智能網聯汽車數據合規體系構建解析及建議(系列五)—從車企內部制度建設視角
作者:毛衛飛 楊軍 2023-02-14智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置,并融合現代通信與網絡技術,實現車與車、路、人、云端等智能信息交換、共享,具備復雜環境感知、智能決策、協同控制等功能,可實現“安全、高效、舒適、節能”行駛的新一代汽車。在智能網聯汽車產業快速發展的同時,如果車聯網存在漏洞或遭遇計算機病毒、網絡攻擊、網絡侵入,其可能導致智能網聯汽車企業(“車企”)遭受難以估量的損失。為規制上述風險,工信部印發了《關于加強智能網聯汽車生產企業及產品準入管理的意見》(“《準入意見》”),對車企強化數據安全管理能力并加強網絡安全保障能力做出了規定。
我們撰寫的智能網聯汽車數據合規體系構建解析及建議的系列文章已分別從車企數據合規組織架構、網絡數據安全事件應急預案、數據分類分級以及數據出境等視角出發,對智能網聯汽車數據合規體系的構建進行了分析、解讀并嘗試提出了若干建議。本文(系列五)擬繼續在智能網聯汽車數據合規體系構建的框架下,從智能網聯汽車企業(“車企”)制度建設的視角,梳理和分析相關法律法規對車企提出的建章立制的要求,并提出若干建議,供相關人士參考。
一、車企建立網絡安全制度流程的義務
(一) 與網絡安全相關的規定 1.《網絡安全法》要求的制度流程及法律責任 制度流程 1) 內部網絡安全管理制度和操作規程 根據《網絡安全法》第二十一條,網絡運營者應履行的網絡安全保護義務之一是“制定內部安全管理制度和操作規程”,以“保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”。 2) 網絡安全事件應急預案 根據《網絡安全法》第二十五條,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。 3) 用戶信息保護制度 根據《網絡安全法》第四十條,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。 4) 網絡信息安全投訴、舉報制度 根據《網絡安全法》第四十九條,網絡運營者應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴和舉報”。 法律責任 車企若未按照《網絡安全法》規定制定內部安全管理制度和操作規程及網絡安全事件應急預案,從行政責任角度,車企將承擔《網絡安全法》第五十九條規定的法律責任由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。 《網絡安全法》并未直接針對網絡運營者未履行建立健全用戶信息保護制度及網絡信息安全投訴、舉報制度義務設定直接的罰則,在實際操作中監管部門可以根據本法第七十一條追究企業的法律責任依照有關法律、行政法規的規定記入信用檔案,并予以公示。 車企未履行《網絡安全法》關于建立上述制度流程的義務并給他人造成損害的,應依法承擔民事責任。違反《網絡安全法》規定(不履行建立相關制度流程義務為違反本法的一種情形),構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任(如根據《刑法》第286條追究刑事責任)。[1] 2. 《關于加強車聯網網絡安全和數據安全工作的通知》(“《網安和數安工作通知》”)要求的制度流程及法律責任 制度流程 1) 網絡安全和數據安全管理制度 根據《網安和數安工作通知》第(一)條的規定,智能網聯汽車生產企業要建立網絡安全和數據安全管理制度,明確負責人和管理機構,落實網絡安全和數據安全保護責任,作為對相關企業(包括車企)落實網絡安全和數據安全的基本要求。 2) 網絡安全事件應急預案 根據《網安和數安工作通知》第(八)條的規定,智能網聯汽車生產企業要建立網絡安全應急響應機制,制定網絡安全事件應急預案,定期開展應急演練,及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照《公共互聯網網絡安全突發事件應急預案》等規定向有關主管部門報告。該條規定車企加強車聯網網絡安全防護的義務之一。 3) 車聯網應用程序開發、上線、使用、升級等安全管理制度 根據《網安和數安工作通知》第(十二)條的規定,智能網聯汽車生產企業要建立車聯網應用程序開發、上線、使用、升級等安全管理制度,提升應用程序身份鑒別、通信安全、數據保護等安全能力。加強車聯網應用程序安全檢測,及時處置安全風險,防范惡意應用程序攻擊和傳播。該條規定是加強車聯網服務平臺安全防護的重要措施之一。 法律責任 《網安和數安工作通知》是工信部為推進實施《新能源汽車產業發展規劃(2021-2035年)》、加強車聯網網絡安全和數據安全管理工作,就車聯網安全和數據安全向相關方發送的有關事項的通知,不是一個正式的行政規章,并未設定相關方違反網絡安全保護義務應承擔的法律責任。 