被“投保”和“习惯”个人信息中数据的车企应该如何自我管理？

8月20日，十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，自2021年11月1日起施行。法案经过三次审议，第三稿不断加强，规定企业应当遵循最低限度必要性原则，保护个人对信息收集、存储、使用、处理、传输、提供、披露、删除的知情权和决定权。

值得注意的是，国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》。据业内人士透露，这两部法规的发布已经成为智能汽车和数据处理的里程碑。

个人信息流通泛滥

在全球互联互通、信息共享的趋势下，大数据产业通过整合分析相关数据，精准判断目标客户，为各大行业创造了巨大的商业价值，也为广大网络用户带来了极大的便利。

中国互联网络信息中心(CNNIC)发布的最新数据显示，截至2020年12月，我国网民规模达9.89亿，较2020年3月增长8540万，互联网普及率达70.4%。此外，中国独角兽企业总数为207家，较2019年底增加20家。国内外互联网上市企业总市值已达16.80万亿元，较2019年末增长51.2%，创历史新高。

显然，互联网企业集群化的发展趋势已经初具规模。然而，随着互联网的快速发展，数据泄露、跨境转移、兜售、非法使用等弊端日益凸显。

2021年5月，官方投诉平台共受理互联网信息服务投诉21585件，其中互联网公司17392件，基础电信公司4193件。互联网公司投诉中，个人信息保护投诉2560件，占14.7%；基础电信企业投诉中，个人信息保护案件103件，占2.5%。

最常见的投诉是用户数据泄露。据悉，仅2019年上半年，互联网数据泄露事件就激增至3800多起，导致8.7亿条个人信息在黑暗互联网上被出售，7.73亿个电子邮件地址和密码被盗，5.9亿中国人的简历被泄露，不仅包括姓名和电话号码，还包括身份证号、户籍、婚姻状况、家庭住址等重要信息。

汽车用户数据谁来保护？

最近的一个例子是，今年6月，大众汽车的一家供应商在2019年8月至2021年5月期间，将其客户数据留在互联网上“不受保护”，导致约330万大众、奥迪车主和潜在客户的个人信息被泄露。泄露的数据包括相关客户和潜在买家的姓名、地址、电话号码、贷款资格、社保号码等重要信息。

然而，即使面临如此巨大的信息披露风险，用户仍然无法避免个人信息的“转移”。

事实上，所有企业网站和APP主页都会有保护个人信息的政策链接。这个链接的名字通常叫做隐私协议或隐私条款。用户在使用过程中只能选择“同意”，如果选择“不同意”，则无法进行下一步操作。这样一个类似“霸王”的条款，是包括车企在内的所有企业获取用户隐私的主要途径。百度创始人、董事长兼首席执行官李彦宏直言，“中国用户往往愿意用隐私来换取便捷的服务。”

在这种情况下，有必要立法保护个人信息。

为此，《个人信息保护法》特别要求个人信息处理者在处理敏感个人信息、向他人提供或披露个人信息以及跨境传输个人信息时，应获得个人同意。很明显，个人信息处理者不应过度收集个人信息，拒绝在地面上提供产品或服务

今年7月，“滴滴出行”App在违规收集和使用个人信息方面存在严重问题。根据相关规定，国家互联网信息办公室从全网撤下“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家相关标准，认真整改存在的问题。

当时《个人信息保护法》还没有通过，现在《个人信息保护法》的出现进一步细化了法律责任，可能面临没收违法所得和5000万元以下或者上一年度营业额5%以下的罚款。

同时，《汽车数据安全管理若干规定（试行）》还强调，汽车数据处理器应依法遵守我国存储法规，加强重要数据的安全保护；落实风险评估报告制度要求，积极防范数据安全风险；落实年度报告制度要求，积极按时报送年度汽车数据安全管理情况。

在这样的情况下，为了更好地履行个人信息保护和智能汽车网络安全建设的责任，特斯拉表示已在中国建立数据中心，中国大陆市场销售车辆产生的所有数据都将存储在中国，并承诺向车主开放车辆信息查询平台。特斯拉强调，汽车数据安全非常重要，统一规范管理会更多有利于智能汽车的有序长远发展。

福特汽车亦表示，已于2020年上半年在中国建立了数据中心，并将所有车辆数据存储在本地。同时，还有在国内运行了一个专门的汽车后端，用来存储汽车数据的戴姆勒，以及将会在中国运营一个本地数据中心的宝马。

显然，数字经济时代下，数据信息正成为科技创新的突破点，是数字经济的核心生产要素，也是经济转型和创新发展的新引擎。在这个过程中如何把握尺度？是互联网公司和向智能数字化转型的汽车企业亟需思考的问题。