為(wei)加強個人信(xin)息和重要數(shu)據保護,規范汽車數(shu)據處理活動,根(ge����n)據《中華人民(min)共和國(guo)網絡(luo)安全法》等(deng)法律法規,國(guo)家互聯網信(xin)息辦公室會(hui)同有關(guan)部門(men)起草了《汽車數(shu)據安全管理若干規定(ding)(征(zheng)求意見稿(gao))》,現(xian)向(xiang)社(she)會(hui)公開(kai)征(zheng)求意見。公眾(zhong)可通過以下途徑和方(fang)式提(ti)出反饋意見:
1.登(deng)錄中華人民共和國司法(fa)(fa)�������部 中國政府法(fa)�������(fa)制(zhi)信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首(shou)頁主菜單的“立法(fa)(fa)意見征(zheng)集”欄(lan)目提出意見。
2.通過電子(zi)郵件方式發送(song)至:zqyj@cac.gov.cn。
3.通過信(xin)函(han)方式(shi)將(jiang)意(yi)見寄至:北京市西城區車(che)公(gong)莊大(da)街11號國家(jia)互聯網信(xin)息(xi)辦(ban)公(gong)室,郵編100044,并(bing)在信(xin)封上注明(ming)“汽車(che)數(shu����)據安全管理若干規定征(zheng)求意(yi)見”。
意見反饋(kui)截止時間為2021年6月11日(ri)。
附件:汽車(che)數據安全管理若干規定(征求(qiu)意見(jian)稿(gao))
國家互聯網信息(xi)辦公室
2021年5月12日
汽車數(shu)據安全管理若干(gan)規定(ding)
(征求意見(jian)稿)
第一條(tiao) 為了������(le�������)加(jia)強個(ge)人信息和重要數據(ju)(ju)保護,規范汽(qi)車數據(ju)(ju)處理活動,維(wei)護國(guo)家安全(quan)和公共(gong)利益(yi),根據(ju)(ju)《中華人民共(gong)和國(guo)網絡安全(quan)法(fa)》等法(fa)律法(fa)規,制定本(ben)規定。
第二(er)條 運(yun)營者在(zai)中華人民共和國境內(nei)設計、生產、銷�����(xiao)售、運(yun)維(wei)、管理汽車(che)過程中,收集、分析、存儲(chu)、傳輸、查詢、利用、刪除以及向境外(wai)提供(以下統(tong)�����稱處(chu)理)個人信息(xi)或(huo)重要數(shu)據,應當遵守相關(guan)法律(lv)法規和本規定的要求。
第三條 本規定所稱運營者指汽車設(she)計(ji)�������、制造、服務企業或者機構,包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網(wang)約車企業、保險公司等。
本規定所稱個人(ren)(ren)信(xin)息(xi)(xi)包括車(che)(che)主、駕駛人(ren)(ren)、乘車(che)(che)人(ren)�����(ren)、行人(ren)(ren)等的個人(ren)(ren)信(xin)息(xi)(xi),以(������yi)及能(neng)夠推斷個人(ren)(ren)身份、描述(shu)個人(ren)(ren)行為(wei)等的各(ge)種信(xin)息(xi)(xi)。
本規定所稱重要數據包括(kuo):
(一)軍(jun)事管理區、國(guo)防科(ke)工等(deng)涉及國(guo)家(jia)秘密的(de)單(dan)位(wei)、縣級以上(shang)黨政機關等(deng)重要敏感區域的(de����)人流車流數據(ju);
(二(er))高于國家公開發布地圖精(jing)度的測(ce)繪數據;
(三)汽(qi)車(che)充電網的運行數(shu)據(ju);
(四)道路上車輛類型、車輛流量等數(shu)據;
(五)包(bao)含人(ren)臉(lian)、聲音、車(che)牌(������pai)等的車(che)外音視頻數(shu)據;
(六��������)�����國家網信部(bu)門和國務院有關部(bu)門明確的其(qi)他可能影響(xiang)國家安全(quan)、公(gong)共利益的數據。
第四條 運(yun)營者處理個人信息或(huo)重要數據的(de)(de)目的(de)(de)應當合法、具體�������(ti)、明確,與(yu)汽車的(de)(de)設計(ji)、制造、服務(wu)直接相關。
第五條 運營者應當落實(shi)網絡安全等級保護(hu)制度,加(jia)強個人(ren)信(xin)息和重要(�������yao)數據保護(hu),依法履��������行(xing)網絡安全義務。
第六(liu)條 倡(chang)導(d�������ao)運營(ying)者處理(li)個(ge)人(ren)信息(xi)和重要數據(ju)過程中(zhong)堅持:
(一)車內處理(li)原(yuan)則,除非確(que)有必要不向車外提(ti)供(gong);
(二)匿名化處(chu)理原則,確有必要向車外提(ti)供的(de),盡可能地進(jin)行匿名�������化和脫敏處(chu)理;
