文/何姗姗 黄雷 刘文丽 罗为 夏正桐
摘要
汽车行业作为具有全球性设计、研发、零部件供应、生产、销售的行业,全球化程度高,数据跨境流动不可避免。然而近年来,汽车行业数据出境安全风险事件频发,引起了国家有关部门高度重视,连续出台汽车相关的法律、法规、规章,旨在加强跨境流动治理工作,对汽车数据出境实施强监管。
2021 年 10 月 29 日 , 国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》(简称《评估办法》),对应依规向网信办申报数据出境安全评估的情形以及具体流程等作出进一步总结和细化规定。
但是,对于相关出境监管规定的具体适用和执行尺度,企业在实践中仍然存在理解不到位、关注度不够等问题。
ICMA 智联出行研究院建议企业,为防范数据出境安全法律风险,需要在汽车数据出境活动中关注以下十大问题。
一、什么是汽车数据
根据《汽车数据安全管理若干规定(试行)》,汽车数据是指包括汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据。
汽车行业的重要数据包括:军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过 10 万人的个人信息;国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
个人信息的范围则较为广泛, 根据《民法典》和《个人信息保护法》对个人信息的定义,由一辆车产生的大多数数据都可能构成个人信息。
此外,《汽车数据安全管理若干规定(试行)》也对汽车领域的个人信息作出了细化规定,指出个人信息是,以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
具体而言,个人信息可以分为直接可识别的个人信息和间接可识别的个人信息。
直接可识别的个人信息是指, 可以单独、直接识别出自然人的信息。例如,驾驶员的姓名、身份证号等。
间接可识别的个人信息是指, 通过与其他资料相结合,从而识别出自然人的信息。例如,通过与车辆识别号(VIN)相结合,一辆车行驶旅程的细节、车辆使用行为数据、技术数据、车辆状况数据等都可能会被认定为是个人信息。在实践中,间接可识别的个人信息容易被忽视,易引发合规风险。
此外,根据个人信息的敏感程度不同,个人信息中还包括敏感个人信息、生物识别特征信息等保护要求更高的类型。
根据《汽车数据安全管理若干规定(试行)》,敏感个人信息是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
二、什么是汽车数据出境
对于“数据出境”的含义,目前《网络安全法》《个人信息保护法》《数据安全法》等相关法律并未做出明确具体的定义。虽然之前出台的一些标准和规范的征求意见稿或者草案,曾经尝试对数据出境进行定义,但也均未发布最终具有约束力的生效文本。
例如,《信息安全技术数据出境安全评估指南(草案)》将“数据出境”定义为:网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务 / 产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
《评估办法》依然没有对“数据出境”做明确的定义,也使法律可解释性的空间增大,执法的灵活性提高。尽管如此,就现有实践而言,也存在一些公认的数据出境情形。例如,数据虽未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看等。
三、数据出境类型有哪些
数据出境主要涉及以下三种类型,首先是在境内运营中收集和产生的数据由境内转移至境外。其次是境外远程访问,指的是数据未被转移至国外,但被境外的机构、组织、个人访问查看。最后是向本国境内的主体提供数据,但该主体不属于本国司法管辖或未在境内注册。
四、汽车数据出境的常见场景有哪些
前两种数据出境的类型在汽车领域较为常见。
第一种类型的数据出境常见场景为,通过有形的方式(如携带含有数据的硬盘)或者无形的方式( 如即时通讯系统, 包括电子邮件等,使用部署在境外的服务器) 将汽车数据传输到中国境外进行技术处理。
第二种类型的数据出境常见场景为,境内企业将汽车数据存储在云端供境外的研发人员远程访问。
五、汽车数据出境的监管要求是什么
针对关键信息基础设施运营者(CIIO)与其他数据处理者, 数据出境的基本规则有所区分。CIIO 适用于《网络安全法》,对于个人信息和重要数据应进行境内存储与出境安全评估。针对其他数据处理者,个人信息的出境提供将适用《个人信息保护法》,数据处理者应根据自身情况选择合适的出境机制,重要数据的出境安全管理则适用于国家网信部门会同国务院有关部门制定的规则。
