五部門：減少對(duì)汽車數(shù)據(jù)的無序收集和違規(guī)濫用

近日，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡(jiǎn)稱《規(guī)定》），自2021年10月1日起施行。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，出臺(tái)《規(guī)定》旨在規(guī)范汽車數(shù)據(jù)處理活動(dòng)，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)汽車數(shù)據(jù)合理開發(fā)利用。

隨著新一代信息技術(shù)與汽車產(chǎn)業(yè)加速融合，智能汽車產(chǎn)業(yè)、車聯(lián)網(wǎng)技術(shù)的快速發(fā)展，以自動(dòng)輔助駕駛為代表的人工智能技術(shù)日益普及，汽車數(shù)據(jù)處理能力日益增強(qiáng)，暴露出的汽車數(shù)據(jù)安全問題和風(fēng)險(xiǎn)隱患日益突出。在汽車數(shù)據(jù)安全管理領(lǐng)域出臺(tái)有針對(duì)性的規(guī)章制度，明確汽車數(shù)據(jù)處理者的責(zé)任和義務(wù)，規(guī)范汽車數(shù)據(jù)處理活動(dòng)，是防范化解汽車數(shù)據(jù)安全風(fēng)險(xiǎn)、保障汽車數(shù)據(jù)依法合理有效利用的需要，也是維護(hù)國(guó)家安全利益、保護(hù)個(gè)人合法權(quán)益的需要。

《規(guī)定》倡導(dǎo)，汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動(dòng)中堅(jiān)持“車內(nèi)處理”、“默認(rèn)不收集”、“精度范圍適用”、“脫敏處理”等數(shù)據(jù)處理原則，減少對(duì)汽車數(shù)據(jù)的無序收集和違規(guī)濫用。

《規(guī)定》明確，汽車數(shù)據(jù)處理者應(yīng)當(dāng)履行個(gè)人信息保護(hù)責(zé)任，充分保護(hù)個(gè)人信息安全和合法權(quán)益。開展個(gè)人信息處理活動(dòng)，汽車數(shù)據(jù)處理者應(yīng)當(dāng)通過顯著方式告知個(gè)人相關(guān)信息，取得個(gè)人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。處理敏感個(gè)人信息，汽車數(shù)據(jù)處理者還應(yīng)當(dāng)取得個(gè)人單獨(dú)同意，滿足限定處理目的、提示收集狀態(tài)、終止收集等具體要求或者符合法律、行政法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)等其他要求。汽車數(shù)據(jù)處理者具有增強(qiáng)行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識(shí)別特征信息。

《規(guī)定》強(qiáng)調(diào)，汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)遵守依法在境內(nèi)存儲(chǔ)的規(guī)定，加強(qiáng)重要數(shù)據(jù)安全保護(hù)；落實(shí)風(fēng)險(xiǎn)評(píng)估報(bào)告制度要求，積極防范數(shù)據(jù)安全風(fēng)險(xiǎn)；落實(shí)年度報(bào)告制度要求，按時(shí)主動(dòng)報(bào)送年度汽車數(shù)據(jù)安全管理情況。因業(yè)務(wù)需要確需向境外提供重要數(shù)據(jù)的，汽車數(shù)據(jù)處理者應(yīng)當(dāng)落實(shí)數(shù)據(jù)出境安全評(píng)估制度要求，不得超出出境安全評(píng)估結(jié)論違規(guī)向境外提供重要數(shù)據(jù)，并在年度報(bào)告中補(bǔ)充報(bào)告相關(guān)情況。

《規(guī)定》提出，國(guó)家有關(guān)部門依據(jù)各自職責(zé)做好汽車數(shù)據(jù)安全管理和保障工作，包括開展數(shù)據(jù)安全評(píng)估、數(shù)據(jù)出境事項(xiàng)抽查核驗(yàn)、智能（網(wǎng)聯(lián)）汽車網(wǎng)絡(luò)平臺(tái)建設(shè)等工作。對(duì)于違反本規(guī)定的汽車數(shù)據(jù)處理者，有關(guān)部門將依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》等法律、行政法規(guī)的規(guī)定進(jìn)行處罰。

