汽车行业数据合规要点(上篇)
出版物 | April 2022
2021年10月1日起,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布的《汽车数据安全管理若干规定(试行)》(以下简称“《汽车数安规定》”)开始正式施行,从其5月12日所发布的征求意见稿至落地实施仅历经四个多月的时间,一定程度上体现了其重要和被重视程度。目前,在数据保护基本法律框架(例如《个人信息保护法》(“《个保法》”)、《网络安全法》(“《网安法》”)以及《数据安全法》(“《数安法》”)下,《汽车数安规定》是我国首个针对汽车行业数据保护的部门规章,对于汽车行业落地上位法律要求以及落实汽车数据针对性要求将具有重要意义。
《汽车数安规定》首次提出了“汽车数据”的概念,指汽车设计、生产、销售、使用、运维等过程中所涉及的个人信息数据和重要数据,提出汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,囊括了汽车数据处理的全生命周期。其进一步明确了汽车行业的个人信息数据和重要数据范围,重申了数据本地化和出境的要求,以及汽车行业数据处理原则和个人信息保护规则,同时规范了处理重要数据的具体制度,包括风险评估报告制度、出境安全评估制度、抽查核验制度、年度报告制度、以及年度补充报告制度。
2021年底至2022年初,在上述具体要求中,汽车行业企业最为关注的合规问题之一当属年度汽车数据安全管理报告制度1 。但由于《汽车数安规定》发布及实施时间已接近年末,且2021年度并未另行出台面向全国的细化报送标准。单就该报送义务的实施情况来看,截止本文发布之前,已有河北省、天津市、广东省、湖南省、上海市以及江苏省六省市网信办,先后发布了报送2021年度汽车数据安全管理情况的相关通知(以下简称为“六省市通知”)。值得注意的是,基于对《汽车数安规定》的理解和执法的要求,江苏省网信办和上海市网信办在通知中分别公布了适用于本省/市的《2021年度汽车数据安全管理情况报告》填写模板(以下分别简称为《江苏模板》和《上海模板》),上述模板在《汽车数安规定》第十三条报送内容2 的基础上,结合《汽车数安规定》中所确立的原则及要求,对汽车数据处理者的报送义务以及合规要点进行了或细化或延展的规定。
我们将在《个保法》以及《数安法》等法律法规的基础上,以《汽车数安规定》为标准,结合《江苏模板》与《上海模板》中对2021年汽车数据安全管理情况报送义务的要点等,为相关企业制定数据合规要点和落实企业内部合规管控提供参考。
本文将分为上中下三篇进行系列连载,上篇聚焦于《汽车数安规定》、《江苏模板》和《上海模板》三者对于重要数据的规定和处理要求,中篇聚焦于三者对个人信息保护的细化规定,下篇聚焦于三者对汽车数据处理者年度报送义务的规定与企业合规其他要点。
要点一:汽车数据中的重要数据
重要数据的具体范围一直处于有待明确的状态,虽然上位法律提供了重要数据的概括性定义,但重要数据的识别对于不同行业的企业仍是一项富有挑战性但又急待落实的工作。《数安法》第二十一条3 规定对数据实行分级分类保护,由“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。在此背景下,《汽车数安规定》中确立的几项具体制度触发条件明确仅针对开展重要数据处理活动的汽车数据处理者,并在汽车这一特定行业内明确了重要数据的具体范围,这是重要数据的范围首次在具有强制性法律效力的规章中得到的较为明确的界定。因此,重要数据的认定以及企业处理活动所涉及的数据是否落入该范围理应成为各家汽车行业企业的首要关注点。未来,更多行业可能通过政府主导模式引导企业识别重要数据。
依据《汽车数安规定》第三条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二) 车辆流量、物流等反映经济运行情况的数据;
(三) 汽车充电网的运行数据;
(四) 包含人脸信息、车牌信息等的车外视频、图像数据;
(五) 涉及个人信息主体超过10万人的个人信息;
(六) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
以上针对汽车行业重要数据的列举项并未完全穷尽,汽车数据处理者仍需密切关注任何可能引起类似危害影响的汽车数据并持续关注与重要数据相关的后续规定及指引,及时完善和更新企业内部的重要数据识别和保护体系。