3. 《關于加強智能網聯汽車生產企業及產品準入管理的意見》(“《準入意見》”)要求車企建立如下網絡安全制度流程: 汽車網絡安全管理制度 根據《準入意見》第(二)條,企業應當建立汽車網絡安全管理制度,依法落實網絡安全等級保護制度和車聯網卡實名登記管理要求,明確網絡安全責任部門和負責人。 為實現上述目標,車企應確保具備保障汽車電子電氣系統、組件和功能免受網絡威脅的技術措施,具備汽車網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件,確保車輛及其功能處于被保護的狀態,保障車輛安全運行。依法依規落實網絡安全事件報告和處置要求。 法律責任 《準入意見》是工信部為維護公民生命、財產安全和公共安全,促進智能網聯汽車產業健康可持續發展,根據《道路交通安全法》《網絡安全法》《數據安全法》《道路機動車輛生產企業及產品準入管理辦法》等規定,提出的加強車企和產品準入管理的意見,并未設定相關方違反網絡安全保護義務應承擔的法律責任。 (二)評析 網絡安全管理義務是智能網聯車企應依法履行的重要合規義務之一,違反該義務將導致企業可能承擔相應的行政、民事和刑事法律責任[2]。確保企業履行網絡安全管理義務的措施之一是建立健全并嚴格執行企業內部網絡安全管理制度,而內部網絡安全管理制度的缺位或薄弱可能導致企業發生網絡安全事故并被監管部門處罰,企業的聲譽和形象也會因此遭受重創。 《網絡安全法》從網絡運營安全和網絡信息安全角度要求網絡運營者制定相應的內部安全管理制度和操作規程,建立和健全用戶信息保護制度,并建立網絡信息安全投訴和舉報制度,同時對于未履行網絡安全保護義務的行為規定了相應的法律責任。《網安和數安工作通知》和《準入意見》重申了智能網聯車企應建立和健全《網絡安全法》要求的網絡安全管理制度和網絡安全應急響應機制。 前述規定均未明確相關制度的具體的內容和要求,智能網聯車企可參考其他相關法規和標準并結合企業自身情況相應建立和健全前述法規要求的相關制度。 就網絡安全管理制度,我們理解,車企應優先制定關于網絡安全工作的頂層設計文件,說明本企業網絡安全管理工作的總體目標、范圍、原則、安全框架及負責人,彰顯企業管理層建立網絡安全管理制度體系的積極態度。在制定前述文件之后,車企可進一步制定網絡安全的相應具體制度,例如,網絡安全組織管理制度、人員管理制度、文件管理制度、違反網絡安全管理的內部懲戒措施等。 就網絡安全事件應急預案,建議可以參考《應急響應計劃規范》的相關內容。需要注意的是,該國標發布于2009年,可能需要根據《網絡安全法》以及相關配套法規作出相應調整。 如果涉及車聯網服務平臺運營企業,需要同時按照《公共互聯網網絡安全突發事件應急預案》制定其突發事件應急預案,并報工業和信息化部備案。 就用戶信息保護制度,《網絡安全法》僅做了原則性的要求,但我們理解,對車企而言,其用戶即為其車主或者消費者/客戶,用戶的信息主要是個人信息。基于此,我們建議車企將其在《網絡安全法》項下建立用戶信息保護制度的義務整合到其滿足《個人信息保護法》項下的合規義務之中。關于車企應根據《網絡安全法》建立用戶信息保護制度的合規義務我們將在下文討論,但有一點是明確的,即智能網聯車企應按照個人信息保護相關法規的要求建立和健全個人信息保護制度。 就網絡信息安全投訴、舉報制度,我們理解,為確保車企的網絡運行安全,杜絕、防范和懲治違反網絡安全的不合規事項,車企應根據《網絡安全法》等有關法律法規和規范性文件,制定網絡信息安全投訴、舉報制度。車企應當明確負責處理本單位網絡信息安全舉報事項的機構,并在官方網站公布處理投訴、舉報事項機構的辦公電話、微信公眾號、電子郵件等聯系方式,及時受理并處置有關網絡信息安全的投訴和舉報。另外,該等投訴、舉報制度亦可整合在車企的網絡安全管理制度之中,作為網絡安全管理制度的一個章節,這樣做的好處是一方面可以保證車企履行《網絡安全法》項下建立網絡信息安全投訴、舉報制度的義務,也可保證在車企、車企職能部門、管理層員工違反網絡安全管理制度時有合適的投訴、舉報渠道,并保證了網絡安全管理制度的完整性。 (三) 小結 作為智能網聯車企,應按照《網絡安全法》的規定,按照相關法規和標準,結合企業自身業務中涉及的網絡安全情況,建立和健全內部網絡安全管理制度和操作規程、網絡安全事件應急預案、用戶信息保護制度以及網絡信息安全投訴、舉報制度等相關內控制度,同時采取相應的技術措施,以積極履行《網絡安全法》等相關法律法規規定的網絡安全管理義務,為企業的長治久安提供網絡安全管理方面的制度保障。
二、車企建立數據安全制度流程的義務
