汽車數據合規體系構建解析及建議(系列一)——從車企數據合規組織架構視角
作者:楊軍 2022-12-21引言
智能網聯汽車作為融合現代通信、網絡技術、人工智能等多場景和新技術的新一代汽車,其研發、試驗、制造、銷售到最終落地商用的幾乎每個環節都離不開多類主體、多種技術設備間海量數據的收集、交互、處理(統稱“處理”)。該等數據的處理是智能網聯汽車運行本身的必備要素,但是,海量的數據可產生巨大的經濟效益,在巨大的利益驅使下,數據處理者(不限于智能網聯汽車企業)可能鋌而走險,超出約定的處理范圍使用該等數據,或將其挪作他用,并可能導致數據主體的合法利益嚴重受損。另一方面,即使相關企業并無非法或超約定使用范圍利用這些海量數據的惡意,但如果其缺乏完善的數據安全保障制度,一旦發生數據安全事故,可能危及道路交通安全、公民的人身和財產安全,并可能對汽車相關產業甚至國家安全造成嚴重威脅。
如何確保汽車數據處理行為符合國家法律法規要求,如何在保障汽車數據安全、保護數據主體權益的基礎上,促進相關數據的充分利用,已經成為汽車產業健康和持續發展所亟待解決的問題,也是汽車產業參與各方在日常運營之中無法回避的基本要求。為規制汽車企業的數據處理活動,也為平衡汽車企業和數據主體間的權利義務,推動智能網聯汽車企業的順利發展,相關機關先后制訂和發布了《中華人民共和國網絡安全法》(“《網絡安全法》”)、《中華人民共和國數據安全法》(“《數據安全法》”)、《中華人民共和國個人信息保護法》(“《個人信息保護法》”)、《汽車數據安全管理若干規定(試行)》(“若干規定”),同時,相關監管機構和標準委員會出臺了一系列的規定和標準,為汽車企業建立數據合規體系指明了方向。
一個完整的合規體系離不開一個完善的組織架構支撐,數據合規體系概莫能外。本文意在從組織架構角度解析一系列與數據合規體系相關的法律法規及標準對汽車企業建立數據合規組織架構的要求,并在此基礎上提出汽車建立完整的數據合規體系要素之一的組織架構的建議,供業內同行參考。
一、《網絡安全法》對組織架構的要求
(一)規定
《網絡安全法》第二十一條規定,“網絡運營者應當制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任”,從法律層面規定了網絡運營者應設置網絡安全負責人落實與網絡安全保護相關的責任,但并未要求網絡運營者建立網絡安全管理機構。
工信部2021年6月22日發布的《關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)》(“網絡安全征求意見稿”)的第一條(一)中規定:“保護車聯網網絡設施和系統安全。落實企業網絡安全主體責任,建立車聯網網絡安全管理制度和操作規程,確定網絡安全負責人……”,不難看出,確定網絡安全負責人是智能網聯汽車企業的重要義務之一。
(二)分析
從上述規定可看出,《網絡安全法》和網絡安全征求意見稿均未對網絡安全負責人的任職條件和崗位職責作出具體規定,僅籠統規定網絡運營者應確定網絡安全負責人。《網絡安全法》第三十四條對關鍵信息基礎設施的運營者做出了特別規定:關鍵信息基礎設施的運營者還應當履行對網絡安全負責人和關鍵崗位的人員進行安全背景審查的義務。根據自2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》(“安保條例”)第二條之規定,關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
對照上述規定,汽車企業應不屬于安保條例所定義的關鍵信息基礎設施的運營者,因此安保條例關于關鍵信息基礎設施的運營者對網絡安全負責人和關鍵崗位人員的安全背景審查義務的規定以及職責設定并不必然適用于汽車企業,但汽車企業按照《網絡安全法》和安保條例對關鍵信息基礎設施的運營者的要求確定其內部的網絡安全負責人的崗位和職責應是比較穩妥的做法,也更易為監管部門接受。
(三)小結
