第八条和第十条专门针对个人敏感信息的特别规定:
| 内容 | 要求 |
| 个人敏感信息 | 第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:
|
(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;
|
(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;
|
(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;
|
(四)驾驶人能够随时、方便地终止收集;
|
(五)允许车主方便查看、结构化查询被收集的敏感个人信息;
|
(六)驾驶人要求运营者删除时,运营者应当在2周内删除
|
第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式
|
评析:
1、把GPS定位、车内语音视频等敏感信息的收集严格限定用于服务驾驶人或乘车者的目的,并且驾驶人单次授权、随时终止、方便查看、限时删除;
2、 为车主提供方便、结构化查询敏感个人信息的途径是个重大突破。在之前车展特斯拉车主维权案中,关于“不能识别出个人身份的驾驶数据”所有权究竟属于驾驶人还是车企的问题,一直都有争议(有兴趣点这里:特斯拉车展维权的数据之争),《规定》没有正面回答这个问题,但至少,现在车主可以理直气壮地要求车企提供行车数据了。而特斯拉也已经表示会上线车主平台,允许车主查看行车数据;
六、数据本地化储存
| 要求 |
| 本地化储存 | 第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。 |
| 一般要求 | 第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。
|
|
第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。
|
第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。
|
| 远程访问的特殊限制 | 第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。 |
| 跨境传输的报告 | 第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况: |
| (一)接收者的名称和联系方式; |
| (二)出境数据的类型、数量及目的; |
| (三)数据在境外的存放地点、使用范围和方式; |
| (四)涉及向境外提供数据的用户投诉及处理情况; |
| (五)国家网信部门明确的向境外提供数据需要报告的其他情况。 |
评析:
1、 按照《个保法草案》,非关键信息基础设施运营者处理个人信息的数量达到网信办规定时,需要将个人信息在境内存储,并在出境时履行安全评估程序。但《规定》中并没有就个人信息设置数量门槛,规定个人信息和重要数据应当一律在境内存储,通过国家网信部门组织的数据出境安全评估才能出境;
2、 第十三到十五条是对数据出境的一般要求,第十六条单独对科研和商业合作作了特别规定,意图是什么,笔者现在还没看懂;
3、 数据本地化储存势在必行。所以特斯拉第一时间响应,并开始在国内建云。虽然和现有法规在数据出境的标准和门槛上存在不一致,但统一只是时间问题。
跨国企业需要慎重考虑IT服务器的架设,已经存在国外的数据要考虑迁移到国内。当然,对国内提供云储存服务的企业则是大大的利好,比如阿里云。
| 内容 | 要求 |
| 事前报告 | 第十一条 运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。 |
| 年度报告 | 第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括: |
| (一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式; |
| (二)处理数据的类型、规模、目的及必要性; |
| (三)数据的安全防护和管理措施,包括保存地点、期限等; |
| (四)与境内第三方共享数据情况; |
| (五)数据安全事故及处理情况; |
| (六)与个人信息和数据相关的用户投诉及处理情况; |
| (七)国家网信部门明确的其他数据安全情况。 |
| 配合评估 | 第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。
参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。 |
|
|
评析:
1、 处理重要数据前需要事先报告;
2、 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者除了工商年检,现在多了一个数据年报的要求
八、结束语
《规定》分别从国家安全层面、公共利益层面和个人信息保护三个层面形成了一个完善的汽车数据保护体系。在重要数据范围、敏感数据处理规则、数据本地化和出境监管方面都开创性地提出了明确要求,但细节还需要等待有关部门提供进一步澄清和指导细则。(完)