五部門聯合發布《汽車數據安全管理若干規定(試行)》
近日����,國家互聯網信息辦公室����、國家發展和改革委員會����、工業和信息化部��、公安部����、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》)��,自2021年10月1日起施行���。國家互聯網信息辦公室有關負責人表示��,出臺《規定》旨在規范汽車數據處理活動,保護個人����、組織的合法權益���,維護國家安全和社會公共利益��,促進汽車數據合理開發利用。
隨著新一代信息技術與汽車產業加速融合����,智能汽車產業、車聯網技術的快速發展,以自動輔助駕駛為代表的人工智能技術日益普及,汽車數據處理能力日益增強,暴露出的汽車數據安全問題和風險隱患日益突出。在汽車數據安全管理領域出臺有針對性的規章制度����,明確汽車數據處理者的責任和義務���,規范汽車數據處理活動����,是防范化解汽車數據安全風險、保障汽車數據依法合理有效利用的需要����,也是維護國家安全利益���、保護個人合法權益的需要��。
《規定》倡導,汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”��、“默認不收集”��、“精度范圍適用”���、“脫敏處理”等數據處理原則���,減少對汽車數據的無序收集和違規濫用��。
《規定》明確,汽車數據處理者應當履行個人信息保護責任����,充分保護個人信息安全和合法權益��。開展個人信息處理活動,汽車數據處理者應當通過顯著方式告知個人相關信息���,取得個人同意或者符合法律���、行政法規規定的其他情形��。處理敏感個人信息���,汽車數據處理者還應當取得個人單獨同意����,滿足限定處理目的����、提示收集狀態、終止收集等具體要求或者符合法律、行政法規和強制性國家標準等其他要求����。汽車數據處理者具有增強行車安全的目的和充分的必要性���,方可收集指紋���、聲紋��、人臉、心律等生物識別特征信息。
《規定》強調��,汽車數據處理者開展重要數據處理活動���,應當遵守依法在境內存儲的規定����,加強重要數據安全保護;落實風險評估報告制度要求,積極防范數據安全風險;落實年度報告制度要求��,按時主動報送年度汽車數據安全管理情況��。因業務需要確需向境外提供重要數據的,汽車數據處理者應當落實數據出境安全評估制度要求,不得超出出境安全評估結論違規向境外提供重要數據����,并在年度報告中補充報告相關情況��。
《規定》提出����,國家有關部門依據各自職責做好汽車數據安全管理和保障工作���,包括開展數據安全評估����、數據出境事項抽查核驗、智能(網聯)汽車網絡平臺建設等工作。對于違反本規定的汽車數據處理者���,有關部門將依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》等法律、行政法規的規定進行處罰����。
國家互聯網信息辦公室有關負責人指出����,汽車數據安全管理需要政府����、汽車數據處理者、個人等多方主體共同參與���。省級以上網信、發展改革、工業和信息化、公安、交通運輸等有關部門在汽車數據安全管理過程中���,將加強協調和數據共享��,形成工作合力��。
汽車數據安全管理若干規定(試行)
第一條 為了規范汽車數據處理活動,保護個人��、組織的合法權益����,維護國家安全和社會公共利益,促進汽車數據合理開發利用��,根據《中華人民共和國網絡安全法》����、《中華人民共和國數據安全法》等法律、行政法規����,制定本規定��。
第二條 在中華人民共和國境內開展汽車數據處理活動及其安全監管,應當遵守相關法律����、行政法規和本規定的要求��。
第三條 本規定所稱汽車數據,包括汽車設計����、生產��、銷售、使用��、運維等過程中的涉及個人信息數據和重要數據���。
汽車數據處理���,包括汽車數據的收集����、存儲��、使用����、加工、傳輸����、提供����、公開等����。
