汽車數(shù)據(jù)合規(guī)體系構(gòu)建解析及建議(系列一)——從車企數(shù)據(jù)合規(guī)組織架構(gòu)視角
作者:楊軍 2022-12-21引言
智能網(wǎng)聯(lián)汽車作為融合現(xiàn)代通信、網(wǎng)絡(luò)技術(shù)、人工智能等多場景和新技術(shù)的新一代汽車,其研發(fā)、試驗(yàn)、制造、銷售到最終落地商用的幾乎每個(gè)環(huán)節(jié)都離不開多類主體、多種技術(shù)設(shè)備間海量數(shù)據(jù)的收集、交互、處理(統(tǒng)稱“處理”)。該等數(shù)據(jù)的處理是智能網(wǎng)聯(lián)汽車運(yùn)行本身的必備要素,但是,海量的數(shù)據(jù)可產(chǎn)生巨大的經(jīng)濟(jì)效益,在巨大的利益驅(qū)使下,數(shù)據(jù)處理者(不限于智能網(wǎng)聯(lián)汽車企業(yè))可能鋌而走險(xiǎn),超出約定的處理范圍使用該等數(shù)據(jù),或?qū)⑵渑沧魉茫⒖赡軐?dǎo)致數(shù)據(jù)主體的合法利益嚴(yán)重受損。另一方面,即使相關(guān)企業(yè)并無非法或超約定使用范圍利用這些海量數(shù)據(jù)的惡意,但如果其缺乏完善的數(shù)據(jù)安全保障制度,一旦發(fā)生數(shù)據(jù)安全事故,可能危及道路交通安全、公民的人身和財(cái)產(chǎn)安全,并可能對汽車相關(guān)產(chǎn)業(yè)甚至國家安全造成嚴(yán)重威脅。
如何確保汽車數(shù)據(jù)處理行為符合國家法律法規(guī)要求,如何在保障汽車數(shù)據(jù)安全、保護(hù)數(shù)據(jù)主體權(quán)益的基礎(chǔ)上,促進(jìn)相關(guān)數(shù)據(jù)的充分利用,已經(jīng)成為汽車產(chǎn)業(yè)健康和持續(xù)發(fā)展所亟待解決的問題,也是汽車產(chǎn)業(yè)參與各方在日常運(yùn)營之中無法回避的基本要求。為規(guī)制汽車企業(yè)的數(shù)據(jù)處理活動,也為平衡汽車企業(yè)和數(shù)據(jù)主體間的權(quán)利義務(wù),推動智能網(wǎng)聯(lián)汽車企業(yè)的順利發(fā)展,相關(guān)機(jī)關(guān)先后制訂和發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》(“《網(wǎng)絡(luò)安全法》”)、《中華人民共和國數(shù)據(jù)安全法》(“《數(shù)據(jù)安全法》”)、《中華人民共和國個(gè)人信息保護(hù)法》(“《個(gè)人信息保護(hù)法》”)、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(“若干規(guī)定”),同時(shí),相關(guān)監(jiān)管機(jī)構(gòu)和標(biāo)準(zhǔn)委員會出臺了一系列的規(guī)定和標(biāo)準(zhǔn),為汽車企業(yè)建立數(shù)據(jù)合規(guī)體系指明了方向。
一個(gè)完整的合規(guī)體系離不開一個(gè)完善的組織架構(gòu)支撐,數(shù)據(jù)合規(guī)體系概莫能外。本文意在從組織架構(gòu)角度解析一系列與數(shù)據(jù)合規(guī)體系相關(guān)的法律法規(guī)及標(biāo)準(zhǔn)對汽車企業(yè)建立數(shù)據(jù)合規(guī)組織架構(gòu)的要求,并在此基礎(chǔ)上提出汽車建立完整的數(shù)據(jù)合規(guī)體系要素之一的組織架構(gòu)的建議,供業(yè)內(nèi)同行參考。
一、《網(wǎng)絡(luò)安全法》對組織架構(gòu)的要求
(一)規(guī)定
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任”,從法律層面規(guī)定了網(wǎng)絡(luò)運(yùn)營者應(yīng)設(shè)置網(wǎng)絡(luò)安全負(fù)責(zé)人落實(shí)與網(wǎng)絡(luò)安全保護(hù)相關(guān)的責(zé)任,但并未要求網(wǎng)絡(luò)運(yùn)營者建立網(wǎng)絡(luò)安全管理機(jī)構(gòu)。
工信部2021年6月22日發(fā)布的《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知(征求意見稿)》(“網(wǎng)絡(luò)安全征求意見稿”)的第一條(一)中規(guī)定:“保護(hù)車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)安全。落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任,建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人……”,不難看出,確定網(wǎng)絡(luò)安全負(fù)責(zé)人是智能網(wǎng)聯(lián)汽車企業(yè)的重要義務(wù)之一。
(二)分析
從上述規(guī)定可看出,《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全征求意見稿均未對網(wǎng)絡(luò)安全負(fù)責(zé)人的任職條件和崗位職責(zé)作出具體規(guī)定,僅籠統(tǒng)規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)確定網(wǎng)絡(luò)安全負(fù)責(zé)人。《網(wǎng)絡(luò)安全法》第三十四條對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者做出了特別規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行對網(wǎng)絡(luò)安全負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查的義務(wù)。根據(jù)自2021年9月1日起施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(“安保條例”)第二條之規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
對照上述規(guī)定,汽車企業(yè)應(yīng)不屬于安保條例所定義的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者,因此安保條例關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者對網(wǎng)絡(luò)安全負(fù)責(zé)人和關(guān)鍵崗位人員的安全背景審查義務(wù)的規(guī)定以及職責(zé)設(shè)定并不必然適用于汽車企業(yè),但汽車企業(yè)按照《網(wǎng)絡(luò)安全法》和安保條例對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的要求確定其內(nèi)部的網(wǎng)絡(luò)安全負(fù)責(zé)人的崗位和職責(zé)應(yīng)是比較穩(wěn)妥的做法,也更易為監(jiān)管部門接受。
(三)小結(jié)
