汽车 数据 安全 管理 若干 规定 (试行)
第一 条 为了 规范 汽车 数据 处理 活动 , 保护 个人 、 组织 的 合法 权益 , 维护 国家 安全 和 社会 公共 利益 , 促进 汽车 数据 合理 开发 利用 , 根据 《中华人民共和国 网络 安全 法》 、 《中华人民共和国 数据 安全 法》 等 法律 、 行政 法规 , 制定 本 规定。
第二 条 在 中华人民共和国 境内 开展 汽车 数据 处理 活动 及其 安全 监管 , 应当 遵守 相关 法律 、 行政 法规 和 本 规定 的 要求。
第三 条 本 规定 所称 汽车 数据 , 包括 汽车 设计 、 生产 、 销售 、 使用 、 运 维 等 过程 中 的 涉及 个人 信息 数据 和 重要 数据。
汽车 数据 处理 , 包括 汽车 数据 的 收集 、 存储 、 使用 、 加工 、 传输 、 提供 、 公开 等。
汽车 数据 处理 者 , 是 指 开展 汽车 数据 处理 活动 的 组织 , 包括 汽车 制造 商 、 零部件 和 软件 供应 商 、 经销商 、 维修 机构 以及 出行 服务 企业 等。
个人 信息 , 是 指 以 电子 或者 其他 方式 记录 的 与 已 识别 或者 可 识别 的 车主 、 驾驶 人 、 乘车 人 、 车 外 人员 等 有关 的 各种 信息 , 不 包括 匿名 化 处理 后 的 信息。
敏感 个人 信息 , 是 指 一旦 泄露 或者 非法 使用 , 可能 导致 车主 、 驾驶 人 、 乘车 人 、 车 外 人员 等 受到 歧视 或者 人身 、 财产 安全 受到 严重 危害 的 个人 信息 包括 车辆 行踪 轨迹 、 音频 视频 视频图像 和 生物 识别 特征 等 信息。
重要 数据 是 指 一旦 遭到 篡改 、 破坏 、 泄露 或者 非法 获取 、 非法 利用 , 可能 危害 国家 安全 、 公共 利益 或者 个人 、 组织 合法 权益 的 数据 , 包括 :
(一) 军事 管理 区 、 国防 科 工 单位 以及 县级 以上 党政 机关 等 重要 敏感 区域 的 地理 信息 、 人员 流量 、 车辆 流量 等 数据 ;
(二) 车辆 流量 、 物流 等 反映 经济 运行 情况 的 数据 ;
(三) 汽车 充 电网 的 运行 数据 ;
(四) 包含 人 脸 信息 、 车牌 信息 等 的 车 外 视频 、 图像 数据 ;
(五) 涉及 个人 信息 主体 超过 10 万人 的 个人 信息 ;
(六) 国家 网 信 部门 和 国务院 发展 改革 、 工业 和 信息 化 、 公安 、 交通 运输 等 有关部门 确定 的 其他 可能 危害 国家 安全 、 公共 利益 或者 个人 、 组织 合法 权益 的 数据。
第四 条 汽车 数据 处理 者 处理 汽车 数据 应当 合法 、 正当 、 具体 、 明确 , 与 汽车 的 设计 、 生产 、 销售 、 使用 、 运 维 等 直接 相关。
第五 条 利用 互联网 等 信息 网络 开展 汽车 数据 处理 活动 , 应当 落实 网络 安全 等级 保护 等 制度 , 加强 汽车 数据 保护 , 依法 履行 数据 安全 义务。
第六 条 国家 鼓励 汽车 数据 依法 合理 有效 利用 , 倡导 汽车 数据 处理 者 在 开展 汽车 数据 处理 活动 中 坚持 :
(一) 车内 处理 原则 , 除非 确 有 必要 不 向 车 外 提供 ;
(二) 默认 不 收集 原则 , 除非 驾驶 人 自主 设定 , 每次 驾驶 时 默认 设定 为 不 收集 状态 ;
(三) 精度 范围 适用 原则 , 根据 所 提供 功能 服务 对 数据 精度 的 要求 摄像 摄像 头 、 雷达 等 的 覆盖 范围 、 分辨率 ;
