來(lái)源:第一财經
5月12日,國家(jiā)互聯網信息辦公室(下稱“國家(jiā)網信辦”)發布《汽車(chē)數(shù)據安全管理(lǐ)若幹規定(征求意見稿)》(下稱“意見稿”),即日起向社會(huì)公開(kāi)征求意見。國家(jiā)網信辦表示,為(wèi)加強個(gè)人(rén)信息和(hé)重要數(shù)據保護,規範汽車(chē)數(shù)據處理(lǐ)活動,根據《中華人(rén)民共和(hé)國網絡安全法》等法律法規,會(huì)同相關部門(mén)制(zhì)定了該意見稿,意見反饋截止時(shí)間(jiān)為(wèi)2021年6月11日。
意見稿共有(yǒu)21條規定,主要涉及個(gè)人(rén)信息和(hé)重要數(shù)據保護、傳輸、查詢、利用、删除等。意見稿所稱重要數(shù)據包括軍事管理(lǐ)區(qū)、國防科工等涉及國家(jiā)秘密的單位、縣級以上(shàng)黨政機關等重要敏感區(qū)域的人(rén)流車(chē)流數(shù)據,高(gāo)于國家(jiā)公開(kāi)發布地圖精度的測繪數(shù)據,汽車(chē)充電(diàn)網的運行(xíng)數(shù)據,道(dào)路上(shàng)車(chē)輛(liàng)類型、車(chē)輛(liàng)流量等數(shù)據,包含人(rén)臉、聲音(yīn)、車(chē)牌等的車(chē)外音(yīn)視(shì)頻數(shù)據,國家(jiā)網信部門(mén)和(hé)國務院有(yǒu)關部門(mén)明(míng)确的其他可(kě)能影(yǐng)響國家(jiā)安全、公共利益的數(shù)據。
總體(tǐ)而言,意見稿倡導車(chē)企默認不收集用戶數(shù)據原則,每次駕駛時(shí)默認為(wèi)不收集狀态,駕駛人(rén)的同意授權隻對本次駕駛有(yǒu)效。如果确有(yǒu)必要收集,應堅持匿名化處理(lǐ)、脫敏處理(lǐ)、最小(xiǎo)保存期限和(hé)精度範圍适用原則。如果科研和(hé)商業合作(zuò)夥伴需要查詢利用境內(nèi)存儲的個(gè)人(rén)信息和(hé)重要數(shù)據的,運營者應當采取有(yǒu)效措施保證數(shù)據安全,防止流失,同時(shí)應嚴格限制(zhì)對重要數(shù)據以及車(chē)輛(liàng)位置、生(shēng)物特征、駕駛人(rén)或者乘車(chē)人(rén)音(yīn)視(shì)頻,以及可(kě)以用于判斷違法違規駕駛的數(shù)據等敏感數(shù)據的查詢利用。在數(shù)據存儲安全方面,意見稿要求個(gè)人(rén)信息或者重要數(shù)據應當依法在境內(nèi)存儲,确需向境外提供的,應當通(tōng)過國家(jiā)網信部門(mén)組織的數(shù)據出境安全評估。
以下為(wèi)征求意見稿全文:
汽車(chē)數(shù)據安全管理(lǐ)若幹規定
(征求意見稿)
第一條 為(wèi)了加強個(gè)人(rén)信息和(hé)重要數(shù)據保護,規範汽車(chē)數(shù)據處理(lǐ)活動,維護國家(jiā)安全和(hé)公共利益,根據《中華人(rén)民共和(hé)國網絡安全法》等法律法規,制(zhì)定本規定。
第二條 運營者在中華人(rén)民共和(hé)國境內(nèi)設計(jì)、生(shēng)産、銷售、運維、管理(lǐ)汽車(chē)過程中,收集、分析、存儲、傳輸、查詢、利用、删除以及向境外提供(以下統稱處理(lǐ))個(gè)人(rén)信息或重要數(shù)據,應當遵守相關法律法規和(hé)本規定的要求。
第三條 本規定所稱運營者指汽車(chē)設計(jì)、制(zhì)造、服務企業或者機構,包括汽車(chē)制(zhì)造商、部件和(hé)軟件提供者、經銷商、維修機構、網約車(chē)企業、保險公司等。
本規定所稱個(gè)人(rén)信息包括車(chē)主、駕駛人(rén)、乘車(chē)人(rén)、行(xíng)人(rén)等的個(gè)人(rén)信息,以及能夠推斷個(gè)人(rén)身份、描述個(gè)人(rén)行(xíng)為(wèi)等的各種信息。
本規定所稱重要數(shù)據包括:
(一)軍事管理(lǐ)區(qū)、國防科工等涉及國家(jiā)秘密的單位、縣級以上(shàng)黨政機關等重要敏感區(qū)域的人(rén)流車(chē)流數(shù)據;
(二)高(gāo)于國家(jiā)公開(kāi)發布地圖精度的測繪數(shù)據;
