個人信息保護(hù)和汽車數(shù)據(jù)安全法規(guī)解讀20230413

個人信息保護(hù)和汽車數(shù)據(jù)安全法律法規(guī)簡介技術(shù)組2023-04

中華人民共和國個人信息保護(hù)法備受矚目的《中華人民共和國個人信息保護(hù)法》出臺了！十三屆全國人大常委會第三十次會議于8月20日上午在第一項表決中批準(zhǔn)了《中華人民共和國個人信息保護(hù)》（第91號主席令），該法案將在2021年11月1日起實施?！秱€人信息保護(hù)法》（以下簡稱“個保法”）個保法將與《數(shù)據(jù)安全法》（以下簡稱“數(shù)安法”）和《網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)安法”）一起，分別從各自的角度相輔相成構(gòu)建中國的整體信息與網(wǎng)絡(luò)安全法律框架，再輔以剛剛頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，和即將頒布的《網(wǎng)絡(luò)安全等級保護(hù)條例》，網(wǎng)信辦和國務(wù)院各部委根據(jù)數(shù)安法制定的數(shù)據(jù)安全分級保護(hù)制度及重要數(shù)據(jù)目錄，以及各種行業(yè)法規(guī)和國家標(biāo)準(zhǔn)，這些法規(guī)將形成一個全面的信息與網(wǎng)絡(luò)安全法律體系以全面規(guī)范各行業(yè)各領(lǐng)域的信息安全合規(guī)要求。2024/12/23網(wǎng)絡(luò)和數(shù)據(jù)安全法律法規(guī)與執(zhí)法趨勢?網(wǎng)安法從整體上規(guī)范了對網(wǎng)絡(luò)安全的要求，涵蓋“網(wǎng)絡(luò)運(yùn)營安全”、“網(wǎng)絡(luò)信息安全”和“網(wǎng)絡(luò)安全應(yīng)急響應(yīng)”，提出了對個人信息和重要數(shù)據(jù)的保護(hù)和網(wǎng)絡(luò)安全等級保護(hù)制度，強(qiáng)調(diào)保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益；?數(shù)安法聚焦于“數(shù)據(jù)安全”（任何形式的數(shù)據(jù)），提出了對數(shù)據(jù)的分類分級保護(hù)以及重要數(shù)據(jù)目錄的概念強(qiáng)調(diào)規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用；?個保法聚焦于個人信息，對“個人信息處理規(guī)則”、“個人信息主體權(quán)利”、“個人信息處理者義務(wù)”、“跨境傳輸”等和其他國際隱私保護(hù)法律法規(guī)都重點(diǎn)關(guān)注的主題提出了具體要求，強(qiáng)調(diào)保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用2024/12/232021年網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)法律法規(guī)2024/12/23個人信息保護(hù)法的整體框架2024/12/23個人信息保護(hù)法亮點(diǎn)要求規(guī)定了個人信息從收集到刪除的全生命流程：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”個人信息的處理原則仍然是：原則同意+法定例外。需要充分尊重個人的選擇對個人信息進(jìn)一步分類：一般個人信息、敏感個人信息（包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息）規(guī)定了個人的權(quán)利：知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、攜帶權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、繼承權(quán)、起訴權(quán)處理者向其他處理者提供個人信息的，應(yīng)向個人告知接收方信息和處理目的等，并取得個人的單獨(dú)同意CIIO和處理數(shù)量達(dá)到規(guī)定的處理者應(yīng)將個人信息存儲在境內(nèi)，需要出境的應(yīng)通過安全評估。其他處理者需要將個人信息出境的，應(yīng)通過認(rèn)證或簽署國家制定的合同，且取得個人單獨(dú)同意2024/12/23網(wǎng)信辦汽車數(shù)據(jù)安全管理若干規(guī)定（試行）敏感個人信息，是指一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)恕⒊塑嚾?、車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息，包括車輛行蹤軌跡

、音頻、視頻、圖像和生物識別特征等信息。重要數(shù)據(jù)，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)，包括