從網絡安全負責人的知識和技能結構來看,網絡安全負責人應同時具備網絡安全專業知識和網絡安全法律知識,應屬于跨界型人才。[1]但是,對于不同類型的企業來說,由于其業務模式的差別,對其網絡安全負責人的知識結構要求可能存在一定的差異。對于大型或者超大型的企業來說,由于其產品多樣,供應商眾多,財務系統復雜、企業外包的服務類型也多種多樣,數據收集、存儲、交換等活動頻繁且大量,內部存在不同的IT系統及圍繞不同IT系統的技術組織和管理組織。從實踐情況來看,可能由公司的首席信息官或首席技術官管理集團IT系統安全及其中的數據安全,首席市場官管理(部分或全部)消費者(或目標用戶)相關信息和數據,人力資源官管理公司員工相關信息和數據等。[2]汽車企業的規模普遍較大,且業務形態更為復雜,在其產品的研發階段就應考慮網絡安全和數據安全的因素,為企業滿足數據合規的要求提前布局,在這個階段由企業的首席技術官作為網絡安全的負責人可能是合適的;在汽車的銷售階段,涉及經銷商系統管理,大量消費者或者潛客信息的處理,由首席市場官負責這個階段的網絡安全也是合適的。但是應當注意的是,在《網絡安全法》框架下,一方面汽車企業要承擔下述義務:(1)制定和啟動網絡安全事件應急預案、及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險和按照規定向有關主管部門報告危害網絡安全的事件;(2)開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息。另一方面,IT部門會從技術層面負責企業所有的系統搭建、網絡運營和數據管理,是企業所有部門中最熟悉所有系統運行和網絡安全的部門,由其負責人即企業的首席信息官作為網絡安全負責人是比較合理和合適的安排。
因此,為確保網絡安全,汽車類的網絡運營者可委任具有網絡安全專業知識的IT負責人(或稱首席信息官)擔任網絡安全負責人,并建立專門的網絡安全責任部門(主要為IT部門的技術人員加上部分研發、市場、法務及其他部門的專業人員),同時參照安保條例第十四條之規定,對該等專門負責網絡安全的負責人及網絡安全責任部門中從事網絡安全管理的人員進行安全背景審查,并對網絡安全負責人和常設安全管理機構履行的職責作如下規定:
(1)建立健全網絡安全管理、評價考核制度,擬訂本單位的信息設施和網絡安全保護計劃;
(2)組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;
(3)按照國家及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;
(4)認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;
(5)組織網絡安全教育、培訓;
(6)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
(7)對本單位的信息設施設計、建設、運行、維護等服務實施安全管理;
(8)按照規定報告網絡安全事件和重要事項。
二、《數據安全法》對組織架構的要求
(一)規定
《數據安全法》第二十七條第二款規定:“重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。”
工信部發布并于2023年1月1日生效的《工業和信息化領域數據安全管理辦法(試行)》(“《數據安全管理辦法》”)對工業和信息化領域數據處理者應根據需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理,協助行業監管部門開展工作;且重要數據和核心數據處理者應建立覆蓋本單位相關部門的數據安全工作體系,明確數據安全負責人和管理機構,建立常態化溝通與協作機制。[3]
國家互聯網信息辦公室2021年11月14日發布的《網絡數據安全管理條例(征求意見稿)》第二十八條規定,重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。
(二)分析
與《網絡安全法》的規定類似,《數據安全法》也僅籠統規定重要數據的處理者應當明確數據安全負責人和管理機構,但未對重要數據的處理者的安全負責人和管理機構的任職條件和崗位職責作出具體規定。相比《數據安全法》,《數據安全管理辦法》更進一步,其不僅要求工業和信息化領域重要數據和核心數據處理者應明確數據安全負責人和管理機構,建立常態化溝通與協作機制,且籠統規定了數據安全管理人員的崗位職責:統籌負責數據處理活動的安全監督管理,協助行業監管部門開展工作,但對于數據安全負責人和管理機構的任職資格和具體職責語焉不詳,僅規定工業和信息化領域重要數據和核心數據處理者還應當:明確數據處理關鍵崗位和崗位職責,并要求關鍵崗位人員簽署數據安全責任書,責任書內容包括但不限于數據安全崗位職責、義務、處罰措施、注意事項等內容,即數據安全負責人和管理機構的任職條件和崗位職責有待工業和信息化領域重要數據和核心數據處理者根據具體情況補充和完善。
