近日,国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、交通运输部联合印发《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年起,2019年10月1日起施行。国家互联网信息办公室相关负责人表示,《规定》的出台旨在规范汽车数据处理,保护合法权益保护个人和组织,维护国家安全和社会公共利益,促进汽车数据合理开发利用。随着新一代信息技术与汽车产业的加速融合,智能汽车产业和车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术的日益普及,汽车数据能力的增强处理、暴露的汽车数据安全问题和隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车合理有效使用的需要依法处理数据。国家安全利益和维护个人合法权益的需要。《规定》倡导汽车数据处理者在开展汽车数据处理活动时,坚持“车载处理”、“默认不采集”、“适用精度范围”、“脱敏处理”的数据处理原则,减少无序收集和非法滥用。《规定》明确汽车数据处理者应履行个人信息保护责任,充分保护个人信息安全和合法权益。汽车数据处理者开展个人信息处理活动,应当以显着方式告知相关个人信息,征得个人同意,或者符合法律、行政法规规定的其他情形。汽车数据处理者处理敏感个人信息,还应当取得个人同意,满足限制处理目的、提示收集状态、终止收集等特定要求,或者符合法律、行政法规、强制性国家标准等其他要求。汽车数据处理器在采集指纹、声纹、人脸、心律等生物特征信息之前,有增强行车安全的目的和必要性。《规定》强调汽车数据处理者在开展重要数据处理活动时,应依法遵守境内存储规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求主动报告年度车辆数据安全管理情况。因业务需要需要向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得违反出境安全评估结论向境外提供重要数据;应当在年度报告中补充相关信息。《规定》建议国家有关部门按照各自职责做好汽车数据安全管理和保护工作,包括开展数据安全评估、数据出境事项抽查核查、智能化(连接)汽车网络平台。对违反本规定的汽车数据处理者,有关部门将依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规予以处罚。国家互联网信息办公室相关负责人指出,安全管理汽车数据化需要政府、汽车数据处理者、个人等多方参与。在车辆数据安全管理过程中,省级以上网信、发展改革、工业和信息化、公安、交通运输等相关部门加强协同,数据共享,形成合力。《规定》全文第一条为规范汽车数据处理行为,保护个人和组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用,依法《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等行政法规,制定本规定。第二条在中华人民共和国境内开展汽车数据处理活动和安全监管,应当遵守有关法律、行政法规和本规定的要求。第三条本规定所称汽车数据,包括汽车设计、生产、销售、使用、运营和维护等过程中的个人信息数据和重要数据。车辆数据处理,包括收集、存储、使用、处理、车辆数据的传输、提供、披露等。汽车数据处理者是指从事汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构、出行服务公司等。个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶员、乘客以及车外人员相关的各种信息,不包括匿名信息。个人敏感信息是指一旦泄露或被非法使用,可能对车主、驾驶员、乘车人及车外人员造成歧视,或严重危害人身和财产安全的个人信息,包括车辆轨迹、音频、视频、信息等。作为图像和生物特征。重要数据是指一旦被篡改、毁坏、泄露或被非法获取、使用,可能危害国家安全、公共利益或个人、组织合法权益的数据,包括:地理信息、人员流动等数据、本级以上党政机关等重要敏感区域的车流情况;(二)车流、物流等反映经济运行情况的数据;(三)汽车充电网络运行数据;(4)包括车外的视频、图像数据,如人脸信息、车牌信息等;(五)涉及个人信息主体10万以上的个人信息;交通运输等有关部门认定的其他可能危害国家安全、社会公共利益或者个人、组织合法权益的数据。第四条汽车数据处理者对汽车数据的处理应当合法、合法、具体、明确,并与汽车的设计、生产、销售、使用、运营和维护直接相关。第五条利用互联网等信息网络开展车辆数据处理活动,应当落实网络安全等级保护等制度,加强车辆数据保护,依法履行数据安全义务。第六条国家鼓励依法合理有效使用汽车数据,提倡汽车数据处理者坚持以下原则:(一)车载处理原则,除确有必要外不提供在车外;(2)默认不采集数据原则,除非司机自愿设置,默认设置为每次开车不采集状态;(3)精度范围原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围和分辨率;(4)脱敏、匿名、去标识化原则越多越好。