《意见稿》介绍,本标准提出网络预约汽车服务的数据安全工作指南,以个人信息保护为主,兼顾数据安全,包括网络预约汽车服务类型和典型场景相关特色数据问题,明确网络预约汽车服务运营者开展服务时数据收集、存储、使用、共享、公开披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求。
《意见稿》中数据收集的通用要求包括:网络预约汽车服务运营者在收集用户个人信息前,应告知用户并征得用户同意;用户拒绝提供网络预约汽车服务最小必要个人信息以外的个人信息时,网络预约汽车服务运营者不应拒绝提供网络预约汽车服务;用户拒绝提供网络预约汽车服务可选业务功能对应的最小必要个人信息时,网络预约汽车服务运营者可拒绝提供对应可选业务功能服务,但不应拒绝提供网络预约汽车服务。
《意见稿》称,网络预约汽车服务运营者收集行程录音录像信息时,应当制定单独录音录像信息收集协议,向用户告知录音录像信息收集方式、时间、使用用途、存储规则等内容,行程录音录像信息收集协议应征得乘客和驾驶员双方的同意。
《意见稿》明确,对网络预约汽车服务运营者行程录音录像的收集要求包括:行程录音通过驾驶员App或车载设备收集,行程录像通过车载设备收集,宜优先使用车载设备收集录音;驾驶员App生成的行程录音文件应在上传完成后删除,不应在移动终端留存;车载设备应采取必要的安全防护,防范非授权访问,禁用或屏蔽调试接口,防范物理接口分析入侵。