相比《網絡安全法》和《數據安全管理辦法》,《網絡數據安全管理條例(征求意見稿)》不僅規定重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構,而且對數據安全負責人的任職資質進行了如下規定:數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。該征求意見稿還對數據安全管理機構的具體職責進行了列舉。鑒于該征求意見稿的相關內容還未以條例的形式正式發布施行,不能排除國家互聯網信息辦公室后續發布施行的正式條例的相關規定與該征求意見稿的相關內容不一致的可能性,由此導致該征求意見稿對數據安全負責人和安全機構的職責的設定存在一定的變數。
(三)小結
雖然《網絡數據安全管理條例(征求意見稿)》草案尚未正式發布施行,但其規定代表了國家互聯網信息辦公室的立法導向,在其他法律法規對相關機構的設定和職責規定缺位的情況下,該征求意見稿關于數據安全管理機構及其數據安全負責人的職責的規定對汽車企業具有參考意義。汽車企業可以參考該征求意見稿設定其數據安全管理機構和負責人的職責如下:
(1)研究提出數據安全相關重大決策建議;
(2)制定實施數據安全保護計劃和數據安全事件應急預案;
(3)開展數據安全風險監測,及時處置數據安全風險和事件;
(4)定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動;
(5)受理、處置數據安全投訴、舉報;
(6)按照要求及時向網信部門和主管、監管部門報告數據安全情況。
汽車企業亦可參考該征求意見稿的規定設定數據安全負責人的任職資格:數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。
三、《個人信息保護法》對組織機構的要求
(一)規定
《個人信息保護法》并未要求所有的個人信息處理者需指定個人信息保護負責人,只是規定處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督[4]。該法對在中國境外處理中國境內自然人個人信息的活動的數據處理者做出了特別規定,要求其應當在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務[5]。
網絡實踐中,涉及兒童個人信息的產業發展很快,一再降低孩子“觸網”年齡段。同時,針對孩子的兒童色情、電信詐騙、不良信息推薦、游戲沉迷等違法行為也日益增多,客觀上需要加強對未成年人網絡權益的全面立法保護。其中,兒童的個人信息保護是網絡權益的基礎,也是大數據精準營銷、數據合理使用、防沉迷系統、家長監護體系、網絡實名制的核心,因此,對孩子專門的個人信息保護就成為重中之重。[6]為更好地保護兒童的個人信息權益,體現兒童個人信息保護的特殊性,《兒童個人信息網絡保護規定》規定網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。[7]
根據《信息安全技術個人信息安全規范》(“安全規范”),個人信息控制者應任命個人信息保護負責人和個人信息保護工作機構,個人信息保護負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任,參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作;滿足以下條件之一的組織,應設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作:1)主要業務涉及個人信息處理,且從業人員規模大于200人;2)處理超過100萬人的個人信息,或預計在12個月內處理超過100萬人的個人信息;3)處理超過10萬人的個人敏感信息的。
(二)分析
根據《個人信息保護法》第五十二條的規定,“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人”,但到目前為止國家互聯網信息辦公室尚未正式公布具體的“數量”標準,在這種情況下,參考適用《信息安全技術個人信息安全規范》項下的數量標準應是比較可行的解決方案,即在數據處理者處理超過100萬人的個人信息,或預計在12個月內處理超過100萬人的個人信息或處理超過10萬人的個人敏感信息的,應設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作。
