最新动态

NEWS

五部门发布《汽车数据安全管理若干规定(试行)》

2021-08-23 来源: 网信中国

分享到:
随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。

问:请简要介绍《规定》出台的背景?

此外,还要说明的是,《规定》定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题作出规定。

答:《规定》中所称汽车数据,是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;所称汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。

答:《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。三是应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。

答:《规定》制定过程中,坚持安全和发展并重,倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,促进汽车行业健康有序发展。

答:《规定》明确了处理个人信息、敏感个人信息的具体要求。针对个人信息,一是告知义务,汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求,因保证行车安全需要,无法征得个人同意采集到个人信息且向车外提供的,应当进行匿名化处理。针对敏感个人信息,在履行告知、征得个人单独同意等义务基础上,汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息,明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。

答:《规定》明确了处理重要数据的具体制度。一是风险评估报告制度,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。二是出境安全评估制度,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。三是抽查核验制度,国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项,汽车数据处理者应当予以配合。四是年度报告制度,汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。五是年度补充报告制度,向境外提供重要数据的汽车数据处理者应当补充报告相关情况。

答:除了上述报告、评估、抽查核验等监督管理措施以外,《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,可根据处理数据情况对汽车数据处理者进行数据安全评估;明确国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。

答:《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。

国家互联网信息办公室

中华人民共和国工业和信息化部

中华人民共和国交通运输部

第7号

国家互联网信息办公室主任庄荣文

工业和信息化部部长肖亚庆

交通运输部部长李小鹏

汽车数据安全管理若干规定(试行)

第二条 在中华人民共和国境内开展汽车数据处理活动及其安全监管,应当遵守相关法律、行政法规和本规定的要求。

汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。

个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:

(二)车辆流量、物流等反映经济运行情况的数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

第五条 利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。

(一)车内处理原则,除非确有必要不向车外提供;

(三)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;

第七条 汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:

(二)收集各类个人信息的具体情境以及停止收集的方式和途径;

(四)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;

(六)用户权益事务联系人的姓名和联系方式;

第八条 汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。

第九条 汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:

(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;

(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;

汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。

风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。

我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。

国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;

(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;

(五)汽车数据安全事件和处置情况;

(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

(一)接收者的基本情况;

(三)汽车数据在境外的保存地点、期限、范围和方式;

(五)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。

第十七条 汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。

第十八条 汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。

<p style="box-sizing: border-box; margin: 0px 3px 15px; color: rgb(51, 51, 51); font-family: " segoe="" ui",="" "lucida="" grande",="" helvetica,="" arial,="" "microsoft="" yahei",="" freesans,="" arimo,="" "droid="" sans",="" "wenquanyi="" micro="" hei",="" "hiragino="" sans="" gb",="" gb="" w3",="" fontawesome,="" sans-serif;="" font-size:="" 16px;="" text-indent:="" 30px;"="">第十九条 本规定自2021年10月1日起施行。


编辑:薛姣