8月20日,国家互联网信息办公室(以下简称“国家网信办”)、公安部等五部门联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自10月1日起施行。这是工信部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》一周后,相关部门出台的又一加强汽车数据管理的政策文件。
减少无序收集与违规滥用
当前,汽车数据规模庞大,行业对其的处理能力日益增强,但同时由此暴露出的汽车数据安全问题和风险隐患也日益突出。北京中银律师事务所汽车法律事务部主任杨阳表示,随着智能汽车数据处理能力及范围日益增强、扩大,汽车数据的安全问题和风险隐患成为了制约行业健康发展的痛点。《规定》的出台既是《网络安全法》、《数据安全法》及《个人信息保护法》在汽车行业的细化,又将对智能汽车的健康发展提供加速器作用,可有效弥补新技术带来的立法空白。
《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
《规定》明确提出,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益;开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或符合法律、行政法规规定的其他情形;处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
