汽車數據安全管理若幹規定(試行)
2022-03-21
國(guó)家互聯網信息辦公室
中華人民共和國(guó)國(guó)家發(fā)展和改革委員會
中華人民共和國(guó)工業和信息化部
中華人民共和國(guó)公安部
中華人民共和國(guó)交通運輸部
令
第7号
《汽車數據安全管理若幹規定(試行)》已經(jīng)2021年7月5日國(guó)家互聯網信息辦公室2021年第10次室務會議審議通過(guò),并經(jīng)國(guó)家發(fā)展和改革委員會、工業和信息化部、公安部、交通運輸部同意,現予公布,自2021年10月1日起(qǐ)施行。
國(guó)家互聯網信息辦公室主任 莊榮文
國(guó)家發(fā)展和改革委員會主任 何立峰
工業和信息化部部長(cháng) 肖亞慶
公安部部長(cháng) 趙克志
交通運輸部部長(cháng) 李小鵬
2021年8月16日
汽車數據安全管理若幹規定(試行)
第一條 爲了規範汽車數據處理活動,保護個人、組織的合法權益,維護國(guó)家安全和社會公共利益,促進(jìn)汽車數據合理開(kāi)發(fā)利用,根據《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國(guó)境内開(kāi)展汽車數據處理活動及其安全監管,應當遵守相關法律、行政法規和本規定的要求。
第三條 本規定所稱汽車數據,包括汽車設計、生産、銷售、使用、運維等過(guò)程中的涉及個人信息數據和重要數據。
汽車數據處理,包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等。
汽車數據處理者,是指開(kāi)展汽車數據處理活動的組織,包括汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構以及出行服務企業等。
個人信息,是指以電子或者其他方式記錄的與已識别或者可識别的車主、駕駛人、乘車人、車外人員等有關的各種(zhǒng)信息,不包括匿名化處理後(hòu)的信息。
敏感個人信息,是指一旦洩露或者非法使用,可能(néng)導緻車主、駕駛人、乘車人、車外人員等受到歧視或者人身、财産安全受到嚴重危害的個人信息,包括車輛行蹤軌迹、音頻、視頻、圖像和生物識别特征等信息。
重要數據是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能(néng)危害國(guó)家安全、公共利益或者個人、組織合法權益的數據,包括:
(一)軍事(shì)管理區、國(guó)防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據;
(二)車輛流量、物流等反映經(jīng)濟運行情況的數據;
(三)汽車充電網的運行數據;
(四)包含人臉信息、車牌信息等的車外視頻、圖像數據;
(五)涉及個人信息主體超過(guò)10萬人的個人信息;
(六)國(guó)家網信部門和國(guó)務院發(fā)展改革、工業和信息化、公安、交通運輸等有關部門确定的其他可能(néng)危害國(guó)家安全、公共利益或者個人、組織合法權益的數據。
第四條 汽車數據處理者處理汽車數據應當合法、正當、具體、明确,與汽車的設計、生産、銷售、使用、運維等直接相關。
第五條 利用互聯網等信息網絡開(kāi)展汽車數據處理活動,應當落實網絡安全等級保護等制度,加強汽車數據保護,依法履行數據安全義務。
第六條 國(guó)家鼓勵汽車數據依法合理有效利用,倡導汽車數據處理者在開(kāi)展汽車數據處理活動中堅持:
(一)車内處理原則,除非确有必要不向(xiàng)車外提供;
(二)默認不收集原則,除非駕駛人自主設定,每次駕駛時默認設定爲不收集狀态;
(三)精度範圍适用原則,根據所提供功能(néng)服務對(duì)數據精度的要求确定攝像頭、雷達等的覆蓋範圍、分辨率;
(四)脫敏處理原則,盡可能(néng)進(jìn)行匿名化、去标識化等處理。
第七條 汽車數據處理者處理個人信息應當通過(guò)用戶手冊、車載顯示面(miàn)闆、語音、汽車使用相關應用程序等顯著方式,告知個人以下事(shì)項:
(一)處理個人信息的種(zhǒng)類,包括車輛行蹤軌迹、駕駛習慣、音頻、視頻、圖像和生物識别特征等;
(二)收集各類個人信息的具體情境以及停止收集的方式和途徑;
(三)處理各類個人信息的目的、用途、方式;
(四)個人信息保存地點、保存期限,或者确定保存地點、保存期限的規則;
(五)查閱、複制其個人信息以及删除車内、請求删除已經(jīng)提供給車外的個人信息的方式和途徑;
(六)用戶權益事(shì)務聯系人的姓名和聯系方式;
(七)法律、行政法規規定的應當告知的其他事(shì)項。
第八條 汽車數據處理者處理個人信息應當取得個人同意或者符合法律、行政法規規定的其他情形。
