為進一步規范浙江省汽車數據處理活動,促進汽車數據合理開發利用和汽車行業健康有序發展,省委網信辦、省發展改革委、省經信廳、省公安廳、省交通運輸廳聯合印發《浙江省汽車數據處理管理規定》,現予以公布。
浙江省汽車數據處理管理規定
第一條 為了規范省內汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《汽車數據安全管理若干規定(試行)》等法律法規和國家有關規定,結合本省實際情況,制定本規定。
第二條 在本省行政區域內開展汽車數據處理活動,應當遵守本規定。
第三條 本規定所稱汽車數據,包括汽車設計、生產、銷售、使用、運維等過程中涉及的個人信息和重要數據。
汽車數據處理,包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等。
汽車數據處理者,是指開展汽車數據處理活動的組織,包括汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業等。
個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息,不包括匿名化處理后的信息。
敏感個人信息,是指一旦泄露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。
重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數據,包括:
(一)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據;
(二)車輛流量、物流等反映經濟運行情況的數據;
(三)汽車充電網的運行數據;
(四)包含人臉信息、車牌信息等的車外視頻、圖像數據;
(五)涉及個人信息主體超過10萬人的個人信息;
(六)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。
座艙數據,是指通過攝像頭、紅外傳感器、指紋傳感器或傳聲器等部件從汽車座艙采集的可能包含個人信息的數據,以及對其進行加工后產生的數據。
個人信息主體,是指個人信息所標識或者關聯的自然人。
匿名化,是指通過對個人信息的技術處理,使得個人信息主體無法被識別或者關聯,且處理后的信息不能被復原的過程。
去標識化,是指通過對個人信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯個人信息主體的過程。
第四條 汽車數據處理必須具有明確、合理的目的,處理的汽車數據類型應與實現產品或服務的業務功能直接關聯,同時應遵守對重要數據處理的相關規定。
直接關聯指的是沒有上述汽車數據的參與,產品或服務的功能無法實現。
第五條 汽車數據處理者處理個人信息前,應通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式,告知處理個人信息的具體情境和必要性、各類個人信息的保存期限、精確到設區市的保存地點、用戶權益事務聯系人的姓名和聯系方式等事項。
除法律法規另有規定外,汽車數據處理者處理個人信息前,應獲得個人信息主體的授權同意,并向個人信息主體提供查閱、復制、刪除等個人信息管理的方式和途徑。
第六條 汽車數據處理者處理敏感個人信息,對每項敏感個人信息應取得個人信息主體單獨同意,且不得一次性針對多項敏感個人信息取得同意,個人信息主體可自主選擇同意期限。
汽車數據處理者收到敏感個人信息刪除的請求,應當在十個工作日內刪除。
第七條 汽車數據處理者通過車輛收集的車外視頻、圖像數據,如需向車外提供,應在車內對數據中的人臉、車牌等信息進行匿名化處理。
除法律法規另有規定和下列情況外,未經個人信息主體單獨同意,汽車不得向車外傳輸包含個人信息的數據。
(一)道路運輸車輛依據相關規定向所屬運輸企業監控平臺、公共管理平臺和監管機構傳輸數據。
(二)出租汽車、公共汽車和教練車輛等營運車輛向監管機構傳輸數據。
(三)道路交通事故發生后按執法部門要求傳輸數據。
第八條 除非個人信息主體主動選擇,汽車應默認設定為不收集座艙數據的狀態,包括不打開車內的攝像頭、傳聲器、紅外傳感器和指紋傳感器等部件。
為保證行車安全及人身安全,正在提供公路營運服務的道路運輸車輛,以及提供出行服務的公共汽車,可不關閉傳聲器、攝像頭等收集座艙數據的部件。
第九條 汽車數據處理者持續收集敏感個人信息,應通過車載顯示面板圖標或信號裝置指示燈的閃爍或長亮等方式提示收集狀態。
個人信息主體要求終止收集敏感個人信息的,汽車數據處理者應提供實體按鍵、語音控制、虛擬按鍵等多種方式,確保收集終止。
第十條 汽車數據處理者不得存儲原始個人生物識別信息,使用個人生物識別特征信息完成身份識別、認證等功能后,應以不可逆方式刪除可提取個人生物識別信息的原始圖像。
第十一條 汽車數據處理者停止運營其產品或服務時,應通知個人信息主體,并及時停止繼續收集個人信息,對其所持有的個人信息進行銷毀或匿名化處理。
第十二條 汽車數據處理者進行商業營銷推送,應取得個人信息主體授權同意,并提供拒絕接收商業營銷推送的便捷方式。
第十三條 汽車數據處理者接入具備收集個人信息功能的第三方產品或服務時,應核驗其實現方式,落實數據安全管理責任。
第十四條 汽車數據處理者未取得個人信息主體單獨同意之前,不得公開其處理的個人信息和敏感個人信息。
除非個人信息主體拒絕,汽車數據處理者可以在合理的范圍內處理已公開的個人信息。
第十五條 涉及顯示屏幕、紙面等界面展示個人信息的,汽車數據處理者應對需展示的個人信息采取去標識化處理等措施。
第十六條 汽車數據處理者設置個人信息保護方面的用戶權益事務聯系人,應對外告知聯系人準確有效的姓名和聯系方式,聯系方式包括電話號碼、郵箱地址、網址或即時通信平臺賬號等。
第十七條 汽車數據處理者因合并、分立、解散、被宣告破產等原因,需要轉移個人信息,應向個人信息主體告知接收方的名稱或者姓名和聯系方式。
接收方變更原先的處理目的、處理方式的,應當重新取得個人信息主體同意。
第十八條 汽車數據處理者向境外提供汽車數據,應根據《數據出境安全評估辦法》通過省網信部門向國家網信部門申報數據出境安全評估。
第十九條 汽車數據處理者不得公開披露個人生物識別特征信息,以及我國公民的種族、民族、政治觀點、宗教信仰等敏感個人信息的分析結果。
第二十條 汽車數據處理者處置個人信息安全事件,個人信息泄露事件可能會給個人信息主體的合法權益造成嚴重危害的,應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。
第二十一條 汽車數據處理者應制定數據安全事件應急預案,并每年至少組織一次內部人員的應急響應培訓和應急演練,內容包括記錄事件內容、采取控制措施、上報事件情況等。
第二十二條 汽車數據處理者開展數據處理活動,應與行業組織、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作,組織數據安全教育培訓,落實數據安全管理責任。
第二十三條 汽車數據處理者開展重要數據處理活動,應當按照規定開展風險評估,并向省網信部門和有關部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種類、目的、數量、范圍、保存地點與期限、使用方式,開展數據處理活動情況以及是否向第三方提供,面臨的數據安全風險及其應對措施等。
第二十四條 開展重要數據處理活動的汽車數據處理者,應當在每年十二月十五日前向省網信部門和有關部門報送年度汽車數據安全管理情況。
第二十五條 汽車數據處理者違反本規定的,由省級網信、經信、公安、交通運輸等有關部門依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律、行政法規的規定進行處罰;構成犯罪的,依法追究刑事責任。
第二十六條 本規定自2023年11月1日起施行。
