其中重点明确了如下几点:
运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。
个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。
重要数据具体来说包括:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
倡导运营者处理个人信息和重要数据过程中坚持:
(一)车内处理原则,除非确有必要不向车外提供;
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
在《规定》第八条中,明确了数据收集默认不开启,如果开启需要驾驶员每次上车时授权,驾驶员能随时停止收集数据;还能随时查看、方便查询信息;如果驾驶员要求运营者删除,期限为2周。
另外,针对车外的个人信息,需要匿名化或脱敏处理,例如对人脸进行局部轮廓画处理。
运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息:
(一)收集每种类型数据的触发条件以及停止收集的方法;
(二)收集各类型数据的目的、用途;
(三)数据保存地点、期限,或者确定保存地点、期限的规则;
(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。
运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
当运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。
同时第十四条规定,数据即使存放在境外,也需要接受和处理所涉及用户的投诉,如有侵犯他人权益,需要依法承担相应责任。
向省级网信部门和有关部门报告的数据包括责任人姓名和电话;数据处理的类型、规模、目的、必要性;数据安全管理措施;安全事故及处理情况;投诉处理情况以及规定的其他数据安全情况,还特别规定要报告与境内第三方共享数据的情况。
如果向境外提供数据,运营者在前文基础上,还需要报告接收者信息;数据处境的类型、数量、目的;境外存放地点、使用范围和方式;用户投诉处理情况以及规定的其他情况。