因保證行車安全需要,無法征得個人同意采集到車外個人信息且向(xiàng)車外提供的,應當進(jìn)行匿名化處理,包括删除含有能(néng)夠識别自然人的畫面(miàn),或者對(duì)畫面(miàn)中的人臉信息等進(jìn)行局部輪廓化處理等。
第九條 汽車數據處理者處理敏感個人信息,應當符合以下要求或者符合法律、行政法規和強制性國(guó)家标準等其他要求:
(一)具有直接服務于個人的目的,包括增強行車安全、智能(néng)駕駛、導航等;
(二)通過(guò)用戶手冊、車載顯示面(miàn)闆、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對(duì)個人的影響;
(三)應當取得個人單獨同意,個人可以自主設定同意期限;
(四)在保證行車安全的前提下,以适當方式提示收集狀态,爲個人終止收集提供便利;
(五)個人要求删除的,汽車數據處理者應當在十個工作日内删除。
汽車數據處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識别特征信息。
第十條 汽車數據處理者開(kāi)展重要數據處理活動,應當按照規定開(kāi)展風險評估,并向(xiàng)省、自治區、直轄市網信部門和有關部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種(zhǒng)類、數量、範圍、保存地點與期限、使用方式,開(kāi)展數據處理活動情況以及是否向(xiàng)第三方提供,面(miàn)臨的數據安全風險及其應對(duì)措施等。
第十一條 重要數據應當依法在境内存儲,因業務需要确需向(xiàng)境外提供的,應當通過(guò)國(guó)家網信部門會同國(guó)務院有關部門組織的安全評估。未列入重要數據的涉及個人信息數據的出境安全管理,适用法律、行政法規的有關規定。
我國(guó)締結或者參加的國(guó)際條約、協定有不同規定的,适用該國(guó)際條約、協定,但我國(guó)聲明保留的條款除外。
第十二條 汽車數據處理者向(xiàng)境外提供重要數據,不得超出出境安全評估時明确的目的、範圍、方式和數據種(zhǒng)類、規模等。
國(guó)家網信部門會同國(guó)務院有關部門以抽查等方式核驗前款規定事(shì)項,汽車數據處理者應當予以配合,并以可讀等便利方式予以展示。
第十三條 汽車數據處理者開(kāi)展重要數據處理活動,應當在每年十二月十五日前向(xiàng)省、自治區、直轄市網信部門和有關部門報送以下年度汽車數據安全管理情況:
(一)汽車數據安全管理負責人、用戶權益事(shì)務聯系人的姓名和聯系方式;
(二)處理汽車數據的種(zhǒng)類、規模、目的和必要性;
(三)汽車數據的安全防護和管理措施,包括保存地點、期限等;
(四)向(xiàng)境内第三方提供汽車數據情況;
(五)汽車數據安全事(shì)件和處置情況;
(六)汽車數據相關的用戶投訴和處理情況;
(七)國(guó)家網信部門會同國(guó)務院工業和信息化、公安、交通運輸等有關部門明确的其他汽車數據安全管理情況。
第十四條 向(xiàng)境外提供重要數據的汽車數據處理者應當在本規定第十三條要求的基礎上,補充報告以下情況:
(一)接收者的基本情況;
(二)出境汽車數據的種(zhǒng)類、規模、目的和必要性;
(三)汽車數據在境外的保存地點、期限、範圍和方式;
(四)涉及向(xiàng)境外提供汽車數據的用戶投訴和處理情況;
(五)國(guó)家網信部門會同國(guó)務院工業和信息化、公安、交通運輸等有關部門明确的向(xiàng)境外提供汽車數據需要報告的其他情況。
第十五條 國(guó)家網信部門和國(guó)務院發(fā)展改革、工業和信息化、公安、交通運輸等有關部門依據職責,根據處理數據情況對(duì)汽車數據處理者進(jìn)行數據安全評估,汽車數據處理者應當予以配合。
參與安全評估的機構和人員不得披露評估中獲悉的汽車數據處理者商業秘密、未公開(kāi)信息,不得將(jiāng)評估中獲悉的信息用于評估以外目的。
第十六條 國(guó)家加強智能(néng)(網聯)汽車網絡平台建設,開(kāi)展智能(néng)(網聯)汽車入網運行和安全保障服務等,協同汽車數據處理者加強智能(néng)(網聯)汽車網絡和汽車數據安全防護。
第十七條 汽車數據處理者開(kāi)展汽車數據處理活動,應當建立投訴舉報渠道(dào),設置便捷的投訴舉報入口,及時處理用戶投訴舉報。
開(kāi)展汽車數據處理活動造成(chéng)用戶合法權益或者公共利益受到損害的,汽車數據處理者應當依法承擔相應責任。
第十八條 汽車數據處理者違反本規定的,由省級以上網信、工業和信息化、公安、交通運輸等有關部門依照《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》等法律、行政法規的規定進(jìn)行處罰;構成(chéng)犯罪的,依法追究刑事(shì)責任。
第十九條 本規定自2021年10月1日起(qǐ)施行。
