為進一步規(guī)范浙江省汽車數(shù)據(jù)處理活動,促進汽車數(shù)據(jù)合理開發(fā)利用和汽車行業(yè)健康有序發(fā)展,省委網(wǎng)信辦、省發(fā)展改革委、省經(jīng)信廳、省公安廳、省交通運輸廳聯(lián)合印發(fā)《浙江省汽車數(shù)據(jù)處理管理規(guī)定》,現(xiàn)予以公布。
浙江省汽車數(shù)據(jù)處理管理規(guī)定
第一條 為了規(guī)范省內(nèi)汽車數(shù)據(jù)處理活動,保護個人、組織的合法權(quán)益,維護國家安全和社會公共利益,促進汽車數(shù)據(jù)合理開發(fā)利用,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等法律法規(guī)和國家有關(guān)規(guī)定,結(jié)合本省實際情況,制定本規(guī)定。
第二條 在本省行政區(qū)域內(nèi)開展汽車數(shù)據(jù)處理活動,應(yīng)當遵守本規(guī)定。
第三條 本規(guī)定所稱汽車數(shù)據(jù),包括汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中涉及的個人信息和重要數(shù)據(jù)。
汽車數(shù)據(jù)處理,包括汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。
汽車數(shù)據(jù)處理者,是指開展汽車數(shù)據(jù)處理活動的組織,包括汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機構(gòu)以及出行服務(wù)企業(yè)等。
個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛?cè)恕⒊塑嚾恕④囃馊藛T等有關(guān)的各種信息,不包括匿名化處理后的信息。
敏感個人信息,是指一旦泄露或者非法使用,可能導致車主、駕駛?cè)恕⒊塑嚾恕④囃馊藛T等受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。
重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù),包括:
(一)軍事管理區(qū)、國防科工單位以及縣級以上黨政機關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù);
(二)車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù);
(三)汽車充電網(wǎng)的運行數(shù)據(jù);
(四)包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù);
(五)涉及個人信息主體超過10萬人的個人信息;
(六)國家網(wǎng)信部門和國務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P(guān)部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。
座艙數(shù)據(jù),是指通過攝像頭、紅外傳感器、指紋傳感器或傳聲器等部件從汽車座艙采集的可能包含個人信息的數(shù)據(jù),以及對其進行加工后產(chǎn)生的數(shù)據(jù)。
個人信息主體,是指個人信息所標識或者關(guān)聯(lián)的自然人。
匿名化,是指通過對個人信息的技術(shù)處理,使得個人信息主體無法被識別或者關(guān)聯(lián),且處理后的信息不能被復原的過程。
去標識化,是指通過對個人信息的技術(shù)處理,使其在不借助額外信息的情況下,無法識別或者關(guān)聯(lián)個人信息主體的過程。
第四條 汽車數(shù)據(jù)處理必須具有明確、合理的目的,處理的汽車數(shù)據(jù)類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián),同時應(yīng)遵守對重要數(shù)據(jù)處理的相關(guān)規(guī)定。
直接關(guān)聯(lián)指的是沒有上述汽車數(shù)據(jù)的參與,產(chǎn)品或服務(wù)的功能無法實現(xiàn)。
第五條 汽車數(shù)據(jù)處理者處理個人信息前,應(yīng)通過用戶手冊、車載顯示面板、語音、汽車使用相關(guān)應(yīng)用程序等顯著方式,告知處理個人信息的具體情境和必要性、各類個人信息的保存期限、精確到設(shè)區(qū)市的保存地點、用戶權(quán)益事務(wù)聯(lián)系人的姓名和聯(lián)系方式等事項。
除法律法規(guī)另有規(guī)定外,汽車數(shù)據(jù)處理者處理個人信息前,應(yīng)獲得個人信息主體的授權(quán)同意,并向個人信息主體提供查閱、復制、刪除等個人信息管理的方式和途徑。
第六條 汽車數(shù)據(jù)處理者處理敏感個人信息,對每項敏感個人信息應(yīng)取得個人信息主體單獨同意,且不得一次性針對多項敏感個人信息取得同意,個人信息主體可自主選擇同意期限。
汽車數(shù)據(jù)處理者收到敏感個人信息刪除的請求,應(yīng)當在十個工作日內(nèi)刪除。
第七條 汽車數(shù)據(jù)處理者通過車輛收集的車外視頻、圖像數(shù)據(jù),如需向車外提供,應(yīng)在車內(nèi)對數(shù)據(jù)中的人臉、車牌等信息進行匿名化處理。
除法律法規(guī)另有規(guī)定和下列情況外,未經(jīng)個人信息主體單獨同意,汽車不得向車外傳輸包含個人信息的數(shù)據(jù)。
(一)道路運輸車輛依據(jù)相關(guān)規(guī)定向所屬運輸企業(yè)監(jiān)控平臺、公共管理平臺和監(jiān)管機構(gòu)傳輸數(shù)據(jù)。
