汽車數據安全(quan)管理若干規定(試行)
國家互聯網信(xin)息辦公(gong)室
中(zhong)華人民共和國(guo)國(guo)家發(fa)展和改(gai)革委(wei�����)員會(hu������i)
中華人民(min)共和國工業和信息化部
中華人(ren)民共(gong)和(he)國公安(an)部
中華人(ren)民(min)共和國交(jiao)通運輸部
令(ling)
第7號(hao)
《汽車數據安(an)全管理若干規定(試行)》已經2021年(nian)7月5日(ri)國(guo)家(jia)互(hu)聯網信息辦公(gong)室(shi)2021年(nian)第(di)10次(ci)室(shi)務(wu)會(hui)議審議通過,并經國(guo)家(jia)發展和(he)改革委員會(hui)、工業和(he)信息�����化部(bu)、公(gong)安(an)部(bu)、交通運輸部(bu)同意,現(xian)予公(gong)布,自2021年(nian)10月1日(ri)起施行。
國(guo)家互(hu)聯網信(xin)息辦公室(shi)主任 莊榮(rong)文(wen)
國家(jia)發展(zhan)和(he)改革委員會(hui)主任 何立峰(feng)
工(gong)業和(he)信息化(hua)部(bu)部(bu)長(chang) 肖亞(ya)慶
公安部(bu)部(bu)長 趙克(ke)志(zhi)
交通運輸部部長 李小鵬
2021年8月16日
汽車(che)數(shu)據安全管(guan)理若干規定(試行)
第一條 為了規(gui)(gui)范汽(qi)車數(shu)據處理活動,保(bao)護個(ge)人(ren)、組織的(de)合法(fa)權益,維護國(guo)家安(an)全和(he)社會公共(gong)利益,促進汽(qi)車數(shu)據合理開發(fa)利用,根據《中華人(ren)民共(gong)和(he)��������國(guo)網絡安(an)全法(fa)������》、《中華人(ren)民共(gong)和(he)國(guo)數(shu)據安(an)全法(fa)》等(deng)法(fa)律、行政法(fa)規(gui)(gui),制(zhi)定本(ben)規(gui)(gui)定。
第二(er)條 在(zai)中華人民(min)共和(he)國境內開展(zhan)汽車數據處(chu)理(li)活(h�������uo)動������及(ji)其安全監管,應當(dang)遵守相關(guan)法律、行政法規和(he)本(ben)規定的要(yao)求。
第三條(tiao) 本規(gui)定所稱汽(�������qi)車數據(ju),包括汽(qi)車設計(ji)、生產、銷(������xiao)售、使用、運維等過程中的涉及個人信息數據(ju)和(he)重要數據(ju)。
汽車數(shu�����������)(shu)據處理,包括汽車數(shu)(shu)據的收(shou)集、存儲、使用、加工、傳(chuan)輸、提(ti)供、公開等。
汽(qi)車數據處理(li)者,是指開展汽(qi)車數據處理(li)活動的(de)組織,包括汽(qi)車制造(zao)商、零(ling)部件和軟件供應商�����、經銷商、維修機(ji)構(gou)以及出行服務企(qi)�������業等。
個(ge)人信息(xi),是指(zhi)以(yi)電子或者其他方(fang)式記(ji)錄的(de)與已識(shi)別(bie)或者可識(shi)別(bie)的(de)車(�����che)主、駕駛人、乘車(che)人、車(che)外人員(yuan)等有(you)關的(de)各種信息(xi),不包括匿名(ming)化處理后(hou)的(de)信息(xi)。
敏感個(ge)人(ren)信(xin)(xin)息(xi),是指一旦泄露(lu)或者非法使(shi)用,可能導(dao)致(zhi)車主、駕駛(shi)人(ren)、乘(cheng)車人(ren)、車外人(ren)員等(deng)受(shou)到歧(qi)視或者人(ren)身、財(cai)產(chan)安全(quan)受(shou)到嚴重危害的(de)個(ge)人(ren)信(xin)������(xin)息(xi),包括車輛(liang)行(xing)蹤軌跡、音頻、視頻、圖像和生物識別(bie)特征(zheng)等(deng)信(xin)(xin)息(xi)。
重(zhong)要數據(ju)是指一旦(dan)遭到篡(cuan)改、破壞、泄露或(huo)����者(zhe)非法獲取、非法利(li)用,可能(neng)危害國家安(an����)全、公共(gong)利(li)益(yi)或(huo)者(zhe)個人(ren)、組織(zhi)合法權益(yi)的數據(ju),包括(kuo):
(一)軍(jun)事管(guan)理區、國防����(fang)科工單位以及縣(xian)級以上黨政機(ji)關等(deng)重要敏感(gan)區域的地理信(xin)息、人員流(liu)量(liang�����)、車輛(liang)流(liu)量(liang)等(deng)數據;
