汽车数据安全管理合规清单

汽车数据安全管理合规清单内部管理制度和技术措施是否明确负责人和管理机构，落实网络安全和数据安全保护责任？是否利用互联网等信息网络开展汽车数据处理活动时，是否落实网络安全等级保护制度，包括但不限于：加强网络设施和网络系统资产管理；合理划分网络安全域；加强访问控制管理；做好网络边界安全防护；采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施；自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患；其他网络安全保障制度及技术措施：_。是否是否建立健全涵盖汽车设计、生产、销售、使用、运维等过程数据（个人信息）安全管理制度，包括但不限于：开展数据分类分级工作；建立风险监测制度，采取措施监控内部数据处理活动和外部访问活动，防范不正当的数据访问和处理行为；合理确定数据处理的操作权限；把对高敏感数据的处理以及特权账户对数据的访问和操作都纳入重点监控范围；建立数据安全事件应急制度；制定数据安全事件应急预案并定期进行演练；定期对进行培训，并考察能力与岗位职责的匹配程度；建立数据安全审计制度，定期引入第三方机构对内部数据处理活动进行审计；其他数据安全和个人信息保护制度：_。 是否针对数据全生命周期采取有效技术保护措施，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险，包括但不限于：建立数据管理台账；采取匿名化、去标识化、加密、完整性保护等技术措施；强化数据安全监测预警和应急处置能力建设；提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平；发生或者可能发生汽车数据泄露、篡改、丢失的，立即采取补救措施，并通知履行数据保护职责的部门和个人；及时处置数据安全事件，向所在省（区、市）通信管理局、工业和信息化主管部门报告较大及以上数据安全事件；配合开展相关监督检查，提供必要技术支持；其他技术保护措施：_。 处理个人信息或重要数据时是否具有合法、正当、具体、明确的目的，并与汽车的设计、生产、销售、使用、运维等直接相关？是否个人信息保护  是否遵循车内处理原则，除非确有必要不向车外提供？是否是否遵循默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态？是否是否遵循精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率？是否是否遵循脱敏处理原则，尽可能对所收集的汽车数据采取匿名化、去标识化等处理？是否是否遵循最小保存期限原则，根据所提供功能服务分类型确定数据保存期限？是否车辆销售时，道路机动车辆生产企业是否参照电话用户真实身份信息登记相关标准规范，组织实施车联网卡实名登记，核验和登记车辆所有者（含单位用户）真实身份信息？是否道路机动车辆生产企业在车辆销售合同中，是否明确告知车辆所有者在办理车辆过户时，应同步办理车联网卡实名过户手续，并提示相关法律责任风险？是否车辆销售后，道路机动车辆生产企业是否将用户登记信息、车联网卡号码或识别码等基础信息及时传送至电信企业？是否对用户身份不明、拒绝身份查验或者未按要求提供真实身份信息的，道路机动车辆生产企业是否通知电信企业关闭除紧急呼叫、应急救援等影响生命安全以外的车联网卡功能？是否在开展下列个人信息处理活动前，是否事前开展个人信息保护影响评估，并对处理情况进行记录：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。是否处理个人信息是否通过显著方式（如用户手册、车载显示面板、语音以及汽车使用相关应用程序等）告知个人如下事项：处理个人信息的种类，包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等；收集各类个人信息的具体情境以及停止收集的方式和途径；处理各类个人信息的目的、用途、方式；个人信息保存地点、保存期限，或者确定保存地点、保存期限的规则；查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径；用户权益事务联系人的姓名和联系方式；法律、行政法规规定的应当告知的其他事项。是否汽车数据处理者处理个人信息是否符合以条件之一：取得个人或监护人的同意；为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为履行法定职责或者法定义务所必需；应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；法律、行政法规规定的其他情形。是否个人信息的处理目的、处理方式和处理的个人信息种类发生变更时，是否重新取得个人同意？是否因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，是否进行匿名化处理，比如删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等？