公开车辆事故数据，车企应三思而后行

近期，广东清远发生一起严重的交通事故，事故车辆是理想汽车L7，理想汽车为了回应公众质疑，调取了后台数据，通过微博公开了事故的部分行驶数据。

从企业数据管理合规角度看，企业公开这些数据是否合规呢？

汽车数据管理的“三法一规”

在汽车智能化大趋势下，车辆的数据越来越多，汽车产业中关于汽车数据的规定有这四项非常重要，不容忽视，业内将其归纳为“三法一规”。

·《中华人民共和国网络安全法》2017年6月1日实施

·《中华人民共和国数据安全法》 2021年9月1日实施

·《中华人民共和国个人信息保护法》 2021年11月1日实施

·《汽车数据安全管理若干规定》（试行） 2021年10月1日实施

从上述法律和法规中，抽取有关数据公开的要求，见下：

《数据安全法》对于数据的处理提出的要求有3点值得注意：一是合法合规； 二是尊重公德和伦理；三是不得损害个人合法权益。

《个人信息保护法》对于信息处理的要求需要注意的：一是取得个人同意；二是要有合理，明确的目的，并应当与处理目的直接相关。

《汽车数据安全管理若干规定》基本上和上位法《个人信息保护法》的要求相同，需要数据处理者征求个人同意。

探讨合法合规性

对于车企公开数据的行为，从上述法规来看，这种行为应当遵守数据处理和个人信息处理的要求。在此基础上，探讨下理想汽车公开事故数据的合法合规性。

首先，征求个人同意是重点，如果没有经过同意，很明显违背上述法律法规。就理想汽车发布的微博信息来看，起码是没有提及经个人同意，仅是调取后台数据之后就发布了。

其次，数据公开的目的偏离法律提出的要求，《个人信息保护法》要求公开个人信息的目的应当明确，合理，应当与处理目的直接相关，对个人权益影响最小。理想汽车公开的目的是回应公众质疑，至于公众质疑什么以及数据的公开，其实均与本次交通事故无关。对于公众质疑，最有公信力的回应是官方的通报。

应对法律法规，健全企业数据管理制度

按照《汽车数据安全管理若干规定》要求，企业应建立数据安全管理制度。建立一套行之有效的管理制度是一件系统管理工程，本文并非要介绍如何建立管理制度，仅就法规提出的一项要求进行下简单介绍，《汽车数据安全管理若干规定》和《个人信息保护法》均提出了企业要指定负责人，这与欧盟GDPR法规要求指定数据保护官Data Protection Officer类似。但是，国内法规并为对DPO的要求没有欧盟详尽。

GDPR法规对DPO提出五项职责：

（1）通知和建议数据处理者或控制者以及员工遵守法规要求的数据保护条款；

（2）监管合规，包括责任分配、数据处理操作人员的意识提高和培训以及相关审计；

（3）就数据保护影响评估提供建议，并监督其绩效；

（4）与监管机构合作；

（5）监管机构与相关数据处理事件的联络对象。

此外，GDPR还提出了行为准则等要求，而且相对来说，比国内的法律在处罚力度上更严格。如果企业可以对标较为严格的法规建立的管理制度，有两点好处：1是可以向下兼容国内要求；2是有助于企业海外合规。

汽车智能化必然会越来越多的数据产生，企业应对数据处理的合规挑战，合规的使用个人数据，是每一家公司需要重视的挑战。“三法一规”从顶层对车企在数据处理进行了规范，企业应当重视法律法规的要求。