监管动态 | 2023年度汽车数据安全管理情况报送工作开启
点击关注“数据与电商研究室”
编者按
11月21日,网信浙江、网信北京相继公布了开展2023年度汽车数据安全管理情况报送工作的通知,标志着2023年度该项工作正式拉开帷幕,可以预见的是,其他地区的该项工作也将相继迅速展开。对于需要履行报送义务的开展重要数据处理活动的汽车数据处理者而言,有必要重点关注2023年度报送要求的“变”与“不变”,以在2022年度报送工作的基础上,参照“合规提示”高效应对2023年度报送工作。
一、2023年度的“变”
从目前浙江地区和北京地区公布的报送要求以及报送模板来看,2023年度的报送工作要求与2022年度相比至少有以下变化:
1. 报送材料数量增加:
与2022年度相关企业仅需要报送1个核心文件“《汽车数据安全管理情况报告》(模板)”相比,2023年度在此基础上还需要增加填报“《风险评估报告》(模板)”,北京地区还特别要求填报“《汽车数据处理者情况汇总表》”,报送材料数量由“1”变为“2”或“3”,对于相关企业材料准备工作提出了更多的要求。
2. 法律依据的增加:
1) 上位法依据的增加:我们理解,之所以增加报送材料,其背后原因在于监管部门通过报送工作既落地了《汽车数据安全管理若干规定(试行)》第13条的要求,又落地了该规定第10条报送风险评估报告的要求。此前,实务界对于风险评估报告的报送要求如何落地以及和年度汽车数据安全管理情况报送的关系一直存在困惑,2023年度将《汽车数据安全管理情况报告》和《风险评估报告》共同作为年度汽车数据安全管理情况报送的报送材料,一定程度上释明了上述问题。
2) 地方立法依据的增加:在浙江省发布的报送通知中,我们观察到报送工作除依据《汽车数据安全管理若干规定(试行)》外,还依据了11月1日刚刚生效的《浙江省汽车数据处理管理规定》,可见地方汽车数据处理相关规定也将对于属地企业准备报送工作产生影响。
3) 参考依据的增加:除已在通知中明确的法律依据外,相关企业还需要重点关注《风险评估》(模板)中要求按照“GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》”等政策标准要求识别风险点,该标准作为2023年5月1日正式实施的推荐性标准,规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求,相关企业在准备《风险评估报告》报送材料时应当重点关注。
3. 监管部门的增加:
1) 地方“有关部门”参与度增加:依据《汽车数据安全管理若干规定(试行)》第13条和第10条,相关企业需要省、自治区、直辖市网信部门和有关部门进行报送,但在2022年度及此前的报送工作中,监管部门多为网信部门一个部门,而“有关部门”暂未参与报送工作的监管中。在2023年度,尤其是北京地区的报送监管中,除了北京市网信办以外,北京市经济和信息化局、北京市通信管理局作为“有关部门”明确参与了报送监管,共同与网信办发布报送通知。
2) 中央监管部门监管参与:此外,根据北京市发布的通知,除了属地监管外,2023年度的报送材料可能会以抽查方式将相关材料报送至中央网信办以及工信部。
4. 《汽车数据安全管理情况报告》模板变化:
与2022年度相比,2023年度的《汽车数据安全管理情况报告》模板有以下重要变化:
1) 汽车数据处理基本情况部分:对于“数据量级(GB)”的关注度减弱,新增对于“汽车车型(款)”的关注。
2) 汽车数据安全防护和管理措施部分:删减“汽车数据收集精度范围”和“汽车数据脱敏处理情况”两部分内容,将“座舱数据向车外提供情况”调整为“座舱数据车内处理情况”。
3) 向境外提供重要数据情况部分:将向境外提供“汽车数据”情况修改为“重要数据”,新增“是否申报数据出境安全评估”,新增出境汽车数据“涉及自然人数量”。
5. 各地报送监管尺度可能存在差异