從網(wǎng)絡(luò)安全負(fù)責(zé)人的知識和技能結(jié)構(gòu)來看,網(wǎng)絡(luò)安全負(fù)責(zé)人應(yīng)同時(shí)具備網(wǎng)絡(luò)安全專業(yè)知識和網(wǎng)絡(luò)安全法律知識,應(yīng)屬于跨界型人才。[1]但是,對于不同類型的企業(yè)來說,由于其業(yè)務(wù)模式的差別,對其網(wǎng)絡(luò)安全負(fù)責(zé)人的知識結(jié)構(gòu)要求可能存在一定的差異。對于大型或者超大型的企業(yè)來說,由于其產(chǎn)品多樣,供應(yīng)商眾多,財(cái)務(wù)系統(tǒng)復(fù)雜、企業(yè)外包的服務(wù)類型也多種多樣,數(shù)據(jù)收集、存儲、交換等活動頻繁且大量,內(nèi)部存在不同的IT系統(tǒng)及圍繞不同IT系統(tǒng)的技術(shù)組織和管理組織。從實(shí)踐情況來看,可能由公司的首席信息官或首席技術(shù)官管理集團(tuán)IT系統(tǒng)安全及其中的數(shù)據(jù)安全,首席市場官管理(部分或全部)消費(fèi)者(或目標(biāo)用戶)相關(guān)信息和數(shù)據(jù),人力資源官管理公司員工相關(guān)信息和數(shù)據(jù)等。[2]汽車企業(yè)的規(guī)模普遍較大,且業(yè)務(wù)形態(tài)更為復(fù)雜,在其產(chǎn)品的研發(fā)階段就應(yīng)考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素,為企業(yè)滿足數(shù)據(jù)合規(guī)的要求提前布局,在這個(gè)階段由企業(yè)的首席技術(shù)官作為網(wǎng)絡(luò)安全的負(fù)責(zé)人可能是合適的;在汽車的銷售階段,涉及經(jīng)銷商系統(tǒng)管理,大量消費(fèi)者或者潛客信息的處理,由首席市場官負(fù)責(zé)這個(gè)階段的網(wǎng)絡(luò)安全也是合適的。但是應(yīng)當(dāng)注意的是,在《網(wǎng)絡(luò)安全法》框架下,一方面汽車企業(yè)要承擔(dān)下述義務(wù):(1)制定和啟動網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)和按照規(guī)定向有關(guān)主管部門報(bào)告危害網(wǎng)絡(luò)安全的事件;(2)開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險(xiǎn)評估等活動,向社會發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息。另一方面,IT部門會從技術(shù)層面負(fù)責(zé)企業(yè)所有的系統(tǒng)搭建、網(wǎng)絡(luò)運(yùn)營和數(shù)據(jù)管理,是企業(yè)所有部門中最熟悉所有系統(tǒng)運(yùn)行和網(wǎng)絡(luò)安全的部門,由其負(fù)責(zé)人即企業(yè)的首席信息官作為網(wǎng)絡(luò)安全負(fù)責(zé)人是比較合理和合適的安排。
因此,為確保網(wǎng)絡(luò)安全,汽車類的網(wǎng)絡(luò)運(yùn)營者可委任具有網(wǎng)絡(luò)安全專業(yè)知識的IT負(fù)責(zé)人(或稱首席信息官)擔(dān)任網(wǎng)絡(luò)安全負(fù)責(zé)人,并建立專門的網(wǎng)絡(luò)安全責(zé)任部門(主要為IT部門的技術(shù)人員加上部分研發(fā)、市場、法務(wù)及其他部門的專業(yè)人員),同時(shí)參照安保條例第十四條之規(guī)定,對該等專門負(fù)責(zé)網(wǎng)絡(luò)安全的負(fù)責(zé)人及網(wǎng)絡(luò)安全責(zé)任部門中從事網(wǎng)絡(luò)安全管理的人員進(jìn)行安全背景審查,并對網(wǎng)絡(luò)安全負(fù)責(zé)人和常設(shè)安全管理機(jī)構(gòu)履行的職責(zé)作如下規(guī)定:
(1)建立健全網(wǎng)絡(luò)安全管理、評價(jià)考核制度,擬訂本單位的信息設(shè)施和網(wǎng)絡(luò)安全保護(hù)計(jì)劃;
(2)組織推動網(wǎng)絡(luò)安全防護(hù)能力建設(shè),開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險(xiǎn)評估;
(3)按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,制定本單位應(yīng)急預(yù)案,定期開展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件;
(4)認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位,組織開展網(wǎng)絡(luò)安全工作考核,提出獎勵和懲處建議;
(5)組織網(wǎng)絡(luò)安全教育、培訓(xùn);
(6)履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任,建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度;
(7)對本單位的信息設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理;
(8)按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)。
二、《數(shù)據(jù)安全法》對組織架構(gòu)的要求
(一)規(guī)定
《數(shù)據(jù)安全法》第二十七條第二款規(guī)定:“重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。”
工信部發(fā)布并于2023年1月1日生效的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(“《數(shù)據(jù)安全管理辦法》”)對工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)根據(jù)需要配備數(shù)據(jù)安全管理人員,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理,協(xié)助行業(yè)監(jiān)管部門開展工作;且重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),建立常態(tài)化溝通與協(xié)作機(jī)制。[3]
國家互聯(lián)網(wǎng)信息辦公室2021年11月14日發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第二十八條規(guī)定,重要數(shù)據(jù)的處理者,應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人,成立數(shù)據(jù)安全管理機(jī)構(gòu)。
(二)分析
與《網(wǎng)絡(luò)安全法》的規(guī)定類似,《數(shù)據(jù)安全法》也僅籠統(tǒng)規(guī)定重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),但未對重要數(shù)據(jù)的處理者的安全負(fù)責(zé)人和管理機(jī)構(gòu)的任職條件和崗位職責(zé)作出具體規(guī)定。相比《數(shù)據(jù)安全法》,《數(shù)據(jù)安全管理辦法》更進(jìn)一步,其不僅要求工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),建立常態(tài)化溝通與協(xié)作機(jī)制,且籠統(tǒng)規(guī)定了數(shù)據(jù)安全管理人員的崗位職責(zé):統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理,協(xié)助行業(yè)監(jiān)管部門開展工作,但對于數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的任職資格和具體職責(zé)語焉不詳,僅規(guī)定工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者還應(yīng)當(dāng):明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書,責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項(xiàng)等內(nèi)容,即數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的任職條件和崗位職責(zé)有待工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者根據(jù)具體情況補(bǔ)充和完善。
