国家网信办就汽车数据安全向社会征求意见

【行业】近日，国家网信办发布了向社会公开征求意见的通知《汽车数据安全管理若干规定（征求意见稿）》。

内容提到，为加强个人信息和重要数据保护，规范汽车数据处理活动，根据《中华人民共和国网络安全法》等法律法规，国家网信办会同有关部门制定了《汽车数据安全管理若干规定（征求意见稿）》，现向公众开放征求意见。

其中包括“运营者收集个人信息，必须征得被收集人同意，法律法规规定不需要个人同意的除外”； 《个人信息或重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网络提供《信息部门组织的数据出境安全评估》等内容公众可通过以下渠道和方式提出反馈意见： 1、登录中华人民共和国司法部中国政府法律信息网（

cn），进入首页“征求意见”程序主菜单“立法意见”。

2.通过电子邮件发送至：。

3、将意见以信函方式发送至：国家互联网信息办公室，地址：北京市西城区车公庄大街11号，邮政编码44，并在信封上注明“就汽车数据安全管理若干规定征求意见”。

反馈截止日期为2020年6月11日。

（来源：国家互联网信息办公室；蔡立元编译）《汽车数据安全管理若干规定（征求意见稿）》第一条是加强个人信息和重要数据的保护，规范汽车数据处理活动，维护国家安全和公共利益。

，根据《中华人民共和国网络安全法》等法律、法规的规定，制定本规定。

第二条 经营者在境内设计、生产、销售、经营维护、管理汽车过程中，向境外收集、分析、存储、传输、查询、利用、删除、提供（以下统称处理）个人信息或重要信息。

中华人民共和国领土。

数据应当符合相关法律、法规及本规定的要求。

第三条 本规定所称经营者是指汽车设计、制造、服务企业或者机构，包括汽车生产企业、零部件及软件供应商、经销商、维修机构、网约车公司、保险公司等。

本规定所称的数据包括车主、驾驶人、乘客、行人等个人信息，以及能够推断个人身份、描述个人行为等的各种信息。

本规定所称重要数据包括： （一）人员军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的交通流量数据； （二）精度高于国家公开发布的地图测绘数据； （三）汽车充电网络运营数据； （四）道路车辆类型和车流数据； （5）车外音视频数据，包括人脸、声音、车牌等； （六）国家网络国务院新闻主管部门和有关部门规定的其他可能影响国家安全和社会公共利益的数据。

第四条 经营者处理个人信息或重要数据的目的应当合法、具体、明确，并与汽车设计、制造和服务直接相关。

第五条 运营者应当实行网络安全等级保护制度，加强对个人信息和重要数据的保护，依法履行网络安全义务。

第六条鼓励运营者在处理个人信息和重要数据时遵循以下原则： （一）车内处理原则，除非确有必要不在车外提供； （2）匿名处理原则，如果确实需要提供到车外，则尽可能匿名化、脱敏化； （三）最短保存期限原则，根据提供的功能服务类型确定数据保存期限； （四）精度范围应用原则，根据所提供的功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围和分辨率； （五）默认不收款的原则。

除非确实有必要，否则每次行驶时默认都是不采集状态，且驾驶员的同意和授权仅对本次行驶有效。

第七条 处理个人信息的运营者应当通过用户手册告知负责处理用户权益的人员的有效联系方式，以及收集的数据类型，包括车辆位置、生物识别、驾驶习惯、音视频等。

车辆显示面板或其他适当的装置。

视频等，并提供以下信息： （1）收集各类数据的触发条件和停止收集的方法； （二）收集各类数据的目的和用途； （三）数据存储地点和期限，或者确定存储地点、期限规则； (4)删除车内个人信息以及请求删除已在车外提供的个人信息的方法和步骤。

