La Administración del Ciberespacio de China: Es necesario fortalecer la protección de datos importantes y estandarizar las actividades de procesamiento de datos de automóviles.
Las "Varias disposiciones sobre la gestión de seguridad de datos de automóviles (borrador para comentarios)" proponen que los operadores deben obtener el consentimiento de las personas que recopilan cuando recopilan información personal, excepto cuando las leyes y reglamentos exigen el consentimiento del individuo. . La información personal o los datos importantes deben almacenarse dentro del país de acuerdo con la ley. Si realmente es necesario proporcionarlos al extranjero, deben pasar la evaluación de seguridad de exportación de datos organizada por el departamento nacional de ciberespacio. Los operadores no proporcionarán información personal o datos importantes en el extranjero que excedan el propósito, alcance, método, tipo de datos y escala especificados en la evaluación de seguridad de salida.
Las "Varias disposiciones sobre la gestión de la seguridad de los datos de automóviles (borrador para comentarios)" son las siguientes:
El artículo 1 tiene como objetivo fortalecer la protección de la información personal y los datos importantes, y estandarizar los datos de los automóviles. actividades de procesamiento y mantener la seguridad nacional y los intereses públicos, estas regulaciones se formulan de acuerdo con la "Ley de Ciberseguridad de la República Popular China" y otras leyes y regulaciones.
Artículo 2 En el proceso de diseño, producción, venta, operación y gestión de automóviles dentro del territorio de la República Popular China, los operadores recopilan, analizan, almacenan, transmiten, consultan, utilizan, eliminan y proporcionan en el extranjero. información (en adelante denominada colectivamente Procesamiento) información personal o datos importantes deberán cumplir con las leyes, regulaciones pertinentes y los requisitos de estas regulaciones.
Artículo 3: Los operadores mencionados en este reglamento se refieren a empresas o instituciones de diseño, fabricación y servicios de automóviles, incluidos fabricantes de automóviles, proveedores de repuestos y software, concesionarios, agencias de mantenimiento, empresas de uso compartido de automóviles y compañías de seguros.
La información personal a la que se hace referencia en estas regulaciones incluye información personal de propietarios de automóviles, conductores, pasajeros, peatones y varios tipos de información que pueden inferir la identidad personal y describir el comportamiento personal.
Los datos importantes a los que se hace referencia en estas regulaciones incluyen:
(1) Áreas de gestión militar, ciencia y tecnología de defensa nacional y otras unidades que involucran secretos de estado, agencias del partido y del gobierno en o por encima del nivel a nivel de condado y otras áreas importantes y sensibles Datos de flujo de personas y vehículos;
(2) Datos topográficos y cartográficos que son superiores a la precisión de los mapas nacionales;
(3) Carga de automóviles datos de operación de la red;
( 4) datos como modelos de vehículos y flujo de tráfico en la carretera;
(5) datos de audio y video externos que incluyen rostros, voces, matrículas, etc. . ;
(6) Otros datos que puedan afectar la seguridad nacional, los intereses públicos y los departamentos pertinentes del Consejo de Estado.
Artículo 4 La finalidad de los operadores para procesar información personal o datos importantes será legal, específica, clara y directamente relacionada con el diseño, fabricación y servicio de los automóviles.
Artículo 5 Los operadores implementarán un sistema de protección del nivel de seguridad de la red, fortalecerán la protección de la información personal y los datos importantes y cumplirán con las obligaciones de seguridad de la red de acuerdo con la ley.
El artículo 6 recomienda que los operadores sigan los siguientes principios al manejar información personal y datos importantes:
(1) Se proporciona el principio de procesamiento dentro del automóvil y no se proporciona procesamiento fuera del automóvil. a menos que sea absolutamente necesario
(2) Principio de anonimato, si realmente es necesario proporcionarlo fuera del vehículo, debe ser lo más anónimo e insensibilizado posible;
(3) Principio del período mínimo de retención, determinado según el tipo de servicios funcionales proporcionados. Período de retención de datos;
(4) Principio de rango de precisión, determina la cobertura y resolución de cámaras, radares, etc. en función de los requisitos de precisión de los datos. proporcionado por servicios funcionales;
(5) Principio predeterminado sin cargo. A menos que sea realmente necesario, el estatus no se recogerá por defecto para cada viaje, y el conductor acepta que la autorización sólo es válida para este viaje.