(三)最小保(bao)(bao)存期限原則,根據所提供功(gong)能服(fu)務(wu)分類型確定數據保(bao)(bao)存期限������;
(四)精(jing)度范圍�������(wei)適用(yong)原則,根據所提供功能(neng)服(fu)務對數據精(jing)度的(de)要(yao)求(qiu)確定攝(she)像頭、雷(lei)達等的(de)覆蓋范圍(wei)、分辨率(lv);
(五)默(mo)認不收(shou)集原則(ze),除非(fei)確有(you)必(bi)要,每次(ci)(ci)駕駛(shi)時默(mo)認為不收(shou)集狀態(tai),駕駛(shi)人(ren)的同(tong)意授權(quan)只對本次(ci)(ci)�����駕駛(shi)有(you)效(xiao)。
第七條 運營者處(chu)理(li)(li)個人信息應當(dang)通過用戶手冊、車載顯示面板或其他適當(dang)方(fang)(fang)式(shi),告知負責處(chu)理(li)(li)用戶權益責任人的有效(xiao)聯系(xi)方(fang)(fang)式(shi),以及收集數據(ju)的類�����型,包括(kuo)車輛位置(zhi)、生物特征、駕駛����習慣、音視頻等,并提供以下信息:
(一(yi))收集每種類型數據的(de)觸發條件以及(ji)停止收集的(de)方法;
(二)收(shou)集各類(lei)型數據(ju)的(de)目的(de)、用途(tu);
(三)數據保存地(di)(di)點、期(qi)限,或者確定������(ding)保存地(di)(di)點、期(qi)限的(de)規則;
�������(四)刪除(chu)車內(nei)、請求刪除(chu)已經提供給車外(wai)的(de)個人(ren)信(xin)息的(de)方法(fa)步(bu)驟。
第八條 運營者收集和向車外提(ti)供敏感(gan)個人(ren)(ren)信息,包括(kuo)車輛位置、駕駛(shi)(shi)人(ren)(ren)或乘(cheng)車人(ren)(ren)音視頻等(deng)(��������deng),以及可以用于判(pan)斷(�������duan)違(wei)法違(wei)規駕駛(shi)(shi)的數據等(deng)(deng),應(ying)當符合以下要求:
(一)以直(zhi)接服務于駕(jia)駛人或者乘車人為(we�������i)目的,包括增強行車安全、輔助駕(jia)駛、導(dao)航、娛(yu)樂等(deng);
(二(er))默認為(wei)不收集,每(mei)次(ci)都應當征得駕駛(shi)人(ren)(ren)同意授權,駕駛(shi)結束(駕駛(shi)人(ren)(ren)離開(kai)駕駛(shi)席(xi))后(hou)本次���(ci)授權自動失(shi)效;
(三)通過車內(nei)顯示面板或語(yu)音等方式告知駕駛人和乘車人正�����(zheng)在(za����i)收集敏感個人信息;
(四(si))駕駛人能(neng)夠隨時、方便(bian)地終(zhong)止收集;
(五)允許車(che)主(zhu)方便(b�����ian)查(cha)看(kan)、結構化查(cha)詢(xun)被收(shou)集(ji)������的敏感個人信息;
(六)駕駛(shi)人要求運營者刪除時,運營者應當在2周內(nei)刪除。
第九(jiu)條 運營者收(shou)(shou)集(ji)個人(ren)信息(xi)應當取(qu)得(de)被收(shou)(shou)集(ji)人(ren)同(tong)意,法(fa)律法(fa)規規定不(bu)需取(qu)得(de)個人(ren)同(tong)意的除外。實(shi)踐上難以實(shi)現(xian)的(如通(tong)過攝像頭收(shou)(shou)集(ji)車外音視頻信息(xi)),且確需提(ti)供(gong)的,應當進行(xing)匿名化或(huo)脫敏處理,包括刪(shan)除含有能(neng)夠識別自(zi)然人(ren)的畫面(mian)(mia������n),或(huo)對這些畫面(mian)(mian)中的人(ren)臉等進行(xing)局(ju)部輪廓化處理等。
第十條(tiao) 僅當為了方便用戶使用、增加車(che)������輛電子������和(he)信息系統安(an)全性(xing)等(deng)目的,方可收集駕(jia)駛人(ren)指紋、聲紋、人(ren)臉、心(xin)律等(deng)生物特征數據,同時應當提(ti)供生物特征的替代方式。
第十一(yi)條 運營(ying)者(zhe)處理重要數(shu)據,應當提前向省(shen�������g)級網信(xin)部(bu)(bu)門和有關部(bu)(bu)門報告數(shu)據類型(xing)、規模、范圍、保存地點(dian)與時限、使(sh��������i)用方式(shi),以及(ji)是否(fou)向第三(san)方提供(gong)等(deng)。
第十二條(tiao) 個人信息或者(zhe)重要數(shu)(s������hu)據應(ying)當依法在境內存儲,確需(xu)向境外提供的(de),應(ying)當通過國家網信部門�������組織的(de)數(shu)(shu)據出境安全評(ping)估。
