五部门发布《汽车数据安全管理若干规定(试行)》
2021. 8. 27
五部门发布《汽车数据安全管理若干规定(试行)》
汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),该规定自2021年10月1日起施行。
《规定》相较于2021年5月12日国家互联网信息办公室发布的《汽车数据安全管理若干规定(征求意见稿)》,对关键名词的概念解释和界定跟进了最新出台的《数据安全法》,如敏感个人信息、重要数据等,以及处理敏感个人信息时须获得单独同意,同时明确向境外提供重要数据,还应当报告出境“必要性”和在境外保存的“期限”,另外也新增了关于加强国家智能(网联)汽车网络平台建设的条款等。
总体而言,本次《规定》定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险。《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
此外,《规定》明确了汽车数据处理者处理个人信息、敏感个人信息的具体要求。针对个人信息,履行告知和征得同意的义务,在无法征得同意时需进行匿名化处理。针对敏感个人信息,除了履行告知和征得同意的义务外,还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。
同时,《规定》还明确了处理重要数据的具体制度,包括风险评估报告制度、出境安全评估制度、抽查核验制度、年度报告制度、年度补充报告制度等。
对于企业而言,根据《汽车数据安全规定》的规定构建自身的合规体系是非常紧迫的现实需求。具体而言,企业需要及时建立网络安全等级保护制度,调整汽车数据收集和授权的方式,注意向外提供车外个人信息且无法获得同意时进行匿名化和轮廓化处理,为用户增加数据查询、复制、申请删除的渠道,处理重要数据时开展风险评估、数据安全年度报告、境外提供时的补充报告等,从而加强自身数据安全管理,保障企业健康发展。
