五部門聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》
近日,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(以下簡稱《規(guī)定》),自2021年10月1日起施行。國家互聯(lián)網(wǎng)信息辦公室有關負責人表示,出臺《規(guī)定》旨在規(guī)范汽車數(shù)據(jù)處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數(shù)據(jù)合理開發(fā)利用。
隨著新一代信息技術與汽車產業(yè)加速融合,智能汽車產業(yè)、車聯(lián)網(wǎng)技術的快速發(fā)展,以自動輔助駕駛為代表的人工智能技術日益普及,汽車數(shù)據(jù)處理能力日益增強,暴露出的汽車數(shù)據(jù)安全問題和風險隱患日益突出。在汽車數(shù)據(jù)安全管理領域出臺有針對性的規(guī)章制度,明確汽車數(shù)據(jù)處理者的責任和義務,規(guī)范汽車數(shù)據(jù)處理活動,是防范化解汽車數(shù)據(jù)安全風險、保障汽車數(shù)據(jù)依法合理有效利用的需要,也是維護國家安全利益、保護個人合法權益的需要。
《規(guī)定》倡導,汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持“車內處理”、“默認不收集”、“精度范圍適用”、“脫敏處理”等數(shù)據(jù)處理原則,減少對汽車數(shù)據(jù)的無序收集和違規(guī)濫用。
《規(guī)定》明確,汽車數(shù)據(jù)處理者應當履行個人信息保護責任,充分保護個人信息安全和合法權益。開展個人信息處理活動,汽車數(shù)據(jù)處理者應當通過顯著方式告知個人相關信息,取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。處理敏感個人信息,汽車數(shù)據(jù)處理者還應當取得個人單獨同意,滿足限定處理目的、提示收集狀態(tài)、終止收集等具體要求或者符合法律、行政法規(guī)和強制性國家標準等其他要求。汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特征信息。
《規(guī)定》強調,汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應當遵守依法在境內存儲的規(guī)定,加強重要數(shù)據(jù)安全保護;落實風險評估報告制度要求,積極防范數(shù)據(jù)安全風險;落實年度報告制度要求,按時主動報送年度汽車數(shù)據(jù)安全管理情況。因業(yè)務需要確需向境外提供重要數(shù)據(jù)的,汽車數(shù)據(jù)處理者應當落實數(shù)據(jù)出境安全評估制度要求,不得超出出境安全評估結論違規(guī)向境外提供重要數(shù)據(jù),并在年度報告中補充報告相關情況。
《規(guī)定》提出,國家有關部門依據(jù)各自職責做好汽車數(shù)據(jù)安全管理和保障工作,包括開展數(shù)據(jù)安全評估、數(shù)據(jù)出境事項抽查核驗、智能(網(wǎng)聯(lián))汽車網(wǎng)絡平臺建設等工作。對于違反本規(guī)定的汽車數(shù)據(jù)處理者,有關部門將依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī)的規(guī)定進行處罰。
國家互聯(lián)網(wǎng)信息辦公室有關負責人指出,汽車數(shù)據(jù)安全管理需要政府、汽車數(shù)據(jù)處理者、個人等多方主體共同參與。省級以上網(wǎng)信、發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門在汽車數(shù)據(jù)安全管理過程中,將加強協(xié)調和數(shù)據(jù)共享,形成工作合力。
汽車數(shù)據(jù)安全管理若干規(guī)定(試行)
第一條 為了規(guī)范汽車數(shù)據(jù)處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數(shù)據(jù)合理開發(fā)利用,根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī),制定本規(guī)定。
第二條 在中華人民共和國境內開展汽車數(shù)據(jù)處理活動及其安全監(jiān)管,應當遵守相關法律、行政法規(guī)和本規(guī)定的要求。
第三條 本規(guī)定所稱汽車數(shù)據(jù),包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)。
汽車數(shù)據(jù)處理,包括汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。
汽車數(shù)據(jù)處理者,是指開展汽車數(shù)據(jù)處理活動的組織,包括汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構以及出行服務企業(yè)等。
個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息,不包括匿名化處理后的信息。
敏感個人信息,是指一旦泄露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。
重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù),包括:
?。ㄒ唬┸娛鹿芾韰^(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù);
(二)車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù);
?。ㄈ┢嚦潆娋W(wǎng)的運行數(shù)據(jù);
(四)包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù);
?。ㄎ澹┥婕皞€人信息主體超過10萬人的個人信息;
?。﹪揖W(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)。
第四條 汽車數(shù)據(jù)處理者處理汽車數(shù)據(jù)應當合法、正當、具體、明確,與汽車的設計、生產、銷售、使用、運維等直接相關。
第五條 利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展汽車數(shù)據(jù)處理活動,應當落實網(wǎng)絡安全等級保護等制度,加強汽車數(shù)據(jù)保護,依法履行數(shù)據(jù)安全義務。
第六條 國家鼓勵汽車數(shù)據(jù)依法合理有效利用,倡導汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持:
?。ㄒ唬┸噧忍幚碓瓌t,除非確有必要不向車外提供;
(二)默認不收集原則,除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態(tài);
?。ㄈ┚确秶m用原則,根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率;
(四)脫敏處理原則,盡可能進行匿名化、去標識化等處理。
第七條 汽車數(shù)據(jù)處理者處理個人信息應當通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式,告知個人以下事項:
?。ㄒ唬┨幚韨€人信息的種類,包括車輛行蹤軌跡、駕駛習慣、音頻、視頻、圖像和生物識別特征等;
?。ǘ┦占黝悅€人信息的具體情境以及停止收集的方式和途徑;
?。ㄈ┨幚砀黝悅€人信息的目的、用途、方式;
?。ㄋ模﹤€人信息保存地點、保存期限,或者確定保存地點、保存期限的規(guī)則;
(五)查閱、復制其個人信息以及刪除車內、請求刪除已經(jīng)提供給車外的個人信息的方式和途徑;
(六)用戶權益事務聯(lián)系人的姓名和聯(lián)系方式;
(七)法律、行政法規(guī)規(guī)定的應當告知的其他事項。
第八條 汽車數(shù)據(jù)處理者處理個人信息應當取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。
因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等。
第九條 汽車數(shù)據(jù)處理者處理敏感個人信息,應當符合以下要求或者符合法律、行政法規(guī)和強制性國家標準等其他要求:
?。ㄒ唬┚哂兄苯臃沼趥€人的目的,包括增強行車安全、智能駕駛、導航等;
?。ǘ┩ㄟ^用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響;
?。ㄈ斎〉脗€人單獨同意,個人可以自主設定同意期限;
(四)在保證行車安全的前提下,以適當方式提示收集狀態(tài),為個人終止收集提供便利;
?。ㄎ澹﹤€人要求刪除的,汽車數(shù)據(jù)處理者應當在十個工作日內刪除。
汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特征信息。
第十條 汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應當按照規(guī)定開展風險評估,并向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送風險評估報告。
風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量、范圍、保存地點與期限、使用方式,開展數(shù)據(jù)處理活動情況以及是否向第三方提供,面臨的數(shù)據(jù)安全風險及其應對措施等。
第十一條 重要數(shù)據(jù)應當依法在境內存儲,因業(yè)務需要確需向境外提供的,應當通過國家網(wǎng)信部門會同國務院有關部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理,適用法律、行政法規(guī)的有關規(guī)定。
我國締結或者參加的國際條約、協(xié)定有不同規(guī)定的,適用該國際條約、協(xié)定,但我國聲明保留的條款除外。
第十二條 汽車數(shù)據(jù)處理者向境外提供重要數(shù)據(jù),不得超出出境安全評估時明確的目的、范圍、方式和數(shù)據(jù)種類、規(guī)模等。
國家網(wǎng)信部門會同國務院有關部門以抽查等方式核驗前款規(guī)定事項,汽車數(shù)據(jù)處理者應當予以配合,并以可讀等便利方式予以展示。
第十三條 汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應當在每年十二月十五日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送以下年度汽車數(shù)據(jù)安全管理情況:
?。ㄒ唬┢嚁?shù)據(jù)安全管理負責人、用戶權益事務聯(lián)系人的姓名和聯(lián)系方式;
?。ǘ┨幚砥嚁?shù)據(jù)的種類、規(guī)模、目的和必要性;
?。ㄈ┢嚁?shù)據(jù)的安全防護和管理措施,包括保存地點、期限等;
(四)向境內第三方提供汽車數(shù)據(jù)情況;
(五)汽車數(shù)據(jù)安全事件和處置情況;
?。┢嚁?shù)據(jù)相關的用戶投訴和處理情況;
?。ㄆ撸﹪揖W(wǎng)信部門會同國務院工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門明確的其他汽車數(shù)據(jù)安全管理情況。
第十四條 向境外提供重要數(shù)據(jù)的汽車數(shù)據(jù)處理者應當在本規(guī)定第十三條要求的基礎上,補充報告以下情況:
?。ㄒ唬┙邮照叩幕厩闆r;
?。ǘ┏鼍称嚁?shù)據(jù)的種類、規(guī)模、目的和必要性;
(三)汽車數(shù)據(jù)在境外的保存地點、期限、范圍和方式;
?。ㄋ模┥婕跋蚓惩馓峁┢嚁?shù)據(jù)的用戶投訴和處理情況;
(五)國家網(wǎng)信部門會同國務院工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門明確的向境外提供汽車數(shù)據(jù)需要報告的其他情況。
第十五條 國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門依據(jù)職責,根據(jù)處理數(shù)據(jù)情況對汽車數(shù)據(jù)處理者進行數(shù)據(jù)安全評估,汽車數(shù)據(jù)處理者應當予以配合。
參與安全評估的機構和人員不得披露評估中獲悉的汽車數(shù)據(jù)處理者商業(yè)秘密、未公開信息,不得將評估中獲悉的信息用于評估以外目的。
第十六條 國家加強智能(網(wǎng)聯(lián))汽車網(wǎng)絡平臺建設,開展智能(網(wǎng)聯(lián))汽車入網(wǎng)運行和安全保障服務等,協(xié)同汽車數(shù)據(jù)處理者加強智能(網(wǎng)聯(lián))汽車網(wǎng)絡和汽車數(shù)據(jù)安全防護。
第十七條 汽車數(shù)據(jù)處理者開展汽車數(shù)據(jù)處理活動,應當建立投訴舉報渠道,設置便捷的投訴舉報入口,及時處理用戶投訴舉報。
開展汽車數(shù)據(jù)處理活動造成用戶合法權益或者公共利益受到損害的,汽車數(shù)據(jù)處理者應當依法承擔相應責任。
第十八條 汽車數(shù)據(jù)處理者違反本規(guī)定的,由省級以上網(wǎng)信、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī)的規(guī)定進行處罰;構成犯罪的,依法追究刑事責任。
第十九條 本規(guī)定自2021年10月1日起施行。
掃一掃在手機上閱讀本文章