汽車數據處理者,是指開展汽車數據處理活動的組織��,包括汽車制造商��、零部件和軟件供應商��、經銷商、維修機構以及出行服務企業等����。
個人信息����,是指以電子或者其他方式記錄的與已識別或者可識別的車主����、駕駛人���、乘車人��、車外人員等有關的各種信息���,不包括匿名化處理后的信息����。
敏感個人信息����,是指一旦泄露或者非法使用,可能導致車主、駕駛人���、乘車人、車外人員等受到歧視或者人身���、財產安全受到嚴重危害的個人信息,包括車輛行蹤軌跡����、音頻��、視頻、圖像和生物識別特征等信息。
重要數據是指一旦遭到篡改���、破壞、泄露或者非法獲取、非法利用���,可能危害國家安全���、公共利益或者個人���、組織合法權益的數據����,包括:
(一)軍事管理區���、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量����、車輛流量等數據���;
?���。ǘ┸囕v流量、物流等反映經濟運行情況的數據;
?���。ㄈ┢嚦潆娋W的運行數據���;
?���。ㄋ模┌四樞畔?��、車牌信息等的車外視頻��、圖像數據;
?�。ㄎ澹┥婕皞€人信息主體超過10萬人的個人信息����;
(六)國家網信部門和國務院發展改革����、工業和信息化����、公安����、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人��、組織合法權益的數據��。
第四條 汽車數據處理者處理汽車數據應當合法���、正當��、具體、明確����,與汽車的設計���、生產���、銷售��、使用����、運維等直接相關。
第五條 利用互聯網等信息網絡開展汽車數據處理活動,應當落實網絡安全等級保護等制度����,加強汽車數據保護����,依法履行數據安全義務���。
第六條 國家鼓勵汽車數據依法合理有效利用���,倡導汽車數據處理者在開展汽車數據處理活動中堅持:
?�。ㄒ唬┸噧忍幚碓瓌t���,除非確有必要不向車外提供����;
?�。ǘ┠J不收集原則����,除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態��;
?�。ㄈ┚确秶m用原則��,根據所提供功能服務對數據精度的要求確定攝像頭����、雷達等的覆蓋范圍、分辨率;
?�。ㄋ模┟撁籼幚碓瓌t���,盡可能進行匿名化����、去標識化等處理。
第七條 汽車數據處理者處理個人信息應當通過用戶手冊����、車載顯示面板���、語音���、汽車使用相關應用程序等顯著方式���,告知個人以下事項:
?�。ㄒ唬┨幚韨€人信息的種類,包括車輛行蹤軌跡、駕駛習慣��、音頻��、視頻���、圖像和生物識別特征等����;
?���。ǘ┦占黝悅€人信息的具體情境以及停止收集的方式和途徑����;
(三)處理各類個人信息的目的��、用途��、方式���;
?��。ㄋ模﹤€人信息保存地點���、保存期限��,或者確定保存地點、保存期限的規則���;
(五)查閱����、復制其個人信息以及刪除車內����、請求刪除已經提供給車外的個人信息的方式和途徑��;
?��。┯脩魴嘁媸聞章撓等说男彰吐撓捣绞?���;
?�。ㄆ撸┓?�、行政法規規定的應當告知的其他事項。
第八條 汽車數據處理者處理個人信息應當取得個人同意或者符合法律��、行政法規規定的其他情形��。
因保證行車安全需要����,無法征得個人同意采集到車外個人信息且向車外提供的��,應當進行匿名化處理��,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等���。
第九條 汽車數據處理者處理敏感個人信息,應當符合以下要求或者符合法律����、行政法規和強制性國家標準等其他要求:
?���。ㄒ唬┚哂兄苯臃沼趥€人的目的���,包括增強行車安全���、智能駕駛����、導航等����;
(二)通過用戶手冊����、車載顯示面板���、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響���;