國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人指出，汽車數(shù)據(jù)安全管理需要政府、汽車數(shù)據(jù)處理者、個(gè)人等多方主體共同參與。省級(jí)以上網(wǎng)信、發(fā)展改革、工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門在汽車數(shù)據(jù)安全管理過程中，將加強(qiáng)協(xié)調(diào)和數(shù)據(jù)共享，形成工作合力。

原文如下：

　　第一條 為了加強(qiáng)個(gè)人信息和重要數(shù)據(jù)保護(hù)，規(guī)范汽車數(shù)據(jù)處理活動(dòng)，維護(hù)國(guó)家安全和公共利益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)，制定本規(guī)定。

　　第二條 運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)設(shè)計(jì)、生產(chǎn)、銷售、運(yùn)維、管理汽車過程中，收集、分析、存儲(chǔ)、傳輸、查詢、利用、刪除以及向境外提供（以下統(tǒng)稱處理）個(gè)人信息或重要數(shù)據(jù)，應(yīng)當(dāng)遵守相關(guān)法律法規(guī)和本規(guī)定的要求。

　　第三條 本規(guī)定所稱運(yùn)營(yíng)者指汽車設(shè)計(jì)、制造、服務(wù)企業(yè)或者機(jī)構(gòu)，包括汽車制造商、部件和軟件提供者、經(jīng)銷商、維修機(jī)構(gòu)、網(wǎng)約車企業(yè)、保險(xiǎn)公司等。

　　本規(guī)定所稱個(gè)人信息包括車主、駕駛?cè)?、乘車人、行人等的個(gè)人信息，以及能夠推斷個(gè)人身份、描述個(gè)人行為等的各種信息。

　　本規(guī)定所稱重要數(shù)據(jù)包括：

　?。ㄒ唬┸娛鹿芾韰^(qū)、國(guó)防科工等涉及國(guó)家秘密的單位、縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù)；

　?。ǘ└哂趪?guó)家公開發(fā)布地圖精度的測(cè)繪數(shù)據(jù)；

　?。ㄈ┢嚦潆娋W(wǎng)的運(yùn)行數(shù)據(jù)；

　?。ㄋ模┑缆飞宪囕v類型、車輛流量等數(shù)據(jù)；

　?。ㄎ澹┌四?、聲音、車牌等的車外音視頻數(shù)據(jù)；

　?。﹪?guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門明確的其他可能影響國(guó)家安全、公共利益的數(shù)據(jù)。

　　第四條 運(yùn)營(yíng)者處理個(gè)人信息或重要數(shù)據(jù)的目的應(yīng)當(dāng)合法、具體、明確，與汽車的設(shè)計(jì)、制造、服務(wù)直接相關(guān)。

　　第五條 運(yùn)營(yíng)者應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，加強(qiáng)個(gè)人信息和重要數(shù)據(jù)保護(hù)，依法履行網(wǎng)絡(luò)安全義務(wù)。

　　第六條 倡導(dǎo)運(yùn)營(yíng)者處理個(gè)人信息和重要數(shù)據(jù)過程中堅(jiān)持：

　?。ㄒ唬┸噧?nèi)處理原則，除非確有必要不向車外提供；

　?。ǘ┠涿幚碓瓌t，確有必要向車外提供的，盡可能地進(jìn)行匿名化和脫敏處理；

　?。ㄈ┳钚”４嫫谙拊瓌t，根據(jù)所提供功能服務(wù)分類型確定數(shù)據(jù)保存期限；

　　（四）精度范圍適用原則，根據(jù)所提供功能服務(wù)對(duì)數(shù)據(jù)精度的要求確定攝像頭、雷達(dá)等的覆蓋范圍、分辨率；

　?。ㄎ澹┠J(rèn)不收集原則，除非確有必要，每次駕駛時(shí)默認(rèn)為不收集狀態(tài)，駕駛?cè)说耐馐跈?quán)只對(duì)本次駕駛有效。

