<nav id="bml2z"><center id="bml2z"></center></nav>

  • <progress id="bml2z"></progress>
  • <xmp id="bml2z"><xmp id="bml2z">
        1. 行業資訊 >> 行業資訊詳情

          數據出境規則紛紛落地,汽車企業如何應對和準備?

          發布時間:2022-08-10作者:閱讀次數: 分享到:

          汽車行業是全球化程度較高的行業之一,隨著近年來智能網聯汽車[1]的快速發展,汽車行業相關企業(“汽車企業”)的數據出境需求日益增多,對于跨國性質的汽車企業來說更是如此。另外,汽車行業也是數據安全嚴監管的行業之一,這使得汽車企業的數據出境更為敏感和復雜。


          2022年6月30日,國家互聯網信息辦公室(“國家網信部門”)發布了《個人信息出境標準合同規定(征求意見稿)》(“《標準合同規定征求意見稿》”)及其附件《個人信息出境標準合同》。


          2022年7月7日,國家網信部門正式發布了《數據出境安全評估辦法》(“《評估辦法》”),并將于2022年9月1日正式生效。


          在此之前,全國信息安全標準技術委員會于2022年6月24日發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》(“《認證規范》”)。


          上述三項規定和規范,涵蓋了我國數據出境的基本框架。尤其是《評估辦法》的最終落地,標志著我國數據出境規則基本形成。


          《評估辦法》不僅提供了國家網信部門組織的安全評估(“官方評估”)的若干適用情形、申報條件、評估重點、評估程序等,更為重要的是,《評估辦法》明確了個人信息出境觸發官方評估的門檻。汽車企業亟需對其各自的數據出境活動及后續安排做出策略性的調整和規劃。


          本文旨在幫助汽車企業判斷適用的數據出境路徑并開展相應準備工作。


          01 汽車企業如何判斷數據出境路徑?


          綜合《網絡安全法》《個人信息保護法》和《評估辦法》的相關規定,根據適用情形和觸發條件的不同,我國數據出境規則主要包括三種路徑:


          • 通過官方評估(“官方評估路徑”);

          • 經專業機構進行個人信息保護認證(“認證路徑”);

          • 按照國家網信部門制定的標準合同(“標準合同”)與境外接收方訂立合同,約定雙方的權利和義務(“標準合同路徑”)。


          對于出境路徑的選擇和適用,汽車企業可采取以下步驟:


          • 步驟一:梳理數據出境活動


          對數據出境活動進行梳理和盤點是判斷選擇何種出境路徑的第一步。就官方評估而言,《評估辦法》規定“本辦法施行前已經開展的數據出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改”[2],因此當前已發生(且仍將繼續)的和《評估辦法》生效后擬開展的數據出境活動均應納入考慮范圍,具體包括以下方面:


          是否向中國境外傳輸數據


          向中國境外傳輸數據有兩類常見形式:一類是數據處理者主動將其在中國境內收集和產生的數據通過網絡或硬件載體傳輸至境外接收方;另一類是數據處理者向境外接收方(包括關聯方,如外資股東、全球或地區總部等)開放訪問權限,允許其訪問存儲于境內的數據[3]。


          向境外傳輸數據的具體情況


          這包括數據出境背景(如數據出境系基于與境外接收方開展的何種合作、境外接收方提供何種產品或服務、是否簽署了服務協議或其他合作協議)、境外接收方的類型(個人、企業、公共機構、其他組織等)、境外接收方所在國家或地區、數據處理者向境外接收方傳輸數據的傳輸期限、傳輸頻率、傳輸規模等、境外接收方對出境數據的處理目的、處理方式、存儲地點和存儲期限等。