Artículo 7 Al procesar información personal, los operadores informarán al responsable de los derechos del usuario que procesa la información de contacto efectiva y el tipo de datos recopilados, incluida la ubicación del vehículo, características biométricas, hábitos de conducción, audio y video. etc. A través del manual del usuario, panel de visualización del vehículo u otros medios apropiados, y proporcione la siguiente información:
(a) Condiciones de activación para recopilar cada tipo de datos y métodos para detener la recopilación;
(2) El propósito y uso de la recopilación de diversos tipos de datos;
(3) La ubicación de almacenamiento de datos y el período de retención, o las reglas para determinar la ubicación de almacenamiento de datos y el período de retención;
(4) Eliminar los datos en el automóvil Información personal y métodos y pasos para solicitar la eliminación de información personal que haya sido proporcionada fuera del vehículo.
Artículo 8 Los operadores que recopilen y proporcionen información personal sensible fuera del vehículo, incluida la ubicación del vehículo, audio y video del conductor o pasajero, y datos que puedan usarse para juzgar la conducción ilegal, deberán cumplir los siguientes requisitos:
(a) Con el fin de atender directamente a los conductores o pasajeros, incluida la mejora de la seguridad en la conducción, la asistencia a la conducción, la navegación y el entretenimiento.
(2) No se acepta por defecto, cada autorización debe ser; recopilada Con el consentimiento del conductor, esta autorización caducará automáticamente después de conducir (el conductor abandona el asiento del conductor);
(3) Informar al conductor y a los pasajeros que se está recopilando información personal confidencial a través del panel de visualización del vehículo o voz;
(4) El conductor puede detener cómodamente la recopilación en cualquier momento;
(5) Permitir a los propietarios de automóviles ver y consultar cómodamente la información personal confidencial recopilada de manera estructurada;
(6) Si el conductor solicita al operador que lo elimine, el operador deberá eliminarlo en un plazo de 2 semanas.
Artículo 9 Al recopilar información personal, los operadores deberán obtener el consentimiento de las personas que se recopilan, excepto cuando las leyes y reglamentos exijan el consentimiento del individuo. Si es difícil de lograr en la práctica (como recopilar información de audio y video fuera del automóvil a través de una cámara), y si realmente es necesario proporcionarla, se debe llevar a cabo la anonimización o desensibilización, incluida la eliminación de imágenes que puedan identificar a personas físicas en estas imágenes o modificando caras parcialmente contorneadas.
Artículo 10: Huella dactilar, voz, rostro, frecuencia cardíaca y otros datos biométricos del conductor. Sólo podrá recogerse para comodidad del usuario y para mejorar la seguridad de los sistemas electrónicos y de información del vehículo, debiendo proporcionarse alternativas a la identificación biométrica.
Artículo 11 Cuando los operadores procesen datos importantes, deberán informar el tipo de datos, la escala, el alcance, la ubicación y el período de almacenamiento, el método de uso y si deben proporcionarlos a un tercero con anticipación a la ciberseguridad e informatización provincial. departamento y departamentos pertinentes.
Artículo 12 La información personal o los datos importantes se almacenarán en China de conformidad con la ley. Si realmente es necesario proporcionarlo en el extranjero, debería pasar la evaluación de seguridad de la exportación de datos organizada por el departamento nacional de ciberespacio.
Si los tratados o acuerdos en los que nuestro país haya participado o celebrado con otros países, regiones u organizaciones internacionales tengan disposiciones claras sobre el suministro de información personal en el extranjero, dichas disposiciones se aplicarán, salvo las disposiciones que nuestro país ha declarado reservar.