(三)汽車(chē)充電(diàn)網的運行(xíng)數(shù)據;
(四)道(dào)路上(shàng)車(chē)輛(liàng)類型、車(chē)輛(liàng)流量等數(shù)據;
(五)包含人(rén)臉、聲音(yīn)、車(chē)牌等的車(chē)外音(yīn)視(shì)頻數(shù)據;
(六)國家(jiā)網信部門(mén)和(hé)國務院有(yǒu)關部門(mén)明(míng)确的其他可(kě)能影(yǐng)響國家(jiā)安全、公共利益的數(shù)據。
第四條 運營者處理(lǐ)個(gè)人(rén)信息或重要數(shù)據的目的應當合法、具體(tǐ)、明(míng)确,與汽車(chē)的設計(jì)、制(zhì)造、服務直接相關。
第五條 運營者應當落實網絡安全等級保護制(zhì)度,加強個(gè)人(rén)信息和(hé)重要數(shù)據保護,依法履行(xíng)網絡安全義務。
第六條 倡導運營者處理(lǐ)個(gè)人(rén)信息和(hé)重要數(shù)據過程中堅持:
(一)車(chē)內(nèi)處理(lǐ)原則,除非确有(yǒu)必要不向車(chē)外提供;
(二)匿名化處理(lǐ)原則,确有(yǒu)必要向車(chē)外提供的,盡可(kě)能地進行(xíng)匿名化和(hé)脫敏處理(lǐ);
(三)最小(xiǎo)保存期限原則,根據所提供功能服務分類型确定數(shù)據保存期限;
(四)精度範圍适用原則,根據所提供功能服務對數(shù)據精度的要求确定攝像頭、雷達等的覆蓋範圍、分辨率;
(五)默認不收集原則,除非确有(yǒu)必要,每次駕駛時(shí)默認為(wèi)不收集狀态,駕駛人(rén)的同意授權隻對本次駕駛有(yǒu)效。
第七條 運營者處理(lǐ)個(gè)人(rén)信息應當通(tōng)過用戶手冊、車(chē)載顯示面闆或其他适當方式,告知負責處理(lǐ)用戶權益責任人(rén)的有(yǒu)效聯系方式,以及收集數(shù)據的類型,包括車(chē)輛(liàng)位置、生(shēng)物特征、駕駛習慣、音(yīn)視(shì)頻等,并提供以下信息:
(一)收集每種類型數(shù)據的觸發條件以及停止收集的方法;
(二)收集各類型數(shù)據的目的、用途;
(三)數(shù)據保存地點、期限,或者确定保存地點、期限的規則;
(四)删除車(chē)內(nèi)、請(qǐng)求删除已經提供給車(chē)外的個(gè)人(rén)信息的方法步驟。
第八條 運營者收集和(hé)向車(chē)外提供敏感個(gè)人(rén)信息,包括車(chē)輛(liàng)位置、駕駛人(rén)或乘車(chē)人(rén)音(yīn)視(shì)頻等,以及可(kě)以用于判斷違法違規駕駛的數(shù)據等,應當符合以下要求:
(一)以直接服務于駕駛人(rén)或者乘車(chē)人(rén)為(wèi)目的,包括增強行(xíng)車(chē)安全、輔助駕駛、導航、娛樂等;
(二)默認為(wèi)不收集,每次都應當征得(de)駕駛人(rén)同意授權,駕駛結束(駕駛人(rén)離開(kāi)駕駛席)後本次授權自動失效;
(三)通(tōng)過車(chē)內(nèi)顯示面闆或語音(yīn)等方式告知駕駛人(rén)和(hé)乘車(chē)人(rén)正在收集敏感個(gè)人(rén)信息;
(四)駕駛人(rén)能夠随時(shí)、方便地終止收集;
(五)允許車(chē)主方便查看、結構化查詢被收集的敏感個(gè)人(rén)信息;
(六)駕駛人(rén)要求運營者删除時(shí),運營者應當在2周內(nèi)删除。
第九條 運營者收集個(gè)人(rén)信息應當取得(de)被收集人(rén)同意,法律法規規定不需取得(de)個(gè)人(rén)同意的除外。實踐上(shàng)難以實現的(如通(tōng)過攝像頭收集車(chē)外音(yīn)視(shì)頻信息),且确需提供的,應當進行(xíng)匿名化或脫敏處理(lǐ),包括删除含有(yǒu)能夠識别自然人(rén)的畫(huà)面,或對這些(xiē)畫(huà)面中的人(rén)臉等進行(xíng)局部輪廓化處理(lǐ)等。
第十條 僅當為(wèi)了方便用戶使用、增加車(chē)輛(liàng)電(diàn)子和(hé)信息系統安全性等目的,方可(kě)收集駕駛人(rén)指紋、聲紋、人(rén)臉、心律等生(shēng)物特征數(shù)據,同時(shí)應當提供生(shēng)物特征的替代方式。
