信办等5部门:非必要 汽车数据不可收集指纹、人脸远东宏信等生物识别特征信息
国家互联信息工作室
中华人民共和国国家展开和变革委员会
中华人民共和国工业和信息化部
中华人民共和国公安部
中华人民共和国交通运输部
令
第7号
《轿车数据安全办理若干规矩(试行)》现已2021年7月5日国家互联信息工作室2021年第10次室务会议审议经过,并经国家展开和变革委员会、工业和信息化部、公安部、交通运输部赞同,现予发布,自2021年10月1日起实施。
国家互联信息工作室主任庄荣文
国家展开和变革委员会主任何立峰
工业和信息化部部长肖亚庆
公安部部长赵克志
交通运输部部长李小鹏
2021年8月16日
轿车数据安全办理若干规矩(试行)
第一条为了标准轿车数据处理活动,维护个人、安排的合法权益,维护国家安全和社会公共利益,促进轿车数据合理开发运用,依据《中华人民共和国络安全法》、《中华人民共和国数据安全法》等法令、行政法规,制定本规矩。
第二条在中华人民共和国境内展开轿车数据处理活动及其安全监管,应当恪守相关法令、行政法规和本规矩的要求。
第三条本规矩所称轿车数据,包含轿车规划、出产、出售、运用、运维等过程中的触及个人信息数据和重要数据。
轿车数据处理,包含轿车数据的搜集、存储、运用、加工、传输、供给、揭露等。
轿车数据处理者,是指展开轿车数据处理活动的安排,包含轿车制造商、零部件和软件供货商、经销商、修理安排以及出行服务企业等。
个人信息,是指以电子或许其他方法记载的与已辨认或许可辨认的车主、驾驭人、搭车人、车外人员等有关的各种信息,不包含匿名化处理后的信息。
灵敏个人信息,是指一旦走漏或许不合法运用,或许导致车主、驾驭人、搭车人、车外人员等遭到轻视或许人身、产业安全遭到严重危害的个人信息,包含车辆行迹轨道、音频、视频、图画和生物辨认特征等信息。
重要数据是指一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用,或许危害国家安全、公共利益或许个人、安排合法权益的数据,包含:
(一)军事办理区、国防科工单位以及县级以上党政机关等重要灵敏区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运转状况的数据;
(三)轿车充电的运转数据;
(四)包含人脸信息、车牌信息等的车外视频、图画数据;
(五)触及个人信息主体超越10万人的个人信息;
(六)国家信部分和国务院展开变革、工业和信息化、公安、交通运输等有关部分确认的其他或许危害国家安全、公共利益或许个人、安排合法权益的数据。
第四条轿车数据处理者处理轿车数据应当合法、合理、详细、清晰,与轿车的规划、出产、出售、运用、运维等直接相关。
第五条运用互联等信息络展开轿车数据处理活动,应当执行络安全等级维护等准则,加强轿车数据维护,依法实行数据安全职责。
第六条国家鼓舞轿车数据依法合理有用运用,倡议轿车数据处理者在展开轿车数据处理活动中坚持:
(一)车内处理准则,除非确有必要不向车外供给;
(二)默许不搜集准则,除非驾驭人自主设定,每次驾驭时默许设定为不搜集状况;
(三)精度规划适用准则,依据所供给功用服务对数据精度的要求确认摄像头、雷达等的掩盖规划、分辨率;
(四)脱敏处理准则,尽或许进行匿名化、去标识化等处理。
第七条轿车数据处理者处理个人信息应当经过用户手册、车载显现面板、语音、轿车运用相关应用程序等明显方法,奉告个人以下事项:
(一)处理个人信息的品种,包含车辆行迹轨道、驾驭习气、音频、视频、图画和生物辨认特征等;
(二)搜集各类个人信息的详细情境以及中止搜集的方法和途径;
(三)处理各类个人信息的意图、用处、方法;
(四)个人信息保存地址、保存期限,或许确认保存地址、保存期限的规矩;
(五)查阅、仿制其个人信息以及删去车内、恳求删去现已供给给车外的个人信息的方法和途径;
(六)用户权益业务联系人的名字和联系方法;
(七)法令、行政法规规矩的应当奉告的其他事项。
第八条轿车数据处理者处理个人信息应当获得个人赞同或许契合法令、行政法规规矩的其他景象。
