1、智能網聯汽車自動駕駛/輔助駕駛宣傳用語口徑收緊2025年3月，部分汽車廠商車輛出現與自動駕駛（輔助駕駛）有關的嚴重事故，引發廣泛關注和討論。此前，2025年2月25日工業和信息化部（以下簡稱“工信部”）、市場監管總局發布的《關于進一步加強智能網聯汽車產品準入、召回及軟件在線升級管理的通知》（工信部聯通裝〔2025〕45號，以下簡稱“《通知》”）提出，汽車生產企業應當主動履行產品質量安全主體責任，要根據《智能網聯汽車產品準入、召回及軟件在線升級管理與技術指南》，加強與研發生產智能網聯汽車產品及開展OTA升級活動相適應的能力建設。企業要對智能網聯汽車產品及OTA升級活動開展充分的測試驗證，明確系統邊界和安全響應措施，確?？刂撇呗院侠恚瑖栏衤男懈嬷x務，確保在開發、生產、運行等階段進行有效的安全管理，不斷提升產品功能、性能和質量安全水平。2025年4月16日，工信部裝備工業一司組織召開智能網聯汽車產品準入及軟件在線升級管理工作推進會，會議強調汽車生產企業要充分開展組合駕駛輔助測試驗證，明確系統功能邊界和安全響應措施，不得進行夸大和虛假宣傳，嚴格履行告知義務，切實擔負起生產一致性和質量安全主體責任，切實提升智能網聯汽車產品安全水平。[Ⅰ]根據公開報道，本次會議內容主要包括“收緊智駕能力的宣傳”“規范智駕能力的使用”“嚴管智駕功能的部署和風險”。當前，多家新能源車企都對宣傳用語作出不同程度的變更，舉例而言：A.本次宣傳用語規范行動，目前在實踐中主要面向量產乘用車本次規范行動相關的引發事件之一是乘用車使用高階輔助駕駛導致的嚴重事故。本次行動主要針對量產乘用車，目前暫沒有新聞信息表明延及自動駕駛物流車輛、自動駕駛清潔車輛、封閉道路特種自動駕駛車輛等各類其他車輛，主要原因在于：●量產乘用車涉及大量駕駛人員和乘客的人身安全。自動駕駛物流車輛、自動駕駛清潔車輛、封閉道路特種自動駕駛車輛等各類其他車輛基本不涉及駕駛人員或乘客，運行寬容度相對高。●量產乘用車行駛于公開道路，路線不固定，路側涉及的其他人員多，次生風險大。自動駕駛物流車輛、自動駕駛清潔車輛、封閉道路特種自動駕駛車輛等各類其他車輛一般在固定路線運行，或者僅僅限于封閉區域（例如自動駕駛礦區車輛在相當一部分場景下路側涉及的其他人員少，次生風險相對較小?！窳慨a乘用車一般不對高階輔助駕駛速度進行特別嚴格的限定，或者即使限速，速度也較快。自動駕駛物流車輛、自動駕駛清潔車輛、封閉道路特種自動駕駛車輛等一般進行嚴格限速，且限速較低。例如，自動駕駛物流車輛速度一般不會高于50km/h。自動駕駛清潔車輛速度更低。B.企業應注意嚴格規范宣傳用語，杜絕誤導性表述●企業應注意采用《汽車駕駛自動化分級》（GB/T40429-2021）標準定義的官方術語：L2級系統稱為“組合駕駛輔助”，L3級及以上可使用“有條件自動駕駛”等表述。避免在未達到L3級別的情況下，使用“自動駕駛”“高階智駕”等模糊概念，導致消費者混淆責任主體?！駨V告視頻中若出現駕駛員脫手畫面，需疊加“請勿模仿，需全程監控”警示標識?！窆倬W技術參數頁需標注駕駛功能等級，例如“當前功能等級：L2級組合駕駛輔助”?！裨谟脩魠f議、車書等文件中明確系統局限性（如可能無法識別靜止障礙物），并聲明：“系統為輔助工具，駕駛員需全程監控路況并承擔最終責任”。C.企業應注意強化OTA升級全流程合規管理●一般升級：不涉及技術參數變更的OTA，備案后可直接實施?！裰卮笞兏墸荷婕爱a品主要技術參數變更的，企業應當在取得產品變更許可并完成備案后，方可實施升級。涉及汽車自動駕駛功能的OTA升級活動，應當按照準入管理有關規定，取得相應許可?！袢毕菪迯蜕墸浩髽I實施OTA升級活動消除汽車產品缺陷、實施召回的，應當按照《缺陷汽車產品召回管理條例實施辦法》組織實施，并立即停止生產、銷售缺陷汽車產品。若消除缺陷的措施涉及產品主要技術參數變更，企業應當在取得產品變更許可后，方可恢復相應汽車產品的生產?！裆壡跋蛴脩羟逦扑惋L險告知信息，例如說明“升級后制動響應閾值調整”等具體變化，并完整保存軟件版本的溯源數據?！癖苊饫肙TA升級手段隱瞞產品缺陷或規避法定的召回責任。D.企業應建立報告機制●企業在獲知其生產銷售的智能網聯汽車產品發生組合駕駛輔助系統失效導致功能退出等事件或搭載組合駕駛輔助系統車輛發生碰撞等事故的，根據要求向工信部、市場監管總局報告?！