从目前北京和浙江两地公布的通知来看,北京地区的相关主体报送的材料更多,受到更多部门的监管,且明确了“后续将依据报送情况,以抽查方式核验重点企业报送内容真实性,指导排查有关数据安全风险隐患……请各企业高度重视,按时保质完成报送工作,积极配合开展抽查核验”,结合今年北京地区针对2022年度报送工作发布了《汽车数据安全管理年报评定结果》,我们理解,各地报送监管尺度存在差异,位于北京的相关主体受到的监管可能更为严格,对于材料准备工作提出了更高的要求。
二、2023年度的“不变”
在识别上述变化后,仍有必要对于该项工作的“不变”之处予以关注:
1. 报送对象仍不变
仍为属地开展重要数据处理活动的汽车数据处理者,若此前已开展过报送工作,2023年度仍需开展;若此前未开展,但落入前述范围的,应当尽快开展。
2. 报送时限仍不变
仍依法设置12月15日为报送节点,对于企业而言,准备报送材料的时间仍然相对紧张。
3. 材料准备原则仍不变
仍需对照适用法规与属地报送要求,结合公司实际,对照模板按时、如实进行报送材料的准备。
4. 模板一和模板二材料仍可能全国通用
目前北京地区和浙江地区公布的《汽车数据安全管理情况报告》(模板一)和《风险评估报告》(模板二)均相同,不排除该两项主要报送模板仍可能全国通用。
5. 常态化合规工作仍需持续进行
年度汽车数据安全管理情况报送工作仍为相关企业的常态化合规工作,虽然本年度要求有所变化,但该项工作仍需持续进行,不断优化与完善。
三、合规提示
1. 重点关注新增《风险评估报告》的准备
根据模板二,相关企业需分别从汽车数据安全风险评估概述、基本情况介绍、汽车数据安全风险识别、汽车数据安全风险分析及评价和评估总结及风险应对5部分对照模板尽快准备材料。鉴于相关企业在2022年度及此前的年度报送工作中未准备该项工作,建议相关企业重点对照《汽车数据安全管理若干规定(试行)》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等政策标准要求识别风险点。
2. 在2022年度报送材料的基础上修改调整《汽车数据安全管理情况报告》
对于变化部分填报内容,尽快开展信息统计工作,并细化填写;对于非变化内容,可在2022年度报送材料的基础上,结合2023年度重要数据处理实际,真实准确填写。
3. 尽快开展报送准备工作,必要时引入外部顾问参与
鉴于2023年度的报送时限仍较为紧急,新增了《风险评估报告》材料的准备要求,且原《汽车数据安全管理情况报告》材料也发生了较大变化,建议相关企业尽快开展报送准备工作,并在必要时可以引入外部顾问参与材料准备工作,以尽快依据最新合规要求准备报送材料,防范企业合规风险。
4. 浙江、北京地区以外的其他相关主体也需尽快参照开展报送准备工作
虽然目前仅浙江和北京地区发布了报送通知,但依据《汽车数据安全管理若干规定(试行)》第10条和第13条的规定要求,其他地区也将陆续开展该项工作。此外,鉴于目前浙江和北京发布的《汽车数据安全管理情况报告》(模板一)和《风险评估报告》(模板二)均相同,不排除其他未发布通知地区也可能采用相同的报送模板。因此,建议其他地区的相关企业也可参考目前已公布的报送模板尽快进行材料准备工作。
5. 企业的汽车数据长远合规需对照2023年度报送新要求进行调整
除尽快准备报送材料应对2023年度报送工作以外,相关企业还应当关注依据2023年度报送新要求对于内部的汽车数据合规工作进行调整与优化,例如更加关注风险评估工作的开展、座舱数据车内处理的合规、数据出境安全评估的申报等,为此后常态化的年度汽车数据安全管理情况报送准备工作夯实合规根基。
公号后台回复“2023年汽车数据报送”,可获取浙江地区和北京地区的2023年度汽车数据安全管理情况报送相关模板。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
精彩回顾
本期编辑:王梦迪 唐静思 蒋雅冰
长按二维码一键关注
期待您的“赞”和“分享”