出行行业数据监管再讨论

以网约车、共享单车、同城货运和共享汽车等为代表的移动出行服务已逐渐改变了自福特时代开始构建的“私家车”+“公共交通”出行模式。而智能网联汽车和自动驾驶技术的发展, 必然会对传统出行模式造成更进一步的冲击。但无论是基于互联网平台的移动出行服务提供商, 还是基于智联网联产业的汽车新贵, 其迅速崛起的奥秘似乎都关乎“数据”: 这一点, 可以从一系列基于高精地图、用户画像、行踪数据、车辆行驶数据等以数据采集和应用为基础而构建的各类出行服务屡获成功得以证明。

中国政府长期以来高度重视数据安全, 因此也理所当然地将移动出行平台和智能网联汽车企业的数据安全问题纳入监管视野, 这也是近期出行巨头在证券市场频遭挑战的重要原因。纵然如此, 但我们发现仍然有大量出行行业的企业对于其所肩负的数据安全义务存在疑惑, 因此我们通过下图梳理了主要的出行企业的数据安全要求: 

近乎所有的出行行业上下游的企业, 依据其业务形态, 在不同的阶段都可能需要满足不同的数据合规义务。因此, 无论是为了满足政府部门的监管期待, 还是为了符合对出行行业投资者的合规承诺, 亦或是为了在公开证券市场上获得投资者的支持, 出行行业相关企业都有必要了解其适用的数据合规义务, 并以适当的成本满足适用合规要求, 以减少因为合规问题导致的经营风险。从某种角度而言, 这既是对企业内部治理的新增要求, 也是对外部顾问行业智慧的考验。

个人信息和重要数据都是数据安全领域的监管对象, 但在出行行业则更加具有行业特征。

在出行行业, 中国政府通过《个人信息保护法》、《数据安全法》和《汽车数据安全管理若干规定(试行)》(“《汽车数据规定》”),已经初步构建了以“个人信息”和以“重要数据”为主的两大数据治理条线。前者, 保护个人主体的私有利益, 主要是为了防止企业在经营过程中滥用个人数据导致对于个人信息主体的侵害, 更进一步则是防止扰乱社会秩序; 而后者, 维护的是国家安全和社会、经济安全的秩序, 沿袭地是过往中国政府对于“保密信息”的管理思路, 因此未来的法律规定必然将参照保密法律体系, “分行业”“分类别”进行制定。

但无论对于“个人信息”还是“重要数据”, 都存在着明显的行业特性问题, 仍待监管部门澄清。

首先, 是出行行业的“个人信息”的认定范围。现有的《个人信息保护法》和《信息技术安全 - 个人信息安全规范》在列举个人信息的范围时, 都带有明显的“互联网”特征: 即, 对于个人信息(包括敏感个人信息)的列举和认定, 都以互联网服务和App服务中涉及到的数据作为“蓝本”; 而对于其他行业的个人信息认定, 则尚未能给与进一步的指导。但在出行行业, 不同于网络设备和单一“个人主体”的强“耦合性”, 出行行业的数据核心来源“机动车”, 则明显没有类似的匹配特征。以机动识别代号(VIN码)为例, VIN码是否属于“个人信息”已经引发了司法和实务界的广泛争论。而是否将VIN码(以及和VIN码类似的车辆信息)认定为“个人信息”, 实际上对整车制造企业和维修企业履行个人信息合规义务产生重大的影响(尤其是考虑到大量VIN码可能是在境外直接生成)。

其次, 是对于“敏感个人信息”处理要求的落地方式。《个人信息保护法》对于敏感个人信息的处理提出了“充分必要”“额外告知”“严格保护”“单独同意”和“影响评估”五项要求, 而《汽车数据规定》则进一步细化了处理敏感个人信息的落地要求: 比如, 将“处理目的”限定于“直接服务于个人的目的”(例如安全、智能驾驶、导航), 明确出行场景下处理敏感个人信息的“额外告知”内容, 以及将“收集敏感个人信息”的权限控制权交由个人支配的要求。虽然《汽车数据规定》给出了特定的标准, 但无论是对“充分必要”的判断、还是满足“单独同意”的标准, 目前监管部门尚未给与明确的、可供参考的指南, 因此对于出行行业的数据处理者(尤其是在无法直接与消费者建立联系的情况下)的合规任务而言, 增加了不确定性。