因确保行车安全需求,无法征得个人赞同搜集到车外个人信息且向车外供给的,应当进行匿名化处理,包含删去含有能够辨认自然人的画面,或许对画面中的人脸信息等进行部分概括化处理等。
第九条轿车数据处理者处理灵敏个人信息,应当契合以下要求或许契合法令、行政法规和强制性国家标准等其他要求:
(一)具有直接服务于个人的意图,包含增强行车安全、智能驾驭、导航等;
(二)经过用户手册、车载显现面板、语音以及轿车运用相关应用程序等明显方法奉告必要性以及对个人的影响;
(三)应当获得个人独自赞同,个人能够自主设定赞同期限;
(四)在确保行车安全的前提下,以恰当方法提示搜集状况,为个人停止搜集供给便当;
(五)个人要求删去的,轿车数据处理者应当在十个工作日内删去。
轿车数据处理者具有增强行车安全的意图和充沛的必要性,方可搜集指纹、声纹、人脸、心律等生物辨认特征信息。
第十条轿车数据处理者展开重要数据处理活动,应当按照规矩展开危险评价,并向省、自治区、直辖市信部分和有关部分报送危险评价陈述。
危险评价陈述应当包含处理的重要数据的品种、数量、规划、保存地址与期限、运用方法,展开数据处理活动状况以及是否向第三方供给,面对的数据安全危险及其应对办法等。
第十一条重要数据应当依法在境内存储,因业务需求确需向境外供给的,应当经过国家信部分会同国务院有关部分安排的安全评价。未列入重要数据的触及个人信息数据的出境安全办理,适用法令、行政法规的有关规矩。
我国订立或许参加的世界公约、协议有不同规矩的,适用该世界公约、协议,但我国声明保存的条款在外。
第十二条轿车数据处理者向境外供给重要数据,不得超出出境安全评价时清晰的意图、规划、方法和数据品种、规划等。
国家信部分会同国务院有关部分以检查等方法核验前款规矩事项,轿车数据处理者应当予以合作,并以可读等便当方法予以展现。
第十三条轿车数据处理者展开重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市信部分和有关部分报送以下年度轿车数据安全办理状况:
(一)轿车数据安全办理负责人、用户权益业务联系人的名字和联系方法;
(二)处理轿车数据的品种、规划、意图和必要性;
(三)轿车数据的安全防护和办理办法,包含保存地址、期限等;
(四)向境内第三方供给轿车数据状况;
(五)轿车数据安全事情和处置状况;
(六)轿车数据相关的用户投诉和处理状况;
(七)国家信部分会同国务院工业和信息化、公安、交通运输等有关部分清晰的其他轿车数据安全办理状况。
第十四条向境外供给重要数据的轿车数据处理者应当在本规矩第十三条要求的基础上,弥补陈述以下状况:
(一)接收者的基本状况;
(二)出境轿车数据的品种、规划、意图和必要性;
(三)轿车数据在境外的保存地址、期限、规划和方法;
(四)触及向境外供给轿车数据的用户投诉和处理状况;
(五)国家信部分会同国务院工业和信息化、公安、交通运输等有关部分清晰的向境外供给轿车数据需求陈述的其他状况。
第十五条国家信部分和国务院展开变革、工业和信息化、公安、交通运输等有关部分依据职责,依据处理数据状况对轿车数据处理者进行数据安全评价,轿车数据处理者应当予以合作。
参加安全评价的安排和人员不得发表评价中得悉的轿车数据处理者商业秘密、未揭露信息,不得将评价中得悉的信息用于评价以外意图。
第十六条国家加强智能(联)轿车络途径建造,展开智能(联)轿车入运转和安全保证服务等,协同轿车数据处理者加强智能(联)轿车络和轿车数据安全防护。
第十七条轿车数据处理者展开轿车数据处理活动,应当树立投诉告发途径,设置快捷的投诉告发进口,及时处理用户投诉告发。
展开轿车数据处理活动形成用户合法权益或许公共利益遭到危害的,轿车数据处理者应当依法承当相应职责。
第十八条轿车数据处理者违反本规矩的,由省级以上信、工业和信息化、公安、交通运输等有关部分按照《中华人民共和国络安全法》、《中华人民共和国数据安全法》等法令、行政法规的规矩进行处分;构成犯罪的,依法追究刑事职责。
第十九条本规矩自2021年10月1日起实施。
