重磅!网信办发布汽车数据管理规定,信息数据需境内存储

车东西(公众号:chedongxi)
作者 |  James
编辑 |  晓寒

被密集关注的智能汽车数据管理规定出炉了!

就在刚刚,国家互联网信息办公室(简称国家网信办)发布《汽车数据安全管理若干规定(征求意见稿)》(简称《规定》),并向社会公开征求意见。

重磅!网信办发布汽车数据管理规定,信息数据需境内存储

▲国家互联网信息办公室发布《规定》

《规定》指出,运营者通过汽车收集个人信息或重要数据时,应该遵守车内处理、匿名化处理、最小保存周期等原则,收集前要征求驾驶人的同意,并且还需向相关监管机构提报相关信息,接受管理。

以下为《规定》的核心信息。

1、谁会被监管?

在《规定》第三条中,明确指出运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。

2、哪些是敏感信息和重要数据?

个人信息指车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。

重要数据则包括六个项目,分别涉及军事、地图测绘、充电网络、车辆类型和流量、车外音视频数据、其他影响国家安全公共利益的数据。

具体来说包括:

(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;

(二)高于国家公开发布地图精度的测绘数据;

(三)汽车充电网的运行数据;

(四)道路上车辆类型、车辆流量等数据;

(五)包含人脸、声音、车牌等的车外音视频数据;

(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

3、敏感信息和重要数据应该如何收集与处理?

《规定》第六条明确了运营者处理个人信息和重要数据应坚持的原则:

(一)车内处理原则,除非确有必要不向车外提供;

(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;

(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;

(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;

(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。

在《规定》第八条中,明确了数据收集默认不开启,如果开启需要驾驶员每次上车时授权,驾驶员能随时停止收集数据;还能随时查看、方便查询信息;如果驾驶员要求运营者删除,期限为2周。

另外,针对车外的个人信息,需要匿名化或脱敏处理,例如对人脸进行局部轮廓画处理。

4、驾驶员和乘客享有哪些权利?

在《规定》第七条中,明确规定了数据收集方式。当运营者处理个人信息时,需要通过用户手册、车载显示面板或其他适当的方式,并告知用户处理用户数据责任人的有效联系方式,收集数据的类型等,并提供以下信息:

(一)收集每种类型数据的触发条件以及停止收集的方法;

(二)收集各类型数据的目的、用途;

(三)数据保存地点、期限,或者确定保存地点、期限的规则;

(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。

5、数据应该如何存放?是否可以出境?

《规定》第十二条规定,个人信息或重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。

当运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。

同时第十四条规定,数据即使存放在境外,也需要接受和处理所涉及用户的投诉,如有侵犯他人权益,需要依法承担相应责任。

6、如何监管数据采集、处理与存储流程?

《规定》明确,当处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。

向省级网信部门和有关部门报告的数据包括责任人姓名和电话;数据处理的类型、规模、目的、必要性;数据安全管理措施;安全事故及处理情况;投诉处理情况以及规定的其他数据安全情况,还特别规定要报告与境内第三方共享数据的情况。

如果向境外提供数据,运营者在前文基础上,还需要报告接收者信息;数据处境的类型、数量、目的;境外存放地点、使用范围和方式;用户投诉处理情况以及规定的其他情况。