國家互聯網信息辦公室關于《汽車數據安全管理若干規定(征求意見稿)》公開征求意見的通知
為加強個人信息和(he)重要數據保護,規(gui����)(gui)范汽(qi)車(che)(che)數據處理活動,根據《中華人民共和(he)國網(wang)絡安全(quan)法》等法律法規(gui)(gui),國家互聯網(wang)信息辦公室(shi)會(hui)同有(you)關部門起草了《汽(qi)車(che)(che)數據安全(quan)管理若干(gan)規(gui)(gui)定(征(zheng)(zheng)求意見(jian)稿)》,現向社會(hui)公開征(zheng)(zheng)求意見(jian)。公眾可通過以下途徑和(he)方式提出(chu)反(fan)饋意見(jian):
1.登錄(lu)中華人(ren)民共和國司法部 中國政(zheng)府法制信息(xi)網(www.moj.gov.cn、www.chinalaw.gov.cn),進入(ru)首頁主菜單的(de)“立法意見(jian)(jian)征集”欄目提出意見��������(jian)(jian)。
2.通(tong)過(guo)電子郵件方式(shi)發送至:zqyj@cac.gov.cn。
3.通過(guo)信(xin)函方式(shi)將意見寄至:北京市西城區車公(gong)莊大街11號國家互(hu)聯網(wang)信(xin)息辦公(gong)室,郵(you)編100044,并在信(xin)封上注(zhu)明“������汽車數據(ju)安全管(guan)理若干規定征(zheng)求意見”。
意(yi)見反饋截止時(shi)間為2021年6月11日。
附(fu)件:汽車數據安全管理若(ruo)干規定(ding)(征求意見稿)
國家互聯網信息辦(ban)公(gong)室
2021年5月12日(ri)
汽車(che)數據安全(quan)管理(li)若干(gan)規定
(征(zheng)求意見稿)
第一條 為了加強個(ge)人信(xin)息和(he)(he)重要數(sh������u)據保護,規(gui)(gui)范汽車數(shu)據處理(li)活動,維護國(guo)家安(an)全(quan)(quan)和(he)(he)公(gong)共(gong)利益,根據《中(zhong)華(hua)人民共(gong)和(he)(he)國(guo)網(����wang)絡安(an)全(quan)(quan)法》等法律法規(gui)(gui),制定本(ben)規(gui)(gui)定。
第二(er)條 運營者在中�������(zhong)華人民共和國境內設(she)計(ji)、生產、銷售(shou)、運維、管理汽車過程中(zhong),收集(ji)、分析(xi)、存儲、傳輸(shu)、查詢、利用、刪除以及向境外提供(gong)(以下統稱處理)個人信(xin)息或重要(yao)數據(ju),應當遵守(shou)相(xiang)關法律法規和本規定的要(yao)求(qiu)。
第(di)三條(tiao) 本規(gui)定所稱運營者指汽(qi)車設計、制(zhi)造、服務企業或�����者機(ji)構(gou),包括汽(qi)車制(zhi)造商、部(bu)件和軟件提供者、經銷(xiao)商、維修機(ji)構(gou)、網約車企業、保險公司(si)等。
本規定(ding)所稱個(ge)人(ren)信(xin)(xin)息包括車主、駕駛(shi)人(ren)、乘(cheng)車人(ren)、行人(ren)等的(de)(de)個(ge)人(ren)信(xin)(xin)息,以及能夠(gou)推斷個(ge)人(ren)身份、描述個(ge)人(ren)行為等的(de)(����de)各種信(xin)(xin)息。
本規定所稱重要數據包(bao)括(kuo):
(一)軍事管理區(qu)、國(guo)防科工等(deng)涉(she)及國(guo)家秘密的單位(wei)、縣(xian)級以(yi)上(shang)黨政(zheng)機關等(deng)重要敏感區(qu)域(yu)的人(ren)流(liu)(liu)車流(liu)(liu)數據���������������;
(二)高于國家(jia)公開發布地(di)圖精度的測繪數據;
(三)汽車(che)充電網(wang)的(de)運行數(shu)據(ju);
(四)道路上車輛類型、車輛流量等數(shu)據(ju);
(五)包含人(ren)臉、聲音、車(che)牌等的車(che)外音視頻數據(ju);
(六)國家網信部(bu)門和國務院有(you)關部(bu)門明確的其(qi)���他(ta)可能影響國家安全(quan)、公共(gong)利益(yi)������的數據。
第四條 運(yun)營者處(chu)理(li)個人信息或重要數據的目的應(ying)當(dang)合(he)法、具體、明�������確,與(yu)汽車的設計、制(zhi)造、服(fu)務直接相關(guan)。
