国家市场监督管理总局于2022年10月12日发布了一项汽车数据安全处理要求国家标准-GB/T41871-2022《信息安全技术 汽车数据处理安全要求》,并与2023年5月1日起施行。现就该项国家标准做介绍。
1、处理个人信息时,通过至少一种显著方式告知个人信息主体并取得其同意,显著方式包括:用户手册单独章条、语音播放、车载显示面板单独弹窗提示、应用程序、汽车销售协议单独章条提示等;
2、处理个人信息时,使用清晰易懂的方式告知个人信息主体说明收集和使用个人信息的具体场景和必要性;
3、处理个人信息时,明确告知个人信息主体各类个人信息的存储时间和存储地点;
4、应满足《个人信息保护法》中赋予个人信息主体的各项个人信息主体权利;
5、针对每一项敏感个人信息处理活动取得个人信息主体单独同意;
6、处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”;
7、在收到删除个人信息请求后十个工作日之内完成删除
8、原则上,不应以改善服务质量,提升用户体验以及研发新产品等为目的处理敏感个人信息;
9、处理人脸、声纹或指纹等生物识别特征信息需符合:(1)是否具有增强行车安全的目的和充分的必要性;(2)是否符合GB/T 40660-2021《信息安全技术 生物特征识别信息基本保护要求》的全部要求;
10、用户权利事务联系人应符合:(1)应具备个人信息保护和个人权益保护等方面的专业知识;(2)应及时受理并处置个人信息保护方面的投诉和举报;(3)应对外告知准确有效的姓名和联系方式,联系方式包括:电话号码、邮箱地址、网址或及时通信平台账号等;
11、涉及座舱数据、位置轨迹数据、车外视频和车外图像数据,以及涉及个人信息主体超过10万人个人信息的汽车数据处理者应在境内存储。
1、车外数据未完成匿名化处理前,不应向车外提供;
2、经过匿名化处理的视频以及图像无法复原且无法关联个人信息主体,包括以下方式实现:(1)完整删除;(2)局部轮廓化处理。
3、匿名化处理完成后,过程数据应立即删除,不应向车外提供。
1、默认状态下不收集座舱数据的状态,包括:(1)车内的摄像头、传声器、红外传感器和指纹传感器等部件;
2、汽车不应向车外提供座舱数据,下列情形除外:(1)为实现语音识别功能以实时判断汽车控制指令;(2)为实现远程查看车内情况或云存储功能,向使用者提供数据;(3)向所属运输企业监控平台、公共管理平台和监管机构传输数据;(4)道路交通事故发生后按执法部门要求传输数据。
1、开展汽车数据安全风险评估,评估内容包括:汽车数据识别、数据处理活动识别、汽车数据安全风险识别和风险分析及评价,可采取自评估或第三方评估的形式进行;
2、汽车数据安全管理负责人应由汽车数据处理者主要负责人或分管数据安全责任人担任,并应熟悉我国数据安全和个人信息保护政策法规,具备安全管理工作经历;
3、应建立健全安全事件应急处置机制,每年至少开展一次应急演练,并宜通过汽车数据存证、汽车数据溯源等机制支撑安全事件发生后的取证分析;
4、应通过电话或即时通信平台等方式受理汽车数据安全投诉,在接到投诉后一般在10个工作日内处理完成,并对处理过程以及处理结果进行完整记录;
5、汽车制造商应全面掌握其生产的整车所含各零部件收集、传输数据情况。