為加強個(gè)人信息和重要數據保護，規范汽車(chē)數據處理活動(dòng)，根據《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規，國家互聯(lián)網(wǎng)信息辦公室會(huì )同有關(guān)部門(mén)起草了《汽車(chē)數據安全管理若干規定（征求意見(jiàn)稿）》，現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可通過(guò)以下途徑和方式提出反饋意見(jiàn)：

1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。

2.通過(guò)電子郵件方式發(fā)送至：zqyj@cac.gov.cn。

3.通過(guò)信函方式將意見(jiàn)寄至：北京市西城區車(chē)公莊大街11號國家互聯(lián)網(wǎng)信息辦公室，郵編100044，并在信封上注明“汽車(chē)數據安全管理若干規定征求意見(jiàn)”。

意見(jiàn)反饋截止時(shí)間為2021年6月11日。

國家互聯(lián)網(wǎng)信息辦公室

2021年5月12日

汽車(chē)數據安全管理若干規定（征求意見(jiàn)稿）

第一條 為了加強個(gè)人信息和重要數據保護，規范汽車(chē)數據處理活動(dòng)，維護國家安全和公共利益，根據《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規，制定本規定。

第二條 運營(yíng)者在中華人民共和國境內設計、生產(chǎn)、銷(xiāo)售、運維、管理汽車(chē)過(guò)程中，收集、分析、存儲、傳輸、查詢(xún)、利用、刪除以及向境外提供（以下統稱(chēng)處理）個(gè)人信息或重要數據，應當遵守相關(guān)法律法規和本規定的要求。

第三條 本規定所稱(chēng)運營(yíng)者指汽車(chē)設計、制造、服務(wù)企業(yè)或者機構，包括汽車(chē)制造商、部件和軟件提供者、經(jīng)銷(xiāo)商、維修機構、網(wǎng)約車(chē)企業(yè)、保險公司等。

本規定所稱(chēng)個(gè)人信息包括車(chē)主、駕駛人、乘車(chē)人、行人等的個(gè)人信息，以及能夠推斷個(gè)人身份、描述個(gè)人行為等的各種信息。

本規定所稱(chēng)重要數據包括：

（一）軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關(guān)等重要敏感區域的人流車(chē)流數據；

（二）高于國家公開(kāi)發(fā)布地圖精度的測繪數據；

（三）汽車(chē)充電網(wǎng)的運行數據；

（四）道路上車(chē)輛類(lèi)型、車(chē)輛流量等數據；

（五）包含人臉、聲音、車(chē)牌等的車(chē)外音視頻數據；

（六）國家網(wǎng)信部門(mén)和國務(wù)院有關(guān)部門(mén)明確的其他可能影響國家安全、公共利益的數據。

第四條 運營(yíng)者處理個(gè)人信息或重要數據的目的應當合法、具體、明確，與汽車(chē)的設計、制造、服務(wù)直接相關(guān)。

第五條 運營(yíng)者應當落實(shí)網(wǎng)絡(luò )安全等級保護制度，加強個(gè)人信息和重要數據保護，依法履行網(wǎng)絡(luò )安全義務(wù)。

第六條 倡導運營(yíng)者處理個(gè)人信息和重要數據過(guò)程中堅持：

（一）車(chē)內處理原則，除非確有必要不向車(chē)外提供；

（二）匿名化處理原則，確有必要向車(chē)外提供的，盡可能地進(jìn)行匿名化和脫敏處理；

（三）最小保存期限原則，根據所提供功能服務(wù)分類(lèi)型確定數據保存期限；

（四）精度范圍適用原則，根據所提供功能服務(wù)對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；

（五）默認不收集原則，除非確有必要，每次駕駛時(shí)默認為不收集狀態(tài)，駕駛人的同意授權只對本次駕駛有效。

第七條 運營(yíng)者處理個(gè)人信息應當通過(guò)用戶(hù)手冊、車(chē)載顯示面板或其他適當方式，告知負責處理用戶(hù)權益責任人的有效聯(lián)系方式，以及收集數據的類(lèi)型，包括車(chē)輛位置、生物特征、駕駛習慣、音視頻等，并提供以下信息：

（一）收集每種類(lèi)型數據的觸發(fā)條件以及停止收集的方法；

（二）收集各類(lèi)型數據的目的、用途；

（三）數據保存地點(diǎn)、期限，或者確定保存地點(diǎn)、期限的規則；

（四）刪除車(chē)內、請求刪除已經(jīng)提供給車(chē)外的個(gè)人信息的方法步驟。

第八條 運營(yíng)者收集和向車(chē)外提供敏感個(gè)人信息，包括車(chē)輛位置、駕駛人或乘車(chē)人音視頻等，以及可以用于判斷違法違規駕駛的數據等，應當符合以下要求：

