智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系構(gòu)建解析及建議(系列四)—從數(shù)據(jù)出境視角
作者:楊軍 2023-01-19近年來,隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,數(shù)據(jù)跨境活動(dòng)日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長(zhǎng),特別是隨著我國(guó)整車出口蓬勃發(fā)展,汽車企業(yè)跨境數(shù)據(jù)轉(zhuǎn)移不可避免。2022年,中國(guó)車企出口突破300萬輛,達(dá)到311.1萬輛,同比增長(zhǎng)54.4%,有效拉動(dòng)行業(yè)整體增長(zhǎng)。新能源汽車成為了當(dāng)之無愧的增長(zhǎng)引擎,2022年全年新能源乘用車出口量為67.9萬輛,同比增長(zhǎng)1.2倍。[1]同時(shí),由于不同國(guó)家和地區(qū)法律制度、保護(hù)水平參差不齊,數(shù)據(jù)出境安全風(fēng)險(xiǎn)也相應(yīng)凸顯。數(shù)據(jù)跨境活動(dòng)既影響個(gè)人信息權(quán)益,又關(guān)系國(guó)家安全和社會(huì)公共利益。世界上許多國(guó)家和地區(qū)相繼從本國(guó)、本地區(qū)實(shí)際出發(fā),對(duì)數(shù)據(jù)跨境安全管理作了制度探索。國(guó)家網(wǎng)信辦發(fā)布并于2022年9月1日生效的《數(shù)據(jù)出境安全評(píng)估辦法》(“評(píng)估辦法”)就是落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》有關(guān)數(shù)據(jù)出境規(guī)定的重要舉措。
本文意在解析與智能網(wǎng)聯(lián)汽車企業(yè)(“車企”)數(shù)據(jù)出境相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)的相關(guān)規(guī)定,分析該等法律法規(guī)、標(biāo)準(zhǔn)對(duì)車企數(shù)據(jù)出境的要求,并為車企建立數(shù)據(jù)出境合規(guī)流程提出初步建議,供業(yè)內(nèi)同行參考。
一、車企數(shù)據(jù)出境的法律法規(guī)概述
根據(jù)《數(shù)據(jù)安全法》之規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定[2]。鑒于車企不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者[3],因此,關(guān)于車企在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,不適用關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的相關(guān)規(guī)定,而應(yīng)參照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的相關(guān)規(guī)定執(zhí)行。 根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定,個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)具備下列條件之一:(1)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;(2)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;(3)按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同;(4)法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。[4]另外,根據(jù)該法第五十五條,在向境外提供個(gè)人信息之前,企業(yè)還應(yīng)開展個(gè)人信息保護(hù)影響評(píng)估。 國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合公布了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(“若干規(guī)定”),作為規(guī)范汽車數(shù)據(jù)出境的專項(xiàng)規(guī)定。根據(jù)若干規(guī)定,汽車數(shù)據(jù),包括汽車設(shè)計(jì)、生產(chǎn)、銷售、使用、運(yùn)維等過程中的涉及個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)(包括涉及個(gè)人信息主體超過10萬人的個(gè)人信息)。據(jù)此,汽車數(shù)據(jù)的出境包括個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)的出境。若干規(guī)定對(duì)數(shù)據(jù)的出境的規(guī)定為:重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲(chǔ),因業(yè)務(wù)需要確需向境外提供的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的安全評(píng)估。未列入重要數(shù)據(jù)的涉及個(gè)人信息數(shù)據(jù)的出境安全管理,適用法律、行政法規(guī)的有關(guān)規(guī)定。