          向境外傳輸的數據類型



          在本步驟一中,汽車企業可以對出境的數據類型進行盤點,建立出境數據臺賬,例如客戶數據(如車主姓名、手機號碼、身份證號、駕駛證號)、車輛數據(如發動機號、工況數據、車內應用服務數據)、業務數據(如銷售數據、維修數據)以及經營管理數據(如員工個人信息)等。完成出境數據類型盤點后,汽車企業還需要在步驟二中對該等出境數據是否構成重要數據以及涉及的個人信息主體數量進行識別和確認。


          涉及的個人信息主體


          如出境數據中包含個人信息,需考慮涉及哪些個人信息主體,例如車主、駕駛人、乘車人、員工、客戶或供應商聯系人等。


          • 步驟二:識別數據性質和處理者身份


          在完成步驟一的數據出境活動梳理后,汽車企業需結合以下維度,判斷適合的數據出境路徑:


          數據性質維度:

          出境數據中是否包括重要數據[4]


          各行業、領域的重要數據具體目錄由各地區、各部門按照數據分類分級保護制度確定[5],而汽車行業則是較早明確了重要數據范圍的行業之一。根據《汽車數據安全管理若干規定(試行)》(“《汽車數據規定》”),汽車數據包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據[6],而重要數據則包括[7]:


          (一)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據;

          (二)車輛流量、物流等反映經濟運行情況的數據;

          (三)汽車充電網的運行數據;

          (四)包含人臉信息、車牌信息等的車外視頻、圖像數據;

          (五)涉及個人信息主體超過10萬人的個人信息;

          (六)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。


          除上述已有明確規定的汽車行業重要數據類型以外,汽車企業可能還會處理其他須經審批方可出境的數據,我們將在下文詳細討論。


          身份維度:

          境內數據處理者是否存在特定身份


          根據《評估辦法》,如境內數據處理者屬于關鍵信息基礎設施運營者(CIIO)或處理100萬人以上個人信息,其數據出境行為應當通過官方評估[8]。

          結合《關鍵信息基礎設施安全保護條例》確定的CIIO識別制度,CIIO的認定結果將由行業和領域的主管部門、監督管理部門向CIIO發出通知[9],因此相對容易識別。提請注意的是,由于各行業(包括汽車行業)的CIIO識別工作仍在進行中,因此如果某一汽車企業在現階段尚未收到主管或監管部門的認定結果通知,并不代表該企業就必然不是CIIO。為了防患于未然,我們建議汽車企業結合經營情況和相關數據處理活動,尋求對其自身CIIO身份的初步判斷。

          對于“處理100萬人以上個人信息”這一標準,可根據步驟一的梳理結果做出判斷。一般而言,汽車制造商、經銷商、維修機構、出行服務企業等基于B2C的業務性質,相較于開展B2B業務的零部件和軟件供應商而言更容易達到處理100萬人以上個人信息的身份標準。


          數量維度:

          傳輸數據是否累計達到一定數量


          《評估方法》明確,自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息需通過官方評估[10]。

          根據我們的觀察,以B2C業務模式為主的汽車企業很容易達到這一數量門檻,開展B2B業務的企業也可能因工廠員工數量較多而達到這一門檻。

          但需要注意的是,并非所有看似個人信息的信息都屬于個人信息,汽車企業需要結合具體情況予以甄別。以實踐中常見的一類出境汽車數據——VIN碼為例:VIN碼又稱車輛識別號、車架號,由英文字母和阿拉伯數字組成,共17位,是每輛機動車自出廠時起就有的獨一無二的代碼。由于VIN碼具有唯一性,確實存在通過VIN碼識別到車主等具體個人的可能性,從而屬于個人信息;但在向企業客戶銷售車輛(B2B)的場景中,VIN碼對應的是企業客戶而非具體個人,因此不應屬于個人信息。由此,在識別某一類型的數據是否構成個人信息時,汽車企業還需結合數據處理活動的具體情形,嚴格基于識別性與關聯性兩大原則[11]進行判斷。