第十一條 運營者處理(lǐ)重要數(shù)據,應當提前向省級網信部門(mén)和(hé)有(yǒu)關部門(mén)報告數(shù)據類型、規模、範圍、保存地點與時(shí)限、使用方式,以及是否向第三方提供等。
第十二條 個(gè)人(rén)信息或者重要數(shù)據應當依法在境內(nèi)存儲,确需向境外提供的,應當通(tōng)過國家(jiā)網信部門(mén)組織的數(shù)據出境安全評估。
我國參與的或者與其他國家(jiā)和(hé)地區(qū)、國際組織締結的條約、協議等對向境外提供個(gè)人(rén)信息有(yǒu)明(míng)确規定的,适用其規定,我國聲明(míng)保留的條款除外。
第十三條 運營者向境外提供個(gè)人(rén)信息或者重要數(shù)據的,應當采取有(yǒu)效措施明(míng)确和(hé)監督接收者按照雙方約定的目的、範圍、方式使用數(shù)據,保證數(shù)據安全。
第十四條 運營者向境外提供個(gè)人(rén)信息或者重要數(shù)據的,應當接受和(hé)處理(lǐ)所涉及的用戶投訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相應責任。
第十五條 運營者不得(de)超出出境安全評估時(shí)明(míng)确的目的、範圍、方式和(hé)數(shù)據類型、規模等,向境外提供個(gè)人(rén)信息或重要數(shù)據。
國家(jiā)網信部門(mén)會(huì)同國務院有(yǒu)關部門(mén)以抽查方式核驗向境外提供個(gè)人(rén)信息或重要數(shù)據的類型、範圍等,運營者應當以明(míng)文、可(kě)讀方式予以展示。
第十六條 科研和(hé)商業合作(zuò)夥伴需要查詢利用境內(nèi)存儲的個(gè)人(rén)信息和(hé)重要數(shù)據的,運營者應當采取有(yǒu)效措施保證數(shù)據安全,防止流失;嚴格限制(zhì)對重要數(shù)據以及車(chē)輛(liàng)位置、生(shēng)物特征、駕駛人(rén)或者乘車(chē)人(rén)音(yīn)視(shì)頻,以及可(kě)以用于判斷違法違規駕駛的數(shù)據等敏感數(shù)據的查詢利用。
第十七條 處理(lǐ)個(gè)人(rén)信息涉及個(gè)人(rén)信息主體(tǐ)超過10萬人(rén)、或者處理(lǐ)重要數(shù)據的運營者,應當在每年十二月十五日前将年度數(shù)據安全管理(lǐ)情況報省級網信部門(mén)和(hé)有(yǒu)關部門(mén),內(nèi)容包括:
(一)數(shù)據安全負責人(rén)以及負責處理(lǐ)用戶權益相關事務責任人(rén)的姓名和(hé)聯系方式;
(二)處理(lǐ)數(shù)據的類型、規模、目的及必要性;
(三)數(shù)據的安全防護和(hé)管理(lǐ)措施,包括保存地點、期限等;
(四)與境內(nèi)第三方共享數(shù)據情況;
(五)數(shù)據安全事故及處理(lǐ)情況;
(六)與個(gè)人(rén)信息和(hé)數(shù)據相關的用戶投訴及處理(lǐ)情況;
(七)國家(jiā)網信部門(mén)明(míng)确的其他數(shù)據安全情況。
第十八條 如果存在向境外提供數(shù)據的情況,運營者應當在本規定第十七條基礎上(shàng),報告以下情況:
(一)接收者的名稱和(hé)聯系方式;
(二)出境數(shù)據的類型、數(shù)量及目的;
(三)數(shù)據在境外的存放地點、使用範圍和(hé)方式;
(四)涉及向境外提供數(shù)據的用戶投訴及處理(lǐ)情況;
(五)國家(jiā)網信部門(mén)明(míng)确的向境外提供數(shù)據需要報告的其他情況。
第十九條 國家(jiā)網信部門(mén)會(huì)同國務院有(yǒu)關部門(mén)根據處理(lǐ)數(shù)據情況對運營者進行(xíng)數(shù)據安全評估,運營者應當予以配合。
參與安全評估的機構和(hé)人(rén)員不得(de)披露評估中獲悉的運營者商業秘密、未公開(kāi)信息,不得(de)将評估中獲悉的信息用于評估以外目的。
第二十條 運營者違反本規定的,由省級以上(shàng)網信部門(mén)和(hé)有(yǒu)關部門(mén)依照《中華人(rén)民共和(hé)國網絡安全法》等法律法規的有(yǒu)關規定進行(xíng)處罰。構成犯罪的,依法追究刑事責任。
第二十一條 本規定自2021年 月 日起施行(xíng)。