文丨天元律师事务所 刘晓燕 王齐 李然 付文辉 张漫溪
随着数据经济的发展,数据跨境活动日益频繁,为规范数据出境活动,防范数据跨境安全风险,促进数字经济健康发展,2022年7月7日,国家互联网信息办公室公布了《数据出境安全评估办法》(下称“《评估办法》”)。《评估办法》进一步落实了《网络安全法》《数据安全法》《个人信息保护法》关于数据出境的有关规定,规定了数据出境安全评估的范围、条件和程序,为安全评估工作提供了具体指引。
车联网产业是汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业,是全球创新热点和未来发展制高点[1],智能网联汽车是车联网与智能车有机结合的新一代汽车,在运行过程中会产生并处理大量数据,并与其他终端进行数据交互,同时也涉及到大量个人信息的处理,相关数据一旦涉及出境的问题也将成为行政监管和企业合规的重点。因此,对于车联网企业而言,有关数据出境的问题也是实践中的热点和难点。本文旨在结合《评估办法》,对数据出境的有关问题进行解析:
一、 哪些主体需要关注数据出境安全评估?
根据《评估办法》第二条,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。由此可见,但凡涉及到数据出境活动的数据处理者,均需要关注是否要启动数据出境安全评估的问题,而如何识别哪些行为将纳入《评估办法》的数据出境场景,将是有关企业开展数据出境合规工作的前提。
根据国家互联网信息办公室有关负责人就《评估办法》答记者问,数据出境活动主要包括两类:
(1) 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(2) 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
实践中,除了前述提及的两大类数据出境活动外,如下情形也可能被理解为数据出境活动[2]:
(1) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
(2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3) 集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
此外,如下情形则可能不属于数据出境[3]:
(1) 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;
(2) 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
由此可见,《评估办法》划定的范围为我们明确了主管部门对于数据出境活动的识别标准,但实践中企业面临的问题或许更为复杂,数据出境活动可能更为隐蔽,需要结合具体的业务场景予以分析。
二、 哪些情形触发了数据出境安全评估义务?
在明确企业属于从事数据跨境活动的主体后,则需要进一步识别是否触发了数据出境安全评估义务。根据《评估办法》第四条,如下四种情形将触发数据出境安全评估义务,企业必须进行数据出境安全评估申报:
(1)数据处理者向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。
对于业务活动中涉及数据、个人信息体量较大或者较小的企业而言,可能均较为容易识别是否落入上述标准,但是对于部分介于二者之间的企业而言,如何识别则是难点。我们认为,实践中对于上述标准可能仍存在需要具体分析判断的诸多问题,例如:
1、 如何判断提供的是“重要数据”?
《评估办法》规定的“重要数据”,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。可见,《评估办法》对于“重要数据”采用的是定义而非列举的方式,对于各个行业而言,有待于行业监管部门以及有关主体进一步明确“重要数据”的划分标准。
对于车联网企业而言,“重要数据”的标准可能较其他行业更为严格,监管部门对于汽车行业的数据监管也尤为重视。目前可以参考《汽车数据安全管理若干规定(试行)》列举的“重要数据”标准,即:
(1) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(2) 车辆流量、物流等反映经济运行情况的数据;
(3) 汽车充电网的运行数据;
(4) 包含人脸信息、车牌信息等的车外视频、图像数据;
(5) 涉及个人信息主体超过10万人的个人信息;
(6) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
需要特别说明的是,《汽车数据安全管理若干规定(试行)》规范的汽车数据既包括传统汽车数据也包括智能网联汽车数据,且“重要数据”识别标准的第(6)项亦为兜底条款。基于智能网联汽车的产品特性,我们理解,实践中主管机关可能根据规定对智能网联汽车所涉及的重要数据作出更有针对性的具体认定。
2、 如何对“个人信息”进行统计?
根据《评估办法》,如果处理100万人以上个人信息,或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息,则纳入应当安全评估的范围,可见,《评估办法》系按照人数来统计和计算“个人信息”,但实践中可能涉及的问题更加复杂。例如,同一企业对外提供同一个人的个人信息,如涉及到不同的业务场景中均进行了提供,或者向不同的境外接收方提供了相同的信息,是否需要“去重”?数据处理和出境活动本身具有动态性、持续性,自上年1月1日起累计计算的标准,如果在上年1月1日前已经出境的信息、但有关数据仍在境外处理中,是否也需要纳入考虑?我们理解,《评估办法》将于9月1日起正式实施,网信办部门届时可能会对实践中的具体操作问题作出更进一步细化的规则。
三、 数据出境安全评估的具体流程
根据《评估办法》,数据出境安全评估的具体流程如下图所示:
1、 何时申报评估?
(1)2022年9月1日起,对于符合规定情形的数据出境活动,应当进行数据出境安全评估。数据出境安全评估应坚持事前评估和持续监督相结合、风险自评估与安全评估相结合。在数据出境活动发生前应当完成数据出境风险自评估和申报数据出境安全评估,完成数据出境的安全评估申报且通过安全评估后,方可开展数据出境活动;
(2)2022年9月1日前已经出境的数据,且仍在境外进行数据处理活动,或仍在持续发生数据出境活动,则应当在2023年2月28日前完成数据出境安全评估工作,即通常所说的六个月“整改期”。
2、 汽车数据出境的特殊要求和监管政策展望
尽管我国目前正迈入全球汽车智能网联化发展的前列,数据安全和跨境流动的基本法律框架也在逐步建立,但智能网联汽车行业的相关标准(包括智能网联汽车数据出境的具体要求)仍有待进一步明确和细化。
为指导相关标准研制,工信部于2022年2月颁布了《车联网网络安全和数据安全标准体系建设指南》,提出到2023年底初步构建起车联网网络安全和数据安全标准体系,完成50项以上急需标准的研制,到2025年形成较为完善的车联网网络安全和数据安全标准体系,完成100项以上标准的研制的建设目标。其中数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准。目前,《车联网数据跨境流动安全管理要求》《车联网数据跨境流动安全评估规范》等标准仍在待制定过程中,相信未来会针对车联网数据出境的规范要求有更为明确的行业指南。
全国信息安全标准化技术委员会此前发布了国家标准《信息安全技术 汽车采集数据的安全要求》(征求意见稿),其中,关于数据出境的要求如下:7.1.车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估。7.2汽车制造商应为主管监管部门开展数据出境情况的抽查工作提供技术手段,包括传输的数据格式、便于读取的数据展示方式等。
可见,对于车外数据[4]等可能涉及到车外的人脸、车牌等个人信息以及地理信息、人员流量、车辆流量等重要数据的处理,以及对于座舱数据[5]、位置轨迹数据[6]等可能涉及到个人信息甚至个人敏感信息的处理,需要尤为关注数据能否出境的问题,有关数据有可能被纳入禁止出境或限制出境的范围,而对于业务活动相关的、有出境必要的运行数据[7],其在出境前也应当关注能否通过数据出境安全评估的问题。
(关于智能网联汽车数据出境实务要点的其他内容,请关注本文下篇)
注释:
[1]《国家车联网产业标准体系建设指南(车辆智能管理)》,2020年4月。
[2]《信息安全技术 数据出境安全评估指南》(征求意见稿),2017年8月25日。
[3]同上。
[4]车外数据:通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据。
[5]座舱数据:通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据。座舱数据可能包含驾驶员和乘的人脸、声纹指心律等敏感个信息。
[6]位置轨迹数据:基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据。
[7]运行数据:通过车速传感器、温度传感器、轴转速传感器、压力传感器等从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据。