(二)出租汽車、公共汽車和教練車輛等營運車輛向監(jiān)管機構(gòu)傳輸數(shù)據(jù)。
(三)道路交通事故發(fā)生后按執(zhí)法部門要求傳輸數(shù)據(jù)。
第八條 除非個人信息主體主動選擇,汽車應(yīng)默認設(shè)定為不收集座艙數(shù)據(jù)的狀態(tài),包括不打開車內(nèi)的攝像頭、傳聲器、紅外傳感器和指紋傳感器等部件。
為保證行車安全及人身安全,正在提供公路營運服務(wù)的道路運輸車輛,以及提供出行服務(wù)的公共汽車,可不關(guān)閉傳聲器、攝像頭等收集座艙數(shù)據(jù)的部件。
第九條 汽車數(shù)據(jù)處理者持續(xù)收集敏感個人信息,應(yīng)通過車載顯示面板圖標或信號裝置指示燈的閃爍或長亮等方式提示收集狀態(tài)。
個人信息主體要求終止收集敏感個人信息的,汽車數(shù)據(jù)處理者應(yīng)提供實體按鍵、語音控制、虛擬按鍵等多種方式,確保收集終止。
第十條 汽車數(shù)據(jù)處理者不得存儲原始個人生物識別信息,使用個人生物識別特征信息完成身份識別、認證等功能后,應(yīng)以不可逆方式刪除可提取個人生物識別信息的原始圖像。
第十一條 汽車數(shù)據(jù)處理者停止運營其產(chǎn)品或服務(wù)時,應(yīng)通知個人信息主體,并及時停止繼續(xù)收集個人信息,對其所持有的個人信息進行銷毀或匿名化處理。
第十二條 汽車數(shù)據(jù)處理者進行商業(yè)營銷推送,應(yīng)取得個人信息主體授權(quán)同意,并提供拒絕接收商業(yè)營銷推送的便捷方式。
第十三條 汽車數(shù)據(jù)處理者接入具備收集個人信息功能的第三方產(chǎn)品或服務(wù)時,應(yīng)核驗其實現(xiàn)方式,落實數(shù)據(jù)安全管理責任。
第十四條 汽車數(shù)據(jù)處理者未取得個人信息主體單獨同意之前,不得公開其處理的個人信息和敏感個人信息。
除非個人信息主體拒絕,汽車數(shù)據(jù)處理者可以在合理的范圍內(nèi)處理已公開的個人信息。
第十五條 涉及顯示屏幕、紙面等界面展示個人信息的,汽車數(shù)據(jù)處理者應(yīng)對需展示的個人信息采取去標識化處理等措施。
第十六條 汽車數(shù)據(jù)處理者設(shè)置個人信息保護方面的用戶權(quán)益事務(wù)聯(lián)系人,應(yīng)對外告知聯(lián)系人準確有效的姓名和聯(lián)系方式,聯(lián)系方式包括電話號碼、郵箱地址、網(wǎng)址或即時通信平臺賬號等。
第十七條 汽車數(shù)據(jù)處理者因合并、分立、解散、被宣告破產(chǎn)等原因,需要轉(zhuǎn)移個人信息,應(yīng)向個人信息主體告知接收方的名稱或者姓名和聯(lián)系方式。
接收方變更原先的處理目的、處理方式的,應(yīng)當重新取得個人信息主體同意。
第十八條 汽車數(shù)據(jù)處理者向境外提供汽車數(shù)據(jù),應(yīng)根據(jù)《數(shù)據(jù)出境安全評估辦法》通過省網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。
第十九條 汽車數(shù)據(jù)處理者不得公開披露個人生物識別特征信息,以及我國公民的種族、民族、政治觀點、宗教信仰等敏感個人信息的分析結(jié)果。
第二十條 汽車數(shù)據(jù)處理者處置個人信息安全事件,個人信息泄露事件可能會給個人信息主體的合法權(quán)益造成嚴重危害的,應(yīng)及時將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。
第二十一條 汽車數(shù)據(jù)處理者應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,并每年至少組織一次內(nèi)部人員的應(yīng)急響應(yīng)培訓和應(yīng)急演練,內(nèi)容包括記錄事件內(nèi)容、采取控制措施、上報事件情況等。
第二十二條 汽車數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,應(yīng)與行業(yè)組織、教育和科研機構(gòu)、有關(guān)專業(yè)機構(gòu)等在數(shù)據(jù)安全風險評估、防范、處置等方面開展協(xié)作,組織數(shù)據(jù)安全教育培訓,落實數(shù)據(jù)安全管理責任。
第二十三條 汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應(yīng)當按照規(guī)定開展風險評估,并向省網(wǎng)信部門和有關(guān)部門報送風險評估報告。
風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、目的、數(shù)量、范圍、保存地點與期限、使用方式,開展數(shù)據(jù)處理活動情況以及是否向第三方提供,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。
第二十四條 開展重要數(shù)據(jù)處理活動的汽車數(shù)據(jù)處理者,應(yīng)當在每年十二月十五日前向省網(wǎng)信部門和有關(guān)部門報送年度汽車數(shù)據(jù)安全管理情況。
第二十五條 汽車數(shù)據(jù)處理者違反本規(guī)定的,由省級網(wǎng)信、經(jīng)信、公安、交通運輸?shù)扔嘘P(guān)部門依照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律、行政法規(guī)的規(guī)定進行處罰;構(gòu)成犯罪的,依法追究刑事責任。
第二十六條 本規(guī)定自2023年11月1日起施行。
