汽車資料安全管理若干規定(試行)
《汽車資料安全管理若干規定(試行)》已經2021年7月5日國家網際網路資訊辦公室2021年第10次室務會議審議通過,並經國家發展和改革委員會、工業和資訊化部、公安部、交通運輸部同意,於2021年8月16日公佈,自2021年10月1日起施行。
頒佈單位:國家網際網路資訊辦公室,國家發展和改革委員會(含原國家發展計劃委員會、原國家計劃委員會),工業和資訊化部,公安部,交通運輸部
文 號:國家網際網路資訊辦公室、中華人民共和國國家發展和改革委員會、中華人民共和國工業和資訊化部、中華人民
頒佈時間:2021-08-16
實施時間:2021-10-01
時 效 性:現行有效
效力級別:部門規章
第一條 為了規範汽車資料處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車資料合理開發利用,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內開展汽車資料處理活動及其安全監管,應當遵守相關法律、行政法規和本規定的要求。
第三條 本規定所稱汽車資料,包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人資訊資料和重要資料。
汽車資料處理,包括汽車資料的收集、儲存、使用、加工、傳輸、提供、公開等。
汽車資料處理者,是指開展汽車資料處理活動的組織,包括汽車製造商、零部件和軟體供應商、經銷商、維修機構以及出行服務企業等。
個人資訊,是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種資訊,不包括匿名化處理後的資訊。
敏感個人資訊,是指一旦洩露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人資訊,包括車輛行蹤軌跡、音訊、視訊、影象和生物識別特徵等資訊。
重要資料是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的資料,包括:
(一)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理資訊、人員流量、車輛流量等資料;
(二)車輛流量、物流等反映經濟執行情況的資料;
(三)汽車充電網的執行資料;
(四)包含人臉資訊、車牌資訊等的車外視訊、影象資料;
(五)涉及個人資訊主體超過10萬人的個人資訊;
(六)國家網信部門和國務院發展改革、工業和資訊化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的資料。
第四條 汽車資料處理者處理汽車資料應當合法、正當、具體、明確,與汽車的設計、生產、銷售、使用、運維等直接相關。
第五條 利用網際網路等資訊網路開展汽車資料處理活動,應當落實網路安全等級保護等制度,加強汽車資料保護,依法履行資料安全義務。
第六條 國家鼓勵汽車資料依法合理有效利用,倡導汽車資料處理者在開展汽車資料處理活動中堅持:
(一)車內處理原則,除非確有必要不向車外提供;
(二)預設不收集原則,除非駕駛人自主設定,每次駕駛時預設設定為不收集狀態;
(三)精度範圍適用原則,根據所提供功能服務對資料精度的要求確定攝像頭、雷達等的覆蓋範圍、解析度;
(四)脫敏處理原則,儘可能進行匿名化、去標識化等處理。
第七條 汽車資料處理者處理個人資訊應當通過使用者手冊、車載顯示面板、語音、汽車使用相關應用程式等顯著方式,告知個人以下事項:
(一)處理個人資訊的種類,包括車輛行蹤軌跡、駕駛習慣、音訊、視訊、影象和生物識別特徵等;
(二)收集各類個人資訊的具體情境以及停止收集的方式和途徑;
(三)處理各類個人資訊的目的、用途、方式;
(四)個人資訊儲存地點、儲存期限,或者確定儲存地點、儲存期限的規則;
(五)查閱、複製其個人資訊以及刪除車內、請求刪除已經提供給車外的個人資訊的方式和途徑;
(六)使用者權益事務聯絡人的姓名和聯絡方式;
(七)法律、行政法規規定的應當告知的其他事項。
第八條 汽車資料處理者處理個人資訊應當取得個人同意或者符合法律、行政法規規定的其他情形。