(四) 脱敏 处理 原则 , 尽可能 进行 匿名 化 、 去 标识 化 等 处理。
第七 条 汽车 数据 处理 者 处理 个人 信息 应当 通过 用户 手册 、 车载 显示 面板 、 语音 、 汽车 使用 相关 应用 程序 等 显 著 方式 , 告知 个人 以下 事项 :
(一) 处理 个人 信息 的 种类 , 包括 车辆 行踪 轨迹 、 驾驶 习惯 、 音频 、 视频 、 图像 和 生物 识别 特征 等 ;
(二) 收集 各类 个人 信息 的 具体 情境 以及 停止 收集 的 方式 和 途径 ;
(三) 处理 各类 个人 信息 的 目的 、 用途 、 方式 ;
(四) 个人 信息 保存 地点 、 保存 期限 , 或者 确定 保存 地点 、 保存 期限 的 规则 ;
(五) 查阅 、 复制 其 个人 信息 以及 删除 车内 、 请求 删除 已经 提供 给 车 外 的 个人 信息 的 方式 和 途径 ;
(六) 用户 权益 事务 联系人 的 姓名 和 联系 方式 ;
(七) 法律 、 行政 法规 规定 的 应当 告知 的 其他 事项。
第八 条 汽车 数据 处理 者 处理 个人 信息 应当 取得 个人 同意 或者 符合 法律 、 行政 法规 规定 的 其他 情形。
因 保证 行车 安全 需要 , 无法 征得 个人 同意 采集 到 车 外 个人 信息 且 向 车 外 提供 的 , 应当 进行 匿名 化 处理 , 包括 删除 含有 能够 识别 的 画面 , 或者 对 画面 中 的 人 脸 信息 进行 进行轮廓 化 处理 等。
第九条 汽车 数据 处理 者 处理 敏感 个人 信息 , 应当 符合 以下 要求 或者 符合 法律 、 行政 法规 和 强制性 国家 标准 等 其他 要求 :
(一) 具有 直接 服务 于 个人 的 目的 , 包括 增强 行车 安全 、 智能 驾驶 、 导航 等 ;
(二) 通过 用户 手册 、 车载 显示 面板 、 语音 以及 汽车 使用 相关 应用 程序 等 显 著 方式 告知 必要性 以及 对 个人 的 影响 ;
(三) 应当 取得 个人 单独 同意 , 个人 可以 自主 设定 同意 期限 ;
(四) 在 保证 行车 安全 的 前提 下 , 以 适当 方式 提示 收集 状态 , 为 个人 终止 收集 提供 便利 ;
(五) 个人 要求 删除 的 , 汽车 数据 处理 者 应当 在 十个 工作 日内 删除。
汽车 数据 处理 者 具有 增强 行车 安全 的 目的 和 充分 的 必要性 , 方可 收集 指纹 、 声 纹 、 人 脸 、 心律 等 生物 识别 特征 信息。
第十 条 汽车 数据 处理 者 开展 重要 数据 处理 活动 , 应当 按照 规定 开展 风险 评估 , 并向 省 、 自治区 、 直辖市 网 信 部门 和 有关部门 报送 风险 评估 报告。
风险 评估 报告 应当 包括 处理 的 重要 数据 的 种类 、 数量 、 范围 、 保存 地点 与 期限 、 使用 , , 开展 数据 处理 活动 情况 以及 是否 向 第三方 提供 , 面临 的 数据 安全 风险 及其 应对 措施 等。
第十一条 重要 数据 应当 依法 在 境内 存储 , 因 业务 需要 确需 向 境外 提供 的 , 应当 通过 国家 网 信 部门 会同 国务院 有关部门 组织 的 安全 评估。 未 列入 重要 数据 的 涉及 个人 信息 数据 的 出境 安全管理 , 适用 法律 、 行政 法规 的 有关 规定。
我国 缔结 或者 参加 的 国际 条约 、 协定 有 不同 规定 的 , 适用 该 国际 条约 、 , , 但 我国 声明 保留 的 条款 除外。