?�。ㄈ斎〉脗€人單獨同意,個人可以自主設定同意期限;
(四)在保證行車安全的前提下����,以適當方式提示收集狀態���,為個人終止收集提供便利��;
(五)個人要求刪除的,汽車數據處理者應當在十個工作日內刪除����。
汽車數據處理者具有增強行車安全的目的和充分的必要性����,方可收集指紋����、聲紋��、人臉����、心律等生物識別特征信息。
第十條 汽車數據處理者開展重要數據處理活動,應當按照規定開展風險評估,并向省��、自治區��、直轄市網信部門和有關部門報送風險評估報告��。
風險評估報告應當包括處理的重要數據的種類、數量、范圍、保存地點與期限、使用方式���,開展數據處理活動情況以及是否向第三方提供,面臨的數據安全風險及其應對措施等。
第十一條 重要數據應當依法在境內存儲���,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估。未列入重要數據的涉及個人信息數據的出境安全管理,適用法律��、行政法規的有關規定��。
我國締結或者參加的國際條約����、協定有不同規定的��,適用該國際條約���、協定��,但我國聲明保留的條款除外。
第十二條 汽車數據處理者向境外提供重要數據,不得超出出境安全評估時明確的目的、范圍、方式和數據種類��、規模等���。
國家網信部門會同國務院有關部門以抽查等方式核驗前款規定事項��,汽車數據處理者應當予以配合,并以可讀等便利方式予以展示����。
第十三條 汽車數據處理者開展重要數據處理活動��,應當在每年十二月十五日前向省、自治區��、直轄市網信部門和有關部門報送以下年度汽車數據安全管理情況:
?��。ㄒ唬┢嚁祿踩芾碡撠熑?���、用戶權益事務聯系人的姓名和聯系方式;
?��。ǘ┨幚砥嚁祿姆N類、規模���、目的和必要性;
?�。ㄈ┢嚁祿陌踩雷o和管理措施����,包括保存地點、期限等����;
?��。ㄋ模┫蚓硟鹊谌教峁┢嚁祿闆r��;
(五)汽車數據安全事件和處置情況����;
(六)汽車數據相關的用戶投訴和處理情況����;
?���。ㄆ撸﹪揖W信部門會同國務院工業和信息化���、公安、交通運輸等有關部門明確的其他汽車數據安全管理情況����。
第十四條 向境外提供重要數據的汽車數據處理者應當在本規定第十三條要求的基礎上��,補充報告以下情況:
(一)接收者的基本情況���;
(二)出境汽車數據的種類����、規模��、目的和必要性;
?�。ㄈ┢嚁祿诰惩獾谋4娴攸c����、期限、范圍和方式���;
(四)涉及向境外提供汽車數據的用戶投訴和處理情況����;
(五)國家網信部門會同國務院工業和信息化、公安��、交通運輸等有關部門明確的向境外提供汽車數據需要報告的其他情況���。
第十五條 國家網信部門和國務院發展改革���、工業和信息化����、公安、交通運輸等有關部門依據職責,根據處理數據情況對汽車數據處理者進行數據安全評估��,汽車數據處理者應當予以配合����。
參與安全評估的機構和人員不得披露評估中獲悉的汽車數據處理者商業秘密、未公開信息,不得將評估中獲悉的信息用于評估以外目的����。
第十六條 國家加強智能(網聯)汽車網絡平臺建設��,開展智能(網聯)汽車入網運行和安全保障服務等,協同汽車數據處理者加強智能(網聯)汽車網絡和汽車數據安全防護。
第十七條 汽車數據處理者開展汽車數據處理活動,應當建立投訴舉報渠道,設置便捷的投訴舉報入口,及時處理用戶投訴舉報。
開展汽車數據處理活動造成用戶合法權益或者公共利益受到損害的��,汽車數據處理者應當依法承擔相應責任���。
第十八條 汽車數據處理者違反本規定的���,由省級以上網信��、工業和信息化���、公安、交通運輸等有關部門依照《中華人民共和國網絡安全法》����、《中華人民共和國數據安全法》等法律���、行政法規的規定進行處罰��;構成犯罪的,依法追究刑事責任��。
第十九條 本規定自2021年10月1日起施行����。