相比《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全管理辦法》,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》不僅規(guī)定重要數(shù)據(jù)的處理者,應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人,成立數(shù)據(jù)安全管理機(jī)構(gòu),而且對數(shù)據(jù)安全負(fù)責(zé)人的任職資質(zhì)進(jìn)行了如下規(guī)定:數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷,由數(shù)據(jù)處理者決策層成員承擔(dān),有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。該征求意見稿還對數(shù)據(jù)安全管理機(jī)構(gòu)的具體職責(zé)進(jìn)行了列舉。鑒于該征求意見稿的相關(guān)內(nèi)容還未以條例的形式正式發(fā)布施行,不能排除國家互聯(lián)網(wǎng)信息辦公室后續(xù)發(fā)布施行的正式條例的相關(guān)規(guī)定與該征求意見稿的相關(guān)內(nèi)容不一致的可能性,由此導(dǎo)致該征求意見稿對數(shù)據(jù)安全負(fù)責(zé)人和安全機(jī)構(gòu)的職責(zé)的設(shè)定存在一定的變數(shù)。
(三)小結(jié)
雖然《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》草案尚未正式發(fā)布施行,但其規(guī)定代表了國家互聯(lián)網(wǎng)信息辦公室的立法導(dǎo)向,在其他法律法規(guī)對相關(guān)機(jī)構(gòu)的設(shè)定和職責(zé)規(guī)定缺位的情況下,該征求意見稿關(guān)于數(shù)據(jù)安全管理機(jī)構(gòu)及其數(shù)據(jù)安全負(fù)責(zé)人的職責(zé)的規(guī)定對汽車企業(yè)具有參考意義。汽車企業(yè)可以參考該征求意見稿設(shè)定其數(shù)據(jù)安全管理機(jī)構(gòu)和負(fù)責(zé)人的職責(zé)如下:
(1)研究提出數(shù)據(jù)安全相關(guān)重大決策建議;
(2)制定實(shí)施數(shù)據(jù)安全保護(hù)計(jì)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案;
(3)開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測,及時(shí)處置數(shù)據(jù)安全風(fēng)險(xiǎn)和事件;
(4)定期組織開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評估、應(yīng)急演練等活動;
(5)受理、處置數(shù)據(jù)安全投訴、舉報(bào);
(6)按照要求及時(shí)向網(wǎng)信部門和主管、監(jiān)管部門報(bào)告數(shù)據(jù)安全情況。
汽車企業(yè)亦可參考該征求意見稿的規(guī)定設(shè)定數(shù)據(jù)安全負(fù)責(zé)人的任職資格:數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷,由數(shù)據(jù)處理者決策層成員承擔(dān),有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。
三、《個(gè)人信息保護(hù)法》對組織機(jī)構(gòu)的要求
(一)規(guī)定
《個(gè)人信息保護(hù)法》并未要求所有的個(gè)人信息處理者需指定個(gè)人信息保護(hù)負(fù)責(zé)人,只是規(guī)定處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個(gè)人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督[4]。該法對在中國境外處理中國境內(nèi)自然人個(gè)人信息的活動的數(shù)據(jù)處理者做出了特別規(guī)定,要求其應(yīng)當(dāng)在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)[5]。
網(wǎng)絡(luò)實(shí)踐中,涉及兒童個(gè)人信息的產(chǎn)業(yè)發(fā)展很快,一再降低孩子“觸網(wǎng)”年齡段。同時(shí),針對孩子的兒童色情、電信詐騙、不良信息推薦、游戲沉迷等違法行為也日益增多,客觀上需要加強(qiáng)對未成年人網(wǎng)絡(luò)權(quán)益的全面立法保護(hù)。其中,兒童的個(gè)人信息保護(hù)是網(wǎng)絡(luò)權(quán)益的基礎(chǔ),也是大數(shù)據(jù)精準(zhǔn)營銷、數(shù)據(jù)合理使用、防沉迷系統(tǒng)、家長監(jiān)護(hù)體系、網(wǎng)絡(luò)實(shí)名制的核心,因此,對孩子專門的個(gè)人信息保護(hù)就成為重中之重。[6]為更好地保護(hù)兒童的個(gè)人信息權(quán)益,體現(xiàn)兒童個(gè)人信息保護(hù)的特殊性,《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議,并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。[7]
根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》(“安全規(guī)范”),個(gè)人信息控制者應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識的人員擔(dān)任,參與有關(guān)個(gè)人信息處理活動的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作;滿足以下條件之一的組織,應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作:1)主要業(yè)務(wù)涉及個(gè)人信息處理,且從業(yè)人員規(guī)模大于200人;2)處理超過100萬人的個(gè)人信息,或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息;3)處理超過10萬人的個(gè)人敏感信息的。
(二)分析
根據(jù)《個(gè)人信息保護(hù)法》第五十二條的規(guī)定,“處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人”,但到目前為止國家互聯(lián)網(wǎng)信息辦公室尚未正式公布具體的“數(shù)量”標(biāo)準(zhǔn),在這種情況下,參考適用《信息安全技術(shù)個(gè)人信息安全規(guī)范》項(xiàng)下的數(shù)量標(biāo)準(zhǔn)應(yīng)是比較可行的解決方案,即在數(shù)據(jù)處理者處理超過100萬人的個(gè)人信息,或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息或處理超過10萬人的個(gè)人敏感信息的,應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作。
依據(jù)第五十三條,在中國境外處理中國境內(nèi)自然人個(gè)人信息者,無論其處理的個(gè)人信息的數(shù)量如何,都必須適用本法,且境外處理者應(yīng)當(dāng)在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)。