第五條 運(yun)營(ying)者應(ying)當落實網絡(luo)安全等級保(bao)護(hu)制(zhi)度,加強個人�����信(xin)息和重要(yao)數(shu)據保(bao)護(hu),依法履行網絡(luo)安全義務(wu)。
第(di)六條 倡導運營(ying)者處理個人信息和重要數(shu)據過程中堅持:
(一)車(che)內處理原則,除非確有必要不向車(che)外提供;
(二)匿名化(hua)處(chu)(chu)理(li)原������則,確有必要向車外提供的,盡可能(neng)地(di)進行匿名化(hua)和(he)脫敏處(chu)(c��������hu)理(li);
(三)最小保存(cun)期(qi)限原則,根據(ju)���������(ju)所提(ti)供(gong)功能(neng)服(fu)務分類型確定數據(ju)(ju)保存(cun)期(qi)限;
(四)精度范圍適用原則,根(gen)據所(suo)提(ti)供功能(neng)服務對(dui)數(shu)據精度的(de)(de)要求確定攝(she)像������頭、雷達等的(de)(de)覆蓋范圍、分辨(bian)率�������;
(五)默認(ren)不收集原則,除(chu)非確有(you)必要,每(mei)次(ci)駕駛時默認(ren)為不收集狀�������態,駕駛人(ren)的(de)同意授權只對本次(ci)駕駛有(you)效。
第七條 運營者處(chu)理(li)個(ge)人信息(xi)應當(dang)通過用(yong)戶(hu)手冊、車載(zai)顯(xian)示面板或其(qi)他適當(dang)方式,告(gao)知負(fu)責處(chu)理(li)用(yong)戶(hu)權益(yi)責任人的����有效聯系方式,以及收(shou)集(ji)數據的類型,包(bao)括車輛位(wei)置、生物(wu)特征、駕駛習慣、音視頻(pin)等,并提(ti)供以下(xia)信息(xi):
(一)收集每(mei)種類型數據(ju)的(de)觸發條件(jian)以及停止收集的(de)方法;
(二)收集(ji)各(ge)類(lei)型(xing)數據的目的、用途;
(三(san))數據(ju)保存地(di)點、期(qi)限,或者(zhe)確定保存地(di)點、������期(qi)限的規則;
(四(si))刪(shan)除車內、請(qing)求刪(shan)除�������已經提(ti)供給車外的個人(ren)信息的方法(fa)步驟(zou)。
第(di)八(ba)條(tiao) 運營(ying)者收集和向(x������iang)車(che)外提供(gong)敏感個人信息,包括車(che)輛(liang)位置(zhi)、駕駛人或乘車(che)人音視頻(pin)等(deng),以(yi)及可(ke)以(yi)用于判斷(duan)違法違規駕駛的(de)數據�����等(deng),應當(dang)符合以(yi)下要求(qiu):
(一)以(yi)直接服務于駕(jia)駛人或者乘車人為(wei)目的,包括增強行車安(an)��������全、輔助(zhu)駕(jia)駛、導(dao)航、娛������樂等;
(二)默認為(wei)不收集(ji),每(mei)次(ci)都應當征得駕駛人同意(yi)授�����權,駕駛結束(駕駛人離開駕駛席)后本(ben)次����(ci)授權自動失效;
(三)通過車(��������che)內顯示面板或語音等方式(shi)告知駕(jia)駛人和乘車(che)人正(zheng)在收(shou)集敏感個人信息;
(四)駕駛(shi)人能夠隨(sui)時、方便地終止收集(ji);
(五)允許(xu)車(che)主方便查(cha)看、結(jie)������構(gou)化(hua)查(cha)詢被收(shou)集的(de)敏感個人信息(xi);
(六)駕駛人要求運(yun)營者(zhe)刪除時,運(yun)營者(zhe)應當(dang)在2周內(ne�����i)刪除。
第九條 運營者收集(ji)個人(ren)信息應當(dang)取得被收集(ji)人(ren)同意,法�����(fa)律法(fa)規規定不需取得個人(ren)同意的(de)除外(wai)(wai)。實踐(jian)上難以實現的(de)(如通過攝像(xiang)頭收集(ji)車(che)外(wai)(wai)音(yin)視(�����shi)頻信息),且確需提(ti)供的(de),應當(dang)進(jin)行匿名化或脫敏處理(li)(li),包括(kuo)刪除含有能(neng)夠識別自然人(ren)的(de)畫面,或對這些畫面中的(de)人(ren)臉(lian)等進(jin)行局部輪廓化處理(li)(li)等。
第十(shi)條 僅當(dang)������(dang)為了方(fang)便用戶使(shi)用、增(zeng)加車輛電(dian)子和(he)信息系統安全性(xing)等目的,方(fang)可收(shou)集駕駛(shi)人指(zhi)紋、聲(sheng)紋、人臉(lian)、心律等生(sheng)物特征數據,同時(shi)應當(dang)(dang)提供(gong)生(sheng)物特征的替(ti)代方(fang)式。
