|
汽車數據安全管理若干規定(征求意見稿)时间:2021-05-18 汽車數據安全管理若干規定(征求意見稿)
第一條 為了加強個人信息和重要數據保護,規范汽車數據處理活動,維護國家安全和公共利益,根據《中華人民共和國網絡安全法》等法律法規,制定本規定。 第三條 本規定所稱運營者指汽車設計、制造、服務企業或者機構,包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。本規定所稱個人信息包括車主、駕駛人、乘車人、行人等的 本規定所稱重要數據包括: (一)軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據; (二)高于國家公開發布地圖精度的測繪數據; (三)汽車充電網的運行數 (四)道路上車輛類型、車輛流量等數據; (五)包含人臉、聲音、車牌等的車外音視頻數據; (六)國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。 第四條 運營者處理個人信息或重要數據的目的應當合法、具體、明確,與汽車的設計、制造、服務直接相關。 第六條 倡導運營者處理個人信息和重要數據過程中堅持: (一)車內處理原則,除非確有必要不向車外提供; (二)匿名化處理原則,確有必要向車外提供的,盡可能地進行匿名化和脫敏處理; (四)精度范圍適用原則,根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率; (五)默認不收集原則,除非確有必要,每次駕駛時默認為不收集狀態,駕駛人的同意授權只對本次駕駛有效。 第七條 運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式,告知負責處理用戶權益責任人的有效聯系方式,以及收集數據的類型,包括車輛位置、生物特征、駕駛習慣、音視頻等,并提供以下信息: (二)收集各類型數據的目的、用途; (四)刪除車內、請求刪除已經提供給車外的個人信息的方法步驟。 第八條 運營者收集和向車外提供敏感個人信息,包括車輛位置、駕駛人或乘車人音視頻等,以及可以用 (二)默認為不收集,每次都應當征得駕駛人同意授權,駕駛結束(駕駛人離開駕駛席)后本次授權自動失效; (三)通過車內顯示面板或語音等方式告知駕駛人和乘車人正在收集敏感個人信息; (六)駕駛人要求運營者刪除時,運營者應當在2周內刪除。 第九條 運營者收集個人信息應當取得被收集人同意,法律法規規定不需取得個人同意的除外。實踐上難以實現的(如通過攝像頭收集車外音視頻信息),且確需提供的,應當進行匿名化或脫敏處理,包括刪除含有能夠識別自然人的畫面,或對這些畫面中的人臉等進行局部輪廓化處理等。 第十條 僅當為了方便用戶使用、增加車輛電子和信息系統安全性等目的,方可收集駕駛人指紋、聲紋、人臉、心律等生物特征數據,同時應當提供生物特征的替代方式。 第十二條 個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對向境外提供個人信息有明確規定的,適用其規定,我國聲明保留的條款除外。 第十三條 運營者向境外提供個人信息或者重要數據的,應當采取有效措施明確和監督接收者按照雙方約定的目的、范圍、方式使用數據,保證數據安全。 第十四條 運營者向境外提供個人信息或者重要數據的,應當接受和處理所涉及的用戶投訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相應責任。 第十五條 運營者不得超出出境安全評估時明確的目的、范圍、方式和數據類型、規模等,向境外提供個人信息或重要數據。國家網信部門會同國務院有關部門以抽查方式核驗向境外提供個人信息或重要數據的類型、范圍等,運營者應當以明文、可讀方式予以展示。 第十六條 科和商業合作伙伴需要查詢利用境內存儲的個人信息和重要數據的,運營者應當采取有效措施保證數據安全,防止流失;嚴格限制對重要數據以及車輛位置、生物特征、駕駛人或者乘車人音視頻,以 第十七條 處理個人信息涉及個人信息主體超過10萬人、或者處 (一)數據安全負責人以及負責處理用戶權益相關事務責任人的姓名和聯系方式; (六)與個人信息和數據相關的用戶投訴及處理情況; (七)國家網信部門明確的其他數據安全情況。 第十八條 如果存在向境外提供數據的情況,運營者應當在本規定第十七條基礎上,報告以下情況: (三)數據在境外的存放地點、使用范圍和方式; (四)涉及向境外提供數據的用戶投訴及處理情況; (五)國家網信部門明確的向境外提供數據需要報告的其他情況。 第二十條 運營者違反本規定的,由省級以上網信部門和有關部門依照《中華人民共和國網絡安全法》等法律法規的有關規定進行處罰。構成犯罪的,依法追究刑事責任。 第二十一條 本規定自2021年 月 日起施行。 (來源:國家互聯網信息辦公室) |