袷鹿蕡蟾妫骸笆鹿省敝附M合駕駛輔助系統使用期間發生碰撞等事故，包括但不限于安全氣囊展開、不可逆乘員約束裝置或者弱勢道路使用者輔助安全系統展開、人員受傷、人員死亡等情形。企業應當在事故發生后48小時內（如造成人員傷亡或重大社會影響的，應在事故發生后24小時內）提交事故信息?！袷录蟾妫骸笆录敝冈诮M合駕駛輔助系統使用期間，智能網聯汽車產品所發生的與安全相關的駕駛行為、情況等描述。企業應當在自然月的4月、7月、10月的前15個工作日內提交上一個季度的事件報告，1月的前15個工作日內提交上一個年度的事件報告。2、車載端應用個人信息處理活動違規檢測：系統性納入監管關注視野根據2025年5月國家網絡安全通報中心發布的通報，經國家計算機病毒應急處理中心檢測，某主機廠預裝的第三方應用存在違法違規收集個人信息情況，類型涵蓋視頻應用、某生活服務應用、教育應用、天氣應用、新聞應用、音樂應用。[Ⅱ]A.監管視野：從“手持端”延展到“車端”此前，監管部門對移動APP個人信息保護的關注，主要集中在手機、平板等典型的移動終端上的移動應用（APP）、小程序及軟件開發工具包（SDK），很少直接關注車載端應用，實際通報的案例也很少。本次通報反映出監管已經關注到車載端應用的個人信息保護情況。B.企業：針對車端應用和場景進行個人信息保護合規檢視●考慮到車載端應用的特殊性，企業有必要為應用的個人信息合規情況評估和相應調整預留充足時間。以安卓系統為例，較多車載端應用需針對車載操作系統進行專門適配和獨立開發，在設計和實現用戶授權、權限請求、彈窗提醒等用戶交互環節的技術實現和配置更為復雜，權限變更及彈窗設置等合規要求的調整難度高于移動端應用。●基于車載端應用在個人信息保護和數據安全方面的合規要求與移動端應用在原則上是一致的，車載端應用的開發企業可以借鑒手機應用的合規要求，提前進行個人信息合規評估和保護措施核查，將涉及權限調整、彈窗提示和選項勾選等功能的配置納入項目規劃，預留充足的開發和合規審查時間，確保車載應用上線前能夠滿足監管要求。3、個人信息保護合規審計落地：汽車行業企業的“日常體檢”2025年2月，《個人信息保護合規審計管理辦法》（國家互聯網信息辦公室令第18號，以下簡稱“《合規審計管理辦法》”）發布，并于2025年5月1日正式施行。2025年5月19日，全國網絡安全標準化技術委員會秘書處還發布了《網絡安全標準實踐指南個人信息保護合規審計要求》（網安秘字〔2025〕62號，以下簡稱“《合規審計要求》”該文件雖不具有法律強制力，但對《合規審計管理辦法》的附件《個人信息保護合規審計指引》進行了細化，為企業和審計機構開展個人信息保護合規審計（以下簡稱“合規審計”）明確了具體操作流程。A.什么樣的企業要開展合規審計●處理超過1000萬人個人信息的企業：依據《合規審計管理辦法》第4條，處理超過1000萬人個人信息的企業，應當每兩年至少開展一次個人信息保護合規審計?！駴]有處理超過1000萬人個人信息的企業：可以根據自身業務情況和個人信息處理情況，合理決定審計的開展時間。具體而言，企業可以參考《合規審計要求》第4.2.4條的要求：處理超過100萬、不超過1000萬人個人信息的個人信息處理者每三年或四年至少開展一次個人信息保護合規審計。處理不超過100萬人個人信息的個人信息處理者應根據個人信息合規風險、處理個人信息數量、業務規模等合理確定合規審計頻率，宜每五年至少開展一次個人信息保護合規審計。●監管部門主動要求進行審計：依據《合規審計管理辦法》第5條，在特殊情形下，例如企業的個人信息處理活動可能侵害個人權益或發生個人信息安全事件等，個人信息保護部門（例如網信部門可以要求企業委托專業機構進行合規審計。B.汽車行業企業需要予以特別關注的原因●汽車行業企業向用戶提供的智能網聯服務普遍支持用戶通過車機端、移動端和網頁端等多種終端的接入與操作，應用功能涵蓋影音娛樂、導航定位、輔助駕駛等豐富場景，涉及大量個人信息（包括用戶的行蹤軌跡、出行習慣等敏感個人信息）的處理活動?！裼捎诙鄶倒δ艿膶崿F依賴外部供應商的技術服務支持，涉及個人信息的共享，若與境外智能網聯和自動駕駛解決方案服務商合作，還涉及個人信息跨境傳輸?！癯藦碗s的數據流轉，直接面向車主的車企及自動駕駛企業處理的個人信息量級往往龐大，一些企業可能容易超過《合規審計管理辦法》的“1000萬人”量級門檻。