另外,需要注意的是,第五十二條并未區(qū)分適用對像是境內(nèi)還是境外的個(gè)人信息處理者,因此,只要處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者就負(fù)有指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù),這就導(dǎo)致境外個(gè)人信息處理者不僅應(yīng)當(dāng)在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,而且在其處理的個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量時(shí)還需另行設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個(gè)人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。
《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》并未對網(wǎng)絡(luò)運(yùn)營者指定負(fù)責(zé)兒童個(gè)人信息保護(hù)的專人(即兒童數(shù)據(jù)保護(hù)的專門人員)的任職條件和崗位職責(zé)做出具體規(guī)定,鑒于該規(guī)定屬于個(gè)人信息保護(hù)的特別規(guī)定,在汽車企業(yè)由負(fù)責(zé)數(shù)據(jù)保護(hù)的負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)兼任應(yīng)是可行的解決方案,但應(yīng)在其職責(zé)中增加對兒童個(gè)人信息保護(hù)的專項(xiàng)內(nèi)容。
(三)小結(jié)
汽車企業(yè)作為個(gè)人數(shù)據(jù)處理者,通常要處理海量的個(gè)人數(shù)據(jù),很容易就達(dá)到《信息安全技術(shù)個(gè)人信息安全規(guī)范》項(xiàng)下的數(shù)量標(biāo)準(zhǔn),建議按照該安全規(guī)范設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作。負(fù)責(zé)個(gè)人信息保護(hù)的負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識的人員擔(dān)任,參與有關(guān)個(gè)人信息處理活動的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作;鑒于信息安全與個(gè)人信息保護(hù)的專業(yè)領(lǐng)域相近,對管理人員的專業(yè)知識和管理職能要求大同小異,且兒童個(gè)人信息的保護(hù)屬個(gè)人信息保護(hù)的特別領(lǐng)域,建議由企業(yè)負(fù)責(zé)數(shù)據(jù)安全的負(fù)責(zé)人兼任個(gè)人信息保護(hù)和兒童個(gè)人信息保護(hù)的負(fù)責(zé)人,以保證政策制度的一致和管理口徑的統(tǒng)一。
在此基礎(chǔ)上,汽車企業(yè)可參考該安全規(guī)范設(shè)定個(gè)人信息保護(hù)(含兒童個(gè)人信息保護(hù))負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的職責(zé)包括但不限于如下內(nèi)容(如無特別說明,下述各項(xiàng)職責(zé)凡提及個(gè)人信息均包括兒童個(gè)人信息):
(1) 全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作,對個(gè)人信息安全負(fù)直接責(zé)任;
(2) 組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí);
(3) 制定、簽發(fā)、實(shí)施、定期更新個(gè)人信息保護(hù)政策和相關(guān)規(guī)程;
(4) 建立、維護(hù)和更新組織所持有的個(gè)人信息清單(包括個(gè)人信息的類型、數(shù)量、來源、接收方等)和授權(quán)訪問策略;
(5) 開展個(gè)人信息安全影響評估,提出個(gè)人信息保護(hù)的對策建議,督促整改安全隱患;
(6) 處理兒童個(gè)人信息時(shí)以顯著、清晰的方式告知兒童監(jiān)護(hù)人,并征得兒童監(jiān)護(hù)人的同意;
(7) 組織開展個(gè)人信息安全培訓(xùn);
(8) 在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測,避免未知的個(gè)人信息收集、使用、共享等處理行為;
(9) 公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào);
(10) 進(jìn)行安全審計(jì);
(11) 與監(jiān)督、管理部門保持溝通,通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況。
四、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》對組織架構(gòu)的要求
(一)規(guī)定
若干規(guī)定并未對汽車數(shù)據(jù)處理者需指定數(shù)據(jù)安全保護(hù)負(fù)責(zé)人及數(shù)據(jù)安全管理機(jī)構(gòu)做出明確規(guī)定,這并不意味著汽車數(shù)據(jù)處理者沒有義務(wù)指定數(shù)據(jù)安全保護(hù)負(fù)責(zé)人和數(shù)據(jù)安全管理個(gè)機(jī)構(gòu)。根據(jù)其第十三條的規(guī)定[8],汽車數(shù)據(jù)處理者每年報(bào)送年度報(bào)告時(shí),汽車數(shù)據(jù)安全管理負(fù)責(zé)人的姓名和聯(lián)系方式是必備項(xiàng)。
《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》(“管理意見”)規(guī)定,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)應(yīng)當(dāng)建立健全汽車數(shù)據(jù)安全管理制度,依法履行數(shù)據(jù)安全保護(hù)義務(wù),明確責(zé)任部門和負(fù)責(zé)人。[9]
(二)分析
雖然若干規(guī)定沒有關(guān)于汽車數(shù)據(jù)處理者需指定數(shù)據(jù)安全負(fù)責(zé)人的規(guī)定,如前所述,第十三條關(guān)于汽車數(shù)據(jù)安全管理負(fù)責(zé)人信息作為汽車數(shù)據(jù)處理者報(bào)送年度報(bào)告的必選項(xiàng)從另一個(gè)側(cè)面說明汽車數(shù)據(jù)處理者有義務(wù)指定數(shù)據(jù)安全負(fù)責(zé)人。另外,根據(jù)若干規(guī)定的第一條之規(guī)定[10],若干規(guī)定為國家互聯(lián)網(wǎng)信息辦公室經(jīng)國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運(yùn)輸部同意后發(fā)布,其根據(jù)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的規(guī)定制定,除非若干規(guī)定特別規(guī)定(即使做特別規(guī)定亦不可與其上位法《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的規(guī)定相沖突),《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)運(yùn)營者應(yīng)“設(shè)置網(wǎng)絡(luò)安全負(fù)責(zé)人落實(shí)與網(wǎng)絡(luò)安全保護(hù)相關(guān)的責(zé)任”的規(guī)定,《數(shù)據(jù)安全法》關(guān)于“重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任”應(yīng)當(dāng)然適用于汽車企業(yè)。