(一) 與數據安全相關的規定 1.《數據安全法》要求的制度流程及法律責任 全流程數據安全管理制度 根據《數據安全法》第二十七條,數據處理者開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。 法律責任 根據《數據安全法》第四十五條之規定,如車企開展數據處理活動未按照該法第二十七條規定建立健全全流程數據安全管理制度的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令車企暫停相關業務、停業整頓、吊銷車企相關業務許可證或者吊銷車企營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。 如果車企未按照該法第二十七條第規定建立健全全流程數據安全管理制度,導致車企違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。 2. 《網絡數據安全管理條例(征求意見稿)》[3]要求的制度流程及法律責任 1) 數據安全管理制度 規定 第六條:數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求,建立完善數據安全管理制度和技術保護機制。 法律責任 征求意見稿并未對數據處理者違反此項規定設定直接對應的罰則,但如果車企未按第六條的規定建立完善數據安全管理制度和技術保護機制,屬于違反正式發布實施的條例規定的行為,若因此給他人造成損害的,車企可能依第七十條的規定承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。 2) 個人信息處理規則[4] 3) 數據相關的平臺規則、隱私政策和算法策略披露制度 規定 第四十三條:互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。 法律責任 根據第六十七條的規定,互聯網平臺運營者違反第四十三條的規定,由有關部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。 需要注意的是,于車企而言,本法第六十七條的規定適用于既從事汽車制造銷售又提供互聯網平臺服務的車企,但不適用于不提供互聯網平臺服務的車企。 3. 《工業和信息化領域數據安全管理辦法(試行)》要求數據處理者建立如下制度流程: 1) 數據全生命周期安全管理制度 規定 第十三條:工業和信息化領域數據處理者應當建立數據全生命周期安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程。 法律責任 對于違反第十三條規定“應當建立數據全生命周期安全管理制度”而未建立的行為,管理辦法并未一一對應設定專門的罰則,而是適用第三十六條的概括性規定,即有違反本辦法規定行為的,由行業監管部門按照相關法律法規,根據情節嚴重程度給予沒收違法所得、罰款、暫停業務、停業整頓、吊銷業務許可證等行政處罰;構成犯罪的,依法追究刑事責任。 2) 數據銷毀制度 規定 第二十條:工業和信息化領域數據處理者應當建立數據銷毀制度,明確銷毀對象、規則、流程和技術等要求,對銷毀活動進行記錄和留存。個人、組織按照法律規定、合同約定等請求銷毀的,工業和信息化領域數據處理者應當銷毀相應數據。 法律責任 與前述分析一樣,違反第二十條規定未建立數據銷毀制度的,由行業監管部門按照相關法律法規,根據情節嚴重程度給予沒收違法所得、罰款、暫停業務、停業整頓、吊銷業務許可證等行政處罰;構成犯罪的,依法追究刑事責任。 4. 《關于加強車聯網網絡安全和數據安全工作的通知》(“《網安和數安工作通知》”)要求數據處理者建立如下制度流程: 網絡安全和數據安全管理制度 根據《網安和數安工作通知》第(一)條的規定,智能網聯汽車生產企業要建立網絡安全和數據安全管理制度,明確負責人和管理機構,落實網絡安全和數據安全保護責任,作為對相關企業(包括車企)落實網絡安全和數據安全的基本要求。 法律責任 如前所述,《網安和數安工作通知》是工信部為推進實施《新能源汽車產業發展規劃(2021-2035年)》、加強車聯網網絡安全和數據安全管理工作,就車聯網安全和數據安全向相關方發送的有關事項的通知,不是一個正式的行政規章,并未設定相關方違反數據安全保護義務應承擔的法律責任。 (二)評析 1.關于數據安全管理制度 如上所述,《數據安全法》《網絡數據安全管理條例(征求意見稿)》及工信部發布的與數據安全管理相關的管理辦法、通知對數據處理者應建立的相關制度流程做出了規定,集中體現在要求數據處理者建立和完善數據管理制度/數據全生命周期安全管理制度,但并未明確該等數據安全管理制度應包含哪些元素和具備哪些內容。 2. 建議的數據安全管理制度及內容 《汽車數據安全管理若干規定(試行)》雖然未對車企提出建立具體的制度規則要求,但對車企處理汽車數據的全流程安全管理做出了規定,車企可以《汽車數據安全管理若干規定(試行)》作為主要根據,再結合《數據安全法》及與汽車數據安全管理相關的國家和行業標準,制定車企的數據全生命周期數據安全管理制度,該管理制度包括如下基本原則: a) 處理汽車數據應當合法、正當、具體、明確,與汽車的設計、生產、銷售、使用、運維等直接相關。 b) 依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。