是否汽车数据处理者处理的数据是否包括如下类型（敏感个人信息）：生物识别；宗教信仰；特定身份；医疗健康；金融账户；行踪轨迹；不满十四周岁未成年人的个人信息；其他一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息：_。是否汽车数据处理者处理敏感个人信息，是否具有直接服务于个人的目的，比如增强行车安全、智能驾驶、导航等？是否汽车数据处理者收集指纹、声纹、人脸、心律等生物识别特征信息时，是否具有增强行车安全的目的和充分的必要性？是否处理汽车数据涉及不满十四周岁未成年人个人信息的，是否制定专门的个人信息处理规则？是否汽车数据处理者处理敏感个人信息，是否通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知敏感个人信息处理的必要性以及对个人的影响？是否汽车数据处理者处理敏感个人信息，是否取得个人的单独同意，并确保个人可自主设定同意期限？是否在保证行车安全的前提下，汽车数据处理者处理敏感个人信息，是否以适当方式提示收集状态，为个人终止收集提供便利？是否个人要求删除敏感个人信息的，汽车数据处理者是否在十个工作日内删除？是否是否建立健全个人行使权利响应机制，包括但不限于：基于个人同意处理个人信息的，个人要求撤回其同意；个人要求对其个人信息的处理享有知情权、决定权，限制或者拒绝他人对其个人信息进行处理个人向汽车数据处理者查阅、复制其个人信息；个人要求将个人信息转移至其指定的个人信息处理者；个人要求对不准确或不完整的个人信息进行更正、补充；个人要求删除个人信息；个人要求汽车数据处理者进行解释说明；个人拒绝汽车数据处理者仅通过自动化决策的方式作出决定；其他：_。 是否存在对外提供或委托处理个人信息的需求？是否对外提供或委托处理个人信息是否出于合法、必要的目的，并将个人信息的类型、数量、颗粒度控制在必要范围之内？是否在委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息时，是否事前进行个人信息保护影响评估，并对处理情况进行记录？是否在对外提供或委托处理个人信息前是否事先向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意？是否是否对接收方的个人信息保护能力和相关业务资质进行评估？是否是否与接收方签订协议以明确个人信息保护义务？是否是否存在向境外提供个人信息的需求？是否需向境外提供个人信息的，是否就该事项获取单独同意？是否是否与境外个人信息接收者签订个人信息保护协议？是否在向境外提供个人信息前，是否具备下列条件之一：（1）通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件是否应外国司法或执法机构要求提供存储于中国境内个人信息的，是否获得主管机关的批准？是否当出现下列情形时，汽车数据处理者是否及时删除或对个人信息进行匿名化处理：（1）处理目的已实现、无法实现或者为实现处理目的不再必要；（2）汽车数据处理者停止提供产品或者服务，或者保存期限已届满；（3）个人撤回同意；（4）汽车数据处理者违反法律、行政法规或者违反约定处理个人信息。是否重要数据保护汽车数据处理者处理的数据是否包括如下类型（重要数据）：军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；车辆流量、物流等反映经济运行情况的数据；汽车充电网的运行数据；包含人脸信息、车牌信息等的车外视频、图像数据；涉及个人信息主体超过10万人的个人信息；国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。是否汽车数据处理者处理重要数据的，是否对其数据处理活动定期开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告？是否汽车数据处理者的重要数据评估报告是否包含如下内容：种类；数量；范围；保存地点与期限；使用方式；开展数据处理活动情况；是否向第三方提供以及对外提供情况；面临的数据安全风险及其应对措施等。是否汽车数据处理者开展重要数据处理活动，是否在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况？是否汽车数据处理者报送前述年度汽车数据安全管理情况时，是否具备以下内容：汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；处理汽车数据的种类、规模、目的和必要性；汽车数据的安全防护和管理措施，包括保存地点、期限等；向境内第三方提供汽车数据情况；汽车数据安全事件和处置情况；汽车数据相关的用户投诉和处理情况；国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。是否汽车数据处理者是否存在重要数据出境需求？是否因业务需要确需向境外提供重要数据的，是否通过国家网信部门会同国务院有关部门组织的安全评估？是否向境外提供重要数据的，是否所在省（区、市）通信管理局、工业和信息化主管部门报备重要数据出境安全评估结果？是否汽车数据处理者向境外提