关注公众号并回复“20220909”获取完整指引

个人数据的处理

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。智能网联汽车所涉及的典型个人数据包括（不完全列举）：

1. 用户的手机号、身份证号等用户身份标识数据，用户具有个人特性的操作行为等用户行为汇聚分析数据；2. 汽车传感器采集到的用户人脸、语音、声纹、位置信息、行踪轨迹等数据。

个人数据的收集合规要点：

1. 默认不收集：除非驾驶人自主设定，每次驾驶时默认设定为不收集状态。

2. 不应以欺诈、诱骗、误导的方式收集个人信息，不应隐瞒产品或服务所具有的收集个人信息的功能，不得窃取或者以其他非法方式获取数据。

3. 收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

4. 收集数据应当保障数据主体的知情权。应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式，告知个人收集各类个人信息的具体情境以及停止收集的方式和途径。

5. 收集数据应当取得数据主体的同意，除非有法律法规允许的例外情况。

特别注意：

a) 因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理。

b) 收集个人敏感信息：

除征得个人信息主体的明示同意外，汽车数据处理者在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利。

c) 收集个人生物识别信息：

1）应当具有增强行车安全的目的和充分的必要性；

2）收集前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

d) 收集年满 14 周岁未成年人的个人信息，应征得未成年人或其监护人的明示同意；不满 14 周岁的，应征得其监护人的明示同意；

e) 间接获取个人信息时，应依据相关规定要求数据提供方做出数据源合法性的书面承诺，或符合法律法规的规定。

6. 当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

7. 当个人信息控制者停止运营其产品或服务时，及时停止继续收集个人信息，并遵循相关规定。

个人数据的使用合规要点：

1. 使用个人信息不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

2. 对个人信息的处理应遵循收集个人信息时获得的授权同意范围。注：个人信息控制者对收集的个人信息进行加工处理而产生的信息属于个人信息的，对其处理需符合对个人信息的要求；属于个人敏感信息的，对其处理需符合对个人敏感信息的要求。

3. 使用生物特征识别信息的，应遵循相关标准的要求，例如进行算法精度优化应彻底去除与数据主体的关联，充分评估安全风险，并在使用完及时删除；应当使用可更新、可撤销、具有不可逆性的生物特征识别比对信息进行身份识别等。

4. 涉及通过可视化界面展示个人信息的，企业宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。

5. 在向个人信息主体提供业务功能的过程中使用个性化展示的，应遵循相关标准的规定。

特别注意：

a) 不应基于生物特征识别信息自身进行个性化推荐；

b) 不应基于生物特征识别信息自身进行用户画像生成和统计分析。

6. 企业基于个人信息生成用户画像的，应遵循相关标准的规定。特别注意：除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人驾驶习惯、遵守道路交通安全法规、信用等状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像。

7. 企业汇聚融合不同业务目的收集个人信息的，应遵循个人信息使用目的的限制，并根据汇聚融合后个人信息所用之目的，开展个人信息安全影响评估，采取有效的个人信息保护措施。特别注意：不应使用生物特征识别比对信息作为汇聚融合的直接关联点。

8. 企业业务运营所使用的信息系统，具备自动决策机制且能对个人信息主体权益造成显著影响的，应开展个人信息安全影响评估，采取有效的保护措施。

国家核心数据的处理

国家核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等，需要实行更加严格管理制度的数据。注：虽然《数据安全法》提出了国家核心数据概念的定义，但现阶段我国细化的规定很少，国家核心数据的边界尚不清晰，也无相关立法明确汽车领域的国家核心数据的目录、类型以及具体认定办法，所以本章在撰写时没有设计“典型场景”的内容。

汽车企业应积极关注相关主管部门的规范性和政策性文件的制定，并且：

a) 以重要数据、个人数据的处理标准为基础，提高要求；

b) 以其他相近领域的立法文件为基础，进行预判。

例如，《工业和信息化领域数据安全管理办法（试行）（公开征求意见稿）》

第 11 条的规定，将危害程度符合下列条件之一的数据视为国家核心数据：

a) 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关的重点领域；

b) 对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

c) 对工业生产运营、电信网络（含互联网）运行和服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

d) 经工业和信息化部评估确定的其他核心数据。

国家核心数据的收集：

1. 收集数据应当遵循合法、正当、必要的原则，不得窃取或者以其他非法方式收集数据。

2. 数据收集过程中，应当采取配备技术手段、签署安全协议等措施加强对数据收集人员、设备的管理，并对数据收集的时间、类型、数量、频度、流向等进行记录。

3. 通过间接途径获取数据的，应当与数据提供方通过签署相关协议、承诺书等方式，明确相应的法律责任。

国家核心数据的存储：

1. 首先应当依据法律规定或者与用户约定的方式和期限存储数据。

2. 存储核心数据，还应另外做到：

a) 采用校验技术、密码技术等措施进行安全存储，不得直接提供存储系统的公共信息网络访问，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试；

b) 实施异地容灾备份。

国家核心数据的使用：

1. 未经个人、单位等同意，不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。

2. 利用数据进行自动化决策的，应当保证决策的透明度和结果公平合理。

3. 使用核心数据的，还应当加强访问控制，建立登记、审批机制并留存记录。

4. 提供数据处理服务涉及经营电信业务的，应当按照相关法律、行政法规规定取得电信业务经营许可。

地理信息数据的处理

地理信息数据处理包括地理信息数据的收集、存储、使用、共享、转让、委托处理、公开、删除、对外提供与出境。智能网联汽车所涉及的典型地理信息数据包括车用电子导航地图数据、遥感影像、测绘数据等。

本章有关地理信息数据处理的合规要点，主要参考了我国如下法律法规和规范性文件：《测绘法》《测绘成果管理条例》《保守国家秘密法》《保守国家秘密法实施条例》《地图管理条例》《地图审核管理规定》《自然资源部办公厅关于印发测绘资质管理办法和测绘资质分类分级标准的通知》《涉密基础测绘成果提供使用管理办法（征求意见稿）》《对外提供我国涉密测绘成果审批程序规定》《GB 20263-2006 导航电子地图安全处理技术基本要求》等法律法规政策标准。

地理信息数据的处理原则：

相关单位在处理地理信息数据时，必须制定地理信息处理规则并严格遵守，具体行为必须遵循保密、目的限制、数据最小化等下述原则或规则。

1. 保密原则。对在处理行为中涉及的国家秘密、商业秘密信息，应当保密。处理涉密地理信息数据应当遵守有关保密法律、法规的规定，如地图内容表示、地图审核、保密技术处理等，采取必要的保密措施，保障地理信息数据的安全。

2. 数据安全原则。建立健全地理信息数据安全管理制度，采取安全保障措施，严防失泄密

3. 目的限制原则。经审批使用的地理信息数据，使用应限于批准的使用目的。涉及涉密基础测绘成果使用的，应当注意申请使用的地理信息数据范围、种类、精度应与使用目的相一致，后续使用应限于批准的使用目的。

4. 数据最小化原则。申请使用的地理信息数据范围、种类、精度，应与使用目的相一致，不超出使用目的所必须的范围。

5. 境内存储原则。存储地理信息数据的数据库服务器应设立在中国境内。

6. 本地存储原则。智能网联汽车收集的地理信息数据倡导以车内处理（包括存储）为原则，属于车外数据的地理信息数据可在远程信息服务平台等车外位置中存储。

7. 识别为重要数据、国家核心数据的，适用重要数据、国家核心数据的相关规定。

指引目录：

指引部分内容节选：

END