網信辦:汽車數據運營者收集個人信息應當取得被收集人同意
為加強個人信息和重要數據保護,規範汽車數據處理活動,根據《中華人民共和國網絡安全法》等法律法規,國家互聯網信息辦公室會同有關部門起草了《汽車數據安全管理若干規定(徵求意見稿)》 ,現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見徵集”欄目提出意見。
2.通過電子郵件方式發送至:zqyj@cac.gov.cn 。
3.通過信函方式將意見寄至:北京市西城區車公莊大街11號國家互聯網信息辦公室,郵編100044,並在信封上註明“汽車數據安全管理若干規定徵求意見”。
意見反饋截止時間為2021年6月11日。
國家互聯網信息辦公室
2021年5月12日
汽車數據安全管理若干規定
(徵求意見稿)
第一條為了加強個人信息和重要數據保護,規範汽車數據處理活動,維護國家安全和公共利益,根據《中華人民共和國網絡安全法》等法律法規,制定本規定。
第二條運營者在中華人民共和國境內設計、生產、銷售、運維、管理汽車過程中,收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統稱處理)個人信息或重要數據,應當遵守相關法律法規和本規定的要求。
第三條本規定所稱運營者指汽車設計、製造、服務企業或者機構,包括汽車製造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。
本規定所稱個人信息包括車主、駕駛人、乘車人、行人等的個人信息,以及能夠推斷個人身份、描述個人行為等的各種信息。
本規定所稱重要數據包括:
(一)軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;
(二)高於國家公開發布地圖精度的測繪數據;
(三)汽車充電網的運行數據;
(四)道路上車輛類型、車輛流量等數據;
(五)包含人臉、聲音、車牌等的車外音視頻數據;
(六)國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。
第四條運營者處理個人信息或重要數據的目的應當合法、具體、明確,與汽車的設計、製造、服務直接相關。
第五條運營者應當落實網絡安全等級保護製度,加強個人信息和重要數據保護,依法履行網絡安全義務。
第六條倡導運營者處理個人信息和重要數據過程中堅持:
(一)車內處理原則,除非確有必要不向車外提供;
(二)匿名化處理原則,確有必要向車外提供的,盡可能地進行匿名化和脫敏處理;
(三)最小保存期限原則,根據所提供功能服務分類型確定數據保存期限;
(四)精度範圍適用原則,根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋範圍、分辨率;
(五)默認不收集原則,除非確有必要,每次駕駛時默認為不收集狀態,駕駛人的同意授權只對本次駕駛有效。
第七條運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式,告知負責處理用戶權益責任人的有效聯繫方式,以及收集數據的類型,包括車輛位置、生物特徵、駕駛習慣、音視頻等,並提供以下信息:
(一)收集每種類型數據的觸發條件以及停止收集的方法;
(二)收集各類型數據的目的、用途;
(三)數據保存地點、期限,或者確定保存地點、期限的規則;
(四)刪除車內、請求刪除已經提供給車外的個人信息的方法步驟。
第八條運營者收集和向車外提供敏感個人信息,包括車輛位置、駕駛人或乘車人音視頻等,以及可以用於判斷違法違規駕駛的數據等,應當符合以下要求:
(一)以直接服務於駕駛人或者乘車人為目的,包括增強行車安全、輔助駕駛、導航、娛樂等;
(二)默認為不收集,每次都應當徵得駕駛人同意授權,駕駛結束(駕駛人離開駕駛席)後本次授權自動失效;
(三)通過車內顯示面板或語音等方式告知駕駛人和乘車人正在收集敏感個人信息;
(四)駕駛人能夠隨時、方便地終止收集;
(五)允許車主方便查看、結構化查詢被收集的敏感個人信息;
(六)駕駛人要求運營者刪除時,運營者應當在2週內刪除。
第九條運營者收集個人信息應當取得被收集人同意,法律法規規定不需取得個人同意的除外。實踐上難以實現的(如通過攝像頭收集車外音視頻信息),且確需提供的,應當進行匿名化或脫敏處理,包括刪除含有能夠識別自然人的畫面,或對這些畫面中的人臉等進行局部輪廓化處理等。
第十條僅當為了方便用戶使用、增加車輛電子和信息系統安全性等目的,方可收集駕駛人指紋、聲紋、人臉、心律等生物特徵數據,同時應當提供生物特徵的替代方式。
第十一條運營者處理重要數據,應當提前向省級網信部門和有關部門報告數據類型、規模、範圍、保存地點與時限、使用方式,以及是否向第三方提供等。
第十二條個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對向境外提供個人信息有明確規定的,適用其規定,我國聲明保留的條款除外。
第十三條運營者向境外提供個人信息或者重要數據的,應當採取有效措施明確和監督接收者按照雙方約定的目的、範圍、方式使用數據,保證數據安全。
第十四條運營者向境外提供個人信息或者重要數據的,應當接受和處理所涉及的用戶投訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相應責任。
第十五條運營者不得超出出境安全評估時明確的目的、範圍、方式和數據類型、規模等,向境外提供個人信息或重要數據。
國家網信部門會同國務院有關部門以抽查方式核驗向境外提供個人信息或重要數據的類型、範圍等,運營者應當以明文、可讀方式予以展示。
第十六條科研和商業合作夥伴需要查詢利用境內存儲的個人信息和重要數據的,運營者應當採取有效措施保證數據安全,防止流失;嚴格限制對重要數據以及車輛位置、生物特徵、駕駛人或者乘車人音視頻,以及可以用於判斷違法違規駕駛的數據等敏感數據的查詢利用。
第十七條處理個人信息涉及個人信息主體超過10萬人、或者處理重要數據的運營者,應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門,內容包括:
(一)數據安全負責人以及負責處理用戶權益相關事務責任人的姓名和聯繫方式;
(二)處理數據的類型、規模、目的及必要性;
(三)數據的安全防護和管理措施,包括保存地點、期限等;
(四)與境內第三方共享數據情況;
(五)數據安全事故及處理情況;
(六)與個人信息和數據相關的用戶投訴及處理情況;
(七)國家網信部門明確的其他數據安全情況。
第十八條如果存在向境外提供數據的情況,運營者應當在本規定第十七條基礎上,報告以下情況:
(一)接收者的名稱和聯繫方式;
(二)出境數據的類型、數量及目的;
(三)數據在境外的存放地點、使用範圍和方式;
(四)涉及向境外提供數據的用戶投訴及處理情況;
(五)國家網信部門明確的向境外提供數據需要報告的其他情況。
第十九條國家網信部門會同國務院有關部門根據處理數據情況對運營者進行數據安全評估,運營者應當予以配合。
參與安全評估的機構和人員不得披露評估中獲悉的運營者商業秘密、未公開信息,不得將評估中獲悉的信息用於評估以外目的。
第二十條運營者違反本規定的,由省級以上網信部門和有關部門依照《中華人民共和國網絡安全法》等法律法規的有關規定進行處罰。構成犯罪的,依法追究刑事責任。
第二十一條本規定自2021年月日起施行。