汽车数据安全合规⑤—如何处理敏感个人信息？

Original DSI 数据安全推进计划 2023-07-01

《汽车数据安全若干问题合规实践指南》（以下简称《指南》）是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，为汽车企业提供数据安全合规实践指引。

本系列将持续探讨汽车数据安全合规实践，希望增强汽车企业数据安全合规保障能力，提高汽车行业数据安全保护水平。

本文将聚焦“敏感个人信息”，解析合规要点，总结汽车行业典型场景，进而提出合规实践建议。

汽车数据安全合规①—如何坚持车内处理原则？

汽车数据安全合规②—如何落实脱敏处理原则？

汽车数据安全合规③—如何加强数据安全防护？

汽车数据安全合规④—如何实施“告知-同意”？

“敏感个人信息”

合规要点

汽车行业中，敏感个人信息指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息[1]。在GB/T 41871-2022《信息安全技术汽车数据处理安全要求》中明确，敏感个人信息包括行踪轨迹、音频、视频、图像、医疗健康、宗教信仰等个人信息，指纹、心率、声纹、面部识别特征等生物识别特征信息，居民身份证、军官证、工作证、社保卡、居住证等能标识特定身份的个人身份信息，银行账户、鉴别信息（口令）、金融账户等个人财产信息，以及不满十四周岁未成年人的个人信息。《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。汽车企业应在收集指纹、声纹、人脸、心律等生物识别特征信息前，具有增强行车安全的目的和充分必要性。

典型场景

从法律规定和行业实践出发，汽车数据处理者处理敏感个人信息的典型场景包括但不限于：

碰撞预警、自动紧急制动、疲劳分神预警等增强行车安全的场景；
自适应巡航控制、导航等智能驾驶场景；
车机个人中心、应用商店等使用场景。

合规实践建议

汽车企业在处理敏感个人信息时需要考虑组织架构、个人信息保护评估制度建设等。

①处理超过10万人的敏感个人信息的应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。

②人员管理与培训：对大量接触敏感个人信息的人员进行背景审查，以了解其犯罪记录、诚信状况。

③个人信息保护影响评估：个人信息保护影响评估报告和处理情况记录应当至少保存三年。

④安全事件处置：敏感个人信息发生泄露时，需实施安全事件的告知。应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息；告知内容应包括但不限于：

安全事件的内容和影响；
已采取或将要采取的处置措施；
个人信息主体自主防范和降低风险的建议；
针对个人信息主体提供的补救措施；
个人信息保护负责人和个人信息保护工作机构的联系方式。

汽车企业应核查已有的敏感个人信息的收集和处理场景是否遵循必要性原则。如果企业经核查和综合判断，认为已有的敏感个人信息处理行为不具有充分的必要性，则应及时进行整改。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。例如，汽车数据处理者收集驾驶人和乘客人脸识别信息时，需要判断这一收集处理是否具有增强行车安全的目的和充分的必要性，并形成书面记录材料。

汽车企业应落实敏感个人信息单独同意的具体技术措施。其一，逐项同意。应对每项敏感个人信息取得个人信息主体单独同意，不应一次性针对多项敏感个人信息或多种处理活动取得同意。例如，汽车数据处理者为驾驶人提供语音识别功能需要处理语音数据，可针对该功能单独弹窗取得驾驶人同意，也可在告知同意中针对该功能设置可勾选的单独选项取得驾驶人同意[2]。其二，设置同意期限。汽车企业应确保用户能够自主设置同意企业收集处理其敏感个人信息的具体期限，处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”，可设置为单次、七天、三个月和一年等选项。其三，提示状态。汽车企业还应在实际收集数据的过程中，在保证行车安全的前提下以适当的方式提示用户敏感个人信息收集的状态。例如，当拍摄、录音、录屏、定位时，应采用显著方式提示用户上述状态。

汽车企业应采取恰当的技术保障手段和安全管理措施保护用户的敏感个人信息。针对敏感个人信息的全生命周期，在收集、存储、使用、传输、共享等不同阶段采取适当的安全措施。具体而言，针对技术保障手段，企业在传输和处理敏感个人信息时，宜采取技术加密的安全措施。在数据收集阶段，合理利用车载显示面板图标和信号装置指示灯闪烁长亮来提示用户汽车正在收集其敏感个人信息。在存储敏感个人信息时，宜将生物识别信息这一敏感个人信息与一般个人信息分开存储；原则上不应存储原始生物识别信息，可通过仅存储个人生物识别信息的摘要信息，在采集终端中直接使用个人生物识别信息实现身份认证等措施代替对原始个人生物识别信息的直接存储。针对安全管理措施，企业等汽车数据处理者对于数据访问、操作等行为，宜在设置角色权限控制的基础上，按照业务流程的需求触发操作授权。例如，当收到用户投诉后，投诉处理人员才可访问该个人信息主体的相关信息。

汽车企业应及时响应用户的个人信息权利请求，包括用户对其个人信息享有复制、查询、转移、删除等权利。汽车企业可建立个人信息结构化目录，以确保在收到删除个人信息请求时可落实十个工作日内删除等要求。例如，在收到用户关于删除其个人信息的请求时，汽车企业应在相关规定时间内删除，若因保障安全驾驶、诉讼需要等必要性未能及时删除的，应当向用户进行合理必要性解释并在上述必要性事项完成时及时删除。在收到用户关于复制其个人信息的请求时，汽车企业应当及时以恰当的文本形式提供其个人信息。

中国信息通信研究院推出数据安全治理能力评估汽车专项（简称：DSG-V评估），在DSG评估的基础上，融合汽车行业数据安全相关标准，以满足汽车业企业的特有评估需求。详情请了解“一图读懂DSG系列评估”。
DSG系列评估持续征集参评企业，欢迎广大企业垂询合作！联系人：刘雪花电话：18500238315(微信同号)邮箱：liuxuehua@caict.ac.cn

[1]参见：《汽车数据安全管理若干规定（试行）》第三条[2]参见：《信息安全技术汽车数据处理安全要求》 4.2

往期推荐