(二)車輛流(liu)量、物流(liu)等反(fa�����n)映(ying)經濟運行情(qing)況的數據(ju);
(三)汽車(che)充電網的運行數(shu)據;
(四)包含人(ren)臉信(xin)息、車牌信(xin)息等的車外視(shi)頻、圖像數據;
(五)涉及個(ge)人信(xin)息主體超過10萬人的個(ge)人信(xin)息;
(六)國家(jia)(jia)網信部(bu)門(men)和(he)國務院發展改革、工業和(he)信息化、公安、交�����通(tong)運輸等有(you)關部(bu)門(men)確定的(de)其他可能(neng)危害國家(jia)(jia)安全、公共利益或(huo)者個人、組織(zhi)合法權益的(de)數據。
第四條 汽車數據處理(li)(li)者(zhe)處理(li)(li)汽車數據應當合法(fa�������)、正當、具體、明(ming)確(que),與汽車的設(she)計、生產、銷(xiao)售、使用、運維等直接相(xiang)關。
第五(wu)條 利用互聯網(wang)(wang)等(deng)信息網(wang)(wang)絡(luo)開展汽(qi)(qi)車數(shu)據(ju)處理�����(li)活(huo)動(dong),應當落實網(wang)(wang)絡(luo)安全等(deng)級保(bao)護等(deng)制(zhi)度,加強汽(qi)(qi)車數(shu)據(ju)保(bao)護,依法履行數(shu)據(ju)安全義(yi)務。
第(di)六條(tiao) 國(guo)家(jia)鼓勵(li)汽(qi)車(che)(che)數據依法合理(li)有效利用,倡導(dao)汽(qi)車(che)(che)數據處理(li)者在開展(zhan)汽(qi)車(che)(che)數據處理(�������li)活(huo���)動(dong)中堅持:
(一(yi))車(che)內處理原(yuan)則������,除(chu)非確有(you)必要(yao)不向車(che)外提供;
(二)默認不收集����原則,除非駕駛人自主設定,每次駕駛時(shi)默認設定為不收集狀(zhuang)態;
(三)精度(du)范圍(wei)適用原則(ze),根據所提供功能服(fu)務對(dui)數�����據精度(du)的(de)(de)要求(qiu)確定攝像頭、雷達���������等的(de)(de)覆蓋范圍(wei)、分(fen)辨率(lv);
(四)脫敏處理(li)原則,盡可能進(jin)行匿名化、去標識(shi)化等處理(li)。
第(di)七條(tiao) 汽(qi)車數據處理(li)者處理(li)個(ge)人(ren)(ren)信息應當通(tong)過(guo)用戶手(shou)冊、車載顯(xian)示面板������、語音、汽(qi)車使用相關應用程(cheng)序等顯(xian)著方式,告知(zhi)個(ge)人(ren)(ren)������以(yi)下事(shi)項:
(一)處理個������人信息的(de)種類,包括�������車輛行(xing)蹤(zong)軌跡、駕(jia)駛習(xi)慣、音頻、視頻、圖像和生(sheng)物識別特征等;
(二)收(shou)集(ji)各類(lei)個人信息的�����具(ju)體情境以及停(ting)止(zhi)收(shou)集(ji)的方式和途徑;
(三(san))處理各(ge)類個人信息的(de)目的(de)、用途、方式;
(四(si))個人信(xin)息保存地點、保存期(qi)(qi)限,或者確定(ding)保存地點、保存期(qi)(qi)限的(de)規則(����ze);
(五)查閱、復制其(q�����i)個人信(xin)(xin)息(xi)以及刪除車(che)內、請(qing)�����求刪除已(yi)經提(ti)供給車(che)外的個人信(xin)(xin)息(xi)的方式和途徑;
(六)用戶(hu)權益事務聯系(xi)人(ren)的姓(xing)名和聯系(xi)方式(shi);
(七)法(f�����a)律(lv)、行政(�������zheng)法(fa)規規定的(de)應當告知(zhi)的(de)其他事項。
第(di)八條 汽車數據(ju)處(chu)理者處(chu)理個人信息(xi)應(ying)當取(qu)得個人同意(yi)或(huo)者符合(he)法律、行政法規規定的(de)其(qi)他情形(xin��������g)。
因保證行車(che)安全需要,無法征(zheng)得個人(re������n)同意采集到車(che)外(wai)個人(ren)信息(xi)且向(xiang)車(che)外(wai)提(ti)供的,應(ying)當進(jin)行匿名化(hua)處理(li),包括(kuo)刪(shan)除含有能夠識別自然人(ren)的畫面,或者(zhe)對畫面中的人(ren)臉信息(xi)等進(jin)行局部(bu)輪廓化(hua)處理(li)等。
