汽車數(shù)據(jù)安全管理若干規(guī)定（試行）

國家互聯(lián)網(wǎng)信息辦公室

中華人民共和國國家發(fā)展和改革委員會

中華人民共和國工業(yè)和信息化部

中華人民共和國公安部

中華人民共和國交通運輸部

令

第7號

《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》已經(jīng)2021年7月5日國家互聯(lián)網(wǎng)信息辦公室2021年第10次室務會議審議通過，并經(jīng)國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部同意，現(xiàn)予公布，自2021年10月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文

國家發(fā)展和改革委員會主任 何立峰

工業(yè)和信息化部部長 肖亞慶

公安部部長 趙克志

交通運輸部部長 李小鵬

2021年8月16日

汽車數(shù)據(jù)安全管理若干規(guī)定（試行）

第一條?為了規(guī)范汽車數(shù)據(jù)處理活動，保護個人、組織的合法權益，維護國家安全和社會公共利益，促進汽車數(shù)據(jù)合理開發(fā)利用，根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī)，制定本規(guī)定。

第二條?在中華人民共和國境內(nèi)開展汽車數(shù)據(jù)處理活動及其安全監(jiān)管，應當遵守相關法律、行政法規(guī)和本規(guī)定的要求。

第三條?本規(guī)定所稱汽車數(shù)據(jù)，包括汽車設計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)。

汽車數(shù)據(jù)處理，包括汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

汽車數(shù)據(jù)處理者，是指開展汽車數(shù)據(jù)處理活動的組織，包括汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構以及出行服務企業(yè)等。

個人信息，是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息，不包括匿名化處理后的信息。

敏感個人信息，是指一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)，包括：

（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；

（二）車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；

（三）汽車充電網(wǎng)的運行數(shù)據(jù)；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)。

第四條?汽車數(shù)據(jù)處理者處理汽車數(shù)據(jù)應當合法、正當、具體、明確，與汽車的設計、生產(chǎn)、銷售、使用、運維等直接相關。

第五條?利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展汽車數(shù)據(jù)處理活動，應當落實網(wǎng)絡安全等級保護等制度，加強汽車數(shù)據(jù)保護，依法履行數(shù)據(jù)安全義務。

第六條?國家鼓勵汽車數(shù)據(jù)依法合理有效利用，倡導汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持：

（一）車內(nèi)處理原則，除非確有必要不向車外提供；

（二）默認不收集原則，除非駕駛人自主設定，每次駕駛時默認設定為不收集狀態(tài)；

（三）精度范圍適用原則，根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；

（四）脫敏處理原則，盡可能進行匿名化、去標識化等處理。

第七條?汽車數(shù)據(jù)處理者處理個人信息應當通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式，告知個人以下事項：

（一）處理個人信息的種類，包括車輛行蹤軌跡、駕駛習慣、音頻、視頻、圖像和生物識別特征等；

（二）收集各類個人信息的具體情境以及停止收集的方式和途徑；

（三）處理各類個人信息的目的、用途、方式；

（四）個人信息保存地點、保存期限，或者確定保存地點、保存期限的規(guī)則；

（五）查閱、復制其個人信息以及刪除車內(nèi)、請求刪除已經(jīng)提供給車外的個人信息的方式和途徑；

（六）用戶權益事務聯(lián)系人的姓名和聯(lián)系方式；

（七）法律、行政法規(guī)規(guī)定的應當告知的其他事項。

第八條?汽車數(shù)據(jù)處理者處理個人信息應當取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。

因保證行車安全需要，無法征得個人同意采集到車外個人信息且向車外提供的，應當進行匿名化處理，包括刪除含有能夠識別自然人的畫面，或者對畫面中的人臉信息等進行局部輪廓化處理等。

第九條?汽車數(shù)據(jù)處理者處理敏感個人信息，應當符合以下要求或者符合法律、行政法規(guī)和強制性國家標準等其他要求：

（一）具有直接服務于個人的目的，包括增強行車安全、智能駕駛、導航等；

（二）通過用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響；

（三）應當取得個人單獨同意，個人可以自主設定同意期限；

（四）在保證行車安全的前提下，以適當方式提示收集狀態(tài)，為個人終止收集提供便利；

（五）個人要求刪除的，汽車數(shù)據(jù)處理者應當在十個工作日內(nèi)刪除。

汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息。

第十條?汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動，應當按照規(guī)定開展風險評估，并向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送風險評估報告。