Artículo 13 Cuando los operadores proporcionen información personal o datos importantes en el extranjero, deberán tomar medidas efectivas para aclarar y supervisar que el destinatario utilice los datos de acuerdo con el propósito, alcance y método acordados por ambas partes para garantizar que los datos seguridad.
Artículo 14 Si un operador proporciona información personal o datos importantes en el extranjero, aceptará y manejará las quejas de los usuarios involucradas; si se dañan los derechos e intereses legítimos del usuario o los intereses públicos, asumirá las responsabilidades correspondientes de conformidad; con la ley.
Artículo 15 Los operadores no proporcionarán información personal o datos importantes en el extranjero más allá del propósito, alcance, método, tipo de datos y escala especificados en la evaluación de seguridad de salida.
El departamento nacional de ciberseguridad e informatización trabajará con los departamentos pertinentes del Consejo de Estado para verificar el tipo y alcance de la información personal o datos importantes proporcionados en el extranjero a través de inspecciones aleatorias, y los operadores los mostrarán en texto claro y legible. forma.
Artículo 16: Si la investigación científica y los socios comerciales necesitan consultar y utilizar información personal y datos importantes almacenados en China, los operadores deberán tomar medidas efectivas para garantizar la seguridad de los datos y evitar la pérdida de datos importantes, consultas y pérdidas; uso de datos confidenciales como la ubicación del vehículo, características biométricas, audio y video del conductor o pasajero, y datos que pueden usarse para determinar la conducción ilegal.
Artículo 17: Los operadores cuyo procesamiento de información personal involucre a más de 654,38 millones de personas, o que procesen datos importantes, deberán informar anualmente sobre la gestión de seguridad de los datos al departamento provincial de ciberseguridad e informatización y a los departamentos correspondientes antes del 15 de diciembre de cada año. Información, que incluye:
(1) Nombres e información de contacto de la persona a cargo de la seguridad de los datos y la persona responsable de manejar los derechos e intereses del usuario;
(2) Tipo, escala y finalidad del procesamiento de datos y necesidad;
(3) Medidas de gestión y protección de la seguridad de los datos, incluido el lugar de almacenamiento, el período, etc. ;
(4) Intercambio de datos con terceros nacionales;
(5) Incidentes de seguridad de datos y su manejo;
(6) Involucrando información y datos personales quejas de los usuarios y su manejo;
(7) Otra información de seguridad de datos claramente especificada por el departamento nacional del ciberespacio.
Artículo 18 Cuando los operadores proporcionen datos en el extranjero, deberán reportar la siguiente información de conformidad con el artículo 17 de este reglamento:
(a) Nombre y contacto de la Información del destinatario;
p>
(2) Tipo, cantidad y propósito de los datos en el extranjero;
(3) Ubicación, alcance y método de almacenamiento de datos en el extranjero;
(4) ) Implica la quejas y manejo de quejas de usuarios que proporcionan datos en el extranjero;
(5) Otras situaciones que el departamento nacional de ciberseguridad e informatización claramente debe informar al proporcionar datos en el extranjero.
Artículo 19 El departamento nacional de ciberseguridad e informatización, junto con los departamentos pertinentes del Consejo de Estado, evaluarán la seguridad de los datos de los operadores en función de las condiciones de procesamiento de datos, y los operadores cooperarán.
Las instituciones y el personal que participe en la evaluación de seguridad no divulgarán los secretos comerciales ni la información no divulgada de los operadores adquiridos durante la evaluación, y no utilizarán la información adquirida durante la evaluación para fines distintos de la evaluación.
Artículo 20 Si un operador viola estas regulaciones, los departamentos de ciberseguridad e informatización y los departamentos pertinentes a nivel provincial o superior impondrán sanciones de acuerdo con las disposiciones pertinentes de las leyes y reglamentos, como la "Ley de Ciberseguridad de la República Popular China" y otras leyes y reglamentos. Si se constituye un delito, la responsabilidad penal se perseguirá conforme a la ley.
Artículo 21 El presente reglamento entrará en vigor a partir del +0,20265438.