：（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；（二）車輛流量、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)；（三）汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)；（四）包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；（五）涉及個人信息主體超過10萬人的個人信息；（六）國家網(wǎng)信部門和國務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。2024/12/23網(wǎng)信辦汽車數(shù)據(jù)安全管理若干規(guī)定（試行）規(guī)定了汽車數(shù)據(jù)處理的原則（一）車內(nèi)處理原則，除非確有必要不向車外提供；（二）默認(rèn)不收集原則，除非駕駛?cè)俗灾髟O(shè)定，每次駕駛時默認(rèn)設(shè)定為不收集狀態(tài)；（三）精度范圍適用原則，根據(jù)所提供功能服務(wù)對數(shù)據(jù)精度的要求確定攝像頭、雷達(dá)等的覆蓋范圍、分辨率；（四）脫敏處理原則，盡可能進(jìn)行匿名化、去標(biāo)識化等處理。規(guī)定處理敏感個人信息的要求。（一）具有直接服務(wù)于個人的目的，包括增強(qiáng)行車安全、智能駕駛、導(dǎo)航等；（二）通過用戶手冊、車載顯示面板、語音以及汽車使用相關(guān)應(yīng)用程序等顯著方式告知必要性以及對個人的影響；（三）應(yīng)當(dāng)取得個人單獨(dú)同意，個人可以自主設(shè)定同意期限；（四）在保證行車安全的前提下，以適當(dāng)方式提示收集狀態(tài)，為個人終止收集提供便利；（五）個人要求刪除的，汽車數(shù)據(jù)處理者應(yīng)當(dāng)在十個工作日內(nèi)刪除。汽車數(shù)據(jù)處理者具有增強(qiáng)行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息。對汽車數(shù)據(jù)處理者的其他新要求。（一）開展重要數(shù)據(jù)處理活動，應(yīng)當(dāng)開展風(fēng)險評估，并向省級網(wǎng)信部門和有關(guān)部門報送風(fēng)險評估報告；（二）重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲，需要出境的，應(yīng)通過網(wǎng)信部門的安全評估。不屬于重要數(shù)據(jù)但涉及個人信息數(shù)據(jù)的出境要求根據(jù)相關(guān)法律法規(guī)確定。（三）每年12月15日前向省級網(wǎng)信部門和有關(guān)部門報送年度汽車數(shù)據(jù)安全管理情況。2024/12/23法律法規(guī)影響分析和應(yīng)對（一）業(yè)務(wù)類型主要要求影響分析違法責(zé)任IT行動計劃數(shù)字營銷不得違法出售或提供個人信息，不得竊取或非法獲取個人信息。涉及個人信息的，具有明確合理的目的，還應(yīng)取得個人同意，并在個人同意的處理目的、處理方式范圍內(nèi)使用。涉及敏感個人信息的，還應(yīng)具有特定目的性和充分必要性，取得個人單獨(dú)同意。采取必要的安全保障措施。涉及自動化決策的，不得實行不合理的差別待遇。若有供應(yīng)商，應(yīng)要求供應(yīng)商說明其數(shù)據(jù)來源和合規(guī)性，要求其做出合規(guī)承諾。使用過程中不得濫用。IT系統(tǒng)在：頁面展示數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)刪除的各處理環(huán)節(jié)，如何保證合規(guī)責(zé)令改正、給予警告、沒收違法所得。對涉及的應(yīng)用程序責(zé)令暫?；蚪K止提供服務(wù)。對單位罰款，最高可達(dá)五千萬元以下，或上一年度營業(yè)額百分之五以下。停業(yè)整頓、吊銷營業(yè)執(zhí)照。對直接負(fù)責(zé)的主管人員和其他責(zé)任人員罰款，從一萬元至一百萬元，并可禁止從業(yè)。涉嫌犯罪的，追究刑事責(zé)任。業(yè)務(wù)團(tuán)隊、大數(shù)據(jù)、業(yè)務(wù)支持、開發(fā)團(tuán)隊，需聯(lián)合針對現(xiàn)行系統(tǒng)開展合規(guī)評估，確認(rèn)整改方案2024/12/23法律法規(guī)影響分析和應(yīng)對（二）業(yè)務(wù)類型主要要求影響分析違法責(zé)任IT行動計劃經(jīng)銷商和線下活動攝像頭、WIFI探針公共場所的攝像頭等設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，其使用目的僅限于維護(hù)公共安全目的。若要用于其他目的，應(yīng)取得個人單獨(dú)同意。不得未經(jīng)個人同意收集個人手機(jī)等設(shè)備的唯一識別碼或MAC地址。經(jīng)銷商服務(wù)活動相關(guān)的IT系統(tǒng)支持方面的合規(guī)風(fēng)險同上業(yè)務(wù)支持團(tuán)隊在業(yè)務(wù)分析階段的合規(guī)判斷數(shù)字營銷系統(tǒng)排查車機(jī)屏車輛若收集個人信息，需取得個人同意，收集敏感個人信息需取得單獨(dú)同意。向車主說明個人信息使用規(guī)則，聯(lián)系方式等。OTA之前要向客戶告知，并向工信部備案或申報。除非售前告知客戶，否則不應(yīng)強(qiáng)制推送廣告。車聯(lián)網(wǎng)系統(tǒng)的“云-管-端”相關(guān)合規(guī)風(fēng)險同上業(yè)務(wù)支持團(tuán)隊在業(yè)務(wù)分析階段的合規(guī)判斷網(wǎng)聯(lián)車系統(tǒng)排查2024/12/23法律法規(guī)影響分析和應(yīng)對（三）業(yè)務(wù)類型主要要求影響分析違法責(zé)任IT行動計劃數(shù)據(jù)出境涉及個人信息的，應(yīng)向個人告知，并取得單獨(dú)同意。重要數(shù)據(jù)出境應(yīng)通過網(wǎng)信等部門安全評估。非重要數(shù)據(jù)出境應(yīng)通過認(rèn)證或簽署國家制定的標(biāo)準(zhǔn)合同。涉及經(jīng)緯度等測繪數(shù)據(jù)的，不得出境。數(shù)據(jù)跨境風(fēng)險同上涉及測繪的，可能構(gòu)成犯罪業(yè)務(wù)支持團(tuán)隊數(shù)據(jù)跨境的梳理數(shù)據(jù)跨境的安全評估數(shù)據(jù)跨境的報備車輛總線數(shù)據(jù)因VIN屬于個人信息，故各項車輛數(shù)據(jù)若與VIN綁定，則均屬于個人數(shù)據(jù)，適用個人數(shù)據(jù)處理要求。若車端能對VIN匿名化處理，則車輛數(shù)據(jù)可認(rèn)定不屬于個人信息，但仍可能構(gòu)成重要數(shù)據(jù)。經(jīng)緯度等測繪數(shù)據(jù)的采、存儲、共享需要特定資質(zhì)和更嚴(yán)格要求。車端數(shù)據(jù)采集、處理的合規(guī)風(fēng)險同上涉及測繪的，可能構(gòu)成犯罪業(yè)務(wù)支持團(tuán)隊相關(guān)后臺系統(tǒng)的合規(guī)評估和