　　第七條 運(yùn)營(yíng)者處理個(gè)人信息應(yīng)當(dāng)通過用戶手冊(cè)、車載顯示面板或其他適當(dāng)方式，告知負(fù)責(zé)處理用戶權(quán)益責(zé)任人的有效聯(lián)系方式，以及收集數(shù)據(jù)的類型，包括車輛位置、生物特征、駕駛習(xí)慣、音視頻等，并提供以下信息：

　?。ㄒ唬┦占糠N類型數(shù)據(jù)的觸發(fā)條件以及停止收集的方法；

　?。ǘ┦占黝愋蛿?shù)據(jù)的目的、用途；

　?。ㄈ?shù)據(jù)保存地點(diǎn)、期限，或者確定保存地點(diǎn)、期限的規(guī)則；

　?。ㄋ模﹦h除車內(nèi)、請(qǐng)求刪除已經(jīng)提供給車外的個(gè)人信息的方法步驟。

　　第八條 運(yùn)營(yíng)者收集和向車外提供敏感個(gè)人信息，包括車輛位置、駕駛?cè)嘶虺塑嚾艘粢曨l等，以及可以用于判斷違法違規(guī)駕駛的數(shù)據(jù)等，應(yīng)當(dāng)符合以下要求：

　?。ㄒ唬┮灾苯臃?wù)于駕駛?cè)嘶蛘叱塑嚾藶槟康?，包括增?qiáng)行車安全、輔助駕駛、導(dǎo)航、娛樂等；

　?。ǘ┠J(rèn)為不收集，每次都應(yīng)當(dāng)征得駕駛?cè)送馐跈?quán)，駕駛結(jié)束（駕駛?cè)穗x開駕駛席）后本次授權(quán)自動(dòng)失效；

　?。ㄈ┩ㄟ^車內(nèi)顯示面板或語(yǔ)音等方式告知駕駛?cè)撕统塑嚾苏谑占舾袀€(gè)人信息；

　?。ㄋ模{駛?cè)四軌螂S時(shí)、方便地終止收集；

　?。ㄎ澹┰试S車主方便查看、結(jié)構(gòu)化查詢被收集的敏感個(gè)人信息；

　?。{駛?cè)艘筮\(yùn)營(yíng)者刪除時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)在2周內(nèi)刪除。

　　第九條 運(yùn)營(yíng)者收集個(gè)人信息應(yīng)當(dāng)取得被收集人同意，法律法規(guī)規(guī)定不需取得個(gè)人同意的除外。實(shí)踐上難以實(shí)現(xiàn)的（如通過攝像頭收集車外音視頻信息），且確需提供的，應(yīng)當(dāng)進(jìn)行匿名化或脫敏處理，包括刪除含有能夠識(shí)別自然人的畫面，或?qū)@些畫面中的人臉等進(jìn)行局部輪廓化處理等。

　　第十條 僅當(dāng)為了方便用戶使用、增加車輛電子和信息系統(tǒng)安全性等目的，方可收集駕駛?cè)酥讣y、聲紋、人臉、心律等生物特征數(shù)據(jù)，同時(shí)應(yīng)當(dāng)提供生物特征的替代方式。

　　第十一條 運(yùn)營(yíng)者處理重要數(shù)據(jù)，應(yīng)當(dāng)提前向省級(jí)網(wǎng)信部門和有關(guān)部門報(bào)告數(shù)據(jù)類型、規(guī)模、范圍、保存地點(diǎn)與時(shí)限、使用方式，以及是否向第三方提供等。

　　第十二條 個(gè)人信息或者重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估。

　　我國(guó)參與的或者與其他國(guó)家和地區(qū)、國(guó)際組織締結(jié)的條約、協(xié)議等對(duì)向境外提供個(gè)人信息有明確規(guī)定的，適用其規(guī)定，我國(guó)聲明保留的條款除外。

　　第十三條 運(yùn)營(yíng)者向境外提供個(gè)人信息或者重要數(shù)據(jù)的，應(yīng)當(dāng)采取有效措施明確和監(jiān)督接收者按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，保證數(shù)據(jù)安全。