如利用互聯網等信息網絡開展汽車數據處理活動,應當落實網絡安全等級保護等制度。 c) 明確數據安全負責人和管理機構,落實數據安全保護責任。 d) 按照國家、地區、部門確定的數據分類分級保護制度,確定車企的分級分類制度和重要數據具體目錄,對列入目錄的數據進行重點保護。 e) 在開展汽車數據處理活動中應堅持:(1)車內處理原則,除非確有必要不向車外提供;(2)默認不收集原則,除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態;(3)精度范圍適用原則,根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率;(4)脫敏處理原則,盡可能進行匿名化、去標識化等處理。 f) 處理個人信息應當通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式,告知個人以下事項:(1)處理個人信息的種類,包括車輛行蹤軌跡、駕駛習慣、音頻、視頻、圖像和生物識別特征等;(2)收集各類個人信息的具體情境以及停止收集的方式和途徑;(3)處理各類個人信息的目的、用途、方式;(4)個人信息保存地點、保存期限,或者確定保存地點、保存期限的規則;(5)查閱、復制其個人信息以及刪除車內、請求刪除已經提供給車外的個人信息的方式和途徑;(6)用戶權益事務聯系人的姓名和聯系方式;(7)法律、行政法規規定的應當告知的其他事項。 g) 處理個人信息應當取得個人同意或者符合法律、行政法規規定的其他情形。因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等。 h) 處理敏感個人信息,應當符合以下要求或者符合法律、行政法規和強制性國家標準等其他要求:(1)具有直接服務于個人的目的,包括增強行車安全、智能駕駛、導航等;(2)通過用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響;(3)應當取得個人單獨同意,個人可以自主設定同意期限;(4)在保證行車安全的前提下,以適當方式提示收集狀態,為個人終止收集提供便利;(5)個人要求刪除的,汽車數據處理者應當在十個工作日內刪除。 i) 開展重要數據處理活動,應當按照規定開展風險評估,并向省、自治區、直轄市網信部門和有關部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量、范圍、保存地點與期限、使用方式,開展數據處理活動情況以及是否向第三方提供,面臨的數據安全風險及其應對措施等。 j) 重要數據應當依法在境內存儲,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估。 k) 車企具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特征信息。 l) 按照國家主管部門的要求建立汽車數據安全應急處置機制。發生汽車數據安全事件,配合有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。 m) 建立數據銷毀制度(尚需細化),明確銷毀對象、規則、流程和技術等要求,對銷毀活動進行記錄和留存。 n) 建立投訴舉報渠道,設置便捷的投訴舉報入口,及時處理用戶投訴舉報。 車企在制定企業數據安全管理規定時,亦可參考以下標準的要求: 《信息安全技術 汽車數據處理安全要求》(GB/T 41871 - 2022)(2023年5月1日生效)規定了汽車數據處理者對汽車數據進行收集、傳輸等處理活動的通用安全要求、車外數據安全要求、座艙數據安全要求和管理安全要求。智能網聯車企可參考該推薦性國標的要求相應制定本企業的數據安全管理規定。 《汽車采集數據處理安全指南》(TC260-001)(2021年10月8日生效)對于汽車采集數據的類型、傳輸要求、存儲要求、數據出境要求和其他要求作出了規定。就汽車采集數據,汽車制造商在制定數據安全管理制度過程中可參考該指南的要求。 (三)小結 《數據安全法》等法律規定要求數據處理者建立和完善數據安全管理制度。智能網聯車企作為數據處理者應按照《數據安全法》等法律規定,參考《信息安全技術 汽車數據處理安全要求》(GB/T 41871 - 2022)等相關國家標準和技術指南,結合自身企業的情況,建立并不斷健全和完善企業數據安全管理制度。
三、車企建立個人信息保護制度流程的義務
