近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》)。國家互聯網信息辦公室有關負責人就《規定》相關問題回答了記者提問。
問:請簡要介紹《規定》出臺的背景?
答:出臺《規定》主要基于以下兩方面的考慮:一是防范化解汽車數據安全風險的實踐需要。汽車產業涉及國家經濟、裝備制造、金融、交通運輸、生產生活等諸多領域,汽車數據處理能力日益增強、汽車數據規模龐大,同時暴露出的汽車數據安全問題和風險隱患也日益突出。比如,汽車數據處理者超越實際需要,過度收集重要數據;未經用戶同意,違規處理個人信息,特別是敏感個人信息;未經安全評估,違規出境重要數據等。因此,亟需加強汽車數據安全管理,防范化解上述安全問題和風險隱患。二是保障汽車數據依法合理有效利用的客觀需要。《網絡安全法》、《數據安全法》對數據安全、個人信息保護作了基本規定。在汽車數據安全管理領域出臺有針對性的規章制度,明確汽車數據處理者的責任和義務,規范汽車數據處理活動,有利于促進汽車數據依法合理有效利用和汽車行業健康有序發展。
此外,還要說明的是,《規定》定位于若干規范要求,聚焦汽車領域個人信息和重要數據的安全風險,就若干重點問題作出規定。
問:《規定》中所稱汽車數據和汽車數據處理活動是指什么?
答:《規定》中所稱汽車數據,是指汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據;所稱汽車數據處理,包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等,涉及汽車數據處理的全生命周期。《規定》還進一步明確了汽車數據中的個人信息、敏感個人信息、重要數據以及汽車數據處理者的含義和類型。
問:《規定》明確了汽車數據處理者開展汽車數據處理活動應當符合哪些一般要求?
答:《規定》明確了汽車數據處理者開展汽車數據處理活動的一般要求。主要包括:一是處理汽車數據應當合法、正當、具體、明確,與汽車的設計、生產、銷售、使用、運維等直接相關。二是利用互聯網等信息網絡開展汽車數據處理活動,應當落實網絡安全等級保護等制度,加強汽車數據保護,依法履行數據安全義務。三是應當建立投訴舉報渠道,設置便捷的投訴舉報入口,及時處理用戶投訴舉報。
問:《規定》倡導汽車數據處理者在開展汽車數據處理活動中堅持哪些原則?
答:《規定》制定過程中,堅持安全和發展并重,倡導汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”、“默認不收集”、“精度范圍適用”、“脫敏處理”等原則,減少對汽車數據的無序收集和違規濫用,鼓勵汽車數據依法合理有效利用,促進汽車行業健康有序發展。
問:為了使汽車數據處理者更好地履行個人信息保護責任,《規定》明確了哪些具體要求?
答:《規定》明確了處理個人信息、敏感個人信息的具體要求。針對個人信息,一是告知義務,汽車數據處理者處理個人信息應當告知處理個人信息種類、收集情境、停止收集方式途徑等相關信息。二是征得同意義務,汽車數據處理者處理個人信息應當取得個人同意或者符合法律、行政法規規定的其他情形。三是匿名化要求,因保證行車安全需要,無法征得個人同意采集到個人信息且向車外提供的,應當進行匿名化處理。針對敏感個人信息,在履行告知、征得個人單獨同意等義務基礎上,汽車數據處理者處理敏感個人信息還應當滿足限定處理目的、提示收集狀態、為個人終止收集提供便利等具體要求。針對個人生物識別特征信息,明確汽車數據處理者具有增強行車安全的目的和充分的必要性方可收集。
問:為了規范重要數據處理活動,《規定》明確了哪些具體要求?
答:《規定》明確了處理重要數據的具體制度。一是風險評估報告制度,汽車數據處理者開展重要數據處理活動,應當按照規定開展風險評估,并向省、自治區、直轄市網信部門和有關部門報送風險評估報告。二是出境安全評估制度,重要數據應當依法在境內存儲,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估。三是抽查核驗制度,國家網信部門會同國務院有關部門以抽查等方式核驗汽車數據出境評估有關事項,汽車數據處理者應當予以配合。四是年度報告制度,汽車數據處理者應當在每年十二月十五日前向省、自治區、直轄市網信和有關部門報送年度汽車數據安全管理情況。五是年度補充報告制度,向境外提供重要數據的汽車數據處理者應當補充報告相關情況。
問:關于汽車數據安全監督管理和保障,《規定》還明確了哪些具體措施?
答:除了上述報告、評估、抽查核驗等監督管理措施以外,《規定》還明確國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門依據職責,可根據處理數據情況對汽車數據處理者進行數據安全評估;明確國家加強智能(網聯)汽車網絡平臺建設,開展智能(網聯)汽車入網運行和安全保障服務等,協同汽車數據處理者加強智能(網聯)汽車網絡和汽車數據安全防護。
問:違反《規定》如何追究法律責任?
答:《規定》明確汽車數據處理者違反本規定的,由省級以上網信、工業和信息化、公安、交通運輸等有關部門依照《網絡安全法》、《數據安全法》等法律、行政法規的規定進行處罰;構成犯罪的,依法追究刑事責任。
