文丨天元律师事务所 刘晓燕 王齐 李然 付文辉 张漫溪
在本文上篇中,我们对于汽车数据出境涉及的主体、触发安全评估的情形、安全评估的具体流程等问题进行了解析,在下篇中,我们将继续探讨数据/个人信息的几类评估机制,并对智能网联汽车数据出境的实务问题进行介绍:
一、 数种评估机制:数据出境风险自评估、数据出境安全评估、个人信息保护影响评估、汽车重要数据处理活动的风险评估
根据《数据出境安全评估办法》(简称《评估办法》)以及《个人信息保护法》,有关评估制度涉及到数据出境风险自评估、数据出境安全评估、个人信息保护影响评估这几类,如何理解和区别不同的评估要求,如何衔接有关评估机制值得关注。
1、 数据出境风险自评估
自评估系数据出境安全评估的重要前置程序
此项评估系由企业自行启动和进行,根据《评估办法》,如企业申报数据出境安全评估,需要提交数据出境风险自评估报告,因此,数据出境风险自评估是数据出境安全评估的一项前置程序。对于数据出境的企业而言,数据出境风险自评估的重要性不言而喻,可谓是数据安全评估工作的重中之重,尤其是网信部门在进行数据出境安全评估时,囿于评估工作量巨大,可能难以针对各家企业一一前往现场调查,而高质量的数据出境风险自评估报告,对于企业顺利通过数据出境安全评估尤为重要。
2022年8月31日,国家互联网信息办公室发布了《数据出境安全评估申报指南(第一版)》(“《申报指南》”),对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。其中要求企业承诺自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。因此,申报主体需要注意自评估完成的时限,以及后续及时启动安全评估申报,注意二者的有序衔接。
自评估的内容及自评估报告
根据《评估办法》,自评估需要重点评估以下事项:
(1)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(2)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(3)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(4)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(5)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(法律文件)是否充分约定了数据安全保护责任义务;
(6)其他可能影响数据出境安全的事项。
根据《申报指南》提供的《数据出境风险自评估报告(模板)》,数据处理者可以从如下几方面完成自评估报告:
(1) 自评估工作简述:介绍自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
(2) 出境活动整体情况,包括但不限于:(a)数据处理者基本情况;(b)数据出境涉及业务和信息系统情况;(c)拟出境数据情况;(d)数据处理者数据安全保障能力情况;(e)境外接收方情况;(f)法律文件约定数据安全保护责任义务的情况;(g)数据处理者认为需要说明的其他情况。
(3) 拟出境活动的风险评估情况。
(4) 出境活动风险自评估结论。
2、 数据出境安全评估
此项评估系由企业申报,通过省级网信部门报送国家网信部门进行审查。相较于企业自评估主要站在企业角度进行评估,数据出境安全评估则是从监管部门角度重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,评估重点主要包括以下事项:
(1)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(2)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(3)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(4)数据安全和个人信息权益是否能够得到充分有效保障;
(5)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(6)遵守中国法律、行政法规、部门规章情况;
(7)国家网信部门认为需要评估的其他事项。
需要注意的是,其中第(2)项评估的角度与自评估尤为不同,网信部门将对境外接收方所在国家或者地区的数据安全保护政策法规、网络安全环境对出境数据安全的影响进行评估,此时,企业或网信部门或需要境外机构或律师对此提供专业意见。
3、 个人信息保护影响评估
根据《个人信息保护法》,如下情形需要事先进行个人信息保护影响评估:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人权益有重大影响的个人信息处理活动。因此,如向境外提供个人信息,也需要企业自身进行个人信息保护影响评估,并且个人信息保护影响评估报告和处理情况记录应当至少保存三年。
个人信息保护影响评估应当包括下列内容:
(1)个人信息的处理目的、处理方式等是否合法、正当、必要;
(2)对个人权益的影响及安全风险;
(3)所采取的保护措施是否合法、有效并与风险程度相适应。
4、 汽车重要数据处理活动的风险评估义务及年度报告义务
除了上述三类评估外,汽车行业还需要关注汽车重要数据处理活动的风险评估及年度报告义务。
根据《汽车数据安全管理若干规定(试行)》第十条,“汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。”
此外,汽车数据处理者开展重要数据处理活动,应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况,其中如涉及到向境外提供重要数据,还应当补充报告有关情况。
二、 智能网联汽车企业如何识别和衔接有关评估机制?
