5月12日,国家网信办发布关于《汽车数据安全管理若干规定(征求意见稿)》公开征求意见的通知,其中规定:汽车机构运营者收集个人信息应当取得被收集人同意,运营者处理重要数据应当提前向有关部门报告,个人信息或者重要数据应当依法在境内存储。
该《征求意见稿》规定,个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。
网信办规定,运营者处理个人信息和重要数据过程中坚持:、车内处理原则,除非确有必要不向车外提供;二、匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;三、最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;四、精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;五、默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
此前,有特斯拉车主表示“刹车失灵”,特斯拉方面公布了车主的行驶原始数据,此举引发讨论,不少网友认为该数据也属于隐私,不应向全社会公开。不过,也有专业人士表示,公开的数据恰好说明了特斯拉车辆的安全隐患。目前,该事件尚未有定论。
在《征求意见稿》也规定,运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:一、以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;二、默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;三、通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;四、驾驶人能够随时、方便地终止收集;五、允许车主方便查看、结构化查询被收集的敏感个人信息;六、驾驶人要求运营者删除时,运营者应当在2周内删除。
针对数据的处理,《征求意见稿》规定,运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
对于处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的大型车企、网约车平台、软件开发者等运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括:处理数据的类型、规模、目的及必要性;数据的安全防护和管理措施,包括保存地点、期限等;与境内第三方共享数据情况;数据安全事故及处理情况;与个人信息和数据相关的用户投诉及处理情况等。
文/北京青年报记者 温婧
编辑/樊宏伟