[5] 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》(“評(píng)估辦法”)對(duì)數(shù)據(jù)出境的安全評(píng)估的條件做出了相應(yīng)規(guī)定。車企向境外提供數(shù)據(jù)(對(duì)車企而言,此處的數(shù)據(jù)包括汽車數(shù)據(jù)和非汽車數(shù)據(jù)),有下列情形之一的,應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個(gè)人信息;(3)自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息;(4)國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。[6]為保證車企數(shù)據(jù)的完整性,在分析評(píng)估辦法對(duì)車企數(shù)據(jù)出境的規(guī)制時(shí)應(yīng)統(tǒng)籌考慮汽車數(shù)據(jù)和非汽車數(shù)據(jù)。 2022年6月30日,國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》(“標(biāo)準(zhǔn)合同規(guī)定”)并附上了《個(gè)人信息出境標(biāo)準(zhǔn)合同》樣本(“標(biāo)準(zhǔn)合同”)。標(biāo)準(zhǔn)合同規(guī)定對(duì)于個(gè)人信息處理者的權(quán)利義務(wù)、境外接收方的權(quán)利義務(wù)、境外接收方當(dāng)?shù)貍€(gè)人信息保護(hù)政策法規(guī)對(duì)于標(biāo)準(zhǔn)合同規(guī)定的影響、個(gè)人信息主體的權(quán)利、救濟(jì)、違約責(zé)任及適用法律與爭(zhēng)議解決均作出了詳細(xì)的規(guī)定。雖然標(biāo)準(zhǔn)合同規(guī)定尚未正式發(fā)布生效,但其內(nèi)容已較為完整,車企在進(jìn)行數(shù)據(jù)出境活動(dòng)時(shí)可以參考適用。 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)( “信安標(biāo)委”) 于2022年6月發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南--個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范(v1.0-202206)(“《認(rèn)證規(guī)范v1.0》”),成為首個(gè)探索個(gè)人信息跨境處理活動(dòng)認(rèn)證制度,并且為《個(gè)人信息保護(hù)法》第三十八條項(xiàng)下的“個(gè)人信息保護(hù)認(rèn)證制度”提供了落地支撐。
二、車企數(shù)據(jù)出境的流程
(一)個(gè)人信息出境的前置程序 對(duì)于個(gè)人信息數(shù)據(jù),無論是否達(dá)成法律法規(guī)規(guī)定的數(shù)據(jù)出境的安全評(píng)估條件及是否需要啟動(dòng)數(shù)據(jù)出境安全評(píng)估,在進(jìn)行個(gè)人信息出境活動(dòng)前,車企均應(yīng)首先滿足以下三點(diǎn)基本要求: 1.車企應(yīng)當(dāng)告知個(gè)人信息主體下述信息: (1)個(gè)人信息處理者(車企)的名稱或者姓名和聯(lián)系方式;個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類、保存期限;以及個(gè)人信息主體可向個(gè)人信息處理者行使《個(gè)人信息保護(hù)法》規(guī)定權(quán)利的方式和程序;[7] (2)境外接收方的名稱或者姓名、聯(lián)系方式;處理目的、處理方式、處理的個(gè)人信息種類;以及個(gè)人信息主體向境外接收方行使《個(gè)人信息保護(hù)法》下規(guī)定權(quán)利的方式和程序。[8] 2.就向境外提供個(gè)人信息取得個(gè)人信息主體的單獨(dú)同意[9]。 3.在向境外提供個(gè)人信息前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估(PIPIA)。《個(gè)人信息保護(hù)法》明確規(guī)定,在向境外提供個(gè)人信息之前,企業(yè)應(yīng)開展個(gè)人信息保護(hù)影響評(píng)估。[10]個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容應(yīng)當(dāng)包括:(1)處理目的、處理方式是否合法、正當(dāng)、必要;(2)對(duì)個(gè)人權(quán)益的影響及風(fēng)險(xiǎn)程度;以及(3)所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)這三方面。同時(shí),個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理記錄應(yīng)當(dāng)至少保存三年。[11] 需要注意的是,非個(gè)人信息數(shù)據(jù)出境不適用本部分所述的前置程序。 (二)數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估 有下列情形之一的,車企應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個(gè)人信息;(3)自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息;(4)國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。