第三, 是重要数据的界定范围。《汽车数据规定》对“重要数据”的范围的界定具有重要参考价值。由于“重要数据”主要牵涉到国家安全和公共利益(这也是中国的保密法律体系在数字化时代的反映), 因此《汽车数据规定》特将“军工类区域信息”“出行流量数据”“充电网运行数据”“车外数据”和“超过10万人的个人信息”等纳入到“重要数据”的规定范围内。对照上述定义, 在最近的几次监管部门主导的汽车行业自查中, 工信部等要求企业自行确认是否处理“重要数据”, 并要求汽车企业自行提交与数据管理制度建设、数据资产管理、数据安全风险评估制度等的实施情况。但实际上, 除了“超过10万人的个人信息”边界相对清晰, 其他类别的“重要数据”的具体范围仍然没有统一或者具体的标准, 这也导致企业在进行自查和申报存在疑惑。

最后, 是监管汇报。《数据安全法》和《汽车数据规定》都规定了“重要数据”的评估报送义务, 但是具体如何落实和向谁落实该等报送义务则依然没有确定。不过我们注意到, 行业主管部门和地方网信部门都在积极推动相关制度的落实, 例如: 2021年9月工信部发布的《关于加强车联网网络安全和数据安全工作的通知》中说明, 智能网联汽车生产企业、车联网服务平台运营企业向境外传输重要数据的, 应当向省级通管局或者工信主管部门报备; 而2021年12月10日天津网信办则要求天津市的汽车数据处理者开展重要数据处理活动的, 应当向天津市网信办和有关部门报送2021年年度的汽车数据安全管理情况。可见, 地方政府和行业主管部门都在尝试如何落实出行行业的“重要数据”报备制度, 出行行业企业有必要依据自身所在的区域和所从事的业务领域判断向谁以及如何能够履行相关的评估报送义务。

除了本文在之前提到的《网络安全法》《数据安全法》和《个人信息保护法》的要求, 不同于其他行业的企业, 出行行业的企业由于用户数量大、对个人人身安全权益影响高, 同时出行行业中产生和收集的数据也与国家安全和社会经济利益密切相关, 因此相比于其他行业, 亦更有可能受制于某些特殊的监管制度。

1. 关键信息基础设施保护制度

2021年9月1日生效的《关键信息基础设施安全保护条例》对中国境内的“关键信息基础设施”运营者提出了全方位的安全保护要求, 这一点我们已经过往的“《关键信息基础设施安全保护条例》企业合规速览”和“《关键信息基础设施安全保护条例》与企业上市合规”中进行过论述。

而以“车-路-人-云”相融为愿景的车联网时代, 大量的出行服务平台亦承担着维护社会经济正常运行和保护人员人身安全的重要责任, 因此相比于一般的企业, 更有可能被认定为属于“关键信息基础设施”运营者。因此无论是传统的公共交通网络运营者, 还是互联网时代的出行服务平台, 我们都建议和监管部门保持顺畅的沟通渠道, 以便了解其运营和管理的信息系统是否属于“关键信息基础设施”, 并着手了解“关键信息基础设施”的特殊保护要求, 以应对未来可能的监管执法。

2. 网络安全审查制度

虽然《网络安全审查办法》已经生效, 但是网信办公开说明开展网络安全审查的企业仅有四家, 但其中的三家企业是互联网出行平台。因此, 对于出行行业的企业而言, “网络安全审查”制度并不是“束之高阁”的陈文旧规, 而是可能实实在在影响企业日常经营的合规制度, 不得不引起重视。尤其是具有在海外上市意愿的出行企业, 在正式启动上市程序之前, 如果未能考虑到网络安全审查制度的适用问题, 则很可能会对上市程序和上市后的股价产生严重的影响, 最终甚至可能面临强制退市的政治风险。关于网络安全审查制度的分析, 请见我们过往针对网络安全审查系列的相关文章“网络安全审查与赴港上市新思路”以及“见微知萌-从滴滴出行案谈网络安全审查制度”。

3. 智能网联汽车的特殊监管

由于政府支持、技术发展和环保需求等各方因素, 以“新能源”“自动驾驶”等新兴技术为代表的智能网联汽车产业已经异军突起。不过, 由于和传统的燃油车差异巨大, 如何监管以“数据”为驱动的智能网联汽车, 同时保证其安全性、可靠性和稳定性, 监管部门仍然在进行探索之中。工信部在2021年发布的包括《智能网联汽车道路测试与示范应用管理规范(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》和《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》在内的法律法规, 实际上已经建立了“制造”“测试”“运营”“安全管理”和“事后追责”的初步监管框架(以及针对实名认证和OTA等特殊问题的监管要求), 且每一个阶段监管部门都设定了不同的数据安全合规义务, 值得引起智能网联汽车产业从业者的重视。

注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。

作者:

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！