風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量、范圍、保存地點與期限、使用方式，開展數(shù)據(jù)處理活動情況以及是否向第三方提供，面臨的數(shù)據(jù)安全風險及其應對措施等。

第十一條?重要數(shù)據(jù)應當依法在境內(nèi)存儲，因業(yè)務需要確需向境外提供的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理，適用法律、行政法規(guī)的有關規(guī)定。

我國締結或者參加的國際條約、協(xié)定有不同規(guī)定的，適用該國際條約、協(xié)定，但我國聲明保留的條款除外。

第十二條?汽車數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)，不得超出出境安全評估時明確的目的、范圍、方式和數(shù)據(jù)種類、規(guī)模等。

國家網(wǎng)信部門會同國務院有關部門以抽查等方式核驗前款規(guī)定事項，汽車數(shù)據(jù)處理者應當予以配合，并以可讀等便利方式予以展示。

第十三條?汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動，應當在每年十二月十五日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送以下年度汽車數(shù)據(jù)安全管理情況：

（一）汽車數(shù)據(jù)安全管理負責人、用戶權益事務聯(lián)系人的姓名和聯(lián)系方式；

（二）處理汽車數(shù)據(jù)的種類、規(guī)模、目的和必要性；

（三）汽車數(shù)據(jù)的安全防護和管理措施，包括保存地點、期限等；

（四）向境內(nèi)第三方提供汽車數(shù)據(jù)情況；

（五）汽車數(shù)據(jù)安全事件和處置情況；

（六）汽車數(shù)據(jù)相關的用戶投訴和處理情況；

（七）國家網(wǎng)信部門會同國務院工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門明確的其他汽車數(shù)據(jù)安全管理情況。

第十四條?向境外提供重要數(shù)據(jù)的汽車數(shù)據(jù)處理者應當在本規(guī)定第十三條要求的基礎上，補充報告以下情況：

（一）接收者的基本情況；

（二）出境汽車數(shù)據(jù)的種類、規(guī)模、目的和必要性；

（三）汽車數(shù)據(jù)在境外的保存地點、期限、范圍和方式；

（四）涉及向境外提供汽車數(shù)據(jù)的用戶投訴和處理情況；

（五）國家網(wǎng)信部門會同國務院工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門明確的向境外提供汽車數(shù)據(jù)需要報告的其他情況。

第十五條?國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門依據(jù)職責，根據(jù)處理數(shù)據(jù)情況對汽車數(shù)據(jù)處理者進行數(shù)據(jù)安全評估，汽車數(shù)據(jù)處理者應當予以配合。

參與安全評估的機構和人員不得披露評估中獲悉的汽車數(shù)據(jù)處理者商業(yè)秘密、未公開信息，不得將評估中獲悉的信息用于評估以外目的。

第十六條?國家加強智能（網(wǎng)聯(lián)）汽車網(wǎng)絡平臺建設，開展智能（網(wǎng)聯(lián)）汽車入網(wǎng)運行和安全保障服務等，協(xié)同汽車數(shù)據(jù)處理者加強智能（網(wǎng)聯(lián)）汽車網(wǎng)絡和汽車數(shù)據(jù)安全防護。

第十七條?汽車數(shù)據(jù)處理者開展汽車數(shù)據(jù)處理活動，應當建立投訴舉報渠道，設置便捷的投訴舉報入口，及時處理用戶投訴舉報。

開展汽車數(shù)據(jù)處理活動造成用戶合法權益或者公共利益受到損害的，汽車數(shù)據(jù)處理者應當依法承擔相應責任。

第十八條?汽車數(shù)據(jù)處理者違反本規(guī)定的，由省級以上網(wǎng)信、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī)的規(guī)定進行處罰；構成犯罪的，依法追究刑事責任。

第十九條?本規(guī)定自2021年10月1日起施行。

（ 本文作者：北京漢華飛天信安科技有限公司 ）