1、 数种评估机制的区别与衔接
(1) 从实施主体角度,数据出境风险自评估、个人信息保护影响评估、汽车重要数据处理活动的风险评估系企业自行发起的评估流程,数据出境安全评估则是国家主管部门对于企业数据出境安全活动所作的评估审查,有关评估机制的实施主体存在区别。
(2) 从评估关注的重点来看,数据出境风险自评估、数据出境安全评估关注的是数据及个人信息出境的风险(即数据出境问题),侧重于数据出境而给国家安全、社会公共利益、个人信息保护造成的影响,而个人信息保护影响评估关注的是数据处理活动对个人信息的影响(即个人信息处理的问题),汽车重要数据处理活动的风险评估旨在对于汽车行业所涉及的重要数据的处理进行风险评估和管理,更加体现行业监管的特性。
(3) 从有关评估机制的目标和评估方法来看,几种评估机制有一定的交叉重合之处,但是关注重点不同,故从流程和内容上或可交互借鉴。在实践中,从企业的角度,可以考虑将数据出境风险自评估、个人信息保护影响评估、汽车重要数据处理活动的风险评估合并同步进行,无论从流程还是评估方法上均可以交叉进行,但最终出具评估报告时的评估内容将有所区别、各有侧重。上述评估可以由企业自行组建专门的工作组完成,也可以聘请第三方机构来协助进行。经过上述评估流程后,如涉及到数据出境且触发安全评估义务的,则进一步向网信部门申报数据出境安全评估,根据评估结果再依法开展数据出境活动。
2、 汽车数据出境情境下如何识别需要进行的评估机制?
对于汽车企业而言,如其汽车数据涉及到出境问题,则有可能需要开展上述评估程序。我们理解,首先,需要区分所涉及的汽车数据,例如从个人信息、非个人信息等角度对于汽车数据进行区分;其次,对于分类后的信息,则需要进一步根据数据/信息的敏感程度、重要程度予以区分;最后,对于不同的数据,达到某一标准后,可能需要开展相应的评估程序。对此,我们的详细梳理见下表:
三、 对于智能网联汽车企业数据出境活动的合规建议
1、 汽车数据的分级分类及等级保护
从数据合规的角度,任何一个行业及企业首先均需要关注数据分级分类的问题,识别数据是数据跨境流动工作开展的前提。尤其对于汽车行业而言,目前汽车行业的监管重点为重要数据、个人信息,企业首先应当建立数据资产管理台账,识别出不同类型、等级的数据,对于不同的数据实行相应级别的保护,进行企业内部的数据管理制度的建设。
需要注意的是,汽车领域数据暂无国家或者行业层面统一的数据分级分类适用标准和方法,我们可以协助客户根据国家互联网信息办公室等五部委出台的《汽车数据安全管理若干规定(试行)》中关于“重要数据”、“个人信息”、“敏感个人信息”的定义和范围,并参考有关行业标准,如目前已发布的《车联网信息服务 数据安全技术要求》(YD/T 3751-2020)、《车联网信息服务 用户个人信息保护要求》(YD/T 3746-2020)等,区分不同类型的汽车企业(如汽车厂商、零部件供应商、第三方供应商、车联网服务提供商、4S店、维修厂等),结合不同汽车企业的具体业务场景以及数据全生命周期,对有关汽车数据进行分级分类管理。
2、 重要数据的本地化存储
智能网联汽车是车联网与智能车有机结合的新一代汽车,在运行过程中会产生并处理大量数据,并与其他终端进行数据交互,同时也涉及到大量个人信息的处理,因此,汽车数据更容易涉及到国家安全、社会公共利益、个人信息保护的问题,对国家及行业有重要战略性价值。根据《汽车数据安全管理若干规定(试行)》第十一条,“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外”,汽车数据(尤其是重要数据)应当注意本地化存储,以确保数据的安全可控。
目前多家知名车企已经建立或者宣布将陆续在中国境内成立数据处理中心,汽车数据本地化存储已成为重要趋势,也是监管的必然要求。除了本地化存储外,对于大型跨国车企集团而言,即便数据存储在中国境内,集团内部的数据处理活动也不排除被认定为数据出境的风险,需要建立相关的企业数据管理制度并遵守数据跨境的监管要求。