依據第五十三條,在中國境外處理中國境內自然人個人信息者,無論其處理的個人信息的數量如何,都必須適用本法,且境外處理者應當在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務。
另外,需要注意的是,第五十二條并未區分適用對像是境內還是境外的個人信息處理者,因此,只要處理個人信息達到國家網信部門規定數量的個人信息處理者就負有指定個人信息保護負責人的義務,這就導致境外個人信息處理者不僅應當在中國境內設立專門機構或者指定代表,而且在其處理的個人信息達到國家網信部門規定數量時還需另行設置個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
《兒童個人信息網絡保護規定》并未對網絡運營者指定負責兒童個人信息保護的專人(即兒童數據保護的專門人員)的任職條件和崗位職責做出具體規定,鑒于該規定屬于個人信息保護的特別規定,在汽車企業由負責數據保護的負責人和個人信息保護工作機構兼任應是可行的解決方案,但應在其職責中增加對兒童個人信息保護的專項內容。
(三)小結
汽車企業作為個人數據處理者,通常要處理海量的個人數據,很容易就達到《信息安全技術個人信息安全規范》項下的數量標準,建議按照該安全規范設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作。負責個人信息保護的負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任,參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作;鑒于信息安全與個人信息保護的專業領域相近,對管理人員的專業知識和管理職能要求大同小異,且兒童個人信息的保護屬個人信息保護的特別領域,建議由企業負責數據安全的負責人兼任個人信息保護和兒童個人信息保護的負責人,以保證政策制度的一致和管理口徑的統一。
在此基礎上,汽車企業可參考該安全規范設定個人信息保護(含兒童個人信息保護)負責人和個人信息保護工作機構的職責包括但不限于如下內容(如無特別說明,下述各項職責凡提及個人信息均包括兒童個人信息):
(1) 全面統籌實施組織內部的個人信息安全工作,對個人信息安全負直接責任;
(2) 組織制定個人信息保護工作計劃并督促落實;
(3) 制定、簽發、實施、定期更新個人信息保護政策和相關規程;
(4) 建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數量、來源、接收方等)和授權訪問策略;
(5) 開展個人信息安全影響評估,提出個人信息保護的對策建議,督促整改安全隱患;
(6) 處理兒童個人信息時以顯著、清晰的方式告知兒童監護人,并征得兒童監護人的同意;
(7) 組織開展個人信息安全培訓;
(8) 在產品或服務上線發布前進行檢測,避免未知的個人信息收集、使用、共享等處理行為;
(9) 公布投訴、舉報方式等信息并及時受理投訴舉報;
(10) 進行安全審計;
(11) 與監督、管理部門保持溝通,通報或報告個人信息保護和事件處置等情況。
四、《汽車數據安全管理若干規定(試行)》對組織架構的要求
(一)規定
若干規定并未對汽車數據處理者需指定數據安全保護負責人及數據安全管理機構做出明確規定,這并不意味著汽車數據處理者沒有義務指定數據安全保護負責人和數據安全管理個機構。根據其第十三條的規定[8],汽車數據處理者每年報送年度報告時,汽車數據安全管理負責人的姓名和聯系方式是必備項。
《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》(“管理意見”)規定,智能網聯汽車生產企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,明確責任部門和負責人。[9]
(二)分析
雖然若干規定沒有關于汽車數據處理者需指定數據安全負責人的規定,如前所述,第十三條關于汽車數據安全管理負責人信息作為汽車數據處理者報送年度報告的必選項從另一個側面說明汽車數據處理者有義務指定數據安全負責人。另外,根據若干規定的第一條之規定[10],若干規定為國家互聯網信息辦公室經國家發展和改革委員會、工業和信息化部、公安部、交通運輸部同意后發布,其根據《網絡安全法》和《數據安全法》的規定制定,除非若干規定特別規定(即使做特別規定亦不可與其上位法《網絡安全法》和《數據安全法》的規定相沖突),《網絡安全法》關于網絡運營者應“設置網絡安全負責人落實與網絡安全保護相關的責任”的規定,《數據安全法》關于“重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任”應當然適用于汽車企業。
