2024年2月9日，美国犹他州参议院第215号《机动车辆消费者数据保护法案》提交，并在参议院三读后于2024年2月20日提交众议院，2月22日在众议院通过二读，法案将于2024年5月1日生效。

法案定义部分对授权集成商（Authorized integrator）、经销商数据供应商（Dealer data vendor）、加盟商（Franchisee）、第三方（third party）等主体范围进行了详细定义和区分，同时对消费者数据、经销商数据系统、受保护的经销商数据、机动车诊断数据等数据类型进行了定义区分。

一、范围

该法案不适用：①管理或适用于经销商数据系统之外的数据，包括由机动车辆或消费者连接到机动车辆的设备生成的数据；②授权加盟商或第三方以不符合以下规定的方式使用其从他人处获得的数据：与该人协议同意使用数据；使用目的与该人向加盟商或第三方提供数据的目的一致；③在为履行加盟商向消费者提供保修、维修或服务的义务所必需的情况外，授权加盟商机动车诊断数据的所有权，以及共享或使用机动车辆诊断数据的权利。

二、供应商管理

法案特别概述了与供应商管理相关的要求和限制。具体而言，法案规定经销商数据供应商必须采用标准化框架，并向加盟商和授权集成商提供经销商数据系统，同时授权集成商之间的数据交换、集成和共享，以及集成商对数据进行检索。

经销商数据供应商和授权集成商只能在与加盟商的书面协议允许的范围内访问、使用、存储或共享受保护的经销商数据或来自经销商数据系统的任何其他数据。他们还必须根据加盟商的要求，向加盟商提供正在与其共享数据、已与其共享数据、或者正在允许或已允许访问数据的所有人员的名单。

三、相关合同的要求与限制

法案概述了服务提供商与加盟商合同的要求与限制。

1.可以允许加盟商通过持续的人工审查、自动扫描、定期评估、审计或其他技术和操作测试（至少每年一次）来监控服务提供商对合同的遵守情况。如果服务提供商或供应商聘请他人出于商业目的协助处理受保护的经销商数据，则服务提供商必须将该等聘请通知加盟商，且该聘请通知应依据书面合同，约束该人遵守本法案的条款要求。

2.关于禁止与供应商共享数据的规定，加盟商或第三方不得：

①未经事先明确同意，访问、共享、出售、复制、使用或传输受保护的经销商数据；②参与任何网络勒索行为；③采取措施禁止或限制加盟商保护、存储、复制、共享或使用受保护的经销商数据的能力，包括：不合理地禁止符合汽车零售技术标准(STAR)或其他公认标准的第三方或授权集成商将其集成到加盟商的经销商数据系统中；或者对未经授权的集成商或第三方的集成施加不合理的限制。（姜利华）

资料来源 / Referencece

1. https://www.dataguidance.com/news/utah-bill-automotive-consumer-data-protection

2. 法案原文：https://le.utah.gov/~2024/bills/sbillint/SB0215.pdf

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。