具体到汽车数据本身,《汽车数据安全管理若干规定(试行)》细化了对汽车个人信息和重要数据的监管要求。
在涉及数据出境时,汽车数据处理者需要完成个人信息和重要数据境内存储和出境安全评估、采取有效措施明确和监督接收者、出境数据不得超出出境安全评估时明确的内容、在年报中报告其对外提供数据的情况等。
六、数据出境风险自评估的重点是什么
数据出境风险自评估是向境外提供数据的前提,也是申报数据出境安全评估的申请材料之一。
《评估办法》第五条规定了企业自评估需要重点关注的事项,比如出境方及接收方处理数据的目的、范围、方式等方面的合法性、正当性、必要性;双方的安全保障能力;出境数据的数量、范围、种类、敏感程度,数据出境可能造成的风险;数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅;双方订立的合同是否充分约定数据安全保护责任等。
七、数据出境安全评估的重点是什么
数据出境安全评估是国家网信部门对数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险进行评估。
评估重点主要包括:数据出境的目的、范围、方式等的合法性、正当性、必要性;境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;数据安全和个人信息权益是否能够得到充分有效保障;数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;遵守中国法律、行政法规、部门规章情况等。
八、申报出境安全评估的触发条件有哪些
数据出境达到触发条件则需要申报安全评估。
《评估办法》列举了六种应当申报数据出境安全评估的“触发条件”,可以分为以下三类:
(一)主体层面:基于数据处理者的“特定身份”
触发条件一:数据处理者身份为关键信息基础设施的运营者。 一般而言,车企被认定为关信息基础设施运营者的可能性较低。但值得注意的是,2021 年 9 月 1 日生效的《关键信息基础设施安全保护条例》赋予了相关领域的主管部门、监督管理部门制定关键信息基础设施认定规则的权限,故企业应当关注后续不时出台的认定规则,以判断产品和业务是否落入关键信息基础设施的范畴。
触发条件二:数据处理者身份为处理个人信息达到一百万人的个人信息处理者。
此处需注意,不管企业向境外传输的个人信息数量多少,只要企业本身处理超过一百万人的个人信息,就应当申报安全评估。故建议企业对自身处理的个人信息涉及的主体数量进行盘点,并做好自评估,待《评估办法》正式生效后积极响应。
(二)行为层面:基于数据处理者出境数据的“敏感程度与规模”
触发条件三:出境数据中包含重要数据。
对企业而言,当务之急是梳理业务过程中涉及到数据出境的具体环节或系统、出境数据的类型, 是否包含重要数据等问题。
触发条件四:累计向境外提供超过十万人以上个人信息。
触发条件五:累计向境外提供超过一万人以上敏感个人信息。
(三)兜底条款
触发条件六:国家网信部门规定的其他需要申报数据出境安全评估的情形。
该条款赋予国家网信部门较大的自主调整空间, 故建议企业关注国家网信办不时出台的新规定, 并实时调整申报数据出境安全评估的战略。
九、申报安全评估所需要的材料有哪些
据《评估办法》规定,企业需提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其它具有法律效力的文件等(以下统称“合同”),以及安全评估工作需要的其他材料。
如企业与境外数据接收方尚未订立合同的,建议补充签订合同, 并充分约定数据安全保护责任义务。
十、汽车数据出境合规保障机制怎样建设
企业应当开展数据盘点工作, 识别个人信息、重要数据等受到严格监管的数据类型,建立符合监管要求的数据分级分类体系。从组织机构搭建、制度流程建设、系统完善、意识增强等方面建立,以及健全数据安全管理制度,落实数据安全保护义务。
建立数据安全管理组织架构
处理重要数据和个人信息数量达到一定数量的企业和组织应当依据《数据安全法》《个人信息保护法》等规定指定数据安全管理负责人、个人信息保护负责人,对本企业的数据处理活动进行监督。
建立数据出境风险自评机制
企业应建立数据出境风险自评估机制,及时掌握企业内数据出境情况的动态变化,结合所处业务特性、出境应用场景及流转路径, 定期开展风险评估工作,及时开展合规自查和整改工作。与此同时, 应当及时关注主管部门后续发布的关于数据出境的监管细则,从而有效、快速应对后续的监管活动。
建立网络安全等级保护机制
网络安全等级保护即对网络进行分等级保护、分等级监管。现行的网络安全等级保护制度是基于《网络安全法》第二十一条规定设置的制度,网络运营者应根据相关规定确定其信息系统安全保护等级,并采取相应的保护措施。
END