根據管理意見之規定,汽車企業應明確數據安全保護的責任部門和負責人,為汽車企業設立專門負責數據安全的責任部門并指定數據安全負責人提供了依據。鑒于工業和信息化部為汽車企業對口的行業監管部門,其參與制定和發布的管理意見的相關規定特別是關于數據安全責任部門和負責人的規定將是其監管的要素之一,這與若干規定關于汽車數據安全管理負責人信息作為汽車數據處理者報送年度報告的必選項的規定形成了呼應。
(三)小結
根據上述分析,汽車企業應切實按照管理意見和若干規定的要求設立負責數據安全的責任部門并指定數據安全負責人,既滿足監管的要求,也為完善企業的數據合規體系和提升企業的數據安全保護水平。關于汽車企業數據安全負責人的任職資質以及負責人和責任部門的職責,企業可參照本文第二和第三部分關于數據安全和個人信息保護負責人和責任部門的職責設定,或者在一個職能部門和一個負責人兼任數據安全、個人信息保護和車聯網數據安全職位/職能的情況下將相關職責整合。
五、GDPR對組織架構的規定
(一)GDPR簡介
GDPR(General Data Protection Regulation,通用數據保護條例)于2016年4月27日獲得歐盟議會與歐盟理事會的通過,并于2018年5月25日執行。GDPR堪稱史上最嚴格的數據保護法案,任何違反GDPR的行為,將會遭致1000萬到2000萬歐元的罰款,或企業全球年營業額的2%到4%的罰款,以兩者中數額最大的為準。
GDPR適用于:1)數據控制者或處理者在歐盟境內的機構所進行的個人數據處理活動,而無論該處理是否發生在歐盟境內;2)非歐盟境內設立的控制者或處理者處理歐盟境內數據主體的個人數據,如果處理活動涉及:向歐盟境內的數據主體提供商品或服務(無論是否發生支付行為),或對數據主體在歐盟內的行為進行監控;和3)設立于歐盟境外,但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。
(二)GDPR關于信息保護的組織架構規定
GDPR確立了數據保護官(DPO)的概念,任命數據保護官的法律義務的決定性因素不是公司的規模,而是被定義為對實現公司目標至關重要的核心處理活動。如果核心活動包括大規模處理敏感的個人數據或對數據主體的權利影響特別深遠的數據處理形式,公司就必須任命DPO。[11]關于DPO的任職條件,GDPR第37條也做了相應規定,DPO的任命應基于專業資質,特別是數據保護法律和實踐方面的專業知識以及完成GDPR第39條所述任務的能力。DPO可以是數據控制者或處理者的工作人員,或基于其服務合同履行任務。[12] 由此可見,DPO既可由內部人員擔任,亦可委托外部人員擔任。企業集團可以任命一名DPO,但條件是集團的每個成員均能方便聯系到DPO[13]。DPO獲任之時,其主管必須公布其聯系信息,并向監管機構進報告。[14]
DPO的職責包括:遵守所有相關的數據保護法、監督具體的過程,如數據保護影響評估或對員工對數據保護的認識提升和培訓,以及與監管機構合作等。[15]DPO不能因為完成其任務而被數據控制者或處理者解雇,其可以直接向控制者或處理者的最高管理層匯報。盡管有DPO行使監督職能,但公司本身仍然有義務遵守數據保護的法律。因此,公司應當確保,在所有與個人數據保護相關的事項中,DPO都應當以一種恰當和及時的方式參與。DPO可以履行其他任務和職責,但數據控制者或處理者應確保任何此類任務和職責不會導致利益沖突。[16]
(三)小結
GDPR的第37、38和39條對DPO的委任、職位和任務進行了詳細規定,特別是關于DPO的任職條件、具體職責及其履行職責的獨立性等規定與國內對數據安全責任人的規定具有一定的相似性,對于國內法律法規缺損但可由企業自主決定的數據安全管理負責人的選任條件、職責等方面的內容,國內汽車企業可以借鑒和參考引用。
六、構建完善的汽車企業數據合規組織架構的建議
(一)概述
完善的數據合規管理架構是數據合規工作順利開展的必要保障。汽車企業在其數據合規體系建設中的一個重要工作內容就是搭建完善的數據合規管理架構,協調管理職能和資源配置,強化數據合規職責及其組織領導。數據合規組織架構搭建的核心是解決數據合規管理工作的權力配置問題,其根本目的是保證企業最高層能夠準確了解企業的數據合規情況,及時發現、糾正企業內部的數據合規風險和違規現象。另一方面,建立數據合規組織架構也是法律的明確規定或者是企業為滿足監管機構對企業數據合規監管的需要。只有建立完善的數據合規管理組織架構,才能夠使與數據合規相關的法務、風控、審計、業務等部門充分發揮優勢,形成管理合力,將數據合規管理相關的工作落實到位。
