汽車數據安全管理規(guī)定征求意見 維護國家安全和公共利益

5月12日，國家互聯網信息辦公室對外發(fā)布《汽車數據安全管理若干規(guī)定(征求意見稿)》(以下簡稱意見稿)，加強個人信息和重要數據保護，規(guī)范汽車數據處理活動，維護國家安全和公共利益。

意見稿指出運營者應當落實網絡安全等級保護制度，加強個人信息和重要數據保護，依法履行網絡安全義務。處理個人信息和重要數據過程中堅持：

(一)車內處理原則，除非確有必要不向車外提供;

(二)匿名化處理原則，確有必要向車外提供的，盡可能地進行匿名化和脫敏處理;

(三)最小保存期限原則，根據所提供功能服務分類型確定數據保存期限;

(四)精度范圍適用原則，根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率;

(五)默認不收集原則，除非確有必要，每次駕駛時默認為不收集狀態(tài)，駕駛人的同意授權只對本次駕駛有效。

運營者收集和向車外提供敏感個人信息，包括車輛位置、駕駛人或乘車人音視頻等，以及可以用于判斷違法違規(guī)駕駛的數據等，應當符合以下要求：

(一)以直接服務于駕駛人或者乘車人為目的，包括增強行車安全、輔助駕駛、導航、娛樂等;

(二)默認為不收集，每次都應當征得駕駛人同意授權，駕駛結束(駕駛人離開駕駛席)后本次授權自動失效;

(三)通過車內顯示面板或語音等方式告知駕駛人和乘車人正在收集敏感個人信息;

(四)駕駛人能夠隨時、方便地終止收集;

(五)允許車主方便查看、結構化查詢被收集的敏感個人信息;

(六)駕駛人要求運營者刪除時，運營者應當在2周內刪除。

運營者收集個人信息應當取得被收集人同意，法律法規(guī)規(guī)定不需取得個人同意的除外。實踐上難以實現的(如通過攝像頭收集車外音視頻信息)，且確需提供的，應當進行匿名化或脫敏處理，包括刪除含有能夠識別自然人的畫面，或對這些畫面中的人臉等進行局部輪廓化處理等。

意見稿要求僅當為了方便用戶使用、增加車輛電子和信息系統(tǒng)安全性等目的，方可收集駕駛人指紋、聲紋、人臉、心律等生物特征數據，同時應當提供生物特征的替代方式。

處理個人信息涉及個人信息主體超過10萬人、或者處理重要數據的運營者，應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門，內容包括：

(一)數據安全負責人以及負責處理用戶權益相關事務責任人的姓名和聯系方式;

(二)處理數據的類型、規(guī)模、目的及必要性;

(三)數據的安全防護和管理措施，包括保存地點、期限等;

(四)與境內第三方共享數據情況;

(五)數據安全事故及處理情況;

(六)與個人信息和數據相關的用戶投訴及處理情況;

(七)國家網信部門明確的其他數據安全情況。

如果存在向境外提供數據的情況，運營者應當在上述規(guī)定基礎上，報告以下情況：

(一)接收者的名稱和聯系方式;

(二)出境數據的類型、數量及目的;

(三)數據在境外的存放地點、使用范圍和方式;

(四)涉及向境外提供數據的用戶投訴及處理情況;

(五)國家網信部門明確的向境外提供數據需要報告的其他情況。

附件：汽車數據安全管理若干規(guī)定(征求意見稿)