根據(jù)管理意見之規(guī)定,汽車企業(yè)應(yīng)明確數(shù)據(jù)安全保護(hù)的責(zé)任部門和負(fù)責(zé)人,為汽車企業(yè)設(shè)立專門負(fù)責(zé)數(shù)據(jù)安全的責(zé)任部門并指定數(shù)據(jù)安全負(fù)責(zé)人提供了依據(jù)。鑒于工業(yè)和信息化部為汽車企業(yè)對口的行業(yè)監(jiān)管部門,其參與制定和發(fā)布的管理意見的相關(guān)規(guī)定特別是關(guān)于數(shù)據(jù)安全責(zé)任部門和負(fù)責(zé)人的規(guī)定將是其監(jiān)管的要素之一,這與若干規(guī)定關(guān)于汽車數(shù)據(jù)安全管理負(fù)責(zé)人信息作為汽車數(shù)據(jù)處理者報(bào)送年度報(bào)告的必選項(xiàng)的規(guī)定形成了呼應(yīng)。
(三)小結(jié)
根據(jù)上述分析,汽車企業(yè)應(yīng)切實(shí)按照管理意見和若干規(guī)定的要求設(shè)立負(fù)責(zé)數(shù)據(jù)安全的責(zé)任部門并指定數(shù)據(jù)安全負(fù)責(zé)人,既滿足監(jiān)管的要求,也為完善企業(yè)的數(shù)據(jù)合規(guī)體系和提升企業(yè)的數(shù)據(jù)安全保護(hù)水平。關(guān)于汽車企業(yè)數(shù)據(jù)安全負(fù)責(zé)人的任職資質(zhì)以及負(fù)責(zé)人和責(zé)任部門的職責(zé),企業(yè)可參照本文第二和第三部分關(guān)于數(shù)據(jù)安全和個(gè)人信息保護(hù)負(fù)責(zé)人和責(zé)任部門的職責(zé)設(shè)定,或者在一個(gè)職能部門和一個(gè)負(fù)責(zé)人兼任數(shù)據(jù)安全、個(gè)人信息保護(hù)和車聯(lián)網(wǎng)數(shù)據(jù)安全職位/職能的情況下將相關(guān)職責(zé)整合。
五、GDPR對組織架構(gòu)的規(guī)定
(一)GDPR簡介
GDPR(General Data Protection Regulation,通用數(shù)據(jù)保護(hù)條例)于2016年4月27日獲得歐盟議會與歐盟理事會的通過,并于2018年5月25日執(zhí)行。GDPR堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案,任何違反GDPR的行為,將會遭致1000萬到2000萬歐元的罰款,或企業(yè)全球年?duì)I業(yè)額的2%到4%的罰款,以兩者中數(shù)額最大的為準(zhǔn)。
GDPR適用于:1)數(shù)據(jù)控制者或處理者在歐盟境內(nèi)的機(jī)構(gòu)所進(jìn)行的個(gè)人數(shù)據(jù)處理活動,而無論該處理是否發(fā)生在歐盟境內(nèi);2)非歐盟境內(nèi)設(shè)立的控制者或處理者處理歐盟境內(nèi)數(shù)據(jù)主體的個(gè)人數(shù)據(jù),如果處理活動涉及:向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)(無論是否發(fā)生支付行為),或?qū)?shù)據(jù)主體在歐盟內(nèi)的行為進(jìn)行監(jiān)控;和3)設(shè)立于歐盟境外,但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個(gè)人數(shù)據(jù)的處理。
(二)GDPR關(guān)于信息保護(hù)的組織架構(gòu)規(guī)定
GDPR確立了數(shù)據(jù)保護(hù)官(DPO)的概念,任命數(shù)據(jù)保護(hù)官的法律義務(wù)的決定性因素不是公司的規(guī)模,而是被定義為對實(shí)現(xiàn)公司目標(biāo)至關(guān)重要的核心處理活動。如果核心活動包括大規(guī)模處理敏感的個(gè)人數(shù)據(jù)或?qū)?shù)據(jù)主體的權(quán)利影響特別深遠(yuǎn)的數(shù)據(jù)處理形式,公司就必須任命DPO。[11]關(guān)于DPO的任職條件,GDPR第37條也做了相應(yīng)規(guī)定,DPO的任命應(yīng)基于專業(yè)資質(zhì),特別是數(shù)據(jù)保護(hù)法律和實(shí)踐方面的專業(yè)知識以及完成GDPR第39條所述任務(wù)的能力。DPO可以是數(shù)據(jù)控制者或處理者的工作人員,或基于其服務(wù)合同履行任務(wù)。[12] 由此可見,DPO既可由內(nèi)部人員擔(dān)任,亦可委托外部人員擔(dān)任。企業(yè)集團(tuán)可以任命一名DPO,但條件是集團(tuán)的每個(gè)成員均能方便聯(lián)系到DPO[13]。DPO獲任之時(shí),其主管必須公布其聯(lián)系信息,并向監(jiān)管機(jī)構(gòu)進(jìn)報(bào)告。[14]
DPO的職責(zé)包括:遵守所有相關(guān)的數(shù)據(jù)保護(hù)法、監(jiān)督具體的過程,如數(shù)據(jù)保護(hù)影響評估或?qū)T工對數(shù)據(jù)保護(hù)的認(rèn)識提升和培訓(xùn),以及與監(jiān)管機(jī)構(gòu)合作等。[15]DPO不能因?yàn)橥瓿善淙蝿?wù)而被數(shù)據(jù)控制者或處理者解雇,其可以直接向控制者或處理者的最高管理層匯報(bào)。盡管有DPO行使監(jiān)督職能,但公司本身仍然有義務(wù)遵守?cái)?shù)據(jù)保護(hù)的法律。因此,公司應(yīng)當(dāng)確保,在所有與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的事項(xiàng)中,DPO都應(yīng)當(dāng)以一種恰當(dāng)和及時(shí)的方式參與。DPO可以履行其他任務(wù)和職責(zé),但數(shù)據(jù)控制者或處理者應(yīng)確保任何此類任務(wù)和職責(zé)不會導(dǎo)致利益沖突。[16]
(三)小結(jié)
GDPR的第37、38和39條對DPO的委任、職位和任務(wù)進(jìn)行了詳細(xì)規(guī)定,特別是關(guān)于DPO的任職條件、具體職責(zé)及其履行職責(zé)的獨(dú)立性等規(guī)定與國內(nèi)對數(shù)據(jù)安全責(zé)任人的規(guī)定具有一定的相似性,對于國內(nèi)法律法規(guī)缺損但可由企業(yè)自主決定的數(shù)據(jù)安全管理負(fù)責(zé)人的選任條件、職責(zé)等方面的內(nèi)容,國內(nèi)汽車企業(yè)可以借鑒和參考引用。
六、構(gòu)建完善的汽車企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)的建議
(一)概述
完善的數(shù)據(jù)合規(guī)管理架構(gòu)是數(shù)據(jù)合規(guī)工作順利開展的必要保障。汽車企業(yè)在其數(shù)據(jù)合規(guī)體系建設(shè)中的一個(gè)重要工作內(nèi)容就是搭建完善的數(shù)據(jù)合規(guī)管理架構(gòu),協(xié)調(diào)管理職能和資源配置,強(qiáng)化數(shù)據(jù)合規(guī)職責(zé)及其組織領(lǐng)導(dǎo)。數(shù)據(jù)合規(guī)組織架構(gòu)搭建的核心是解決數(shù)據(jù)合規(guī)管理工作的權(quán)力配置問題,其根本目的是保證企業(yè)最高層能夠準(zhǔn)確了解企業(yè)的數(shù)據(jù)合規(guī)情況,及時(shí)發(fā)現(xiàn)、糾正企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)和違規(guī)現(xiàn)象。另一方面,建立數(shù)據(jù)合規(guī)組織架構(gòu)也是法律的明確規(guī)定或者是企業(yè)為滿足監(jiān)管機(jī)構(gòu)對企業(yè)數(shù)據(jù)合規(guī)監(jiān)管的需要。只有建立完善的數(shù)據(jù)合規(guī)管理組織架構(gòu),才能夠使與數(shù)據(jù)合規(guī)相關(guān)的法務(wù)、風(fēng)控、審計(jì)、業(yè)務(wù)等部門充分發(fā)揮優(yōu)勢,形成管理合力,將數(shù)據(jù)合規(guī)管理相關(guān)的工作落實(shí)到位。