因此，企業需盡早梳理數據資產，若處理的個人信息量級超過1000萬，則有必要盡快為每兩年至少一次的自我合規審計的開展進行準備?！衿囆袠I企業即使處理的個人信息量級沒有超過1000萬，也往往數量很大，很可能多位于數十萬人到數百萬人之間。這一處理個人信息的數量級本身具有一定程度敏感性，一旦出現個人信息保護方面的事件，產生的后果可能嚴重。因此，此類企業也宜盡快根據《合規審計管理辦法》的要求，組織開展個人信息保護合規審計。●另外，依據《合規審計管理辦法》第12條的規定，處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人，負責個人信息處理者的個人信息保護合規審計工作。達到該門檻的車企需要完善內部個人信息保護管理制度，將合規審計相關事項納入個人信息保護負責人的職責清單。4、數據出境申報背景下的重要數據識別：汽車行業企業的關注根據國家互聯網信息辦公室2025年5月30日發布的《數據出境安全管理政策問答（2025年5月）》（以下簡稱“問答”如果數據處理者被告知掌握重要數據或者掌握的數據被公開發布為重要數據，應當按照相關法律法規的要求，履行重要數據安全保護責任。沒有發布行業、領域的數據分類分級標準規范和重要數據識別申報規則，數據處理者也沒有被有關部門告知應當進行重要數據識別申報的，未識別申報重要數據，未對相關數據進行重點保護，不會被認定為違反重要數據保護相關規定，不會因此受到行政處罰。[Ⅲ]A.本次問答澄清了監管要求，有利于穩定企業預期對于尚未發布明確重要數據識別申報規則，且未被有關部門告知應當進行重要數據識別申報的行業企業，本次問答在重要數據的認定、保護以及數據出境領域，澄清了企業的法律義務邊界，減輕了企業對可能構成重要數據出境、從而需要完成數據出境安全評估程序的擔憂。數據出境安全評估流程由于其材料要求相對嚴格、審核周期相對長、材料補充和修改的溝通往來相對復雜等因素，是企業評估申報策略的重點領域。此前，特別是在數據出境安全評估流程啟動之初，缺乏對重要數據識別認定和申報的具體指導，所以部分企業在梳理數據資產過程中，存在依據不清、邊界不明等顧慮。特別是對于部分擬出境數據是否屬于重要數據，是否應當在沒有明確清單、目錄的情況下，專門就出境事項進行主動和寬泛的重要數據識別，缺乏必要指導。本次問答的出臺，有利于穩定企業預期。B.汽車行業的特殊情況和特別關注對于汽車行業，情況會較為復雜，企業需要結合法規要求以及與主管部門的溝通，對是否構成重要數據進行綜合判斷。在法規層面，本次問答提及的部分行業、領域已經公開發布的數據分類分級標準規范和重要數據識別申報規則之一《工業領域重要數據識別指南》（YD/T4981-2024適用于汽車行業部分場景，并為汽車裝備過程以及汽車聯網產品服務過程中的重要數據識別提供了一定指引?！镀嚁祿踩芾砣舾梢幎ǎㄔ囆校罚▏一ヂ摼W信息辦公室令第7號）雖然未在問答中被明確列舉，且其細節上不夠完善，未形成具有操作性的重要數據清單或者目錄，但對重要數據的識別具有一定參考價值。企業在結合前述法規進行初步數據識別后，必要情況下應與主管部門溝通，進一步研判認定結果。根據筆者多個項目經驗，實踐操作中，相當一部分主機廠、智能網聯解決方案服務商、自動駕駛企業已經在地方政府、行業主管部門的指導下，針對性進行了專項重要數據識別和申報備案。這些企業需要根據個案中收到的目錄、清單，認真識別自身重要數據，并且結合實際是否存在數據出境的情形，履行相應的合規義務。5、人臉識別技術應用備案開啟：汽車行業備案合規新關注點根據《人臉識別技術應用安全管理辦法》（國家互聯網信息辦公室公安部令第19號，2025年6月1日實施）和國家互聯網信息辦公室2025年5月28日發布的《關于開展人臉識別技術應用備案工作的公告》，企業應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內，應當向所在地省級以上網信部門履行備案手續（實踐中，通過網信辦線上系統啟動）?！駥τ谄囆袠I，建議首先針對車聯網實名認證、汽車金融貸款、疲勞駕駛檢測等所有采用人臉識別技術的業務場景，系統梳理并分類登記人臉識別的具體功能用途、數據流向、存儲方式和操作流程。明確每一場景下數據收集的必要性和合法