《汽車數據安全管理若幹規定(征求意見稿)》提出,經營者收集個人信息應當征得被收集人同意,但法律法規規定需要征得個人同意的除外。個人信息或者重要數據應當依法存儲在境內,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。經營者不得向境外提供超出出境安全評估規定的目的、範圍、方式、數據類型和規模的個人信息或者重要數據。
《汽車數據安全管理若幹規定(征求意見稿)》如下:
第壹條為加強個人信息和重要數據保護,規範汽車數據處理活動,維護國家安全和公共利益,根據《中華人民共和國網絡安全法》等法律法規,制定本規定。
第二條在中華人民共和國境內設計、生產、銷售、經營和管理汽車過程中,經營者收集、分析、存儲、傳輸、查詢、利用、刪除和向境外提供(以下統稱處理)個人信息或者重要數據,應當遵守相關法律法規和本規定的要求。
第三條本規定所稱經營者是指汽車設計、制造和服務企業或機構,包括汽車制造商、零部件和軟件提供商、經銷商、維修機構、汽車共享企業和保險公司。
本規定所稱個人信息,包括車主、駕駛人、乘客、行人的個人信息,以及能夠推斷個人身份、描述個人行為的各類信息。
本規定所稱的重要數據包括:
(壹)軍事管理區、國防科技等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流、車流數據;
(二)測繪數據高於國家公布的地圖精度的;
(3)汽車充電網絡運營數據;
(4)道路上的車型、車流量等數據;
(5)外界音視頻資料包括人臉、語音、車牌等。;
(六)其他可能影響國家安全、公眾利益和國務院有關部門的數據。
第四條經營者處理個人信息或者重要數據的目的應當合法、具體、明確,與汽車的設計、制造和服務直接相關。
第五條經營者應當落實網絡安全等級保護制度,加強個人信息和重要數據的保護,依法履行網絡安全義務。
第六條倡導經營者在處理個人信息和重要數據時遵循以下原則:
(壹)車內辦理原則,除非確有必要不提供車外辦理;
(二)匿名原則,確需向車外提供的,應盡可能匿名脫敏;
(3)最短保存期原則,根據提供的功能服務類型確定數據的保存期;
(四)精度範圍原則,確定攝像機、雷達等的覆蓋範圍和分辨率根據功能服務提供的數據精度要求;
(5)默認不收原則。除非真的有必要,否則每次行駛都默認不采集狀態,駕駛員同意授權僅對本次行駛有效。
第七條經營者在處理個人信息時,應當告知用戶權益處理負責人有效聯系方式和采集的數據類型,包括車輛位置、生物特征、駕駛習慣、音視頻等。通過用戶手冊、車輛顯示面板或其他適當方式,並提供以下信息:
(a)收集每類數據的觸發條件和停止收集的方法;
(二)收集各類數據的目的和用途;
(三)數據保存地點和保存期限,或者確定數據保存地點和保存期限的規則;
(4)刪除車內個人信息和請求刪除車外已提供的個人信息的方法和步驟。
第八條經營者在車外采集和提供敏感個人信息,包括車輛位置、駕駛人或者乘客的音頻、視頻以及可以用於判斷違法駕駛的數據,應當符合下列要求:
(a)以直接服務司機或乘客為目的,包括加強駕駛安全、協助駕駛、導航及娛樂;
(2)默認不收,每次授權都要征得駕駛人同意,開車後(駕駛人離開駕駛座)此授權自動失效;
(3)通過車載顯示面板或語音告知駕駛員和乘客正在收集敏感的個人信息;
(4)駕駛員可以隨時方便地停止采集;
(5)允許車主以結構化的方式方便地查看和查詢收集到的個人敏感信息;
(6)駕駛員要求經營者刪除的,經營者應當在2周內刪除。
第九條經營者收集個人信息,應當征得被收集人的同意,但法律法規規定需要征得個人同意的除外。如果在實踐中難以實現(比如通過攝像頭采集車外的音視頻信息),又確實需要提供的話,就應該進行匿名化或者脫敏化,包括刪除這些圖片中能夠識別自然人的圖片或者對人臉進行部分輪廓化。
第十條駕駛員指紋、聲紋、人臉、心率等生物特征數據。只能為了方便用戶和提高車輛電子和信息系統的安全性而收集,同時應提供生物識別的替代方法。
第十壹條運營者處理重要數據時,應當事先向省級網信部門和有關部門報告數據類型、規模、範圍、存儲位置和期限、使用方式以及是否向第三方提供。
第十二條個人信息或者重要數據應當依法存儲在中國境內。確需在境外提供的,應當通過國家網信部門組織的數據出境安全評估。
我國參加或者與其他國家、地區、國際組織締結的條約、協定對向境外提供個人信息有明確規定的,適用該規定,但我國聲明保留的條款除外。
第十三條經營者向境外提供個人信息或者重要數據的,應當采取有效措施,明確並監督接收方按照雙方約定的目的、範圍和方式使用數據,確保數據安全。
第十四條經營者向境外提供個人信息或者重要數據的,應當受理並處理涉及的用戶投訴;用戶合法權益或者公共利益受到損害的,應當依法承擔相應責任。
第十五條經營者不得超出出境安全評估規定的目的、範圍、方式、數據類型和規模向境外提供個人信息或者重要數據。
國家網信部門應當會同國務院有關部門通過抽查核實境外提供的個人信息或者重要數據的種類和範圍,經營者應當以明文和可讀形式予以顯示。
第十六條科研、業務合作夥伴需要查詢、利用存儲在中國境內的個人信息和重要數據的,經營者應當采取有效措施確保數據安全,防止丟失;嚴格限制重要數據、車輛位置、生物特征、駕駛人或乘車人音視頻等敏感數據以及可用於判斷違法駕駛的數據的查詢和利用。
第十七條個人信息處理涉及人數超過65438+萬人,或者處理重要數據的經營者應當於每年12月15日前向省級網信部門及相關部門報告年度數據安全管理情況,包括:
(壹)數據安全負責人和處理用戶權益相關事務負責人的姓名和聯系方式;
(2)數據處理的類型、規模、目的和必要性;
(三)數據安全保護和管理措施,包括存儲位置、期限等。;
(4)與國內第三方的數據共享;
(五)數據安全事件及其處理;
(六)涉及個人信息和數據的用戶投訴及其處理情況;
(七)國家網信部門明確規定的其他數據安全信息。
第十八條經營者向境外提供數據的,應當按照本規定第十七條的規定報告以下信息:
(a)收件人的姓名和聯系信息;
(二)出境資料的種類、數量和用途;
(三)境外數據存儲的地點、範圍和方式;
(四)涉及向境外提供數據的用戶投訴及處理情況;
(五)國家網信部門明確向境外提供數據時需要報告的其他情形。
第十九條國家網信部門會同國務院有關部門根據數據處理情況對運營商的數據安全進行評估,運營商應當予以配合。
參與安全評估的機構和人員不得泄露評估中知悉的經營者的商業秘密和未公開信息,不得將評估中知悉的信息用於評估以外的目的。
第二十條經營者違反本規定的,由省級以上網信部門和有關部門依照《中華人民共和國網絡安全法》等法律法規的有關規定予以處罰。構成犯罪的,依法追究刑事責任。
第二十壹條本規定自+0,20265438起施行。