3、 汽车数据处理活动需要充分评估
如前所述,汽车数据处理者需要关注到多种评估机制,对于重要数据处理活动需要定期开展风险评估,对于个人信息的处理活动需要开展个人信息保护影响评估,对于涉及出境的数据则需要尽早进行自评估,符合有关条件的还需要进行数据出境安全评估。由于涉及到繁多的评估程序,汽车企业可以在外部律师的协助下或自行建立专门的工作小组,例如由业务部门、法务部门、信息安全部门、第三方机构等人员组成工作小组,落实数据安全管理负责人、个人信息保护负责人的职责范围,针对汽车企业的不同业务场景,定期、动态开展有关评估工作,注意工作记录的保存,并将各类评估程序和流程有机结合起来,全面落实各项监管和合规要求,为后期各项评估报告的起草做准备。汽车数据相关评估工作比较繁杂,且不可避免涉及到与相关主管部门就相关评估标准进行沟通对接,建议客户对内可整合各部门资源,对外可聘请专业律师团队,以效、顺利完成评估工作,满足主管部门对数据安全、数据出境的监管要求。
相关链接:智能网联汽车数据出境实务要点解析(上篇)——结合《数据出境安全评估办法》
注释:
[1]本表格仅从规范角度对于需要开展的评估程序进行梳理,仅作为参考,是否有必要开展有关评估程序,需要结合所涉及的数据类型、重要或敏感程度、是否出境等因素进一步分析判断。
[2]根据《汽车数据安全管理若干规定(试行)》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
参考《车联网信息服务 用户个人信息保护要求》(YD/T 3746-2020),车联网信息服务用户个人信息细分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关信息三大类。其中,用户身份证明类信息是指车联网信息服务活动过程中与用户自然人身份和标识信息、用户虚拟身份和鉴权信息密切相关的用户个人信息。车联网信息服务用户数据和服务内容信息主要指车联网信息服务过程中用户服务内容信息和用户资料信息,用户服务内容信息包括驾驶及行车安全服务信息、生活服务信息、交通出行管理服务信息、交通出行管理服务信息、涉车服务信息、行业营运服务信息,用户资料信息涉及联系人信息、用户私有资料数据和信息服务内容衍生信息等。用户服务相关信息是指车联网信息服务过程中用户服务使用信息、用户车辆基本标识信息和用户设备、系统和平台信息。
[3]根据《汽车数据安全管理若干规定(试行)》,敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
参考《车联网信息服务 用户个人信息保护要求》(YD/T 3746-2020),用户个人敏感信息包括用户身份证明、用户生理标识、车联网交易类信息服务身份标识和鉴权信息等信息。
[4]超过10万人的个人信息属于汽车重要数据,需要进行汽车重要数据处理风险评估。
[5]自上年1月1日起累计向境外提供10万人个人信息,此种情形需要进行数据出境安全评估。
[6]参考《车联网信息服务 数据安全技术要求》(YD/T 3751-2020),车联网信息服务相关的数据基于其属性或特征,按照数据主题进行分类,可以分为六大类:基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据和用户个人信息。
[7]根据《汽车数据安全管理若干规定(试行)》,重要数据包括:(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(2)车辆流量、物流等反映经济运行情况的数据;(3)汽车充电网的运行数据;(4)包含人脸信息、车牌信息等的车外视频、图像数据;(5)涉及个人信息主体超过10万人的个人信息;(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
*特别声明:
本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助。
- 相关领域
- 汽车