(二)數據合規體系的組織架構設計
在汽車企業,其全部機構和全體成員都或多或少地承載著數據合規職責,因此,從管理流程角度而言,構建自上而下的貫穿企業全部機構、人員、流程的管理組織架構對于企業提升和完善數據合規管理流程體系至關重要。汽車企業可以參考國家質檢總局和標準委聯合發布的《合規管理體系指南(GB/T 35770)》(“標準委合規指南”)的相關規定設定汽車企業的合規組織框架。標準委合規指南采用組織決策的分析框架,將合規管理機構分為治理機構(指公司的股東會、董事會和監事會)和最高管理者(指以公司總經理為代表的核心管理團隊)、合規團隊、管理層(指公司核心管理層以外的中層管理人員)、員工。結合標準委合規指南和汽車行業的特征,我們建議從如下幾個方面構建數據合規的組織架構:
1.高層承諾和領導負責制
有效的合規體系要求治理機構和最高管理者的積極承諾,并貫穿于整個組織。為上述目的,企業的治理機構和最高管理者應發布數據合規聲明,以此向員工、社會公眾和監管機構傳遞和彰顯企業建立、制定、實施、評價、維護和改進一個有效和及時響應的包括數據合規在內的合規管理體系的承諾。
為體現企業對數據合規工作的重視,建議在董事會中設立合規委員會,并把數據合規作為合規委員會的重要工作內容之一。合規委員會由部分董事會成員及監事會成員構成,加上企業的總經理、分管數據合規的副總經理和數據合規負責人,企業亦可考慮邀請在數據合規領域有一定影響力的外部專家作為委員會成員,以保證數據合規管理委員會對數據合規相關的決策的專業性。合規委員會作為企業合規管理體系的最高負責機構,應以保證企業合規經營為目的,通過原則性頂層設計解決合規管理工作中的權力配置問題并進行重大事項決策。企業的總經理應作為數據合規管理的第一責任人并應當承擔以下職責:分配足夠和適當的資源來建立、發展、實施、評估、維護和改進數據合規管理體系;確保戰略和運營目標與履行數據合規義務之間的一致性;確保將數據合規落實情況和效果納入企業內部人員績效考核體系。
2. 一體化原則
對于汽車企業而言,網絡安全是實現其汽車產品智能網聯功能的前提條件,而一套安全運行的網絡系統也是汽車企業實現其數據(包括個人數據、敏感數據、重要數據)處理功能的基礎,因此,在搭建汽車企業的數據合規體系時,應對網絡安全、數據安全、個人信息保護綜合考慮而不能人為將其割裂開,即汽車汽車企業的合規體系應是包括網絡安全、數據(包括車輛運行數據)安全、個人信息保護的一個完整的合規體系。汽車企業在考慮其數據合規體系的組織架構特別是責任部門并指定對口安全負責人時應綜合考量,以構建起科學的數據合規組織架構,更好地明確不同層級部門的管理職責和匯報路徑,確保企業數據合規管理體系的高效運行。
3. 獨立性原則
數據合規與廣義的合規的要求一樣,獨立性是數據合規管理機構的核心標準。汽車企業應設立獨立于業務部門的數據合規部門。首先,應從匯報條線上保證數據合規組織的獨立性。操作上可以采用數據合規管理機構直接向合規委員會或者分管領導負責,合規管理委員會則直接向董事會負責的形式。其次,數據合規管理機構應具備充足的權力實施數據合規相關的政策制訂、流程執行、數據合規核查、數據違規問責及整改。再其次,數據合規管理機構還應配備或能夠調動充足的資源,包括人員、經費、設備等硬件條件,確保其日常工作不受到其他部門的挈肘。
4.專業性原則
汽車企業處在一個蓬勃發展且還在不斷演進的行業,其技術和產業形態的持續演進對負責數據合規從業人員的任職條件提出較高的要求。鑒于網絡安全負責人與數據安全和個人信息保護負責人的任職條件存在一定的差異,是否由同一負責人同時承擔網絡安全負責人與數據安全、個人信息保護的負責人的職責應由企業根據自身情況及該負責人的專業背景和業務經驗綜合評判后決定。即使如此,企業亦應根據法律法規對該等負責人任職條件的要求(如有)任命符合條件的人選擔任該等負責人。除負責人的選任外,企業亦應以具備數據安全專業知識和相關經驗作為組建數據合規業務團隊的基本條件。
