当前位置: 中青汽车频道->> 品了又品->> 正文
五部门:处理敏感个人信息,汽车数据处理者应当取得个人单独同意

2021-08-23 11:08    来源:观察者网

据中国网信网8月20日消息,近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。

随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。

《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。

《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。

《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。

《规定》提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。对于违反本规定的汽车数据处理者,有关部门将依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。

国家互联网信息办公室有关负责人指出,汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信、发展改革、工业和信息化、公安、交通运输等有关部门在汽车数据安全管理过程中,将加强协调和数据共享,形成工作合力。

国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定(试行)》答记者问

问:请简要介绍《规定》出台的背景?

答:出台《规定》主要基于以下两方面的考虑:一是防范化解汽车数据安全风险的实践需要。汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。比如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。因此,亟需加强汽车数据安全管理,防范化解上述安全问题和风险隐患。二是保障汽车数据依法合理有效利用的客观需要。《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。

此外,还要说明的是,《规定》定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题作出规定。

问:《规定》中所称汽车数据和汽车数据处理活动是指什么?

答:《规定》中所称汽车数据,是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;所称汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。

问:《规定》明确了汽车数据处理者开展汽车数据处理活动应当符合哪些一般要求?

答:《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。三是应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。

问:《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持哪些原则?

答:《规定》制定过程中,坚持安全和发展并重,倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,促进汽车行业健康有序发展。

问:为了使汽车数据处理者更好地履行个人信息保护责任,《规定》明确了哪些具体要求?

答:《规定》明确了处理个人信息、敏感个人信息的具体要求。针对个人信息,一是告知义务,汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求,因保证行车安全需要,无法征得个人同意采集到个人信息且向车外提供的,应当进行匿名化处理。针对敏感个人信息,在履行告知、征得个人单独同意等义务基础上,汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息,明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。

问:为了规范重要数据处理活动,《规定》明确了哪些具体要求?

答:《规定》明确了处理重要数据的具体制度。一是风险评估报告制度,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。二是出境安全评估制度,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。三是抽查核验制度,国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项,汽车数据处理者应当予以配合。四是年度报告制度,汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。五是年度补充报告制度,向境外提供重要数据的汽车数据处理者应当补充报告相关情况。

问:关于汽车数据安全监督管理和保障,《规定》还明确了哪些具体措施?

答:除了上述报告、评估、抽查核验等监督管理措施以外,《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,可根据处理数据情况对汽车数据处理者进行数据安全评估;明确国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。

问:违反《规定》如何追究法律责任?

答:《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。 

【责任编辑:王京辉】
中青出行
中青出行

《中国青年报•出行周刊》官方账号,每天推送出行、科技、文化类

品了又品
五部门:处理敏感个人信息,汽车数据处理者应当取得个人单独同意

近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息

2021-08-23 11:24
五部门联合发布《汽车数据安全管理若干规定(试行)》

近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息

2021-08-23 11:24
电动汽车频频起火 谁该背锅

当碳中和的热潮席卷全球,各国的新能源汽车也驶向了快车道。但快

2021-08-23 08:28
热门点击

某高档汽车品牌的经销商透露,“芯片短缺所导致的交付时间延长和

READ MORE

全国铁路开始实施第三季度列车运行图。在调图已成常态的情况下,

READ MORE

据国家市场监管总局网站26日消息,日前,湖南江南汽车制造有限

READ MORE

芯片短缺已重创了全球汽车业。不过近来,一些汽车厂商、研究机构

READ MORE