根據(jù)評(píng)估辦法的規(guī)定,車企應(yīng)當(dāng)在申報(bào)數(shù)據(jù)出境安全評(píng)估前開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,重點(diǎn)評(píng)估以下事項(xiàng):(1)數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性;(2)出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn);(3)境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;(4)數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等;(5)與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同(應(yīng)為“標(biāo)準(zhǔn)合同”)或者其他具有法律效力的文件等(統(tǒng)稱“法律文件”)是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);(6)其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。 此項(xiàng)評(píng)估由企業(yè)自行啟動(dòng)和進(jìn)行,是車企數(shù)據(jù)出境安全評(píng)估的一項(xiàng)前置程序。對(duì)于有數(shù)據(jù)出境的車企而言,數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估的重要性不言而喻,是數(shù)據(jù)安全評(píng)估工作必不可少的重要環(huán)節(jié),尤其是網(wǎng)信部門在進(jìn)行數(shù)據(jù)出境安全評(píng)估時(shí),囿于評(píng)估工作量巨大,可能難以做到對(duì)提起安全評(píng)估申請(qǐng)的每一家企業(yè)均進(jìn)行現(xiàn)場(chǎng)調(diào)查,而高質(zhì)量的數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告將有助于車企在可控的時(shí)間內(nèi)順利通過網(wǎng)信部門的數(shù)據(jù)出境安全評(píng)估。 國(guó)家互聯(lián)網(wǎng)信息辦公室于2022年8月31日發(fā)布的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》(“申報(bào)指南”) 對(duì)數(shù)據(jù)出境安全評(píng)估申報(bào)方式、申報(bào)流程、申報(bào)材料等具體要求作出了說明。車企可參照申報(bào)指南的《數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告(模板)》從如下幾個(gè)方面完成自評(píng)估報(bào)告:(1)自評(píng)估工作簡(jiǎn)述:介紹車企自評(píng)估工作開展情況,包括起止時(shí)間、組織情況、實(shí)施過程、實(shí)施方式等內(nèi)容;(2)出境活動(dòng)整體情況,包括但不限于:a)車企基本情況、b)數(shù)據(jù)出境涉及業(yè)務(wù)和信息系統(tǒng)情況、c)擬出境數(shù)據(jù)情況、d)車企數(shù)據(jù)安全保障能力情況、e)境外接收方情況、f)法律文件約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的情況和g)車企認(rèn)為需要說明的其他情況;(3)擬出境活動(dòng)的風(fēng)險(xiǎn)評(píng)估情況;(4)出境活動(dòng)風(fēng)險(xiǎn)自評(píng)估結(jié)論。 需要注意的是,申報(bào)指南特別要求企業(yè)承諾自評(píng)估工作為申報(bào)之日前3個(gè)月內(nèi)完成,且至申報(bào)之日未發(fā)生重大變化。基于此,申報(bào)數(shù)據(jù)出境安全評(píng)估的車企應(yīng)注意自評(píng)估完成的時(shí)限并及時(shí)啟動(dòng)安全評(píng)估申報(bào),以避免二者時(shí)間脫節(jié)而影響后續(xù)的安全評(píng)估。 (三)數(shù)據(jù)出境安全評(píng)估 在完成數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估且自評(píng)估結(jié)果滿足出境風(fēng)險(xiǎn)評(píng)估要求的情況下,車企可通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估,并提交如下材料:(1)申報(bào)書;(2)數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告;(3)數(shù)據(jù)處理者與境外接收方擬訂立的法律文件;(4)安全評(píng)估工作需要的其他材料。[12]省級(jí)網(wǎng)信部門應(yīng)當(dāng)自收到申報(bào)材料之日起5個(gè)工作日內(nèi)完成完備性查驗(yàn)。申報(bào)材料齊全的,將申報(bào)材料報(bào)送國(guó)家網(wǎng)信部門;申報(bào)材料不齊全的,應(yīng)當(dāng)退回車企并一次性告知需要補(bǔ)充的材料。國(guó)家網(wǎng)信部門自收到申報(bào)材料之日起7個(gè)工作日內(nèi)確定是否受理評(píng)估;[13]自出具書面受理通知書之日起45個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估;情況復(fù)雜或者需要補(bǔ)充、更正材料的,可以適當(dāng)延長(zhǎng)并告知數(shù)據(jù)處理者預(yù)計(jì)延長(zhǎng)的時(shí)間[14]。 