关于《汽车数据安全管理若干规定(试行)》的十个重要问题的理解
欢迎点击上方 TMT法律论坛 关注我们
2021年8月20日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”),自2021年10月1日起施行。本《若干规定》作为我国首个汽车行业数据安全方面的规章制度,以《网络安全法》、《数据安全法》等法律法规为上位法,开启了我国汽车数据安全强监管时代。
01
关于《若干规定》的性质
在《若干规定》征求意见阶段,尚未明确其文件性质和效力位阶。《若干规定》以《网络安全法》、《数据安全法》等法律法规为上位法,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合以首长令的形式发布,说明其属于部门规章,是我国《立法法》规定的正式立法渊源之一,效力高于部门发布的规范性文件。
02
《若干规定》的适用范围
与《数据安全法》一致,《若干规定》采用了属地管辖原则,即适用于所有在境内开展的汽车数据处理活动。因此,不论处理者的机构性质,如汽车数据处理活动发生在境内的,均应当遵循《若干规定》的要求。
《若干规定》的监管对象是汽车全产业链的数据处理者。依照《若干规定》,汽车数据处理者指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。因此,在汽车产业链上的整车生产企业、零部件企业、汽车信息系统和软件开发与服务企业、汽车销售和售后服务、出行平台企业都被管理范围之中。
需要关注的是,在征求意见稿中,“运营者”(在《若干规定》中替换为“汽车数据处理者”)定义中包括了保险公司,而在《若干规定》则没有包括。由此引发的一个问题,《若干规定》所监管的处理者是否包括保险公司或其它的汽车金融服务机构?笔者的理解是,考虑到金融持牌机构具有明确的监管机构,且在金融行业业已建立了比较系统的数据合规监管和标准体系,《若干规定》可能是有意在把这些金融机构排除在外。当然,这个理解需要监管部门的进一步确认。
《若干规定》所监管的行为是汽车数据处理,包括了汽车数据的收集、存储、使用、加工、传输、提供、公开等,也与《数据安全法》保持了一致性。
03
汽车数据处理者的义务
纵观《若干规定》,为汽车数据处理者设定了一系列的义务,包括:
(1)汽车数据处理应当遵循的基本原则,汽车数据处理者处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。(第四条)
(2)落地网络安全等级保护制度和数据安全义务(第五条,参考《数据安全法》第二十七条及《网络安全法》第二十一条);
处理个人信息时应通过显著方式履行告知义务,告知个人处理活动相关的信息、行使权利的路径、用户权益事务联系人的姓名和联系方式等信息(第七条,参考《个人信息保护法》第十七条规定)。
获取有效的同意或者满足法律法规规定的其他条件(第八条,参考《个人信息保护法》第十三条)。在为了保证行车安全的情况下,无法征得同意收集车外个人信息的应当进行匿名化(第八条)。
处理敏感个人信息时,应当满足直接服务于个人的目的,通过显著方式告知,取得单独同意并且允许个人设定同意期限,保证行车安全的前提下适当提示用户收集状态,方便其终止收集,并且如果个人要求删除的情形下,应在10个工作日内删除(第九条,参考《个人信息保护法》第二十八条至三十条)。
涉及重要数据处理的情况下,需进行风险评估并报送评估报告(第十条,参考《数据安全法》第三十条);应当依法在境内存储,确需向境外提供需要通过监管部门组织的安全评估(第十一条,参考《数据安全法》第三十一条);配合监管部门的抽验工作(第十二条);并且在每年提交年度汽车数据安全管理情况报告(第十三条,参考《数据安全法》第二十七条)。
应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报(第十七条)。
值得注意的是,在《若干规定》的第六条,以倡导的方式提出了开展汽车数据处理活动的四原则:
(一)车内处理原则,除非确有必要不向车外提供;
(二)默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;
(三)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(四)脱敏处理原则,尽可能进行匿名化、去标识化等处理。
可以理解,作为倡导性规定,该四原则不具有强制性的效果,为监管部门推荐的行业良好实践。之所以没有作为强制性原则加以规定,我们理解,因为汽车类型多样,实现四原则的技术能力和配备资源不一,不宜作为强制性要求。但是,考虑《若干规定》的性质,汽车企业仍应当尽力实践四原则的要求,对于与四原则要求的差距,应当具有合理的理由。
04
重要数据和识别和重要数据的强监管
重要数据有关的条款在《若干规定》占有很大的比重,可见重要数据是《若干规定》所规范的最重要的方面之一。尤其是,智能网联汽车会持续产生和收集大量的个人信息以及周边环境信息,而这些信息可能包括敏感区域地理信息、车流、物流等反映经济运行情况的数据等,直接关系到国家安全、国计民生和公共利益。这也是《若干规定》加强重要数据管理的出发点。
(1)明确汽车行业重要数据的定义
《若干规定》是《数据安全法》出台之后,第一部明确行业特定重要数据定义的部门规章,相关定义和举例对于理解重要数据的概念具有重要意义。
根据《若干规定》第三条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
较之征求意见稿,正式文本中最明显的修改是删除了测绘数据,并且增加了“超过10万人”的个人信息数据集。对于前者,考虑到我国对测绘资质和测绘行为实行严格的管理措施,测绘数据有可能落入国家秘密的范畴,因此,《若干规定》对测绘数据不做规定有其原因。进一步,有消息称,自然资源部可能会就智能网联汽车涉及的测绘行为和测绘数据专门进行立法规制。对于后者“超过10万个人的个人信息”,与《个人信息保护法》第四十条中规定的超过涉及网信部门规定的数量的个人信息处理者需要进行本地化存储的要求异曲同工,体现了国家对于达到一定数量级别的个人信息数据集的重视和保护。考虑到汽车行业的数据收集特点,可能涉及个人的行踪轨迹等敏感个人信息,以及测绘数据等特殊监管数据等,与到达一定数量的个人信息数据集结合,一经滥用或者非法处理,非常可能会危害国家安全、公共利益和个人、组织合法权益。