值得注意的是,《汽车数安规定》未将个人信息与重要数据完全割裂区分,在部门规章层面明晰了达到一定规模的个人信息也可能构成重要数据。此前重要数据和个人信息的关系一直相对模糊,于2019年发布的《数据安全管理办法(征求意见稿)》4 曾尝试定义重要数据,并规定重要数据一般不包括企业生产经营和内部管理信息、个人信息等。于2022年初更新发布的《信息安全技术 重要数据识别指南(征求意见稿)》5 最新文稿中亦体现相似观点,提及重要数据不包括个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。此次《汽车数安规定》以概括列举的形式赋予汽车行业重要数据的定义,可以初步明确个人信息极有可能因其敏感程度(包含人脸信息的图像数据)或量级程度(涉及个人信息主体超过10万人的个人信息)所产生的危害影响而被认定为重要数据。这可能对于相关企业的数据合规将提出更高要求,上述这部分数据应同时合规《个保法》以及《数安法》的相关规定,需要开展重要数据与个人信息数据的协同保护与制度配合。
从实际填写要求来看,以《江苏模板》为例,开展重要数据处理活动的汽车数据处理者,不仅需要提供企业内部的数据分级分类方法,个人信息、敏感个人信息和重要数据的界定标准,并且需要上报如下重要数据情况,包括人脸、指纹、声纹的座舱数据,以及个人信息主体超过10万人的个人信息数据。
要点二:重要数据处理情况的风险评估及报送义务
《数安法》要求重要数据处理者按规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。在此基础上,《汽车数安规定》细化了汽车数据处理者的评估报告义务,将汽车数据处理者的报送义务分成了两部分,即第十条所规定的开展重要数据处理活动的汽车数据处理者自评估的风险评估报告义务,以及第十三条和第十四条6 所规定的年度报送义务及向境外提供重要数据的补充报告。
汽车数据处理者自评估风险报告义务要求开展重要数据处理活动的汽车数据处理者,按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括该处理者所处理的重要数据种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等方面。作为一项法定义务,所有处理汽车数据的企业都应及时开始自评估及建立自评估体系,并报送风险评估报告。
汽车数据处理者自评估风险报告义务要求开展重要数据处理活动的汽车数据处理者,按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括该处理者所处理的重要数据种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等方面。作为一项法定义务,所有处理汽车数据的企业都应及时开始自评估及建立自评估体系,并报送风险评估报告。
对于年度报送义务,《汽车数安规定》并未明确较为具体的报送内容以及具体的报送流程,法律法规层面也尚无标准性可参考的文件,但在《江苏模板》和《上海模板》及未来可能出现的地方性申报要求文件或模板中,企业可以预见某些合规要点。
首先需要各企业注意的是,《汽车数安规定》触发年度报送义务的关键前提条件是开展重要数据处理活动,但此点并未在目前已发布的六省市通知中有所体现,例如上海市网信办发布的通知中所提及的报送主体是注册地为上海的汽车数据处理者。针对各省市的报送主体范围,我们将在后续文章中进一步介绍。
根据发布的《江苏模板》,汽车数据处理者应从以下七方面分别申报企业情况:
- 企业实体和组织结构情况,包括:企业基本情况、主营业务和数据业务情况、分支机构和运营架构情况、股权结构情况和组织架构情况;
- 数据管理情况,包括:年度数据基本情况、企业数据安全管理制度及执行情况、数据安全防护措施及有效性、数据安全教育培训、对数据接收方及服务商的监督和约束机制、境外数据接收方的基本情况和数据提供情况;
- 数据平台情况,包括:数据保存地点和数据保存期限、数据中心、数据资产规模情况;
- 数据处理情况,包括:处理汽车数据的种类、处理汽车数据的规模、处理各类数据的目的和必要性、处理个人信息时取得用户同意的情况、数据删除情况;
- 数据安全风险和处置措施;
- 数据安全事件及其处置情况;
- 数据安全相关的投诉及处理情况。