如前分析,《網絡安全法》未對對網絡安全負責人和關鍵崗位的人員的任職條件做出規定,為確保網絡安全,汽車企業可委任具有網絡安全專業知識的IT負責人(或稱首席信息官)擔任網絡安全負責人,并建立專門的網絡安全責任部門(主要為IT部門的技術人員加上部分研發、市場、法務及其他部門的專業人員)。《數據安全法》也未對數據的處理者的安全負責人和管理機構的任職條件作出具體規定。可資參考的是,《網絡數據安全管理條例(征求意見稿)》規定了數據安全負責人的資質條件:應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,這與GDPR關于DPO的任職條件相似:應具備專業資質,特別是數據保護法律和實踐方面的專業知識以及完成GDPR所述任務的能力。另外,《信息安全技術個人信息安全規范》(“安全規范”)對個人信息保護負責人的任職條件規定如下:應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任。[17]
雖然征求意見稿還未正式發布施行,安全規范為推薦標準,但二者對數據安全和個人信息保護負責人的任職資質的規定對于企業設定數據安全/個人信息保護負責人和工作機構人員的任職條件具有參考意義,汽車企業可以參考征求意見稿和安全規范的規定設定企業的數據安全/個人信息保護負責人的任職條件,并加以細化;對于數據安全/個人信息保護保護負責人以外的其他關鍵崗位的人員的任職條件亦可參考上述條件設定。
5. 適度趨嚴原則
隨著科技的不斷進步,發展智能網聯汽車的趨勢已成為必然。智能網聯汽車不僅將帶來汽車行業的重大變革,也將會改變人類的駕駛習慣和生活方式。為推動智能網聯汽車行業發展,不斷推動和完善與智能網聯汽車有關的立法是核心要素之一。今后的立法會越來越規范,而監管部門的執法可能會趨嚴。為應對這種挑戰,智能網聯企業在設定其數據合規體系時應按目前法律法規、標準中偏嚴的規定執行。在數據合規組織架構的構建方面,首先,企業應完整設立法律法規要求和標準推薦的所有的數據合規組織機構;其次,在法律法規、標準規定企業的數據業務觸碰特定條件才需設定相應組織機構的情況下,企業如果預判未來可能觸碰該等條件的,可提前設立相應的數據合規組織機構。這種對數據合規組織架構趨嚴的設定一方面可以讓企業對可能發生的事件未雨綢繆,另一方面也可提前完成自身完整的數據合規組織架構的構建。
6. 數據合規職責設定和人員搭配
如前所述,汽車企業首先應基于專業性原則委任數據合規的負責人和組建數據合規團隊。鑒于數據合規(包括網絡安全合規)涉及企業諸多部門,在常設數據合規團隊成員的基礎上,可以由各部門(包括但不限于法務、合規、IT、研發、制造、銷售、人事和財務等部門)的代表組成數據合規工作委員會,定期討論和決定數據合規的日常事務,各部門形成合力,共同推進企業數據合規工作的順利開展。企業可以區分專業門類分別委任網絡安全負責人和數據安全負責人,亦可只委托一名管理人員同時擔任網絡安全和數據安全的負責人。由于法律法規未禁止企業委任企業外部人員擔任數據合規的負責人,企業既可選擇由內部人員也可選擇由外部人員擔任數據合規的負責人。兩種選擇各有優缺點,內部人員更了解組織與業務情況,能夠更快地開展工作并與其他部門間協調工作,但在處理與自己負責的專業門類的數據合規事項時可能存在利益沖突;委外人員可能專業水準更高,對法律法規的認知更準,與監管溝通更順暢,且與企業內部無利益沖突,但由于其不熟悉業務特征和內部流程,可能影響到數據合規工作的效率和溝通成本。當然,企業可以根據自己的實際情況決定對企業最合適的數據合規負責人來源。
(三)其他
需要說明的是,汽車企業合規組織的搭建是一個系統工程,沒有統一的標準,尤其是關于組織架構的具體設定和權利分配、匯報條線、職責設定,不同的企業可能各有側重。另外,由于汽車行業特別是有關智能網聯汽車相關的技術仍在不斷演進,與之相關的立法也會相應更新和調整,車企應結合自身實際和最新的法律法規規定和監管部門的最新要求實時調整數據合規組織架構,企業亦可尋求在汽車數據合規領域的外部專家資源的幫助,以確保其包括組織架構在內的數據合規體系符合法律法規的規定和監管要求。
[1] 丁原鳳《對網絡安全負責人崗位的思考》,載于《中國信息安全》雜志2019年第2期。
[2] 丁原鳳《對網絡安全負責人崗位的思考》,載于《中國信息安全》雜志2019年第2期。
[3] 《工業和信息化領域數據安全管理辦法(試行)》
第十三條 工業和信息化領域數據處理者應當對數據處理活動負安全主體責任,對各類數據實行分級防護,不同級別數據同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護,確保數據持續處于有效保護和合法利用的狀態。
