|
汽车数据安全管理若干规定(征求意见稿)时间:2021-05-18 汽车数据安全管理若干规定(征求意见稿)
第一条 为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。 第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。本规定所称个人信息包括车主、驾驶人、乘车人、行人等的 本规定所称重要数据包括: (一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据; (二)高于国家公开发布地图精度的测绘数据; (三)汽车充电网的运行数 (四)道路上车辆类型、车辆流量等数据; (五)包含人脸、声音、车牌等的车外音视频数据; (六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。 第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。 第六条 倡导运营者处理个人信息和重要数据过程中坚持: (一)车内处理原则,除非确有必要不向车外提供; (二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理; (四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率; (五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。 第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息: (二)收集各类型数据的目的、用途; (四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。 第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用 (二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效; (三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息; (六)驾驶人要求运营者删除时,运营者应当在2周内删除。 第九条 运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。 第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。 第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。 第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。 第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。 第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。 第十六条 科和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以 第十七条 处理个人信息涉及个人信息主体超过10万人、或者处 (一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式; (六)与个人信息和数据相关的用户投诉及处理情况; (七)国家网信部门明确的其他数据安全情况。 第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况: (三)数据在境外的存放地点、使用范围和方式; (四)涉及向境外提供数据的用户投诉及处理情况; (五)国家网信部门明确的向境外提供数据需要报告的其他情况。 第二十条 运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。 第二十一条 本规定自2021年 月 日起施行。 (来源:国家互联网信息办公室) |