我國(guo)參與(yu)(yu)的(de)或者與(yu)(yu)其(qi)他�������(ta)國(guo)家和(he)地區、國(guo)際組織締結的�����(de)條(tiao)約、協議等對向境外提(ti)供個人信(xin)息有明確規定(ding)的(de),適用其(qi)規定(ding),我國(guo)聲明保留的(de)條(tiao)款(kuan)除外。
第十三條 運營者向境外提供個人信息或者重要(yao)數(shu)據的,應(ying)當(dang)采取有效措施明(ming)確(que)和監督接收者按照雙方約(yue)定的目的、范圍、方式使用(yong)數(shu)����據,保(bao)證(zheng)數(shu)據安全。
第十四條 運(yun)營(ying)者向境外提供個人信息或者重(zhong)要(yao)數據的,應當接受和處理所涉及的用戶投(tou)訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相(xia�������ng)應責任。
第十五條 運(yun)營者不得超(chao)出出境(jing)安全評(ping)估時明確的�������目的、范圍、方式和數據類(lei)型、規模等,向境(jing)外(wai)提供(gong)個人(ren)信(xin)息或重(zh�������ong)要數據。
國家網信(xin)部門會同國務(wu)院有關部門以(yi)抽查方式核驗向(xia����ng)境外(wai)提(ti)供個人信(xin)息或(huo)重要數據的(de)類型、范圍等,運(yun)營者應當以(yi)明文(wen)、可讀方式予(yu)以(yi)展(zhan)示。
第十六條 科(ke)研和(he)商(shang)業(ye)合作伙伴(ban)需要查詢利用境內(nei)存儲的(de)個人信息和(he)重要數(shu)據的(de),運營者(zhe)應當采取有效措施(shi)保證數(shu)據安(an)全(quan),防止流失;嚴格限制(zhi)對重要數(shu)據以(yi)(yi)及車輛位(wei)置(zhi)、生物特征、駕(ji��������a)駛(shi)(shi)人或者(zhe)乘車人音視頻,以(yi)(yi)��������及可以(yi)(yi)用于判斷違法違規駕(jia)駛(shi)(shi)的(de)數(shu)據等敏(min)感數(shu)據的(de)查詢利用。
第十七條 處(chu)理個人信息(xi)涉及(ji)個人信息(xi)主(zhu)體超過10萬人、或者處(chu)理重要數據的(de)運(yun)營者,應(y��������ing)當在每年十二月十五日前將年度數據安全管(guan)理情況報省(sheng)級網信部門和有關部門,內容包括:
(一)數據安全負(fu)責(ze)(ze)人(ren�����)以(yi)及負(fu)責(ze)(ze)處理用戶(hu)權益相關事務責����(ze)(ze)任人(ren)的姓名和聯(lian)系(xi)方式;
(二(er))處理(li)數(shu)據的類型(xing)、規(gui)模(mo)、目的及必要性;
(三)數據的安全防護和管理措施(shi),包括保存地點、期限(xian)等;
(四)與境(jing)內第三(san)方共享數據情況(kuang);
(五)數據安全事(shi)故及(ji)處理情況;
(�����六)與個人信息(xi)和(he)數據相關(guan)的用(yong)戶(hu)投(tou)訴及處(chu)理情況;
(七)國家網信部門(men)明確的其他(ta)數據安全情況。
第十八條 如果存在(zai)(zai)向(xiang)境外提供數據的情況,運營者應當在(zai)(zai)本規定第(di)十七條基礎(chu)上,報告(ga�����o)以下情況:
(一)接收者(zhe)的名稱和聯(lian)系方式(shi);
(二)出境數(shu)據的類型、數(shu)量(liang)及目的;
(三)數據在(zai)境外的(de)存放(fang)地(di)點(dian)、使用范����圍和(h��������e)方(fang)式;
(四(si))涉(she)及向境外提(ti)供數據的用�������戶投(tou)訴(su)及處理情況(kuang);
(五)國家(jia)網信部門明確的(de)(de)向境(jing)外提供數(shu)據(ju)需要報告(gao)的(d������e)(de)其(qi)他情況。
第十九條 國(guo)家(jia)網信部(bu)門(men)會(hui)同國(guo)務��������院有(you)關部(bu��������)門(men)根據(ju)處理數據(ju)情況對運營者進行(xing)數據(ju)安全評估(gu),運營者應當予以配合。
參����與安(an)全評(ping)估(gu)的機構(gou)和人員不得(de)披露評(ping)估(gu)中(zhong)獲悉(xi)的運營(ying)者商業(ye)秘密、未(wei)公開信(xin)息(xi)(xi),不得(de)將評(ping)估(gu)中(zhong)獲悉(xi)的信(xin)息(xi)(xi)用于評(ping)估(gu)以外(wai)目(mu)的。
第二十條 運營者違反本規定(ding)的,由省級以上網(wang)信部門和有關(guan)部門依(yi)照《中(zhong)華(hua)人民共(g�����ong)和國網(wang)絡安全法》等法律法規的有關(guan)規定(ding)進行(xing)處罰。構成犯罪的,�����依(yi)法追究刑(xing)事責任。
第二十(shi)一(yi)條 本規(gui)定自2021年 月 日起(qi)施行。