第九條 汽車數據處理者處理敏感個人信(xin)息,應當符合以下要(yao)求(qiu)或(huo)者符合法律、行政法規和強制性國家標準�������������等其他要(yao)求(qiu):
(一)具有直接服務于個人的目(mu)的,包括增強行車安全、智能駕駛、導航等(deng);
(二(er))通過用戶手冊、車(che)載(zai)顯示(shi)面板、語(yu)音以及汽車(che)使用相關應用程序(xu)等顯著方式(shi)告知必要性(xing)以及對�����個(ge)人(r������en)的(de)影響;
(三(san))應當取得個人�����������(ren)單(dan)獨同意,個人(ren)可(ke)以自(zi)主設(she)定同意期限(xian);
(四)在(zai)������保證行車安全的前提下,以適當方(fang)式提示收集狀態,為(wei)個人終(zhong)止收集提���供便利;
(五)個人要求刪除的,汽車數據處理者應當在十(shi)個工作日(ri)內刪除。
汽車數據(ju)處理者具有增強(qiang)行車安全的目的和充分的必要性,方(fang)可收集指紋(wen)、聲紋(wen)、人臉(lian)、心律等生物識別������特征信(xin)息。
第十條 汽車(che)數據(ju)處理者開展(zhan)重要數據(ju)處理活動,應當按照規定(ding)開展(zhan)風險(xian)評(p����ing)(ping)估,并向省、自治(zhi)區、直(zhi)轄市網信部門和(he)有(you)關部門報(bao)送風險(xian)評(ping)(ping)估報(bao)告。
風(feng)險評估報告(gao)�������應當(dang)包(bao)括處理(li)的(de)重要數(shu)據(ju)的(de)種類、數(shu)量、范圍、保存地點與期(qi)限(xian)、使用方式(shi),開展(zhan)數(shu)據(ju)處理(li)活動情況(kuang)以及(ji)(ji)是否向第三方提供,面臨的(de)數(shu)據(ju)安全風(feng)險及(ji)(ji)其應對措施等。
第十一條 重要數據應當(dang)依法在境(jing)內存儲(chu),因業務(wu)需要確需向(xiang)境(jing)外提(ti)供的(de),應當(dang)通過國家網信部門會同國務(wu)院(yuan)有(you)關(guan)部門組織的(de)安全評估(gu)。未列入重要數據的(de)涉(she)及個人信息(xi)數據的(de)出境(jing)������安全管理,適用法律、行政法規(gui)的(de)有(you)關(guan)規�������(gui)定。
我國締結或者參加的國際(ji)條(tiao�������)約、協定有不同規定的,適用該國際(ji)條(tiao)約、協定,但我國聲明保留(liu)的條(tiao)款(kuan)除外。
第十二(er)條 汽(qi)車數據處理者向(xiang)境外提供(gong)重要數據,不得超出(chu)�����出(chu)境安(an)全評(ping)估(g��������u)時明確的目(mu)的、范圍(wei)、方式(shi)和數據種類、規模等。
國家網信部(bu)門會同國務(wu)院有(you)關(gu��������an)部(bu)門以(yi)抽查等方式核驗前款規(gui)定事項,汽車(che)數據處理者(zhe)應當予以(yi)配合,并(bing)以(yi)可讀等便(bian)利方式予以(yi)展(zhan)示(shi)。
第十(shi)三條 ������汽(qi)車(che)數據(ju)處(chu)(chu)理(li)者開展(zhan)重要數據(ju)處(chu)(chu)理(li)活動(dong)���,應當在每年(nian)十二月十五日前向省(sheng)、自治(zhi)區、直轄市(shi)網信部門和有關(guan)部門報送以下年(nian)度汽(qi)車(che)數據(ju)安全(quan)管(guan)理(li)情況:
(一)汽車數據安全(quan)管理負(fu)責人、用戶(hu)權益事務聯系人的姓名和聯系方式;
(������二)處理汽車數(shu)據(ju)的(de)種類(lei)、規(gui)模、目(mu)的(de)和必要性;
(三)汽(qi)車數據(ju)的安全防護和(he)�������管理措施(shi),包括保存地點、期(qi)限等;
(四)向境(jing)內第三(san)方提供汽(qi)車數(shu)據情況;
(五(wu))汽車數據安全(quan)事(shi)件和處置情況;
(六(liu))汽車數據相關(guan)的用(yong)戶投訴和(he)處理情況;
(七)國家網信部門(men)會同國務院工業和信息(xi)化(hu�����a)、公安(an)、交通運輸(shu)等有關(guan)部門(men)明確的(de)其他����汽車(che)數據安(an)全管理情況。