          其他情形


          《評估方法》對官方評估的觸發場景規定了一個兜底項,即國家網信部門可能另行發布其他規定,進一步擴大官方評估的觸發范圍[12]。

          目前哪些情形屬于“其他情形”尚不明確,有待國家網信部門以及其他相關部門做出進一步規定。但就《評估辦法》的現有措辭來看,數據處理者如符合官方評估的觸發條件,應當“向國家網信部門申報”[13],換言之,國家網信部門通常僅在受理數據處理者的申報后才會組織開展官方評估,一般不會主動開展。因此我們傾向于認為,國家網信部門未來將會通過部門規章或部門規范性文件對本條兜底項進行解釋或補充,單獨要求個別數據處理者申報官方評估的可能性較低。


          • 步驟三:確認數據出境路徑


          在完成對數據性質、數量以及處理者身份的識別后,汽車企業即可最終判斷適用的數據出境路徑:


          • 如符合步驟二中的任何一項標準,則應當適用官方評估路徑;

          • 如不符合步驟二中的任何一項標準,但出境數據中包含個人信息,則應當適用認證路徑或標準合同路徑;

            需要特別說明的是,認證路徑和標準合同路徑并非在任何情形下都可以二選一。根據《認證規范》,個人信息保護認證適用于下列兩種情形[14]:

          1. 跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動;

          2. 《個保法》第三條第二款適用的個人信息處理活動,即在中國境外處理境內自然人個人信息,以向境內自然人提供產品或服務或分析評估境內自然人行為的活動[15](由境外的數據處理者通過其在境內設置的專門機構或指定代表申請個人信息保護認證,并承擔法律責任[16])。

            對于前述第2項中的場景,如果境外主體直接從中國境內收集數據,雖然存在數據“跨境”的屬性,但不存在數據“傳輸(即一方提供至另一方)”的行為。該場景是否需要遵從數據出境規則尚存在爭議。我們傾向于認為該等場景下,境外主體將受制于《數據安全法》《個人信息保護法》的域外效力。該等場景如何適用認證路徑,還有待進一步觀察。

          • 如不符合上述1或2的任一情形,則應通過標準合同路徑開展數據出境。


          • 如出境數據中不含任何重要數據或個人信息,且境內數據處理者不存在特定身份,則汽車企業和境外接收方可在履行數據安全保護義務的前提下自行開展數據出境活動(涉密信息或行業有特殊要求的除外)。


          02 汽車企業如何進行合規準備?


          認證路徑的具體實施細則還有待進一步觀察。對于其他兩種數據出境路徑,無論是官方評估路徑還是標準合同路徑,汽車企業需要準備的申報文件可以大致歸納為以下幾類:


          • 與境外接收方簽訂的法律文件


          在官方評估路徑下與境外接收方簽訂的法律文件與標準合同之間存在差別,主要體現在前者除個人信息外還可能包括重要數據的出境,而后者僅包括個人信息的出境,且許多條款與個人信息主體有關,例如合同簽署方應當向個人信息主體履行哪些義務。

          盡管存在上述主要差別,為順利推進官方評估工作、使企業減輕程序性負擔,我們建議企業以標準合同為基礎制定法律文件(如適用),具體而言:


          • 如出境數據僅包括個人信息,不包括且不構成重要數據[17],則盡可能參照或直接使用標準合同作為與境外接收方簽訂的法律文件;


          • 如出境數據除個人信息以外還包括重要數據,則在與境外接收方簽訂的法律文件中將個人信息與重要數據進行拆分處理:個人信息相關條款盡可能參照標準合同,重要數據部分則通過法律文件中的單獨章節予以約定;

          • 如出境數據僅包括重要數據,不包括任何個人信息,則企業可使用自擬模板作為與境外接收方簽訂的法律文件。


          另外,在標準合同路徑下,如已經與境外接收方簽署了與數據出境相關的協議,則還需考慮二者之間如何銜接的問題:

          首先需要明確的是,簽訂標準合同并不會導致已簽署協議終止或失效,只有當標準合同與已簽署的協議發生沖突時,應優先適用標準合同的條款[18]。另外,由于標準合同的備案工作目前尚未開展,諸多程序細節(例如網信部門是否對提交備案的合同內容進行實質審查)尚不清晰,且網信部門對自擬模板的接受度未知,因此我們建議盡可能使用官方發布的標準合同模板提交備案,否則可能會影響備案進度(例如需要向網信部門做出額外解釋)。

          考慮到已簽署協議中可能存在標準合同未包含的其他約定,我們建議在簽署標準合同的同時對已簽署協議做如下安排:


          • 如已簽署協議僅涉及數據跨境傳輸,則建議終止該協議,并將其中超出但不違反標準合同的條款補充約定在標準合同的附錄中(雙方約定的其他條款)中;


          • 如已簽署協議除數據跨境傳輸以外還涉及其他事項(例如技術服務、經銷安排等),則建議對其進行修訂,將與數據跨境傳輸相關的條款從其中剝離,隨后作為補充條款約定于標準合同的附錄中。


          • 評估報告(個人信息保護影響評估和/或數據出境風險自評估)


          向境外提供個人信息應當事先進行個人信息保護影響評估(PIA)系《個人信息保護法》的明確規定[19],數據出境風險自評估(“風險自評估”)則源于《評估辦法》的規定,是數據處理者申報官方評估的前置條件。二者的主要區別如下:



          由此可見,PIA與風險自評估雖然是兩項獨立的工作,但存在一定程度的重合。為避免企業重復評估,我們建議觸發了官方評估的汽車企業可將這兩項評估工作合并進行。具體而言,汽車企業如已完成PIA,則可在此基礎上直接針對超出PIA范圍的風險自評估重點(如重要數據出境對國家安全、公共利益等帶來的風險等)進行補充評估,反之亦然。汽車企業在進行評估的過程中也要注意留存相關評估材料和證明文件,并對評估過程做好記錄,以備后用。


          關于評估報告中的分析內容撰寫,《標準合同規定征求意見稿》對PIA評估重點的規定較《個人信息保護法》而言更為詳細,PIA報告可依照前者所列的評估重點逐項進行撰寫?!缎畔踩夹g 個人信息安全影響評估指南(GB/T 39335-2020)》也可作為開展PIA的參考依據之一,但其中并未專門針對個人信息出境場景下的評估提供指引,參考時需注意。風險自評估報告則可按照《評估辦法》第五條所列的評估重點逐項撰寫。


          • 其他文件


          官方評估所需的其他文件主要為申報書,我們理解國家網信部門后續應會發布標準版本。此外,其他文件還應當包括風險自評估的證明材料和評估過程記錄、已采取適當技術措施的證明文件等。

          標準合同路徑下,向網信部門備案所需的材料僅包括標準合同和PIA報告,暫無需其他文件。


          03 汽車企業可以考慮的其他有關數據出境的事項


          《評估辦法》生效在即,汽車企業需盡快進行合規準備,同時考慮和注意以下事項:


          • 規劃數據出境數量


          觸發官方評估的數量門檻是“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”。在可行的前提下,汽車企業每年(或每兩年)可對出境數據數量進行適當規劃,例如在即將達到上述10萬人個人信息或1萬人敏感個人信息的臨界點時,控制個人信息出境數量甚至暫緩出境活動,在法律允許的限度內避免觸發官方評估。


          另外,我們也建議汽車企業借此機會進行數據資產梳理和盤點,將不再具備利用價值的數據及時進行刪除或匿名化處理,避免因達到處理100萬人個人信息這一身份標準而觸發官方評估。