因保證行車安全需要,無法徵得個人同意採集到車外個人資訊且向車外提供的,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉資訊等進行區域性輪廓化處理等。
第九條 汽車資料處理者處理敏感個人資訊,應當符合以下要求或者符合法律、行政法規和強制性國家標準等其他要求:
(一)具有直接服務於個人的目的,包括增強行車安全、智慧駕駛、導航等;
(二)通過使用者手冊、車載顯示面板、語音以及汽車使用相關應用程式等顯著方式告知必要性以及對個人的影響;
(三)應當取得個人單獨同意,個人可以自主設定同意期限;
(四)在保證行車安全的前提下,以適當方式提示收集狀態,為個人終止收集提供便利;
(五)個人要求刪除的,汽車資料處理者應當在十個工作日內刪除。
汽車資料處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特徵信息。
第十條 汽車資料處理者開展重要資料處理活動,應當按照規定開展風險評估,並向省、自治區、直轄市網信部門和有關部門報送風險評估報告。
風險評估報告應當包括處理的重要資料的種類、數量、範圍、儲存地點與期限、使用方式,開展資料處理活動情況以及是否向第三方提供,面臨的資料安全風險及其應對措施等。
第十一條 重要資料應當依法在境記憶體儲,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估。未列入重要資料的涉及個人資訊資料的出境安全管理,適用法律、行政法規的有關規定。
我國締結或者參加的國際條約、協定有不同規定的,適用該國際條約、協定,但我國宣告保留的條款除外。
第十二條 汽車資料處理者向境外提供重要資料,不得超出出境安全評估時明確的目的、範圍、方式和資料種類、規模等。
國家網信部門會同國務院有關部門以抽查等方式核驗前款規定事項,汽車資料處理者應當予以配合,並以可讀等便利方式予以展示。
第十三條 汽車資料處理者開展重要資料處理活動,應當在每年十二月十五日前向省、自治區、直轄市網信部門和有關部門報送以下年度汽車資料安全管理情況:
(一)汽車資料安全管理負責人、使用者權益事務聯絡人的姓名和聯絡方式;
(二)處理汽車資料的種類、規模、目的和必要性;
(三)汽車資料的安全防護和管理措施,包括儲存地點、期限等;
(四)向境內第三方提供汽車資料情況;
(五)汽車資料安全事件和處置情況;
(六)汽車資料相關的使用者投訴和處理情況;
(七)國家網信部門會同國務院工業和資訊化、公安、交通運輸等有關部門明確的其他汽車資料安全管理情況。
第十四條 向境外提供重要資料的汽車資料處理者應當在本規定第十三條要求的基礎上,補充報告以下情況:
(一)接收者的基本情況;
(二)出境汽車資料的種類、規模、目的和必要性;
(三)汽車資料在境外的儲存地點、期限、範圍和方式;
(四)涉及向境外提供汽車資料的使用者投訴和處理情況;
(五)國家網信部門會同國務院工業和資訊化、公安、交通運輸等有關部門明確的向境外提供汽車資料需要報告的其他情況。
第十五條 國家網信部門和國務院發展改革、工業和資訊化、公安、交通運輸等有關部門依據職責,根據處理資料情況對汽車資料處理者進行資料安全評估,汽車資料處理者應當予以配合。
參與安全評估的機構和人員不得披露評估中獲悉的汽車資料處理者商業祕密、未公開資訊,不得將評估中獲悉的資訊用於評估以外目的。
第十六條 國家加強智慧(網聯)汽車網路平臺建設,開展智慧(網聯)汽車入網執行和安全保障服務等,協同汽車資料處理者加強智慧(網聯)汽車網路和汽車資料安全防護。
第十七條 汽車資料處理者開展汽車資料處理活動,應當建立投訴舉報渠道,設定便捷的投訴舉報入口,及時處理使用者投訴舉報。
開展汽車資料處理活動造成使用者合法權益或者公共利益受到損害的,汽車資料處理者應當依法承擔相應責任。
第十八條 汽車資料處理者違反本規定的,由省級以上網信、工業和資訊化、公安、交通運輸等有關部門依照《中華人民共和國網路安全法》、《中華人民共和國資料安全法》等法律、行政法規的規定進行處罰;構成犯罪的,依法追究刑事責任。
第十九條 本規定自2021年10月1日起施行。
