Новые правила безопасности данных для автомобильной индустрии

В Китае в связи с постоянным принятием законов и нормативных актов, касающихся безопасности личной информации и данных, правительство Китая 16 августа 2021 года опубликовало Положения об управлении безопасностью автомобильных данных (Пробная версия) (“Положения об управлении”), которые вступят в силу 1 октября 2021 года.

Положения об управлении содержат подробные правила, касающиеся всего процесса сбора и использования автомобильных данных (включая сбор, хранение, обработку, передачу и т.д.), и выдвигают строгие требования к операторам в автомобильной сфере с точки зрения личной информации и защиты важных данных.

1. Что такое автомобильные данные?

Автомобильные данные включают в себя персональные данные и важные данные, связанные с процессом, таким как проектирование, производство, продажа, использование, эксплуатация или техническое обслуживание автомобилей.

Личная информация относится к любому типу информации, относящейся к идентифицированному владельцу автомобиля, водителю или пассажиру или любому лицу за пределами автомобиля, которая записана электронным или иным способом, за исключением информации, которая была анонимизирована, что не имеет большого значения для Закона о защите личной информации.

В то же время Положения об управлении являются первым положением, в котором конкретно указывается, какие данные важны, в том числе:

1) Географическая информация, потоки людей или автомобилей и другие данные в отношении любой важной чувствительной области, такой как военно-административная зона, организация по развитию науки и техники в области национальной обороны или партийное или правительственное учреждение на уровне округа или выше;

2) Объем перевозок, логистика и другие данные, отражающие показатели экономики;

3) Рабочие данные автомобильной зарядной сети;

4) Данные видео или изображений, собранные за пределами автомобиля, включая информацию о лице человека, информацию о номерном знаке и т.д.;

5) Персональные данные, касающиеся более 100 000 субъектов персональных данных.

 

2. Кто должен соблюдать Положения об управлении?

В соответствии с Положениями об управлении, все обработчики, обрабатывающие автомобильные данные, должны соблюдать такие правила, включая, но не ограничиваясь производителями автомобилей, поставщиками запчастей и программного обеспечения, дилерами, поставщиками услуг по ремонту и техническому обслуживанию, компаниями по обслуживанию автомобилей и т.д.

3. Основной принцип обработки данных

Правительство Китая поощряет разумное и эффективное использование автомобильных данных на законных основаниях, и при обработке автомобильных данных обработчики автомобильных данных должны соблюдать следующие принципы:

1. Принцип обработки в автомобиле, за исключением случаев, когда необходимо предоставить данные получателю за пределами автомобиля;
2. Принцип отказа от сбора данных по умолчанию, означающий, что настройкой по умолчанию является отсутствие сбора данных на каждом диске;
3. Принцип надлежащей точности и охвата, означающий, что диапазон охвата и разрешение любой камеры, радара и т.д. определяются на основе требований к точности данных, предоставляемых функциями или услугами; и
4. Принцип десенсибилизации, означающий, что данные анонимизируются или деидентифицируются как можно лучше.

Закон о безопасности данных вступает в силу 1 сентября, Положения об управлении вступают в силу 1 октября, а Закон о защите личной информации также вступит в силу 1 ноября. Давление на соблюдение требований, с которым сталкиваются компании автомобильной промышленности, становится все более и более серьезным. Если компании уже выполняли процесс соответствия данных и систему защиты личной информации в прошлом, необходимо проверить утечку, еще раз просмотреть и дополнить соответствующее содержимое; если соответствующие системы еще не созданы, мы предлагаем компаниям приступить к созданию проектов по соблюдению требований.