(一)建立數據全生命周期安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程;
(二)根據需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理,協助行業監管部門開展工作;
…………
工業和信息化領域重要數據和核心數據處理者,還應當:
(一)建立覆蓋本單位相關部門的數據安全工作體系,明確數據安全負責人和管理機構,建立常態化溝通與協作機制。本單位法定代表人或者主要負責人是數據安全第一責任人,領導團隊中分管數據安全的成員是直接責任人;
(二)明確數據處理關鍵崗位和崗位職責,并要求關鍵崗位人員簽署數據安全責任書,責任書內容包括但不限于數據安全崗位職責、義務、處罰措施、注意事項等內容;
…………
[4] 《個人信息保護法》第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
[5] 《個人信息保護法》第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
[6] 朱巍“《兒童個人信息網絡保護規定》解讀”,載于《中國信息安全》雜志2019年第10期。
[7] 《兒童個人信息網絡保護規定》第八條 網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。
[8]《汽車數據安全管理若干規定(試行)》第十三條 汽車數據處理者開展重要數據處理活動,應當在每年十二月十五日前向省、自治區、直轄市網信部門和有關部門報送以下年度汽車數據安全管理情況:
(一)汽車數據安全管理負責人、用戶權益事務聯系人的姓名和聯系方式;
…………
[9] 《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》二、加強數據和網絡安全管理
(一)強化數據安全管理能力。企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,明確責任部門和負責人。
[10] 《汽車數據安全管理若干規定(試行)》第一條 為了規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》等法律、行政法規,制定本規定。
[11] Art. 37 GDPR Designation of the data protection officer:
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.
[12] Art. 37 GDPR Designation of the data protection officer:
5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.
6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.
[13] Art. 37 GDPR Designation of the data protection officer:
2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.
[14] Art. 37 GDPR Designation of the data protection officer:
7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.
[15] Art. 39 GDPR Tasks of the data protection officer
[16] Art. 38 GDPR Position of the data protection officer
6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.
[17] 《信息安全技術 個人信息安全規范》11.1 明確責任部門與人員
對個人信息控制者的要求包括:
a) ......
b) 應任命個人信息保護負責人和個人信息保護工作機構,個人信息保護負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任,參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作;