(一)規定 1. 《個人信息保護法》項下的制度流程及法律責任 制度流程 1) 個人信息處理規則 根據《個人信息保護法》第七條,處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。 2) 未成年人個人信息處理規則 根據《個人信息保護法》第三十一條,個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。 3) 個人信息安全事件應急預案 根據《個人信息保護法》第五十一條,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,制定內部管理制度和操作規程;制定并組織實施個人信息安全事件應急預案。 法律責任 如個人信息處理者(車企)未按《個人信息保護法》的上述規定建立相應的制度,即處理個人信息未履行本法規定的個人信息保護義務的,將承擔如下法律責任: 1) 行政責任 由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。 依照有關法律、行政法規的規定記入信用檔案,并予以公示。 構成違反治安管理行為的,依法給予治安管理處罰。 2) 民事責任 侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。 3) 刑事責任 構成犯罪的,依法追究刑事責任。 2. 《兒童個人信息網絡保護規定》 制度流程 1) 兒童個人信息保護規則 第八條:網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。 2) 應急預案 第二十一條:網絡運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的,應當立即啟動應急預案,采取補救措施;造成或者可能造成嚴重后果的,應當立即向有關主管部門報告,并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人,難以逐一告知的,應當采取合理、有效的方式發布相關警示信息。 法律責任 若違反上述規定的,由網信部門和其他有關部門依據職責,根據《網絡安全法》和《互聯網信息服務管理辦法》等相關法律法規規定處理;構成犯罪的,依法追究刑事責任。 違反本規定被追究法律責任的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。 3. 《網絡數據安全管理條例(征求意見稿)》 個人信息處理規則 規定 根據《網絡數據安全管理條例(征求意見稿)》第二十條,數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。 法律責任 根據《網絡數據安全管理條例(征求意見稿)》第六十一條,數據處理者(車企)不履行第二十條規定的數據安全保護義務的,由有關部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 有前款規定的違法行為,情節嚴重的,由有關部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。 (二) 評析 《個人信息保護法》對個人信息處理者提出了建立個人信息處理規則、未成年人個人信息處理規則、個人信息安全事件應急預案的要求;《兒童個人信息網絡保護規定》對個人信息處理者提出了建立專門的兒童個人信息保護規則和應急預案的要求;《網絡數據安全管理條例(征求意見稿)》對個人信息處理者提出了建立個人信息處理規則的要求。 1.車企可結合《個人信息保護法》并參考《網絡數據安全管理條例(征求意見稿)》關于個人信息處理規則的相關規定建立車企的個人信息處理規則并嚴格遵守。個人信息處理規則應當包括但不限于以下內容: a) 依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響; b) 個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式; c) 個人查閱、復制、更正、刪除、限制處理、轉移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法; d) 以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則; e) 向第三方提供個人信息情形及其目的、方式、種類,數據接收方相關信息等; f) 個人信息安全風險及保護措施; g) 個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯系方式。 2. 就未成年人個人信息處理規則,車企作為個人信息處理者應按照《個人信息保護法》第二十八條的規定將不滿十四周歲未成年人的個人信息歸類于敏感個人信息,并對未成年人的個人信息實施特別的處理原則,即只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,車企方可處理未成年人的個人信息。 車企可參照《個人信息保護法》中對未成年人個人信息保護的特別規定及《兒童個人信息網絡保護規定》的相關規定,制定專門的個人信息處理規則,主要的規則內容如下: a) 在處理未成年人的個人信息前,應向未成年人的父母或者其他監護人告知處理未成年人的個人信息的必要性以及對未成年人權益的影響,并應當取得未成年人的父母或者其他監護人的同意。 