解读与应对:北京地区2022年度汽车数据报送工作开启
编者按
根据《汽车数据安全管理若干规定(试行)》第十三条的规定,汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。
2021年度,上海市、江苏省、广东省、河北省、天津市、湖南省、福建省等多省市均开展了汽车数据报送工作,而2022年度的汽车数据报送工作已于11月陆续开展。天津市网信办于11月16日发布了《关于报送2022年度汽车数据安全管理情况的通知》,北京市网信办也于11月17日发布了《关于开展2022年度汽车数据安全管理情况报送工作的通知》(以下简称“《通知》”)。可以预见的是,未来1个月内,其他省市的汽车数据报送通知也将陆续发布。
基 本 信 息
鉴于汽车数据报送监管的区域性,针对本次《通知》内容,特提示注册地为北京地区开展重要数据处理活动的汽车数据处理者关注以下基本信息:
报送对象:注册地为北京地区开展重要数据处理活动的汽车数据处理者,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等
报送时限:2022年11月17日至2022年12月15日
报送内容:2022年度汽车数据安全管理情况报告(2022年度是指2021年12月1日至2022年11月30日)【后台回复“汽车数据报送”即可下载】
报送联系方式:010-67676912
报送后续工作:北京市网信办将依据报送情况,挑选重点企业进行实地走访调研,指导排查有关数据安全风险隐患。
要点与应对建议
对比2021年度汽车报送工作开展得相对全面的上海市和江苏省汽车数据报送模板,北京市2022年度汽车数据报送模板有以下亮点与应对要点值得关注:
1
难以识别是否构成重要数据,应计入
汽车数据统计
要点
识别是否构成“开展重要数据处理活动”的汽车数据处理者,是汽车数据处理者明确是否履行汽车数据报送义务的前提。北京地区本次的报送要求,并未对何为“重要数据”进行细化,我们理解,仍需根据《汽车数据安全管理若干规定(试行)》第三条重要数据的定义以及六种类型列举结合判定,对于汽车数据处理者而言,仍具有较高的判定难度。
对此,北京地区的报送要求明确“填报汽车数据相关内容时,汽车数据中可能涉及个人信息或重要数据,但填报单位不确定是否涉及的,应计入汽车数据统计。”根据该要求,在企业对汽车数据是否可能涉重要数据判断不清的,我们理解,按照可能需要计入汽车数据中的重要数据类型进行统计。
应对建议
汽车数据处理者对是否处理重要数据开展自识别工作,在自识别无法准确判定时,可以委托外部机构协助评估,必要时可以向行业主管部门及北京市网信办部门咨询确认。
2
向境外提供汽车数据情况受到监管部门
特别关注
要点
根据《汽车数据安全管理若干规定(试行)》第十三条的规定,已明确的法定汽车数据安全管理情况包括六种类型,本次北京地区的汽车数据报送要求,特将“向境外提供汽车数据情况”设为与其他六种类型并列的专章。此前上海市及江苏省的模板仅在六种类型下零散要求填写数据跨境相关问题。北京地区这一设置体现了网信部门在对于汽车数据跨境传输问题的关注,亦与今年监管层面对不同路径的数据跨境传输监管法律法规不断细化优化的总体趋势一以贯之。
应对建议
若涉及汽车数据出境问题的,建议首先评估所适用的数据出境路径尽快履行数据出境合规义务。具体而言:
如适用数据出境安全评估路径的,需要尽快准备申报材料提交网信部门,并将申报材料作为本次汽车数据出境的申报材料之一;
如适用标准合同或安全认证路径的,鉴于目前相关政策或文本仍未具体落地,可先行准备本次汽车数据报送材料,必要时与网信部门沟通协调数据出境合规义务的履行问题。
3
汽车数据安全防护和管理措施更为
场景化
要点
相较于此前江苏省从数据安全管理制度、机制以及数据安全防护措施、策略等相对概括性角度理解这一问题,本次北京地区的汽车数据报送要求特别关注“汽车”这一场景,在《汽车数据安全管理若干规定(试行)》第六条四项原则的基础上,设置了(九)项与汽车场景密切相关的安全防护和管理措施,包括:
(1)车外人脸信息匿名化处理情况;
(2)默认不收集座舱数据情况;
(3)座舱数据向车外提供情况;
(4)处理个人信息的显著告知情况;
(5)汽车数据收集精度范围情况;
(6)汽车数据脱敏处理情况;
(7)持续提示收集敏感个人信息情况;
(8)汽车数据保存地点与期限情况;
(9)汽车充电网数据处理情况。
其中,值得关注的是:
汽车数据处理者需要对车外视频、图像数据匿名化处理的方案、流程、效果予以说明;
“默认不收集座舱数据情况”仅适用于汽车制造商填写;
对于汽车数据脱敏处理需要区分个人信息与重要数据两类分别说明。
应对建议
汽车数据处理者应当对照上述分类,逐一细化梳理并填写相关内容;
针对“匿名化处理”技术的说明,建议在填写前先行评估是否可能实现“匿名化”效果,结合“相对匿名化”等理论可能以及技术本身的效果予以充分论证,保留评估报告,并可将评估报告作为报送材料之一提交;
针对显著告知以及持续提示两类告知问题,报送模板列明了8类显著告知方式和4类持续提示方式,亦可以作为汽车数据处理者后续完善告知义务履行的借鉴材料。
4
汽车数据类型进一步细分
要点
北京地区本次汽车数据报送要求,在上海地区对汽车数据细分八类的基础上,增加了“汽车充电网数据”这一类别,并以此为基础,要求汽车数据处理者细化填写九类汽车数据的具体情况:
(1)车外视频、图像数据
(2)车外雷达数据
(3)车内视频、图像数据
(4)车内音频数据
(5)汽车行踪轨迹信息
(6)生物识别
(7)特征信息
(8)汽车充电网数据
(9)其他个人信息
应对建议
汽车数据处理者应当对照上述分类,对2021年12月1日至2022年11月30日期间的数据对照报送要求进行细分梳理与填写;
《汽车数据安全管理若干规定(试行)》第三条将汽车充电网的运行数据明确定义为重要数据,若汽车数据处理者不涉及处理汽车充电网的运行数据时,建议谨慎填写该部分内容;
为了后续汽车数据报送工作的便利开展,建议汽车数据处理者可以参考上述分类方式,调整企业对汽车数据的分类分级方式。
5
数据来源进一步细分
要点
北京地区本次的报送要求,要求汽车数据处理者分别填写:
(1)从汽车获取的数据;
(2)从用户获取的数据;
(3)从第三方获取的数据三种类型的具体情况,即从汽车获取的数据排除了用户主动提供、主动填写、主动提交的数据。
汽车数据处理者在填写年度获取数据情况时应当予以特别关注。
应对建议
建议汽车数据处理者重点关注作为受托方时的汽车数据报送范围,根据报送要求,汽车数据的委托方及受托方均需将委托处理的汽车数据纳入本年度获取汽车数据规模中,对于受托方而言,虽然其不构成该部分数据的处理者,但仍需履行对该部分数据的统计与报送义务。
6
要求说明“最严重”安全事件及“最常见”
用户投诉问题
要点
北京地区本次的报送要求,除需要填写汽车数据安全事件和投诉处理情况的基本情况外,还需要汽车数据处理者详细说明:
最严重的汽车数据安全事件的具体情况:事件发生日期、涉及数据种类、事件概要描述、事件影响范围与事件处置结果。
最常见的被投诉的三类问题的具体情况:投诉问题类型描述、涉及数据种类、投诉次数、处理方式。
应对建议
除根据要求梳理并填写上述汽车数据安全事件和用户投诉问题外,我们建议汽车数据处理者针对汽车数据安全事件和用户投诉问题参照本次报送要求所涉要素,建立专门的管理台账或其他的留痕记录机制,以有效应对此后的汽车数据报送工作。
结 语
总结而言,相比于去年,本次报送要求更细更严,而汽车数据报送监管已经成为地方网信部门常态化的年度监管事项。对于在京涉及处理重要数据的汽车数据处理者而言,本次报送工作均为首次开展,如何在有限期间内呈现合规的报送材料,不仅要求企业短期内对报送材料吃透、读懂,以符合监管要求的方式全面、准确填写,更要求企业关注汽车数据的长远合规建设工作,以合规促发展,方能临危不乱,处变不惊。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注