數(shù)據(jù)出境安全評(píng)估重點(diǎn)評(píng)估數(shù)據(jù)出境活動(dòng)可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn),主要包括以下事項(xiàng):一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。二是境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求。三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)。四是數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障。五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。六是遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況。七是國(guó)家網(wǎng)信部門認(rèn)為需要評(píng)估的其他事項(xiàng)。[15] 評(píng)估結(jié)果有效期屆滿或者在有效期內(nèi)出現(xiàn)評(píng)估辦法中規(guī)定重新評(píng)估情形的,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)數(shù)據(jù)出境安全評(píng)估。已經(jīng)通過評(píng)估的數(shù)據(jù)出境活動(dòng)在實(shí)際處理過程中不再符合數(shù)據(jù)出境安全管理要求的,在收到國(guó)家網(wǎng)信部門書面通知后,車企應(yīng)終止數(shù)據(jù)出境活動(dòng)。車企需要繼續(xù)開展數(shù)據(jù)出境活動(dòng)的,應(yīng)當(dāng)按照要求整改,整改完成后重新申報(bào)評(píng)估。[16] (四)其他數(shù)據(jù)出境的流程 上述“數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估”和“數(shù)據(jù)出境安全評(píng)估”所述流程為符合下述條件之一的數(shù)據(jù)出境的必經(jīng)流程:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個(gè)人信息;(3)自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息;(4)國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。 根據(jù)標(biāo)準(zhǔn)合同規(guī)定,如果個(gè)人信息處理者(車企)同時(shí)符合下列情形的,可以通過簽訂標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息:(1)非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者;(2)處理個(gè)人信息不滿100萬人的;(3)自上年1月1日起累計(jì)向境外提供未達(dá)到10萬人個(gè)人信息的;(4)自上年1月1日起累計(jì)向境外提供未達(dá)到1萬人敏感個(gè)人信息的。[17]即使如此,在向境外提供個(gè)人信息前,車企應(yīng)當(dāng)事前開展個(gè)人信息保護(hù)影響評(píng)估。[18] 對(duì)于那些既不是重要數(shù)據(jù)也不是個(gè)人信息數(shù)據(jù)的數(shù)據(jù)出境,由于沒有前置程序和審批程序要求,車企因業(yè)務(wù)需要將該等數(shù)據(jù)向境外提供的,無需進(jìn)行數(shù)據(jù)出境安全評(píng)估和簽署標(biāo)準(zhǔn)合同。即使如此,如果車企滿足其他條件需進(jìn)行出境安全評(píng)估,為謹(jǐn)慎起見,建議車企在提交申請(qǐng)時(shí)把不是重要數(shù)據(jù)和個(gè)人數(shù)據(jù)的此類數(shù)據(jù)一并提交進(jìn)行評(píng)估。另外,對(duì)于此類非重要數(shù)據(jù)和個(gè)人數(shù)據(jù)的跨境轉(zhuǎn)移,數(shù)據(jù)提供方和接收方通常會(huì)簽署一份商務(wù)合同,以規(guī)定雙方在數(shù)據(jù)跨境轉(zhuǎn)移交易中的權(quán)利義務(wù)關(guān)系。建議車企在制作這份與數(shù)據(jù)跨境轉(zhuǎn)移有關(guān)的合同時(shí)參照標(biāo)準(zhǔn)合同的相關(guān)內(nèi)容或者基于標(biāo)準(zhǔn)合同制造這份數(shù)據(jù)跨境數(shù)據(jù)轉(zhuǎn)移合同,以便該數(shù)據(jù)跨境轉(zhuǎn)移合同的內(nèi)容與標(biāo)準(zhǔn)合同相同或相近,且能夠提早為應(yīng)對(duì)監(jiān)管部門可能實(shí)施從嚴(yán)監(jiān)管做好準(zhǔn)備。
三、數(shù)據(jù)出境的其他要求
