個人信息保護和汽車數(shù)據(jù)安全法規(guī)解讀20230413

個人信息保護和汽車數(shù)據(jù)安全法律法規(guī)簡介技術組2023-04

中華人民共和國個人信息保護法備受矚目的《中華人民共和國個人信息保護法》出臺了！十三屆全國人大常委會第三十次會議于8月20日上午在第一項表決中批準了《中華人民共和國個人信息保護》（第91號主席令），該法案將在2021年11月1日起實施。《個人信息保護法》（以下簡稱“個保法”）個保法將與《數(shù)據(jù)安全法》（以下簡稱“數(shù)安法”）和《網(wǎng)絡安全法》（以下簡稱“網(wǎng)安法”）一起，分別從各自的角度相輔相成構建中國的整體信息與網(wǎng)絡安全法律框架，再輔以剛剛頒布的《關鍵信息基礎設施保護條例》，和即將頒布的《網(wǎng)絡安全等級保護條例》，網(wǎng)信辦和國務院各部委根據(jù)數(shù)安法制定的數(shù)據(jù)安全分級保護制度及重要數(shù)據(jù)目錄，以及各種行業(yè)法規(guī)和國家標準，這些法規(guī)將形成一個全面的信息與網(wǎng)絡安全法律體系以全面規(guī)范各行業(yè)各領域的信息安全合規(guī)要求。2024/12/23網(wǎng)絡和數(shù)據(jù)安全法律法規(guī)與執(zhí)法趨勢?網(wǎng)安法從整體上規(guī)范了對網(wǎng)絡安全的要求，涵蓋“網(wǎng)絡運營安全”、“網(wǎng)絡信息安全”和“網(wǎng)絡安全應急響應”，提出了對個人信息和重要數(shù)據(jù)的保護和網(wǎng)絡安全等級保護制度，強調(diào)保障網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益；?數(shù)安法聚焦于“數(shù)據(jù)安全”（任何形式的數(shù)據(jù)），提出了對數(shù)據(jù)的分類分級保護以及重要數(shù)據(jù)目錄的概念強調(diào)規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用；?個保法聚焦于個人信息，對“個人信息處理規(guī)則”、“個人信息主體權利”、“個人信息處理者義務”、“跨境傳輸”等和其他國際隱私保護法律法規(guī)都重點關注的主題提出了具體要求，強調(diào)保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用2024/12/232021年網(wǎng)絡和數(shù)據(jù)安全相關法律法規(guī)2024/12/23個人信息保護法的整體框架2024/12/23個人信息保護法亮點要求規(guī)定了個人信息從收集到刪除的全生命流程：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”個人信息的處理原則仍然是：原則同意+法定例外。需要充分尊重個人的選擇對個人信息進一步分類：一般個人信息、敏感個人信息（包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息）規(guī)定了個人的權利：知情權、決定權、查閱權、復制權、攜帶權、更正權、補充權、刪除權、繼承權、起訴權處理者向其他處理者提供個人信息的，應向個人告知接收方信息和處理目的等，并取得個人的單獨同意CIIO和處理數(shù)量達到規(guī)定的處理者應將個人信息存儲在境內(nèi)，需要出境的應通過安全評估。其他處理者需要將個人信息出境的，應通過認證或簽署國家制定的合同，且取得個人單獨同意2024/12/23網(wǎng)信辦汽車數(shù)據(jù)安全管理若干規(guī)定（試行）敏感個人信息，是指一旦泄露或者非法使用，可能導致車主、駕駛?cè)?、乘車人、車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括車輛行蹤軌跡

、音頻、視頻、圖像和生物識別特征等信息。重要數(shù)據(jù)，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)，包括