(二)數(shù)據(jù)合規(guī)體系的組織架構(gòu)設(shè)計(jì)
在汽車企業(yè),其全部機(jī)構(gòu)和全體成員都或多或少地承載著數(shù)據(jù)合規(guī)職責(zé),因此,從管理流程角度而言,構(gòu)建自上而下的貫穿企業(yè)全部機(jī)構(gòu)、人員、流程的管理組織架構(gòu)對于企業(yè)提升和完善數(shù)據(jù)合規(guī)管理流程體系至關(guān)重要。汽車企業(yè)可以參考國家質(zhì)檢總局和標(biāo)準(zhǔn)委聯(lián)合發(fā)布的《合規(guī)管理體系指南(GB/T 35770)》(“標(biāo)準(zhǔn)委合規(guī)指南”)的相關(guān)規(guī)定設(shè)定汽車企業(yè)的合規(guī)組織框架。標(biāo)準(zhǔn)委合規(guī)指南采用組織決策的分析框架,將合規(guī)管理機(jī)構(gòu)分為治理機(jī)構(gòu)(指公司的股東會、董事會和監(jiān)事會)和最高管理者(指以公司總經(jīng)理為代表的核心管理團(tuán)隊(duì))、合規(guī)團(tuán)隊(duì)、管理層(指公司核心管理層以外的中層管理人員)、員工。結(jié)合標(biāo)準(zhǔn)委合規(guī)指南和汽車行業(yè)的特征,我們建議從如下幾個(gè)方面構(gòu)建數(shù)據(jù)合規(guī)的組織架構(gòu):
1.高層承諾和領(lǐng)導(dǎo)負(fù)責(zé)制
有效的合規(guī)體系要求治理機(jī)構(gòu)和最高管理者的積極承諾,并貫穿于整個(gè)組織。為上述目的,企業(yè)的治理機(jī)構(gòu)和最高管理者應(yīng)發(fā)布數(shù)據(jù)合規(guī)聲明,以此向員工、社會公眾和監(jiān)管機(jī)構(gòu)傳遞和彰顯企業(yè)建立、制定、實(shí)施、評價(jià)、維護(hù)和改進(jìn)一個(gè)有效和及時(shí)響應(yīng)的包括數(shù)據(jù)合規(guī)在內(nèi)的合規(guī)管理體系的承諾。
為體現(xiàn)企業(yè)對數(shù)據(jù)合規(guī)工作的重視,建議在董事會中設(shè)立合規(guī)委員會,并把數(shù)據(jù)合規(guī)作為合規(guī)委員會的重要工作內(nèi)容之一。合規(guī)委員會由部分董事會成員及監(jiān)事會成員構(gòu)成,加上企業(yè)的總經(jīng)理、分管數(shù)據(jù)合規(guī)的副總經(jīng)理和數(shù)據(jù)合規(guī)負(fù)責(zé)人,企業(yè)亦可考慮邀請?jiān)跀?shù)據(jù)合規(guī)領(lǐng)域有一定影響力的外部專家作為委員會成員,以保證數(shù)據(jù)合規(guī)管理委員會對數(shù)據(jù)合規(guī)相關(guān)的決策的專業(yè)性。合規(guī)委員會作為企業(yè)合規(guī)管理體系的最高負(fù)責(zé)機(jī)構(gòu),應(yīng)以保證企業(yè)合規(guī)經(jīng)營為目的,通過原則性頂層設(shè)計(jì)解決合規(guī)管理工作中的權(quán)力配置問題并進(jìn)行重大事項(xiàng)決策。企業(yè)的總經(jīng)理應(yīng)作為數(shù)據(jù)合規(guī)管理的第一責(zé)任人并應(yīng)當(dāng)承擔(dān)以下職責(zé):分配足夠和適當(dāng)?shù)馁Y源來建立、發(fā)展、實(shí)施、評估、維護(hù)和改進(jìn)數(shù)據(jù)合規(guī)管理體系;確保戰(zhàn)略和運(yùn)營目標(biāo)與履行數(shù)據(jù)合規(guī)義務(wù)之間的一致性;確保將數(shù)據(jù)合規(guī)落實(shí)情況和效果納入企業(yè)內(nèi)部人員績效考核體系。
2. 一體化原則
對于汽車企業(yè)而言,網(wǎng)絡(luò)安全是實(shí)現(xiàn)其汽車產(chǎn)品智能網(wǎng)聯(lián)功能的前提條件,而一套安全運(yùn)行的網(wǎng)絡(luò)系統(tǒng)也是汽車企業(yè)實(shí)現(xiàn)其數(shù)據(jù)(包括個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)、重要數(shù)據(jù))處理功能的基礎(chǔ),因此,在搭建汽車企業(yè)的數(shù)據(jù)合規(guī)體系時(shí),應(yīng)對網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)綜合考慮而不能人為將其割裂開,即汽車汽車企業(yè)的合規(guī)體系應(yīng)是包括網(wǎng)絡(luò)安全、數(shù)據(jù)(包括車輛運(yùn)行數(shù)據(jù))安全、個(gè)人信息保護(hù)的一個(gè)完整的合規(guī)體系。汽車企業(yè)在考慮其數(shù)據(jù)合規(guī)體系的組織架構(gòu)特別是責(zé)任部門并指定對口安全負(fù)責(zé)人時(shí)應(yīng)綜合考量,以構(gòu)建起科學(xué)的數(shù)據(jù)合規(guī)組織架構(gòu),更好地明確不同層級部門的管理職責(zé)和匯報(bào)路徑,確保企業(yè)數(shù)據(jù)合規(guī)管理體系的高效運(yùn)行。
3. 獨(dú)立性原則
數(shù)據(jù)合規(guī)與廣義的合規(guī)的要求一樣,獨(dú)立性是數(shù)據(jù)合規(guī)管理機(jī)構(gòu)的核心標(biāo)準(zhǔn)。汽車企業(yè)應(yīng)設(shè)立獨(dú)立于業(yè)務(wù)部門的數(shù)據(jù)合規(guī)部門。首先,應(yīng)從匯報(bào)條線上保證數(shù)據(jù)合規(guī)組織的獨(dú)立性。操作上可以采用數(shù)據(jù)合規(guī)管理機(jī)構(gòu)直接向合規(guī)委員會或者分管領(lǐng)導(dǎo)負(fù)責(zé),合規(guī)管理委員會則直接向董事會負(fù)責(zé)的形式。其次,數(shù)據(jù)合規(guī)管理機(jī)構(gòu)應(yīng)具備充足的權(quán)力實(shí)施數(shù)據(jù)合規(guī)相關(guān)的政策制訂、流程執(zhí)行、數(shù)據(jù)合規(guī)核查、數(shù)據(jù)違規(guī)問責(zé)及整改。再其次,數(shù)據(jù)合規(guī)管理機(jī)構(gòu)還應(yīng)配備或能夠調(diào)動充足的資源,包括人員、經(jīng)費(fèi)、設(shè)備等硬件條件,確保其日常工作不受到其他部門的挈肘。
4.專業(yè)性原則