第(di)十一條 運營者處理重要數據(ju),應當提(ti)(ti)前向省級網信(xin)部門和有(you)關(guan)部門報告數據(ju)類型、規模、范圍(wei�����)、保存地點與(yu)時限、使(s������hi)用方(fang)式,以及是否向第三方(fang)提(ti)(ti)供等(deng)。
第十二條(tiao) 個人信(xin)息或者重要(yao)數據應當依法在境(jing)內存儲,確需(xu)向(xiang)境(jing)外提供的,應當通過國���家網信(xin)部門組織的數據出境������(jing)安全評估(gu)。
我國參與(yu)的或者與(yu)其(qi)他國家和地(di)區、國際(ji)組織締結的條(������tiao)約、協議等對(dui)向境外(wai)(wai)提供個人信息有明確規(gui)定(ding)的,適(shi)用其(qi)規(gui)定(ding),我國聲明保留(liu)的條(tiao)款除(chu)外(wai)(wai)。
第十三條 運營(ying)者向境(jing)外提供(gong)個人信息或(huo)者重要數(shu)據(ju)(ju)的(de),應當采(cai)取有效措施明確和監督接收者按(an)照雙方約定的(d���e)目的(de)、范圍、方式使用數(shu)據(ju)(ju),保證數(shu)據(ju)(ju)安(an)全(quan)。
第十(shi)四條 運營者向(xiang)境外(wai)提供個人信息或(huo������)者重要(yao)數據的(de),應(ying)當(dang)接受(shou)和處(chu)理所涉及的(de)用戶投訴;造成用戶合法權益或(huo)公共利(li)益受(shou)到損害的(de),應(ying)當(dang)依(yi)法承(cheng)擔相應(ying)責任。
第十五條(tiao) 運營(ying)者不得超(chao)出出境(jing)(jing)安全評估(gu�����)時明確的目的、范圍(wei)、方式和數據類型、規模等,向境(jing)(������jing)外提供(gong)個人信息或重要數據。
國家網信部門會(hui)同國務院有關部門以(yi)抽查方式(shi)(sh���������i)�������核驗向(xiang)境(jing)外提供(gong)個人(ren)信息或重要數據(ju)的類型、范圍(wei)等,運營者應當以(yi)明文、可(ke)讀方式(shi)(shi)予以(yi)展示。
第十六條 科研和商業合(he)作伙伴需要(yao)(yao)查詢利用(yong)境(jing)內存(cun)儲����的個人信息(xi)和重要(yao)(yao)數(shu)據的,運營者(zhe)(zhe)應當(dang)采取有效措(cuo)施保證數(shu)據安全(quan),防止(zhi)流失;嚴格限制對重要(yao)(yao)數(shu)據以及(ji)車輛位置、生(sheng)物特征、駕(jia)駛人或者(zhe)(zhe)乘車人音視(shi)頻,以及(ji)可以用(yong)于判斷違法違規(gui)駕(jia)駛的數(shu)據等敏感數(shu)據的查詢利用(yong)。
第十七條 處理個人信息(xi)(xi)涉(she)及個人信息(xi)(xi)主體超過10萬(wan)人、或者(zhe)處理重要數據的運營(ying)者(zhe),應當在每(mei)年十二月十五(wu)日前將年度數據安(an)全(quan)管理情況(kuang)報省級網信部門(������men)和有(you)關部門(men),內(nei)容包括(kuo):
(一)數(shu)據安全負(fu)責(ze)人(ren)以及(ji)負(fu)責(�����ze)處理(li)用戶(hu)權益相關事(shi)務責(z������e)任(ren)人(ren)的姓名和聯系方式;
(二(er))處理數據的類型、規模、目的及必(bi)要性;
(三(san))數據的(de)安全防護和管理措施,包括保存地(di)點、期限等;
(四(si))與境(jing)內第三(san)方共(gong)享(xiang)數據(ju)情況;
(五(wu))數據安全事(shi)故及處(chu)理情(qing)況(kuang);
(六)與個(ge)人信息和數據(ju)相關(guan)的用戶投訴及處理情況;
(七)國家(jia)網信(xin)部(bu)門明確的其他(ta)數據安全(quan)情況。
第十(shi)八條 如果存(cun)在(zai)向境外提供數(shu)據的情(qing)������況,運營(ying)者應當在(zai)本(ben)規定第十七條基礎上,報告以下情(qing)況:
(一)接收者的(de)名稱和聯系(xi)方式;
(二)出境數(shu)據的類型(xing)、數(shu)量及目的;
(三)數(shu)據在(zai)境外的存放地點、使用范圍(wei)和(he)方(fang)式;