第八条 经营者收集、提供车外敏感个人信息，包括车辆位置、驾驶人或者乘客音视频等，以及可用于判断违法驾驶的数据，应当符合下列要求：（一）直接服务于驾驶员或乘客的目的，包括增强驾驶安全、辅助驾驶、导航、娱乐等； （2）默认不收取，每次都必须征得驾驶员的同意和授权，且行驶完毕（驾驶员离开车辆）就座后该授权自动失效； （三）通过车载显示面板或语音告知驾驶员、乘客敏感个人信息正在被收集； （4）司机可以随时、方便地终止接载； （5）允许车主方便地查看和构造所收集的敏感个人信息； （6）当司机要求运营商删除时，运营商应在2周内删除。

第九条 运营者收集个人信息，必须征得被收集者同意，但法律法规规定不需要个人同意的除外。

如果实践中难以实现（如通过摄像头采集车外音视频信息）而确实有必要提供，则应进行匿名化或脱敏处理，包括删除可识别自然人身份的图片，或更改这些照片中的面孔。

进行局部轮廓加工等第十条 仅为方便用户使用、提高车辆电子信息系统安全性目的，可以收集驾驶员指纹、声纹、人脸、心律等生物特征数据，其他生物特征数据应当提供。

同时，应提供生物识别替代方法。

第十一条 运营者处理重要数据时，应当提前向省网信部门和有关部门报告数据类型、规模、范围、存储地点和期限、使用方式以及是否向第三方提供等情况。

第十二条 个人信息或者重要数据应当依法在境内存储。

确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。

我国参加的或者与其他国家、地区、国际组织签订的条约、协议对向境外提供个人信息有明确规定的，适用其规定，但我国声明的条款除外。

预订。

第十三条 运营者向境外提供个人信息或重要数据时，应当采取有效措施，明确并监督接收方按照双方约定的目的、范围和方式使用数据，确保数据安全。

第十四条 向境外提供个人信息或者重要数据的运营者应当接受并处理涉案用户的投诉；运营者造成用户合法权益或者公共利益损害的，应当依法承担相应责任。

第十五条 运营者不得超出出境安全评估规定的目的、范围、方式、数据类型、规模等向境外提供个人信息或重要数据。

国家网信部门会同国务院有关部门对向境外提供的个人信息或者重要数据的类型和范围进行抽查，运营者应当以清晰易读的方式展示。

第十六条 科研、业务合作伙伴需要查询、利用境内存储的个人信息和重要数据的，运营者应当采取有效措施，确保数据安全、防止丢失；严格限制重要数据以及车辆位置、生物识别、驾驶员或乘客音频、视频等敏感数据以及可用于判定违法驾驶的数据的查询和利用。

第十七条 处理涉及十万个以上个人信息主体的个人信息或者处理重要数据的运营者，应当于每年12月15日前向省网信部门和有关部门报告年度数据安全管理情况。

内容包括： （一）数据安全负责人和用户权益相关事务负责人的姓名、联系方式； （二）数据处理的类型、规模、目的和必要性； （三）数据安全保护和管理措施，包括存储地点、期限等； (4) 与境内第三方共享数据； （五）数据安全事件及其处理； (6) 用户有关个人信息和数据的投诉及其处理； （七）国家网信办规定的其他数据安全情况。

第十八条 向境外提供数据的，运营者应当根据本规定第十七条的规定报送下列信息： （一）接收者的姓名和联系方式； （二）出站数据的类型、数量和目的； （三）数据在境外的存储地点、范围和使用方式； （四）涉及境外提供数据的投诉及用户投诉处理； （五）国家网信部门明确需要向境外提供数据报告的其他事项。

健康）状况。

第十九条 国家网信部门会同国务院有关部门根据数据处理情况对运营者进行数据安全评估，运营者应当配合。

参与安全评价的机构和人员不得泄露经营者的商业秘密或者评价中获知的未公开信息，不得将评价中获知的信息用于评价以外的目的。

第二十条 运营者违反本规定的，由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定给予处罚。

构成犯罪的，依法追究刑事责任。

第二十一条 本条例自年、月、日施行。