汽車企業(yè)處在一個(gè)蓬勃發(fā)展且還在不斷演進(jìn)的行業(yè),其技術(shù)和產(chǎn)業(yè)形態(tài)的持續(xù)演進(jìn)對負(fù)責(zé)數(shù)據(jù)合規(guī)從業(yè)人員的任職條件提出較高的要求。鑒于網(wǎng)絡(luò)安全負(fù)責(zé)人與數(shù)據(jù)安全和個(gè)人信息保護(hù)負(fù)責(zé)人的任職條件存在一定的差異,是否由同一負(fù)責(zé)人同時(shí)承擔(dān)網(wǎng)絡(luò)安全負(fù)責(zé)人與數(shù)據(jù)安全、個(gè)人信息保護(hù)的負(fù)責(zé)人的職責(zé)應(yīng)由企業(yè)根據(jù)自身情況及該負(fù)責(zé)人的專業(yè)背景和業(yè)務(wù)經(jīng)驗(yàn)綜合評判后決定。即使如此,企業(yè)亦應(yīng)根據(jù)法律法規(guī)對該等負(fù)責(zé)人任職條件的要求(如有)任命符合條件的人選擔(dān)任該等負(fù)責(zé)人。除負(fù)責(zé)人的選任外,企業(yè)亦應(yīng)以具備數(shù)據(jù)安全專業(yè)知識和相關(guān)經(jīng)驗(yàn)作為組建數(shù)據(jù)合規(guī)業(yè)務(wù)團(tuán)隊(duì)的基本條件。
如前分析,《網(wǎng)絡(luò)安全法》未對對網(wǎng)絡(luò)安全負(fù)責(zé)人和關(guān)鍵崗位的人員的任職條件做出規(guī)定,為確保網(wǎng)絡(luò)安全,汽車企業(yè)可委任具有網(wǎng)絡(luò)安全專業(yè)知識的IT負(fù)責(zé)人(或稱首席信息官)擔(dān)任網(wǎng)絡(luò)安全負(fù)責(zé)人,并建立專門的網(wǎng)絡(luò)安全責(zé)任部門(主要為IT部門的技術(shù)人員加上部分研發(fā)、市場、法務(wù)及其他部門的專業(yè)人員)。《數(shù)據(jù)安全法》也未對數(shù)據(jù)的處理者的安全負(fù)責(zé)人和管理機(jī)構(gòu)的任職條件作出具體規(guī)定。可資參考的是,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》規(guī)定了數(shù)據(jù)安全負(fù)責(zé)人的資質(zhì)條件:應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷,由數(shù)據(jù)處理者決策層成員承擔(dān),這與GDPR關(guān)于DPO的任職條件相似:應(yīng)具備專業(yè)資質(zhì),特別是數(shù)據(jù)保護(hù)法律和實(shí)踐方面的專業(yè)知識以及完成GDPR所述任務(wù)的能力。另外,《信息安全技術(shù)個(gè)人信息安全規(guī)范》(“安全規(guī)范”)對個(gè)人信息保護(hù)負(fù)責(zé)人的任職條件規(guī)定如下:應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識的人員擔(dān)任。[17]
雖然征求意見稿還未正式發(fā)布施行,安全規(guī)范為推薦標(biāo)準(zhǔn),但二者對數(shù)據(jù)安全和個(gè)人信息保護(hù)負(fù)責(zé)人的任職資質(zhì)的規(guī)定對于企業(yè)設(shè)定數(shù)據(jù)安全/個(gè)人信息保護(hù)負(fù)責(zé)人和工作機(jī)構(gòu)人員的任職條件具有參考意義,汽車企業(yè)可以參考征求意見稿和安全規(guī)范的規(guī)定設(shè)定企業(yè)的數(shù)據(jù)安全/個(gè)人信息保護(hù)負(fù)責(zé)人的任職條件,并加以細(xì)化;對于數(shù)據(jù)安全/個(gè)人信息保護(hù)保護(hù)負(fù)責(zé)人以外的其他關(guān)鍵崗位的人員的任職條件亦可參考上述條件設(shè)定。
5. 適度趨嚴(yán)原則
隨著科技的不斷進(jìn)步,發(fā)展智能網(wǎng)聯(lián)汽車的趨勢已成為必然。智能網(wǎng)聯(lián)汽車不僅將帶來汽車行業(yè)的重大變革,也將會改變?nèi)祟惖鸟{駛習(xí)慣和生活方式。為推動智能網(wǎng)聯(lián)汽車行業(yè)發(fā)展,不斷推動和完善與智能網(wǎng)聯(lián)汽車有關(guān)的立法是核心要素之一。今后的立法會越來越規(guī)范,而監(jiān)管部門的執(zhí)法可能會趨嚴(yán)。為應(yīng)對這種挑戰(zhàn),智能網(wǎng)聯(lián)企業(yè)在設(shè)定其數(shù)據(jù)合規(guī)體系時(shí)應(yīng)按目前法律法規(guī)、標(biāo)準(zhǔn)中偏嚴(yán)的規(guī)定執(zhí)行。在數(shù)據(jù)合規(guī)組織架構(gòu)的構(gòu)建方面,首先,企業(yè)應(yīng)完整設(shè)立法律法規(guī)要求和標(biāo)準(zhǔn)推薦的所有的數(shù)據(jù)合規(guī)組織機(jī)構(gòu);其次,在法律法規(guī)、標(biāo)準(zhǔn)規(guī)定企業(yè)的數(shù)據(jù)業(yè)務(wù)觸碰特定條件才需設(shè)定相應(yīng)組織機(jī)構(gòu)的情況下,企業(yè)如果預(yù)判未來可能觸碰該等條件的,可提前設(shè)立相應(yīng)的數(shù)據(jù)合規(guī)組織機(jī)構(gòu)。這種對數(shù)據(jù)合規(guī)組織架構(gòu)趨嚴(yán)的設(shè)定一方面可以讓企業(yè)對可能發(fā)生的事件未雨綢繆,另一方面也可提前完成自身完整的數(shù)據(jù)合規(guī)組織架構(gòu)的構(gòu)建。
6. 數(shù)據(jù)合規(guī)職責(zé)設(shè)定和人員搭配
如前所述,汽車企業(yè)首先應(yīng)基于專業(yè)性原則委任數(shù)據(jù)合規(guī)的負(fù)責(zé)人和組建數(shù)據(jù)合規(guī)團(tuán)隊(duì)。鑒于數(shù)據(jù)合規(guī)(包括網(wǎng)絡(luò)安全合規(guī))涉及企業(yè)諸多部門,在常設(shè)數(shù)據(jù)合規(guī)團(tuán)隊(duì)成員的基礎(chǔ)上,可以由各部門(包括但不限于法務(wù)、合規(guī)、IT、研發(fā)、制造、銷售、人事和財(cái)務(wù)等部門)的代表組成數(shù)據(jù)合規(guī)工作委員會,定期討論和決定數(shù)據(jù)合規(guī)的日常事務(wù),各部門形成合力,共同推進(jìn)企業(yè)數(shù)據(jù)合規(guī)工作的順利開展。企業(yè)可以區(qū)分專業(yè)門類分別委任網(wǎng)絡(luò)安全負(fù)責(zé)人和數(shù)據(jù)安全負(fù)責(zé)人,亦可只委托一名管理人員同時(shí)擔(dān)任網(wǎng)絡(luò)安全和數(shù)據(jù)安全的負(fù)責(zé)人。由于法律法規(guī)未禁止企業(yè)委任企業(yè)外部人員擔(dān)任數(shù)據(jù)合規(guī)的負(fù)責(zé)人,企業(yè)既可選擇由內(nèi)部人員也可選擇由外部人員擔(dān)任數(shù)據(jù)合規(guī)的負(fù)責(zé)人。兩種選擇各有優(yōu)缺點(diǎn),內(nèi)部人員更了解組織與業(yè)務(wù)情況,能夠更快地開展工作并與其他部門間協(xié)調(diào)工作,但在處理與自己負(fù)責(zé)的專業(yè)門類的數(shù)據(jù)合規(guī)事項(xiàng)時(shí)可能存在利益沖突;委外人員可能專業(yè)水準(zhǔn)更高,對法律法規(guī)的認(rèn)知更準(zhǔn),與監(jiān)管溝通更順暢,且與企業(yè)內(nèi)部無利益沖突,但由于其不熟悉業(yè)務(wù)特征和內(nèi)部流程,可能影響到數(shù)據(jù)合規(guī)工作的效率和溝通成本。當(dāng)然,企業(yè)可以根據(jù)自己的實(shí)際情況決定對企業(yè)最合適的數(shù)據(jù)合規(guī)負(fù)責(zé)人來源。
(三)其他
