2021年5月12日，国家网信办会同有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》（以下简称“规定”）并于2021年5月12日对外发布，向社会公开征求意见。

1. 适用范围: 规定在适用范围上针对汽车行业个人信息保护、数据安全方面的特性做出了一些个性化安排。无论是境内还是境外汽车设计、制造、服务企业或者机构，只要在境内设计、生产、销售、运维、管理汽车且在前述过程中涉及处理相关个人信息或重要数据，则应当适用该规定。

2. 处理原则: 规定第四条、第六条明确了个人信息、重要数据的处理原则，包括处理目的合法、具体、明确且与汽车的设计、制造、服务直接相关以及车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则、默认不收集原则。

3. 义务主体及主要义务：规定对数据出境较为重视，多个条款（包括第12、13、14、15、16、18条等）明确了数据出境的相关要求。同时，规定明确了“报告年度数据安全管理情况义务”并限定了报告时间（每年12月15日前）、列明了所需报告的内容，但是该项义务仅适用于处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者。

4. 监管机制及义务主体的违法责任：根据规定第11、17、20条的规定，履行汽车数据安全管理监管职责的部门主要是网信部门，其职责包括组织数据出境安全评估、以抽查方式核验数据出境相关情况、接收年度数据安全管理情况报告、对运营者进行数据安全评估、依法对运营者进行处罚等。规定第二十条未直接规定义务主体的违法责任，具体的违法责任间接适用《网络安全法》等法律法规的有关规定。

（汽车数据合规系列之一│简评《汽车数据安全管理若干规定（征求意见稿）》王艺 赵艳明 北京植德律师事务所）