第七条汽车数据处理者处理个人信息,应当通过使用说明书、车辆显示面板、语音、与车辆使用相关的应用程序等方式告知个人下列事项:(一)处理个人信息的类型,包括车辆轨迹、驾驶习惯、音频、视频、图像和生物特征等;(二)收集各类个人信息的具体情况和停止收集的方式方法;(3)处理各类个人信息的目的、目的和方式;(四)个人信息存储地点、存储期限或者存储地点和存储期限的确定规则;(五)查阅、复制其个人信息、删除车内个人信息、要求删除已向车外提供的个人信息的方式方法;(6)用户权益联系人姓名、联系方式;(七)法律、行政法规规定应当告??知的其他事项。第八条汽车数据处理者处理个人信息,应当取得个人同意或者符合法律、行政法规规定的其他情形。因保障行车安全的需要,在无法征得个人同意的情况下,在车外收集个人信息并向车外提供的,应当进行匿名化处理,包括删除含有可识别自然人身份的图片、图片中的人脸信息或部分删减等轮廓化等第九条汽车数据处理者处理个人敏感信息应当符合下列要求或者法律、行政法规和强制性国家标准的其他要求:(1)具有以下目的:直接服务个人,包括提升行车安全、智能驾驶、导航等;(2)通过用户手册、车辆显示板、语音、与汽车使用相关的应用程序告知其必要性和对个人的影响;(3)应征得个人同意,个人可自主设定同意期限;(四)在保证行车安全的前提下,以适当方式提示代收情况,便于个人终止代收;(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除。汽车数据处理器在采集指纹、声纹、人脸、心律等生物特征信息之前,有增强行车安全的目的和必要性。第十条汽车数据处理者开展重要数据处理活动,应当按照规定进行风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的类型、数量、范围、存储地点和期限、使用方式、数据处理活动和是否向第三方提供、面临的数据安全风险和应对措施等。第十一条重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国家有关部门组织的安全评估。国务院。未列为重要数据的个人信息数据出境安全管理,适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定另有规定的,适用国际条约、协定,但我国声明保留的条款除外。第十二条汽车数据处理者应当向境外提供重要数据,不得超出出境安全评估规定的目的、范围、方式、数据类型和规模。国家网信部门会同国务院有关部门通过抽查等方式对前款规定的事项进行核实,汽车数据处理者应当予以配合,并以可读等方便的方式展示。第十三条从事重要数据处理活动的汽车数据处理者应当于每年12月15日前向省、自治区、直辖市互联网信息主管部门和有关部门报送下列年度汽车数据安全管理情况:1)汽车数据安全管理负责人、用户权益联系人姓名、联系方式;(二)汽车数据处理的类型、规模、目的和必要性;(3)汽车数据的安全保护和管理措施,包括存储位置、期限等。(4)向国内第三方提供汽车数据;(5)汽车数据安全事件及处理;(6)汽车数据的用户投诉及处理;公安、交通等有关部门规定的其他车辆数据安全管理情形第十四条车辆数据处理者向境外提供重要数据的,应当根据本条例第十三条的要求,补充报告下列信息:(一)收件人基本情况;(二)出境车辆数据的类型、规模、目的和必要性;(三)汽车数据在境外的存储地点、期限、范围和方式;(四)涉及向境外提供汽车数据的用户投诉及处理情况;以及信息化、公安、交通等有关部门明确向境外提供车辆数据时需要报告的其他情形。第十五条国家网信部门会同国务院发展改革、工业和信息化、公安、交通运输等有关部门根据职责和数据处理情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当合作。参与安全评估的机构和人员不得泄露评估中知悉的汽车数据处理者的商业秘密和未公开信息,不得将评估中知悉的信息用于评估以外的目的。第十六条国家加强智能(网联)车联网平台建设,发展智能(网联)车联网运营和安全保障服务,联合汽车数据处理者加强智能(网联)车联网和汽车数据安全保护。第十七条汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报门户,及时处理用户投诉举报。汽车数据处理者开展汽车数据处理活动,损害用户合法权益或者社会公共利益的,应当依法承担相应责任。第十八条汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照有关法律、行政法规的规定予以处罚。《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等;构成犯罪的,依法追究刑事责任。第十九条本规定自2021年10月1日起施行。资料来源:国家互联网信息办公室