　　第十四條 運(yùn)營(yíng)者向境外提供個(gè)人信息或者重要數(shù)據(jù)的，應(yīng)當(dāng)接受和處理所涉及的用戶投訴；造成用戶合法權(quán)益或公共利益受到損害的，應(yīng)當(dāng)依法承擔(dān)相應(yīng)責(zé)任。

　　第十五條 運(yùn)營(yíng)者不得超出出境安全評(píng)估時(shí)明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等，向境外提供個(gè)人信息或重要數(shù)據(jù)。

　　國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門以抽查方式核驗(yàn)向境外提供個(gè)人信息或重要數(shù)據(jù)的類型、范圍等，運(yùn)營(yíng)者應(yīng)當(dāng)以明文、可讀方式予以展示。

　　第十六條 科研和商業(yè)合作伙伴需要查詢利用境內(nèi)存儲(chǔ)的個(gè)人信息和重要數(shù)據(jù)的，運(yùn)營(yíng)者應(yīng)當(dāng)采取有效措施保證數(shù)據(jù)安全，防止流失；嚴(yán)格限制對(duì)重要數(shù)據(jù)以及車輛位置、生物特征、駕駛?cè)嘶蛘叱塑嚾艘粢曨l，以及可以用于判斷違法違規(guī)駕駛的數(shù)據(jù)等敏感數(shù)據(jù)的查詢利用。

　　第十七條 處理個(gè)人信息涉及個(gè)人信息主體超過10萬人、或者處理重要數(shù)據(jù)的運(yùn)營(yíng)者，應(yīng)當(dāng)在每年十二月十五日前將年度數(shù)據(jù)安全管理情況報(bào)省級(jí)網(wǎng)信部門和有關(guān)部門，內(nèi)容包括：

　?。ㄒ唬?shù)據(jù)安全負(fù)責(zé)人以及負(fù)責(zé)處理用戶權(quán)益相關(guān)事務(wù)責(zé)任人的姓名和聯(lián)系方式；

　?。ǘ┨幚頂?shù)據(jù)的類型、規(guī)模、目的及必要性；

　?。ㄈ?shù)據(jù)的安全防護(hù)和管理措施，包括保存地點(diǎn)、期限等；

　?。ㄋ模┡c境內(nèi)第三方共享數(shù)據(jù)情況；

　?。ㄎ澹?shù)據(jù)安全事故及處理情況；

　?。┡c個(gè)人信息和數(shù)據(jù)相關(guān)的用戶投訴及處理情況；

　?。ㄆ撸﹪?guó)家網(wǎng)信部門明確的其他數(shù)據(jù)安全情況。

　　第十八條 如果存在向境外提供數(shù)據(jù)的情況，運(yùn)營(yíng)者應(yīng)當(dāng)在本規(guī)定第十七條基礎(chǔ)上，報(bào)告以下情況：

　?。ㄒ唬┙邮照叩拿Q和聯(lián)系方式；

　?。ǘ┏鼍硵?shù)據(jù)的類型、數(shù)量及目的；

　?。ㄈ?shù)據(jù)在境外的存放地點(diǎn)、使用范圍和方式；

　?。ㄋ模┥婕跋蚓惩馓峁?shù)據(jù)的用戶投訴及處理情況；

　?。ㄎ澹﹪?guó)家網(wǎng)信部門明確的向境外提供數(shù)據(jù)需要報(bào)告的其他情況。

　　第十九條 國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門根據(jù)處理數(shù)據(jù)情況對(duì)運(yùn)營(yíng)者進(jìn)行數(shù)據(jù)安全評(píng)估，運(yùn)營(yíng)者應(yīng)當(dāng)予以配合。

　　參與安全評(píng)估的機(jī)構(gòu)和人員不得披露評(píng)估中獲悉的運(yùn)營(yíng)者商業(yè)秘密、未公開信息，不得將評(píng)估中獲悉的信息用于評(píng)估以外目的。

　　第二十條 運(yùn)營(yíng)者違反本規(guī)定的，由省級(jí)以上網(wǎng)信部門和有關(guān)部門依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)的有關(guān)規(guī)定進(jìn)行處罰。構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第二十一條 本規(guī)定自2021年 月 日起施行。