需要說明的是,汽車企業(yè)合規(guī)組織的搭建是一個(gè)系統(tǒng)工程,沒有統(tǒng)一的標(biāo)準(zhǔn),尤其是關(guān)于組織架構(gòu)的具體設(shè)定和權(quán)利分配、匯報(bào)條線、職責(zé)設(shè)定,不同的企業(yè)可能各有側(cè)重。另外,由于汽車行業(yè)特別是有關(guān)智能網(wǎng)聯(lián)汽車相關(guān)的技術(shù)仍在不斷演進(jìn),與之相關(guān)的立法也會相應(yīng)更新和調(diào)整,車企應(yīng)結(jié)合自身實(shí)際和最新的法律法規(guī)規(guī)定和監(jiān)管部門的最新要求實(shí)時(shí)調(diào)整數(shù)據(jù)合規(guī)組織架構(gòu),企業(yè)亦可尋求在汽車數(shù)據(jù)合規(guī)領(lǐng)域的外部專家資源的幫助,以確保其包括組織架構(gòu)在內(nèi)的數(shù)據(jù)合規(guī)體系符合法律法規(guī)的規(guī)定和監(jiān)管要求。
[1] 丁原鳳《對網(wǎng)絡(luò)安全負(fù)責(zé)人崗位的思考》,載于《中國信息安全》雜志2019年第2期。
[2] 丁原鳳《對網(wǎng)絡(luò)安全負(fù)責(zé)人崗位的思考》,載于《中國信息安全》雜志2019年第2期。
[3] 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》
第十三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)處理活動負(fù)安全主體責(zé)任,對各類數(shù)據(jù)實(shí)行分級防護(hù),不同級別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的,應(yīng)當(dāng)按照其中級別最高的要求實(shí)施保護(hù),確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。
(一)建立數(shù)據(jù)全生命周期安全管理制度,針對不同級別數(shù)據(jù),制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程;
(二)根據(jù)需要配備數(shù)據(jù)安全管理人員,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理,協(xié)助行業(yè)監(jiān)管部門開展工作;
…………
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者,還應(yīng)當(dāng):
(一)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),建立常態(tài)化溝通與協(xié)作機(jī)制。本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人,領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人;
(二)明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書,責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項(xiàng)等內(nèi)容;
…………
[4] 《個(gè)人信息保護(hù)法》第五十二條 處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個(gè)人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。
[5] 《個(gè)人信息保護(hù)法》第五十三條 本法第三條第二款規(guī)定的中華人民共和國境外的個(gè)人信息處理者,應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
[6] 朱巍“《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》解讀”,載于《中國信息安全》雜志2019年第10期。
[7] 《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第八條 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議,并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。
[8]《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十三條 汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應(yīng)當(dāng)在每年十二月十五日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關(guān)部門報(bào)送以下年度汽車數(shù)據(jù)安全管理情況:
(一)汽車數(shù)據(jù)安全管理負(fù)責(zé)人、用戶權(quán)益事務(wù)聯(lián)系人的姓名和聯(lián)系方式;
…………
[9] 《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》二、加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全管理
(一)強(qiáng)化數(shù)據(jù)安全管理能力。企業(yè)應(yīng)當(dāng)建立健全汽車數(shù)據(jù)安全管理制度,依法履行數(shù)據(jù)安全保護(hù)義務(wù),明確責(zé)任部門和負(fù)責(zé)人。
[10] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第一條 為了規(guī)范汽車數(shù)據(jù)處理活動,保護(hù)個(gè)人、組織的合法權(quán)益,維護(hù)國家安全和社會公共利益,促進(jìn)汽車數(shù)據(jù)合理開發(fā)利用,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律、行政法規(guī),制定本規(guī)定。
[11] Art. 37 GDPR Designation of the data protection officer:
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.
[12] Art. 37 GDPR Designation of the data protection officer:
5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.
6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.
[13] Art. 37 GDPR Designation of the data protection officer:
2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.
[14] Art. 37 GDPR Designation of the data protection officer:
7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.
[15] Art. 39 GDPR Tasks of the data protection officer
[16] Art. 38 GDPR Position of the data protection officer
6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.
[17] 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》11.1 明確責(zé)任部門與人員
對個(gè)人信息控制者的要求包括:
a) ......
b) 應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識的人員擔(dān)任,參與有關(guān)個(gè)人信息處理活動的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作;