（一）以直接服務(wù)于駕駛人或者乘車(chē)人為目的，包括增強行車(chē)安全、輔助駕駛、導航、娛樂(lè )等；

（二）默認為不收集，每次都應當征得駕駛人同意授權，駕駛結束（駕駛人離開(kāi)駕駛席）后本次授權自動(dòng)失效；

（三）通過(guò)車(chē)內顯示面板或語(yǔ)音等方式告知駕駛人和乘車(chē)人正在收集敏感個(gè)人信息；

（四）駕駛人能夠隨時(shí)、方便地終止收集；

（五）允許車(chē)主方便查看、結構化查詢(xún)被收集的敏感個(gè)人信息；

（六）駕駛人要求運營(yíng)者刪除時(shí)，運營(yíng)者應當在2周內刪除。

第九條 運營(yíng)者收集個(gè)人信息應當取得被收集人同意，法律法規規定不需取得個(gè)人同意的除外。實(shí)踐上難以實(shí)現的（如通過(guò)攝像頭收集車(chē)外音視頻信息），且確需提供的，應當進(jìn)行匿名化或脫敏處理，包括刪除含有能夠識別自然人的畫(huà)面，或對這些畫(huà)面中的人臉等進(jìn)行局部輪廓化處理等。

第十條 僅當為了方便用戶(hù)使用、增加車(chē)輛電子和信息系統安全性等目的，方可收集駕駛人指紋、聲紋、人臉、心律等生物特征數據，同時(shí)應當提供生物特征的替代方式。

第十一條 運營(yíng)者處理重要數據，應當提前向省級網(wǎng)信部門(mén)和有關(guān)部門(mén)報告數據類(lèi)型、規模、范圍、保存地點(diǎn)與時(shí)限、使用方式，以及是否向第三方提供等。

第十二條 個(gè)人信息或者重要數據應當依法在境內存儲，確需向境外提供的，應當通過(guò)國家網(wǎng)信部門(mén)組織的數據出境安全評估。

我國參與的或者與其他國家和地區、國際組織締結的條約、協(xié)議等對向境外提供個(gè)人信息有明確規定的，適用其規定，我國聲明保留的條款除外。

第十三條 運營(yíng)者向境外提供個(gè)人信息或者重要數據的，應當采取有效措施明確和監督接收者按照雙方約定的目的、范圍、方式使用數據，保證數據安全。

第十四條 運營(yíng)者向境外提供個(gè)人信息或者重要數據的，應當接受和處理所涉及的用戶(hù)投訴；造成用戶(hù)合法權益或公共利益受到損害的，應當依法承擔相應責任。

第十五條 運營(yíng)者不得超出出境安全評估時(shí)明確的目的、范圍、方式和數據類(lèi)型、規模等，向境外提供個(gè)人信息或重要數據。

國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)以抽查方式核驗向境外提供個(gè)人信息或重要數據的類(lèi)型、范圍等，運營(yíng)者應當以明文、可讀方式予以展示。

第十六條 科研和商業(yè)合作伙伴需要查詢(xún)利用境內存儲的個(gè)人信息和重要數據的，運營(yíng)者應當采取有效措施保證數據安全，防止流失；嚴格限制對重要數據以及車(chē)輛位置、生物特征、駕駛人或者乘車(chē)人音視頻，以及可以用于判斷違法違規駕駛的數據等敏感數據的查詢(xún)利用。

第十七條 處理個(gè)人信息涉及個(gè)人信息主體超過(guò)10萬(wàn)人、或者處理重要數據的運營(yíng)者，應當在每年十二月十五日前將年度數據安全管理情況報省級網(wǎng)信部門(mén)和有關(guān)部門(mén)，內容包括：

（一）數據安全負責人以及負責處理用戶(hù)權益相關(guān)事務(wù)責任人的姓名和聯(lián)系方式；

（二）處理數據的類(lèi)型、規模、目的及必要性；

（三）數據的安全防護和管理措施，包括保存地點(diǎn)、期限等；

（四）與境內第三方共享數據情況；

（五）數據安全事故及處理情況；

（六）與個(gè)人信息和數據相關(guān)的用戶(hù)投訴及處理情況；

（七）國家網(wǎng)信部門(mén)明確的其他數據安全情況。

第十八條 如果存在向境外提供數據的情況，運營(yíng)者應當在本規定第十七條基礎上，報告以下情況：

（一）接收者的名稱(chēng)和聯(lián)系方式；

（二）出境數據的類(lèi)型、數量及目的；

（三）數據在境外的存放地點(diǎn)、使用范圍和方式；

（四）涉及向境外提供數據的用戶(hù)投訴及處理情況；

（五）國家網(wǎng)信部門(mén)明確的向境外提供數據需要報告的其他情況。

第十九條 國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)根據處理數據情況對運營(yíng)者進(jìn)行數據安全評估，運營(yíng)者應當予以配合。

參與安全評估的機構和人員不得披露評估中獲悉的運營(yíng)者商業(yè)秘密、未公開(kāi)信息，不得將評估中獲悉的信息用于評估以外目的。

第二十條 運營(yíng)者違反本規定的，由省級以上網(wǎng)信部門(mén)和有關(guān)部門(mén)依照《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規的有關(guān)規定進(jìn)行處罰。構成犯罪的，依法追究刑事責任。

第二十一條 本規定自2021年 月 日起施行。

來(lái)源：中國網(wǎng)信網(wǎng)