导 读:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
近日,国家网信办公室、发改委、工信部、公安部、交通部等五部门联合公布《汽车数据安全管理若干规定(试行)》,并宣布自2021年10月1日起施行。对此,网信中国对规定内容进行了汇总,信长城根据汇总内容进行了整理,内容如下:
一、相关背景情况、法律依
出台《规定》主要基于以下两方面的考虑:
• 防范化解汽车数据安全风险的实践需要。汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。比如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。因此,亟需加强汽车数据安全管理,防范化解上述安全问题和风险隐患。
• 保障汽车数据依法合理有效利用的客观需要。《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
此外,还要说明的是,《规定》定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题作出规定。
二、《规定》规范对象
《规定》第三条,本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。其中:
• 个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
• 重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据; (二)车辆流量、物流等反映经济运行情况的数据; (三)汽车充电网的运行数据; (四)包含人脸信息、车牌信息等的车外视频、图像数据; (五)涉及个人信息主体超过10万人的个人信息; (六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
三、《规定》责任主体
《规定》共提及三个责任主体,包括汽车数据处理者、国家有关部门、安全评估的机构。其中:
• 汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。数据处理者开展汽车数据处理活动应符合以下要求:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。三是应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。
• 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。
• 参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。
四、《规定》汽车数据处理原则
国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持:
• 车内处理原则,除非确有必要不向车外提供;
• 默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;
• 精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
• 脱敏处理原则,尽可能进行匿名化、去标识化等处理。
五、《规定》中个人信息数据安全,包括哪些内容?
《规定》明确了处理个人信息、敏感个人信息的具体要求。包括:
• 告知义务,汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。• 征得同意义务,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。
• 匿名化要求,因保证行车安全需要,无法征得个人同意采集到个人信息且向车外提供的,应当进行匿名化处理。针对敏感个人信息,在履行告知、征得个人单独同意等义务基础上,汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息,明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。
六、《规定》中重要数据安全,包括哪些内容?(含涉外境数据安全)
《规定》明确了处理重要数据的具体制度。主要包括:
• 风险评估报告制度,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。
• 出境安全评估制度,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。
• 抽查核验制度,国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项,汽车数据处理者应当予以配合。
• 年度报告制度,汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。
• 年度补充报告制度,向境外提供重要数据的汽车数据处理者应当补充报告相关情况。
七、违反《规定》如何追究法律责任?
《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。
作为在汽车数据安全管理的针对性的规章制度,《规定》明确了汽车数据处理过程的的责任和义务。对于汽车数据处理者而言,《规定》的出台意味着必须重视汽车数据安全问题,这不仅关系到用户个人合法权益,也关系到国家安全利益,是应该得到充分重视的严肃问题。
![微信客服 扫码咨询](javascript:Site.hoverQrCode("//15536158.s21i.faiusr.com/2/ABUIABACGAAgh76hggYo-IfukQUw3AY43AY.jpg",this,{"tips":"请使用微信扫一扫"});){kind=link}