第十二 条 汽车 数据 处理 者 向 境外 提供 重要 数据 , 不得 超出 出境 安全 评估 时 明确 的 目的 、 范围 、 方式 和 数据 种类 、 规模 等。
国家 网 信 部门 会同 国务院 有关部门 以 抽查 等 方式 核验 前款 规定 事项 , 汽车 数据 处理 者 应当 予以 配合 , 并 以 可读 等 便利 方式 予以 展示。
第十三 条 汽车 数据 处理 者 开展 重要 数据 处理 活动 , 应当 在 每年 十二月 十五 日前 向 省 、 自治区 、 直辖市 网 信 部门 和 有关部门 报送 以下 年度 汽车 数据 安全 管理 情况 :
(一) 汽车 数据 安全 管理 负责 人 、 用户 权益 事务 联系人 的 姓名 和 联系 方式 ;
(二) 处理 汽车 数据 的 种类 、 规模 、 目的 和 必要性 ;
(三) 汽车 数据 的 安全 防护 和 管理 措施 , 包括 保存 地点 、 期限 等 ;
(四) 向 境内 第三方 提供 汽车 数据 情况 ;
(五) 汽车 数据 安全 事件 和 处置 情况 ;
(六) 汽车 数据 相关 的 用户 投诉 和 处理 情况 ;
(七) 国家 网 信 部门 会同 国务院 工业 和 信息 化 、 公安 、 交通 运输 等 有关部门 明确 的 其他 汽车 数据 安全 管理 情况。
第十四 条 向 境外 提供 重要 数据 的 汽车 数据 处理 者 应当 在 本 规定 第十三 条 的 的 基础 上 , 补充 报告 以下 情况 :
(一) 接收者 的 基本 情况 ;
(二) 出境 汽车 数据 的 种类 、 规模 、 目的 和 必要性 ;
(三) 汽车 数据 在 境外 的 保存 地点 、 期限 、 范围 和 方式 ;
(四) 涉及 向 境外 提供 汽车 数据 的 用户 投诉 和 处理 情况 ;
(五) 国家 网 信 部门 会同 国务院 工业 和 信息 化 、 公安 、 交通 运输 等 有关部门 明确 的 向 境外 提供 汽车 数据 需要 报告 的 其他 情况。
第十五 条 国家 网 信 部门 和 国务院 发展 改革 、 工业 和 信息 化 、 公安 、 交通 运输 等 有关部门 依据 职责 , 根据 处理 数据 情况 对 汽车 数据 处理 者 进行 数据 安全 评估 , 汽车 数据 处理 者 应当 予以。
参与 安全 评估 的 机构 和 人员 不得 披露 评估 中 获悉 的 汽车 数据 处理 者 商业 秘密 、 未 公开 信息 , 不得 将 评估 中 获悉 的 信息 用于 评估 以外 目的。
第十六 条 国家 加强 智能 (网 联) 汽车 网络 平台 建设 , 开展 智能 (网 联) 汽车 入网 运行 和 安全 保障 服务 等 , 协同 汽车 数据 处理 者 加强 智能 (网 联) 汽车 网络 和 汽车 数据 防护。
第十七 条 汽车 数据 处理 者 开展 汽车 数据 处理 活动 , 应当 建立 投诉 举报 渠道 , 设置 便捷 的 投诉 举报 入口 , 及时 处理 用户 投诉 举报。
开展 汽车 数据 处理 活动 造成 用户 合法 权益 或者 公共 利益 受到 损害 的 , 汽车 数据 处理 者 应当 依法 承担 相应 责任。
第十八 条 汽车 数据 处理 者 违反 本 规定 的 , 由 省级 上网 信 信 工业 和 信息 化 、 公安 、 交通 运输 等 有关部门 依照 《中华人民共和国 网络 安全 法》 、 《中华人民共和国 数据 安全 法》等 法律 、 行政 法规 的 规定 进行 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第十九 条 本 规定 自 2021 年 10 月 1 日 起 施行。