针对年度报送义务,《江苏模板》较为侧重汽车数据处理者企业内部的详细情况,要求企业提供股权结构、是否上市或计划上市、以及境外接收方的详细信息等。相较而言,《上海模板》更侧重于要求汽车数据处理者提供其所处理的数据在各环节中的具体情况,该模板在《汽车数安规定》第十三条所规定的基础报送内容上,额外要求汽车数据处理者从七大数据类型的不同处理环节角度出发报送相应情况,具体包括:车外视频图像、车外雷达、汽车行踪轨迹、车内视频图像、车内音频、生物识别特征信息及其他个人信息这七大数据类型项下,从数据的收集、存储、使用、加工、传输、提供以及公开的全处理生命周期角度报送相关情况,报送要求极为细致,在关注汽车数据处理的目的及必要性的同时,特别侧重数据的安全保护及防护措施(脱敏、加密、降低精度、数据分类分级、匿名化、去标识化等)。
未来各省市网信办可能会逐步出台细化规定及申报模板对汽车数据处理者年度报送义务进行进一步规制,汽车数据处理企业应及时落地相应的合规措施并完成报送要求,这势必将成为汽车行业企业未来数据合规调整方向的重中之重。
要点三:重要数据本地化存储以及出境问题
《汽车数安规定》再次强调了《网安法》以及《数安法》等法律法规对于本地化存储以及对重要数据出境的限制性规定7,即重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。而汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。
对于未来数据出境相关的安全评估要求,请见本团队之前发布的文章《向中国境外提供数据:新规草案明确企业数据出境安全评估要点》。
关于数据出境,《汽车数安规定》第十四条明确,向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的的年度报送义务基础上补充报告如下内容:
- 接收者的基本情况;
- 出境汽车数据的种类、规模、目的和必要性;
- 汽车数据在境外的保存地点、期限、范围和方式;
- 涉及向境外提供汽车数据的用户投诉和处理情况;
- 国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。
对于补充报告方式,《上海模板》要求涉及数据出境的汽车数据处理者需附页或增加数据出境情况补充报告附件以进行补充报告。而《江苏模板》则是将“出境”相关的情况直接通过模板表格供处理者填选报送。
汽车数据处理者应严格落实重要数据本地化要求。在数据出境的场景下,相关企业应结合自身数据处理特性和内部合规体系对于数据出境场景进行系统性梳理、评估数据出境必要性,并完善内部合规流程以满足年度报送及未来的数据出境安全评估等合规要求。
要点四:《汽车数安规定》四项处理原则
针对汽车数据处理者在开展数据处理活动,《汽车数安规定》第十六条提出了四项原则,包括车内处理原则、默认不收集原则、精度范围适用原则以及脱敏处理原则。以《上海模板》为例,这四项原则在收集汽车数据处理者七大处理数据类型项下均有具体体现。
- 车内处理原则:要求汽车数据处理者除非确有必要,否则不向车外提供。在《上海模板》中,对于七大数据类型在数据收集环节中的数据存储,均问及数据是否在车内储存、数据是否需要向车外提供、接收方身份、向车外提供的方式和频率,以及向车外提供后车内是否存储等问题;
- 默认不收集原则:要求除非驾驶人自主设定,否则每次驾驶时默认设定为不收集状态。《上海模板》亦要求汽车数据处理者提供数据收集前用户授权的方式, 如“一次性”或“每次提供数据前”;
- 精度范围适用原则:要求汽车数据处理者根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。在《上海模板》中,汽车数据处理者应在七大数据类型(如涉及)项下的不同情景下提供具体的参数、精度等数据;
- 脱敏处理原则:要求汽车数据处理者尽可能进行匿名化、去标识化等处理。该项原则在《上海模板》中被多次适用,应重点关注。例如数据收集环节中是否对原视频数据脱敏,《上海模板》要求汽车数据处理者提供是否在拍摄的同时进行脱敏、向外传输时脱敏、传输到云平台后立即脱敏、传输到云平台后择机脱敏以及所使用的脱敏技术等。在数据使用环节中,汽车数据处理者应提供是否对个人信息进行匿名化处理、匿名化处理的有效性、匿名化处理的措施和技术等以及对重要数据的脱敏情况的说明。
对于上述四项处理原则,汽车数据处理者应根据现有《汽车数安规定》和各省市通知中相关问题的指引,落实和开展日常企业数据合规工作。
本期文章为系列连载文章的上篇,我们会陆续推出中篇和下篇,进一步讨论个人信息保护在汽车行业的细化规定以及汽车数据处理者年度报送义务与企业数据合规的其他要点,敬请期待!
孙宇莉亦对本文有贡献。