(一)對(duì)數(shù)據(jù)接收方的組織管理要求 1.規(guī)定 根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定,作為跨境數(shù)據(jù)轉(zhuǎn)移的數(shù)據(jù)接收方,其應(yīng)當(dāng)在中國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門[19]。即《個(gè)人信息保護(hù)法》對(duì)境外數(shù)據(jù)接收方設(shè)立專門機(jī)構(gòu)和指定代表沒有數(shù)量門檻限制,只要開展個(gè)人信息處理活動(dòng),符合條件申請(qǐng)出境認(rèn)證的,境外的個(gè)人信息數(shù)據(jù)接收方就應(yīng)當(dāng)在中國(guó)境內(nèi)指定個(gè)人信息保護(hù)負(fù)責(zé)人并設(shè)立個(gè)人信息保護(hù)的專門機(jī)構(gòu),不論涉及處理個(gè)人信息的主體數(shù)量多少。 另一方面,《個(gè)人信息保護(hù)法》僅規(guī)定“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人”,這里的個(gè)人信息處理者應(yīng)為跨境個(gè)人信息數(shù)據(jù)轉(zhuǎn)移活動(dòng)中的國(guó)內(nèi)數(shù)據(jù)提供方,但國(guó)家網(wǎng)信部門并未規(guī)定具體的數(shù)量標(biāo)準(zhǔn)。根據(jù)國(guó)家市監(jiān)總局和國(guó)家標(biāo)委會(huì)發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)( “《個(gè)人信息安全規(guī)范》”),滿足以下標(biāo)準(zhǔn)之一的,即應(yīng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)負(fù)責(zé)個(gè)人信息安全工作:(1)主要業(yè)務(wù)涉及個(gè)人信息處理,且從業(yè)人員規(guī)模大于200人;(2)處理超過100萬人的個(gè)人信息,或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息;(3)處理超過10萬人的個(gè)人敏感信息的。 《認(rèn)證規(guī)范v1.0》規(guī)定,開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方均應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu),履行個(gè)人信息保護(hù)義務(wù)。 2. 問題 值得注意的是,按照《個(gè)人信息安全規(guī)范》的要求,在滿足相應(yīng)的標(biāo)準(zhǔn)的情況下才需要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),而根據(jù)《認(rèn)證規(guī)范v1.0》的規(guī)定,只要開展跨境個(gè)人信息處理活動(dòng),開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方就應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu),履行個(gè)人信息保護(hù)義務(wù),不論涉及處理個(gè)人信息的主體數(shù)量多少。 3. 建議 車企在向境外提供個(gè)人數(shù)據(jù)時(shí)應(yīng)關(guān)注上述法律法規(guī)及標(biāo)準(zhǔn)關(guān)于指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu)的條件差異,為謹(jǐn)慎起見,一旦涉及向境外提供個(gè)人數(shù)據(jù),除滿足本文所述的流程外,車企可根據(jù)《認(rèn)證規(guī)范v1.0》的規(guī)定指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu),履行個(gè)人信息保護(hù)義務(wù)。另外,在與境外數(shù)據(jù)接收方簽署的數(shù)據(jù)跨境轉(zhuǎn)移合同或者標(biāo)準(zhǔn)合同中規(guī)定境外接收方應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu),以履行個(gè)人信息保護(hù)義務(wù),并把包含上述約定的合同文本作為向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估(如適用)的附件。 (二)關(guān)于跨國(guó)公司的跨境數(shù)據(jù)轉(zhuǎn)移 《認(rèn)證規(guī)范v1.0》規(guī)定,該文件作為認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)認(rèn)證的基本要求,適用于跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)。跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)可以由境內(nèi)一方申請(qǐng)認(rèn)證,并承擔(dān)法律責(zé)任。《個(gè)人信息保護(hù)法》第三條第二款規(guī)定的境外個(gè)人信息處理者,可以由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請(qǐng)認(rèn)證,并承擔(dān)法律責(zé)任。[20] 根據(jù)上述規(guī)定,國(guó)內(nèi)車企或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)可以由境內(nèi)一方申請(qǐng)認(rèn)證,并承擔(dān)法律責(zé)任。這種安排一方面可以減輕集團(tuán)各企業(yè)跨境數(shù)據(jù)轉(zhuǎn)移的合規(guī)工作負(fù)擔(dān),但另一方面也有可能加重境內(nèi)一方申請(qǐng)認(rèn)證的法律責(zé)任。