：（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；（二）車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；（三）汽車充電網(wǎng)的運行數(shù)據(jù)；（四）包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；（五）涉及個人信息主體超過10萬人的個人信息；（六）國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)。2024/12/23網(wǎng)信辦汽車數(shù)據(jù)安全管理若干規(guī)定（試行）規(guī)定了汽車數(shù)據(jù)處理的原則（一）車內(nèi)處理原則，除非確有必要不向車外提供；（二）默認不收集原則，除非駕駛?cè)俗灾髟O定，每次駕駛時默認設定為不收集狀態(tài)；（三）精度范圍適用原則，根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；（四）脫敏處理原則，盡可能進行匿名化、去標識化等處理。規(guī)定處理敏感個人信息的要求。（一）具有直接服務于個人的目的，包括增強行車安全、智能駕駛、導航等；（二）通過用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響；（三）應當取得個人單獨同意，個人可以自主設定同意期限；（四）在保證行車安全的前提下，以適當方式提示收集狀態(tài)，為個人終止收集提供便利；（五）個人要求刪除的，汽車數(shù)據(jù)處理者應當在十個工作日內(nèi)刪除。汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息。對汽車數(shù)據(jù)處理者的其他新要求。（一）開展重要數(shù)據(jù)處理活動，應當開展風險評估，并向省級網(wǎng)信部門和有關部門報送風險評估報告；（二）重要數(shù)據(jù)應當在境內(nèi)存儲，需要出境的，應通過網(wǎng)信部門的安全評估。不屬于重要數(shù)據(jù)但涉及個人信息數(shù)據(jù)的出境要求根據(jù)相關法律法規(guī)確定。（三）每年12月15日前向省級網(wǎng)信部門和有關部門報送年度汽車數(shù)據(jù)安全管理情況。2024/12/23法律法規(guī)影響分析和應對（一）業(yè)務類型主要要求影響分析違法責任IT行動計劃數(shù)字營銷不得違法出售或提供個人信息，不得竊取或非法獲取個人信息。涉及個人信息的，具有明確合理的目的，還應取得個人同意，并在個人同意的處理目的、處理方式范圍內(nèi)使用。涉及敏感個人信息的，還應具有特定目的性和充分必要性，取得個人單獨同意。采取必要的安全保障措施。涉及自動化決策的，不得實行不合理的差別待遇。若有供應商，應要求供應商說明其數(shù)據(jù)來源和合規(guī)性，要求其做出合規(guī)承諾。使用過程中不得濫用。IT系統(tǒng)在：頁面展示數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)刪除的各處理環(huán)節(jié)，如何保證合規(guī)責令改正、給予警告、沒收違法所得。對涉及的應用程序責令暫?；蚪K止提供服務。對單位罰款，最高可達五千萬元以下，或上一年度營業(yè)額百分之五以下。停業(yè)整頓、吊銷營業(yè)執(zhí)照。對直接負責的主管人員和其他責任人員罰款，從一萬元至一百萬元，并可禁止從業(yè)。涉嫌犯罪的，追究刑事責任。業(yè)務團隊、大數(shù)據(jù)、業(yè)務支持、開發(fā)團隊，需聯(lián)合針對現(xiàn)行系統(tǒng)開展合規(guī)評估，確認整改方案2024/12/23法律法規(guī)影響分析和應對（二）業(yè)務類型主要要求影響分析違法責任IT行動計劃經(jīng)銷商和線下活動攝像頭、WIFI探針公共場所的攝像頭等設備，應當為維護公共安全所必需，其使用目的僅限于維護公共安全目的。若要用于其他目的，應取得個人單獨同意。不得未經(jīng)個人同意收集個人手機等設備的唯一識別碼或MAC地址。經(jīng)銷商服務活動相關的IT系統(tǒng)支持方面的合規(guī)風險同上業(yè)務支持團隊在業(yè)務分析階段的合規(guī)判斷數(shù)字營銷系統(tǒng)排查車機屏車輛若收集個人信息，需取得個人同意，收集敏感個人信息需取得單獨同意。向車主說明個人信息使用規(guī)則，聯(lián)系方式等。OTA之前要向客戶告知，并向工信部備案或申報。除非售前告知客戶，否則不應強制推送廣告。車聯(lián)網(wǎng)系統(tǒng)的“云-管-端”相關合規(guī)風險同上業(yè)務支持團隊在業(yè)務分析階段的合規(guī)判斷網(wǎng)聯(lián)車系統(tǒng)排查2024/12/23法律法規(guī)影響分析和應對（三）業(yè)務類型主要要求影響分析違法責任IT行動計劃數(shù)據(jù)出境涉及個人信息的，應向個人告知，并取得單獨同意。重要數(shù)據(jù)出境應通過網(wǎng)信等部門安全評估。非重要數(shù)據(jù)出境應通過認證或簽署國家制定的標準合同。涉及經(jīng)緯度等測繪數(shù)據(jù)的，不得出境。數(shù)據(jù)跨境風險同上涉及測繪的，可能構成犯罪業(yè)務支持團隊數(shù)據(jù)跨境的梳理數(shù)據(jù)跨境的安全評估數(shù)據(jù)跨境的報備車輛總線數(shù)據(jù)因VIN屬于個人信息，故各項車輛數(shù)據(jù)若與VIN綁定，則均屬于個人數(shù)據(jù)，適用個人數(shù)據(jù)處理要求。若車端能對VIN匿名化處理，則車輛數(shù)據(jù)可認定不屬于個人信息，但仍可能構成重要數(shù)據(jù)。經(jīng)緯度等測繪數(shù)據(jù)的采、存儲、共享需要特定資質(zhì)和更嚴格要求。車端數(shù)據(jù)采集、處理的合規(guī)風險同上涉及測繪的，可能構成犯罪業(yè)務支持團隊相關后臺系統(tǒng)的合規(guī)評估和