数据安全要求条款，明确车外数据未完成匿名化处理前，不应向车外提供。也即，车外数据的匿名化仅可以在本地端实施，不得通过远程平台进行匿名化处理。

对于《TC260》第5.3条第c款用户远程监控、云盘存储等情况下向车外传输车外数据的要求，在《GB/T 41871》中仅适用于座舱数据对外提供时的例外情形，且明确了仍需取得个人信息主体同意。《TC260》第5.3条第c款中“为实现用户远程监控车内外情况、使用云盘存储用户数据等……”中的“车外情况”在《GB/T 41871》中进行了删除。

而如果回顾《GB/T 41871》的起草及征求意见过程可以发现，在征求意见稿阶段，《GB/T 41871》的标准名称为“汽车采集数据的安全要求”[5]，其整体内容与《TC260》几乎完全一致。在最终发布的标准中，则将标准名称从“汽车采集数据的安全要求”修改为“汽车数据处理安全要求”，并删除了两项例外规则。作为信安标委发布的第一项汽车行业数据合规国家标准，有着显著的意义。

综上，对于车外个人信息匿名化，特别是提供远程查看车外实况、照片功能的汽车品牌，我们总结了以下合规建议：

1）在制度层面，在隐私政策、产品手册中针对寻车照片、辅助驾驶、远程车外实况、哨兵模式等的服务功能、收集数据、匿名化处理、功能开关方式等进行明确说明。

2）在交互层面，除非驾驶人自主开启并设定，否则每次驾驶时默认设定为不开启此类服务功能、不收集车外个人信息的状态。

3）在车辆层面，通过对车载芯片、车机算法等软硬件的准备，为车内处理、车内匿名化处理提供客观条件。

4）在技术层面，在车内完成车外个人信息匿名化处理，匿名化检出率应大于等于 90%，且提供技术方式绑定可以唯一查看车外数据的设备。

脚注

[1] 《汽车数据安全管理若干规定（试行）》原文：https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm

[2] 《汽车采集数据处理安全指南》TC260-001原文：https://www.tc260.org.cn/file/jswj01.pdf

[3] 《信息安全技术 汽车数据处理安全要求》GB/T41871-202原文：http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4D3C5BB193E079AD54294E5845749B8F

[4] 《网络安全标准实践指南 一键停止收集车外数据指引（征求意见稿）》原文：https://www.tc260.org.cn/front/postDetail.html?id=20240624102728

[5] 《信息安全技术 汽车采集数据的安全要求》征求意见稿原文：https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20211019200233&norm_id=20210907000001&recode_id=44165

[6] “国内首个汽车数据安全技术文件”：https://www.tc260.org.cn/front/postDetail.html?id=20211021191401

[7] “国家首个汽车数据安全标准”：https://mp.weixin.qq.com/s/Rbu78Q-OBTX8-bPBW68hBg

[8] 某车型产品手册：https://www.nio.cn/cdn-static/www/user-instructions/20231122/ES6/index.html#TUM249747

[9] 汽车头条：https://www.qctt.cn/news/1446439

[10] 关于汽车数据处理4项安全要求检测情况的通报（第一批）：http://www.caam.org.cn/search/con_5236385.html