在申請(qǐng)數(shù)據(jù)跨境轉(zhuǎn)移認(rèn)證時(shí),車企境內(nèi)外各實(shí)體應(yīng)彼此支持,加強(qiáng)合力,以避免申請(qǐng)認(rèn)證一方承擔(dān)由申請(qǐng)認(rèn)證導(dǎo)致的法律責(zé)任。 (三)“非典型性”數(shù)據(jù)出境行為 1.規(guī)定 根據(jù)《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》,以下情形屬于數(shù)據(jù)出境行為:(1)數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外;(2)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出;(3)國(guó)家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。 2. 問題 常規(guī)理解的數(shù)據(jù)跨境轉(zhuǎn)移為“數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外”,該種場(chǎng)景下境內(nèi)數(shù)據(jù)的提供方和境外的接收方相對(duì)確定,跨境轉(zhuǎn)移的路徑和方式可以預(yù)設(shè)或預(yù)判,而“數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出”場(chǎng)景下的數(shù)據(jù)跨境轉(zhuǎn)移發(fā)生的時(shí)間、轉(zhuǎn)移的路徑和方式較難預(yù)設(shè)或預(yù)判,存在一定的偶發(fā)性,相比前一類出境出境而言是一種“非典型性”數(shù)據(jù)出境。假定一家大型的國(guó)內(nèi)整車企業(yè)的主要業(yè)務(wù)集中在國(guó)內(nèi),按其業(yè)務(wù)體量和已經(jīng)處理的個(gè)人信息數(shù)據(jù)、個(gè)人敏感信息數(shù)據(jù)的數(shù)量,該車企應(yīng)完成數(shù)據(jù)出境安全評(píng)估才可進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移。由于其境外業(yè)務(wù)尚處于起步階段,該車企尚未進(jìn)行數(shù)據(jù)出境安全評(píng)估,如果其員工在境外商務(wù)旅行/休假期間通過該車企內(nèi)網(wǎng)鏈接查詢、調(diào)取、下載、導(dǎo)出重要數(shù)據(jù)和/或個(gè)人信息,是否違反若干規(guī)定第十一條的規(guī)定(重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲(chǔ),因業(yè)務(wù)需要確需向境外提供的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的安全評(píng)估)? 3. 建議 類似上述車企員工境外商務(wù)旅行/休假期間遠(yuǎn)程查詢、調(diào)取、下載、導(dǎo)出重要數(shù)據(jù)/個(gè)人信息的問題比較極端,但不在少數(shù),如果一律要求車企嚴(yán)格遵照法律法規(guī)的規(guī)定執(zhí)行對(duì)車企可能并不公平,實(shí)操上也做不到。我們建議車企一方面在建立自己的數(shù)據(jù)合規(guī)體系時(shí)盡量預(yù)判所有“非典型性”場(chǎng)景,設(shè)置合適的流程規(guī)制可能出現(xiàn)的不合規(guī)事件;另一方面在出現(xiàn)或可能出現(xiàn)某些無法預(yù)判、實(shí)操上也很難做到的需要完成前置審批流程的“非典型性”數(shù)據(jù)出境場(chǎng)景時(shí),車企應(yīng)主動(dòng)及時(shí)與主管部門進(jìn)行溝通,尋求主管部門對(duì)該等“非典型性”數(shù)據(jù)出境事件的處理方案的權(quán)威解讀。 (四)汽車重要數(shù)據(jù)處理活動(dòng)的年度報(bào)告義務(wù) 除了本文所述的個(gè)人信息保護(hù)影響評(píng)估、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估、數(shù)據(jù)出境安全評(píng)估和其他流程要求外,車企還需關(guān)注年度報(bào)告義務(wù)。 根據(jù)若干規(guī)定,汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在每年12月15日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關(guān)部門報(bào)送年度汽車數(shù)據(jù)安全管理情況[21],其中如涉及到向境外提供重要數(shù)據(jù),還應(yīng)當(dāng)補(bǔ)充報(bào)告如下情況:(1)接收者的基本情況;(2)出境汽車數(shù)據(jù)的種類、規(guī)模、目的和必要性;(3)汽車數(shù)據(jù)在境外的保存地點(diǎn)、期限、范圍和方式;(4)涉及向境外提供汽車數(shù)據(jù)的用戶投訴和處理情況;(5)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門明確的向境外提供汽車數(shù)據(jù)需要報(bào)告的其他情況。[22]
四、結(jié)語