此外,《若干规定》就车辆流量、物流等数据增加了反映经济运行情况的说明,更加体现出对于国家安全、公共利益进行保护的价值取向。
(2)规定重要数据本地化和跨境传输的要求
《若干规定》第十一条规定重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估,明确了汽车行业重要数据应当依法在境内存储以及跨境传输的前置安全评估的基本要求。
此处“依法”是否仅指《网络安全法》、《数据安全法》以及《个人信息保护法》的规定,要求构成关键信息基础设施运营者(“CIIO”)和超过涉及网信部门规定的数量的数据处理者本地存储?结合监管最近严格的立法趋势和执法动向,我们理解此处是指依据本规定重要数据应当本地存储,此等要求对于跨国车企而言具有重大影响,汽车数据的本地化存储和处理看来是确定的监管方向。
即使通过了安全评估能够向境外提供,根据《若干规定》第十二条,汽车数据处理者在后续提供过程中不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等,并且要随时配合监管机构的抽验。因此,当汽车数据出境的情况发生改变,数据处理者应当重新申请安全评估。
(3)关于重要数据的风险评估和年度报送要求
根据《数据安全法》关于重要数据的规定,《若干规定》规定了风险评估以及年度报送安全管理状况的要求,对于汽车数据运营者施加了明确的义务。《若干规定》第十条特别规定了风险评估及报送的具体要求,汽车数据处理者处理重要数据的,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。但是该等报送的具体程序和时限仍未明确。
《若干规定》第十三条规定汽车数据处理者需要向监管部门进行年度报送的事项包括:(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;(二)处理汽车数据的种类、规模、目的和必要性;(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;(四)向境内第三方提供汽车数据情况;(五)汽车数据安全事件和处置情况;(六)汽车数据相关的用户投诉和处理情况;(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。第十四条还要求在年度报送中明确涉及向境外提供的相关情况。
05
敏感个人信息的增强保护
《若干规定》中界定敏感个人信息的定义为:一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。该等定义与《个人信息保护法》关于敏感个人信息的定义一脉相承,并且增加了汽车行业的特质。
对于汽车数据之敏感个人信息,相较于《个人信息保护法》的一般性要求,在目的明确、关联性和必要性上有增强要求,告知方式也需达到显著的要求,依然需要遵循单独同意的规定,并且单独同意还需允许个人设置期限。
在兼顾安全的基础上保证用户的知情和控制权,在保证行车安全的前提下适当提示用户收集状态,方便其终止。在保障权利方面,特别明确如果个人要求删除的情形下,应在十个工作日内删除。
06
关于汽车数据的跨境传输
关于重要数据的跨境传输,在4(2)节已有详述。
涉及个人信息的情形下,根据《若干规定》第十一条,未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。我们理解,汽车数据处理者应当按照《个人信息保护法》等法律规定履行合规义务,包括:
根据处理的个人信息的数量来判断是否履行本地化存储义务及进行出境前的网信部门组织的安全评估;
签署跨境标准合同或者获得认证,通过以上方式确保境外接收方能够达到《个人信息保护法》的同等保护水平;
获得个人信息主体的单独同意等。
07
数据安全评估和数据安全审查
《若干规定》第十五条规定,国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。我们理解,该条规定的数据安全评估不同于《数据安全法》规定的数据安全审查,是一种基于部门监管职能的行政监管措施。通过数据安全评估,管理部门以了解汽车数据处理者的安全和合规状况,并基于评估结果提出整改或监管要求。
《数据安全法》呼应《国家安全法》关于建立国家安全审查制度的规定,建立了数据安全审查制度,《网络安全审查办法(征求意见稿)》则将数据安全审查纳入了既有的网络安全审查程序。考虑到汽车数据的敏感程度,不排除未来网络安全审查办公室就某些汽车数据处理行为实施网络安全审查。同时,汽车数据处理者在开展敏感的数据处理活动前,预判影响或可能影响国家安全的,可能需要按照《网络安全审查办法(征求意见稿)》进行网络安全审查。
08
关于汽车数据监管机构和执法行为
关于汽车数据监管机构的执法行为,结合《若干规定》的条文,我们总结如下:
09
《若干规定》与等保制度
《若干规定》第五条明确规定,汽车数据处理者如果利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。该条承袭了《网络安全法》以及《数据安全法》的规定,再次强化了网络安全等级保护这一基本义务以及安全性作为数据保护的基本价值取向的立法精神。
对于汽车数据处理者而言,应当梳理全量网络系统情况,落实相应系统的等保测评备案工作。对已备案系统,根据不同测评级别跟进完成年度测评备案工作。同时,企业应当以等保制度要求为基础完善自身有关制度,构建完善的覆盖人员、组织、制度的网络安全管理体系。
10
《若干规定》与关基制度
2021年8月17日,国务院发布《关键信息基础设施安全保护条例》,对于关键信息基础设施给出了界定,即:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
汽车全产业链涵盖交通、公共服务、工业制造等行业,有可能落入关键信息基础设施的行业范围。同时,智能网联汽车配备了各种网络系统,处理大量的数据,随着智能网联汽车保有量的增大,与国家安全、公共利益和个人利益关系愈发密切。因此,不排除智能网联汽车的系统触发关键信息基础设施损害后果的门槛,从而构成关键信息基础设施。如是,则智能网联汽车企业则更要依照《关键信息基础设施安全保护条例》的要求实施增强的网络安全和数据的保护。
本期编辑:孙嘉槟 李萌
TMT法律论坛
大数据时代的TMT insight