          • 建立境內數據存儲中心


          關于境內數據是否能在境外存儲這一問題,在法律層面,《網絡安全法》明確了CIIO在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲[24];《個人信息保護法》規定CIIO和處理個人信息達到國家網信部門規定數量(結合《評估辦法》,即100萬人)的個人信息處理者,應當其將在中國境內收集和產生的個人信息存儲在境內[25];在行業規定層面,《汽車數據規定》規定重要數據應當依法在境內存儲[26],工信部2021年發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》也要求企業在中國境內運營中收集和產生的個人信息和重要數據在境內存儲[27]。


          實踐中,有些汽車企業因總部統一要求或暫時未在中國境內建立數據中心等原因,而將在境內收集和產生的數據存儲于境外(如境外總部的數據中心或服務器位于境外的第三方云存儲平臺)。對于該等汽車企業,如其觸發上述境內存儲的要求,則應當盡快實現境內存儲。由于境內數據中心的搭建需要較長的建設周期和較大的成本投入,汽車企業應盡早進行規劃。


          • 限制境外遠程訪問


          如我們在上文中所提到的,汽車企業將境內收集和產生的數據存儲于境內,但向境外總部、關聯方、合作伙伴等(或其部分人員)開放遠程訪問權限仍將被認定為數據出境。因此,我們建議汽車企業秉持謹慎原則,除非確有必要,盡可能不對境外組織或個人開放訪問權限;如確需開放權限,也需注意限制境外接收方可訪問或調用的數據類型、范圍和數量,僅開放實現業務目的所必須的數據,盡可能避免觸發官方評估。


          • 測繪數據的出境


          如上文第一節步驟二所述,《汽車數據規定》已明確了汽車行業的五類重要數據類型(不含兜底項),但這些重要數據(特別是軍事管理區、國防科工單位等重要敏感區域的地理信息、車外視頻、圖像數據)可能在某些情形下同時構成測繪數據。例如,自動駕駛技術研發企業若使用GPS接收設備、高清攝像頭、車載傳感器、激光雷達等設備在公開道路上進行道路測試,收集車外實景影像等,則很可能被認定為從事測繪活動,從而需要額外遵守《中華人民共和國測繪法》《測繪成果管理條例》《測繪地理信息管理工作國家秘密范圍的規定》以及自然資源部發布的與測繪地理信息相關的其他規范性文件。對于涉密測繪成果以及部分非涉密測繪地理信息成果,汽車企業必須經過相關測繪地理信息主管部門批準方可向境外提供[28]。


          • 個人信息出境的告知同意


          汽車企業向境外提供境內收集和產生的個人信息時,需留意《個人信息保護法》中關于獲取個人信息主體單獨同意的特別要求。實踐中,如汽車企業作為數據處理者直接向個人信息主體收集信息,則有關數據出境獲取單獨同意的義務原則上需由汽車企業自行履行;如汽車企業從其他第三方數據處理者處接收個人信息,需分析判斷其在接收時的數據處理角色(如提供關系中的接收方,或委托處理關系中的受托方等),對其是否應履行獲取單獨同意義務進行事先判斷并做出安排。


          結語


          隨著《評估辦法》等數據出境規則的陸續頒布,目前我國數據出境的三種合規路徑已基本清晰。除個人信息外,汽車企業通??赡苓€會涉及重要數據這一敏感領域??紤]到汽車行業涉及的數據類型的多樣性和復雜性,我們建議汽車企業在充分梳理數據出境活動的基礎上對適用的出境路徑做出準確判斷,盡快啟動相關準備工作。如涉及官方評估,則應盡快做好申報準備,并在《評估辦法》規定的整改期限前就已發生的數據出境活動完成整改。


          本文來自金杜研究院,如有侵權聯系刪除

          服務熱線:400-811-3777
          Copyright ?2005-2020 杭州美創科技有限公司. All Rights Reserved. 浙公網安備 33010502006954號 浙ICP備12021012號-1 網站地圖
          国产成人福利在线视频播放下载
          <nav id="bml2z"><center id="bml2z"></center></nav>

        2. <progress id="bml2z"></progress>
        3. <xmp id="bml2z"><xmp id="bml2z">