當(dāng)下,中國(guó)汽車產(chǎn)業(yè)的全球化布局已呈現(xiàn)出高速增長(zhǎng)態(tài)勢(shì)。2022年,中國(guó)車企出口突破300萬輛,達(dá)到311.1萬輛,同比增長(zhǎng)54.4%,有效拉動(dòng)行業(yè)整體增長(zhǎng)。新能源汽車成為了當(dāng)之無愧的增長(zhǎng)引擎,2022年全年新能源乘用車出口量為67.9萬輛,同比增長(zhǎng)1.2倍。[23]經(jīng)過十幾年的深耕,中國(guó)車企自主品牌出海的方式已經(jīng)從單純的出口貿(mào)易模式逐漸進(jìn)化為海外建廠、當(dāng)?shù)夭少徚悴考⑸a(chǎn)并銷售的“因地制宜”模式,中國(guó)汽車由此從“低質(zhì)低價(jià)”更新為高品質(zhì)、高技術(shù)、高智能的代言,并帶動(dòng)中國(guó)制造國(guó)際形象進(jìn)一步躍升。[24] 重要數(shù)據(jù)和個(gè)人信息的出境一直以來都是數(shù)據(jù)合規(guī)中的一大難題,對(duì)于車企而言更是重中之重。國(guó)內(nèi)主流車企的年度銷量上百萬輛和幾十萬輛級(jí)的不在少數(shù),主流的新能源造車新勢(shì)力的年度銷量也已超過十萬輛級(jí)。該等主流車企的客戶和潛客數(shù)量幾十萬、幾百萬甚至超過千萬不足為奇,其處理和積累的個(gè)人信息數(shù)據(jù)堪稱海量。該等車企的業(yè)務(wù)基本上全球布局,其處理的數(shù)據(jù)量極易觸發(fā)數(shù)據(jù)出境安全評(píng)估流程。建議車企梳理其已布點(diǎn)業(yè)務(wù)的國(guó)家和地區(qū),如果對(duì)該等國(guó)家和地區(qū)提供的數(shù)據(jù)量已觸發(fā)但尚未完成安全評(píng)估流程,則應(yīng)盡快啟動(dòng)并完成數(shù)據(jù)出境安全評(píng)估流程,以保證數(shù)據(jù)出境的合規(guī)。 隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的相繼發(fā)布生效,與之配套的行政規(guī)章、行業(yè)標(biāo)準(zhǔn)等文件相繼出臺(tái),各地網(wǎng)信辦也陸續(xù)公開了咨詢通道,為車企的實(shí)踐給予指導(dǎo)。現(xiàn)在的數(shù)據(jù)出境監(jiān)管路徑相較前些年已更為清晰,但由此導(dǎo)致監(jiān)管部門對(duì)車企數(shù)據(jù)出境提出了更高的監(jiān)管要求。車企應(yīng)隨時(shí)關(guān)注數(shù)據(jù)出境最新立法和監(jiān)管動(dòng)向,及時(shí)更新和調(diào)整其應(yīng)對(duì)措施,以保證其數(shù)據(jù)跨境活動(dòng)的合規(guī)性,防范和化解可能的法律風(fēng)險(xiǎn)。
注釋 [1] 財(cái)聯(lián)社1月12日訊(記者 劉陽),“2022車市盤點(diǎn)之海外篇:2022年整車出口大漲54.4%、居全球第二 中國(guó)智造“加大電門”向前沖”, https://new.qq.com/rain/a/20230112A04GKJ00。 [2] 《數(shù)據(jù)安全法》第三十一條。 [3] 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二條 本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。 [4] 《個(gè)人信息保護(hù)法》第三十八條。 [5] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十一條。 [6] 《數(shù)據(jù)出境安全評(píng)估辦法》第四條。 [7] 《個(gè)人信息保護(hù)法》第十七條。 [8] 《個(gè)人信息保護(hù)法》第三十九條。 [9] 《個(gè)人信息保護(hù)法》第三十九條。 [10] 《個(gè)人信息保護(hù)法》第五十五條。 [11] 《個(gè)人信息保護(hù)法》第五十六條。 [12] 《數(shù)據(jù)出境安全評(píng)估辦法》第六條。 [13] 《數(shù)據(jù)出境安全評(píng)估辦法》第七條。 [14] 《數(shù)據(jù)出境安全評(píng)估辦法》第十二條。 [15] 《數(shù)據(jù)出境安全評(píng)估辦法》第八條。 [16] 《數(shù)據(jù)出境安全評(píng)估辦法》第十七條。 [17] 《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》第四條。 [18] 《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》第五條。 [19] 《個(gè)人信息保護(hù)法》第五十三條。 [20] 《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南--個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》1.適用情形;2.認(rèn)證主體。 [21] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十三條。 [22] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十四條。 [23] 財(cái)聯(lián)社1月12日訊(記者 劉陽),“2022車市盤點(diǎn)之海外篇:2022年整車出口大漲54.4%、居全球第二 中國(guó)智造“加大電門”向前沖”, https://new.qq.com/rain/a/20230112A04GKJ00。 [24] 《中國(guó)車企全球化戰(zhàn)略持續(xù)提速》,來源:《經(jīng)濟(jì)參考報(bào)》,載于https://auto.youth.cn/xw/202202/t20220218_13458988.htm。
