汽车数据安全管理若干规定

《汽车数据安全管理若干规定(试行)》是由国家发展和改革委员会、工业和信息化部、公安部、交通运输部五大部门联合发布的汽车数据安全管理领域政策文件；既是出于防范化解汽车数据安全风险的实践需要，也是保障汽车数据依法合理有效利用的客观需要。

主要内容如下：

1、规定了制定目的

《规定》第一条规定，为了规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，而制定本规定。

2、规定了适用范围

根据第二条的内容，《规定》适用于在中华人民共和国境内开展汽车数据处理活动及其安全监管的活动。

3、明确了《规定》所涉及到的重要术语的定义

《规定》中主要涉及到汽车数据、汽车数据处理、汽车数据处理者、个人信息、敏感个人信息、重要数据等术语，《规定》第三条对上述术语的含义进行了明确。

4、规定了汽车数据处理者处理不同类型汽车数据时应遵循的原则

① 针对所有的汽车数据，《规定》第四条规定，汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。

② 针对利用互联网等信息网络处理汽车数据，《规定》第五条规定，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。

③ 《规定》第七条、第八条规定了汽车数据处理者处理个人信息时应当达到的要求。

④ 《规定》第九条规定了汽车数据处理者处理敏感个人信息时应当达到的要求。

⑤ 针对重要数据，《规定》第十条规定，汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告；《规定》第十一条规定，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估；《规定》第十二条规定，汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

5、规定了开展汽车数据处理活动的四大原则

《规定》第六条提出，汽车数据处理者在开展汽车数据处理活动中要坚持车内处理原则、默认不收集原则、精度范围适用原则和脱敏处理原则。

6、规定了汽车数据处理者有关向行政管理部门进行报告的义务

第十三条规定，汽车数据处理者开展重要数据处理活动的，应当在每年十二月十五日前向有关部门报送相关年度汽车数据安全管理情况；《规定》第十四条规定，向境外提供重要数据的汽车数据处理者在第十三条要求的基础上，还应补充报告其他的相关情况。

7、规定了对汽车数据处理者进行数据安全评估的行政机关的范围

《规定》第十五条规定，国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，根据处理数据情况对汽车数据处理者进行数据安全评估。

8、规定了汽车数据处理者建立监督渠道的义务及法律责任

《规定》第十七条规定，汽车数据处理者开展汽车数据处理活动，应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。

9、规定了追究汽车数据处理者的法律责任所依据的法律

《规定》第十八条规定，汽车数据处理者违反本规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定追究相应责任。