b) 指定專人負責未成年人個人信息保護。 c) 征得同意時,同時提供拒絕選項,并明確告知收集、存儲、使用、轉移、披露未成年人個人信息的目的、方式和范圍以下事項、投訴、舉報的渠道和方式、投訴、舉報的渠道和方式等相關內容。 d) 已告知事項發生實質性變化的,再次征得未成年人的父母或者其他監護人的同意。 e) 不得收集與其提供的服務無關的未成年人的個人信息,不得違反法律、行政法規的規定和雙方的約定收集未成年人的個人信息。 f) 對工作人員應當以最小授權為原則,嚴格設定信息訪問權限,控制未成年人個人信息知悉范圍。 g) 委托第三方處理未成年人個人信息的,應當對受委托方及委托行為等進行安全評估,簽署委托協議,明確雙方責任、處理事項、處理期限、處理性質和目的等,委托行為不得超出授權范圍。 h) 向第三方轉移未成年人個人信息的,應當自行或者委托第三方機構進行安全評估。 i) 法律法規要求的其他內容。 3. 車企可參考《信息安全技術 個人信息安全規范》(GB/T 35273-2020)(“《個人信息安全規范》”)關于個人信息安全事件應急預案的規定制定車企的個人信息安全事件應急預案,主要內容包括: a) 車企應制定個人信息安全事件應急預案; b) 車企應定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規程; c) 發生個人信息安全事件后,車企應根據應急響應預案進行以下處置:(略) d) 車企應根據相關法律法規變化情況,以及事件處置情況,及時更新應急預案。 在發生個人信息安全事件時,車企應根據應急預案進行如下處置: a) 及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應采取合理、有效的方式發布與公眾有關的警示信息。 b) 告知內容應包括但不限于:安全事件的內容和影響、已采取或將要采取的處置措施、個人信息主體自主提供的補救措施、車企的個人信息保護負責人和個人信息保護工作機構的聯系方式。 另外,車企亦可參考《信息安全技術 信息安全應急響應計劃規范》(GB/T 24363-2009)(“《應急響應計劃規范》”)的相關體例、格式規范、篇章結構及具體條款制定車企的個人信息安全事件應急預案。雖然《應急響應計劃規范》并非針對個人信息安全事件的專門規范,但我們理解,個人信息安全事件亦為該國標規定的信息安全事件中的一類,其中的大部分規則均可適用于個人信息保護,亦可援引作為車企制定的應急預案相關條款的內容。 (三) 小結 從個人信息保護角度,作為處理大量個人信息的智能網聯車企,應按照《個人信息保護法》《兒童個人信息網絡保護規定》《個人信息安全規范》及其他相關法律法規、標準的要求,建立(1) 個人信息處理規則;(2) 兒童個人信息保護規則;和(3)個人信息安全事件應急預案。 車企在制定前述內部制度的過程中,除應嚴格遵守《個人信息保護法》和《兒童個人信息網絡保護規定》的相關規定外,還可參考《網絡數據安全管理條例(征求意見稿)》《個人信息安全規范》和《應急響應計劃規范》等相關規定和標準的相關規定和要求,以使企業制定并施行的個人信息處理規則、兒童個人信息保護規則和個人信息安全事件預案兼具合法性和可操作性。
四、總結
建立和健全數據安全管理制度是履行車企數據合規義務的重要環節之一。作為處理大量數據的智能網聯車企,應建立健全包括網絡安全管理制度、數據安全管理制度和個人信息保護制度在內的內控制度和流程,并輔之以相應的技術措施和支持,方可能打造真正符合日益強化的監管要求和滿足消費者要求的產品,同時達成社會效益和經濟效益、企業短期收益和長遠利益的平衡。
注釋 [1] 《刑法》第286條規定了拒不履行信息網絡安全管理義務罪。該罪指網絡服務者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;或致使用戶信息泄露,造成嚴重后果的;或者致使刑事案件證據滅失,情節嚴重的;或者具有其他嚴重情節的行為。 [2]《刑法》第286條規定了拒不履行信息網絡安全管理義務罪。該罪指網絡服務者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;或致使用戶信息泄露,造成嚴重后果的;或者致使刑事案件證據滅失,情節嚴重的;或者具有其他嚴重情節的行為。 [3] 雖然《網絡數據安全管理條例(征求意見稿)》尚未正式發布施行,但其規定代表了作為行業主管部門的工信部的立法導向,正式發布施行的條例應會包含本征求意見稿的大部分內容。基于此,我們在分析車企在數據合規體系下需建立的制度規則時將本征求意見稿一并納入討論。 [4] 根據本文的體例,有關個人信息保護及相應的法律責任將在下一部份的個人信息保護專章分析,因此,《網絡數據安全管理條例(征求意見稿)》項下的“個人信息處理規則”及相應的法律責任也將放在下一部份的個人信息保護分析。
