个人信息保护和汽车数据安全法规解读20230413

个人信息保护和汽车数据安全法律法规简介技术组2023-04

中华人民共和国个人信息保护法备受瞩目的《中华人民共和国个人信息保护法》出台了！十三届全国人大常委会第三十次会议于8月20日上午在第一项表决中批准了《中华人民共和国个人信息保护》（第91号主席令），该法案将在2021年11月1日起实施。《个人信息保护法》（以下简称“个保法”）个保法将与《数据安全法》（以下简称“数安法”）和《网络安全法》（以下简称“网安法”）一起，分别从各自的角度相辅相成构建中国的整体信息与网络安全法律框架，再辅以刚刚颁布的《关键信息基础设施保护条例》，和即将颁布的《网络安全等级保护条例》，网信办和国务院各部委根据数安法制定的数据安全分级保护制度及重要数据目录，以及各种行业法规和国家标准，这些法规将形成一个全面的信息与网络安全法律体系以全面规范各行业各领域的信息安全合规要求。2024/12/23网络和数据安全法律法规与执法趋势•网安法从整体上规范了对网络安全的要求，涵盖“网络运营安全”、“网络信息安全”和“网络安全应急响应”，提出了对个人信息和重要数据的保护和网络安全等级保护制度，强调保障网络安全，维护网络空间主权和国家安全、社会公共利益；•数安法聚焦于“数据安全”（任何形式的数据），提出了对数据的分类分级保护以及重要数据目录的概念强调规范数据处理活动，保障数据安全，促进数据开发利用；•个保法聚焦于个人信息，对“个人信息处理规则”、“个人信息主体权利”、“个人信息处理者义务”、“跨境传输”等和其他国际隐私保护法律法规都重点关注的主题提出了具体要求，强调保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用2024/12/232021年网络和数据安全相关法律法规2024/12/23个人信息保护法的整体框架2024/12/23个人信息保护法亮点要求规定了个人信息从收集到删除的全生命流程：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”个人信息的处理原则仍然是：原则同意+法定例外。需要充分尊重个人的选择对个人信息进一步分类：一般个人信息、敏感个人信息（包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息）规定了个人的权利：知情权、决定权、查阅权、复制权、携带权、更正权、补充权、删除权、继承权、起诉权处理者向其他处理者提供个人信息的，应向个人告知接收方信息和处理目的等，并取得个人的单独同意CIIO和处理数量达到规定的处理者应将个人信息存储在境内，需要出境的应通过安全评估。其他处理者需要将个人信息出境的，应通过认证或签署国家制定的合同，且取得个人单独同意2024/12/23网信办汽车数据安全管理若干规定（试行）敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹

、音频、视频、图像和生物识别特征等信息。重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括

：（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；（二）车辆流量、物流等反映经济运行情况的数据；（三）汽车充电网的运行数据；（四）包含人脸信息、车牌信息等的车外视频、图像数据；（五）涉及个人信息主体超过10万人的个人信息；（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。2024/12/23网信办汽车数据安全管理若干规定（试行）规定了汽车数据处理的原则（一）车内处理原则，除非确有必要不向车外提供；（二）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；（三）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；（四）脱敏处理原则，尽可能进行匿名化、去标识化等处理。规定处理敏感个人信息的要求。（一）具有直接服务于个人的目的，包括增强行车安全、智能驾驶、导航等；（二）通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响；（三）应当取得个人单独同意，个人可以自主设定同意期限；（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；（五）个人要求删除的，汽车数据处理者应当在十个工作日内删除。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。对汽车数据处理者的其他新要求。（一）开展重要数据处理活动，应当开展风险评估，并向省级网信部门和有关部门报送风险评估报告；（二）重要数据应当在境内存储，需要出境的，应通过网信部门的安全评估。不属于重要数据但涉及个人信息数据的出境要求根据相关法律法规确定。（三）每年12月15日前向省级网信部门和有关部门报送年度汽车数据安全管理情况。2024/12/23法律法规影响分析和应对（一）业务类型主要要求影响分析违法责任IT行动计划数字营销不得违法出售或提供个人信息，不得窃取或非法获取个人信息。涉及个人信息的，具有明确合理的目的，还应取得个人同意，并在个人同意的处理目的、处理方式范围内使用。涉及敏感个人信息的，还应具有特定目的性和充分必要性，取得个人单独同意。采取必要的安全保障措施。涉及自动化决策的，不得实行不合理的差别待遇。若有供应商，应要求供应商说明其数据来源和合规性，要求其做出合规承诺。使用过程中不得滥用。IT系统在：页面展示数据采集数据传输数据存储数据删除的各处理环节，如何保证合规责令改正、给予警告、没收违法所得。对涉及的应用程序责令暂停或终止提供服务。对单位罚款，最高可达五千万元以下，或上一年度营业额百分之五以下。停业整顿、吊销营业执照。对直接负责的主管人员和其他责任人员罚款，从一万元至一百万元，并可禁止从业。涉嫌犯罪的，追究刑事责任。业务团队、大数据、业务支持、开发团队，需联合针对现行系统开展合规评估，确认整改方案2024/12/23法律法规影响分析和应对（二）业务类型主要要求影响分析违法责任IT行动计划经销商和线下活动摄像头、WIFI探针公共场所的摄像头等设备，应当为维护公共安全所必需，其使用目的仅限于维护公共安全目的。若要用于其他目的，应取得个人单独同意。不得未经个人同意收集个人手机等设备的唯一识别码或MAC地址。经销商服务活动相关的IT系统支持方面的合规风险同上业务支持团队在业务分析阶段的合规判断数字营销系统排查车机屏车辆若收集个人信息，需取得个人同意，收集敏感个人信息需取得单独同意。向车主说明个人信息使用规则，联系方式等。OTA之前要向客户告知，并向工信部备案或申报。除非售前告知客户，否则不应强制推送广告。车联网系统的“云-管-端”相关合规风险同上业务支持团队在业务分析阶段的合规判断网联车系统排查2024/12/23法律法规影响分析和应对（三）业务类型主要要求影响分析违法责任IT行动计划数据出境涉及个人信息的，应向个人告知，并取得单独同意。重要数据出境应通过网信等部门安全评估。非重要数据出境应通过认证或签署国家制定的标准合同。涉及经纬度等测绘数据的，不得出境。数据跨境风险同上涉及测绘的，可能构成犯罪业务支持团队数据跨境的梳理数据跨境的安全评估数据跨境的报备车辆总线数据因VIN属于个人信息，故各项车辆数据若与VIN绑定，则均属于个人数据，适用个人数据处理要求。若车端能对VIN匿名化处理，则车辆数据可认定不属于个人信息，但仍可能构成重要数据。经纬度等测绘数据的采、存储、共享需要特定资质和更严格要求。车端数据采集、处理的合规风险同上涉及测绘的，可能构成犯罪业务支持团队相关后台系统的合规评估和