智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系構建解析及建議(系列五)—從車企內(nèi)部制度建設視角
作者:毛衛(wèi)飛 楊軍 2023-02-14智能網(wǎng)聯(lián)汽車是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置,并融合現(xiàn)代通信與網(wǎng)絡技術,實現(xiàn)車與車、路、人、云端等智能信息交換、共享,具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能,可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛的新一代汽車。在智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)快速發(fā)展的同時,如果車聯(lián)網(wǎng)存在漏洞或遭遇計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入,其可能導致智能網(wǎng)聯(lián)汽車企業(yè)(“車企”)遭受難以估量的損失。為規(guī)制上述風險,工信部印發(fā)了《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》(“《準入意見》”),對車企強化數(shù)據(jù)安全管理能力并加強網(wǎng)絡安全保障能力做出了規(guī)定。
我們撰寫的智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系構建解析及建議的系列文章已分別從車企數(shù)據(jù)合規(guī)組織架構、網(wǎng)絡數(shù)據(jù)安全事件應急預案、數(shù)據(jù)分類分級以及數(shù)據(jù)出境等視角出發(fā),對智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系的構建進行了分析、解讀并嘗試提出了若干建議。本文(系列五)擬繼續(xù)在智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系構建的框架下,從智能網(wǎng)聯(lián)汽車企業(yè)(“車企”)制度建設的視角,梳理和分析相關法律法規(guī)對車企提出的建章立制的要求,并提出若干建議,供相關人士參考。
一、車企建立網(wǎng)絡安全制度流程的義務
(一) 與網(wǎng)絡安全相關的規(guī)定 1.《網(wǎng)絡安全法》要求的制度流程及法律責任 制度流程 1) 內(nèi)部網(wǎng)絡安全管理制度和操作規(guī)程 根據(jù)《網(wǎng)絡安全法》第二十一條,網(wǎng)絡運營者應履行的網(wǎng)絡安全保護義務之一是“制定內(nèi)部安全管理制度和操作規(guī)程”,以“保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改”。 2) 網(wǎng)絡安全事件應急預案 根據(jù)《網(wǎng)絡安全法》第二十五條,網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險;在發(fā)生危害網(wǎng)絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規(guī)定向有關主管部門報告。 3) 用戶信息保護制度 根據(jù)《網(wǎng)絡安全法》第四十條,網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。 4) 網(wǎng)絡信息安全投訴、舉報制度 根據(jù)《網(wǎng)絡安全法》第四十九條,網(wǎng)絡運營者應當建立網(wǎng)絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網(wǎng)絡信息安全的投訴和舉報”。 法律責任 車企若未按照《網(wǎng)絡安全法》規(guī)定制定內(nèi)部安全管理制度和操作規(guī)程及網(wǎng)絡安全事件應急預案,從行政責任角度,車企將承擔《網(wǎng)絡安全法》第五十九條規(guī)定的法律責任由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。 《網(wǎng)絡安全法》并未直接針對網(wǎng)絡運營者未履行建立健全用戶信息保護制度及網(wǎng)絡信息安全投訴、舉報制度義務設定直接的罰則,在實際操作中監(jiān)管部門可以根據(jù)本法第七十一條追究企業(yè)的法律責任依照有關法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。 車企未履行《網(wǎng)絡安全法》關于建立上述制度流程的義務并給他人造成損害的,應依法承擔民事責任。違反《網(wǎng)絡安全法》規(guī)定(不履行建立相關制度流程義務為違反本法的一種情形),構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任(如根據(jù)《刑法》第286條追究刑事責任)。[1] 2. 《關于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全工作的通知》(“《網(wǎng)安和數(shù)安工作通知》”)要求的制度流程及法律責任 制度流程 1) 網(wǎng)絡安全和數(shù)據(jù)安全管理制度 根據(jù)《網(wǎng)安和數(shù)安工作通知》第(一)條的規(guī)定,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要建立網(wǎng)絡安全和數(shù)據(jù)安全管理制度,明確負責人和管理機構,落實網(wǎng)絡安全和數(shù)據(jù)安全保護責任,作為對相關企業(yè)(包括車企)落實網(wǎng)絡安全和數(shù)據(jù)安全的基本要求。 2) 網(wǎng)絡安全事件應急預案 根據(jù)《網(wǎng)安和數(shù)安工作通知》第(八)條的規(guī)定,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要建立網(wǎng)絡安全應急響應機制,制定網(wǎng)絡安全事件應急預案,定期開展應急演練,及時處置安全威脅、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全風險。在發(fā)生危害網(wǎng)絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》等規(guī)定向有關主管部門報告。該條規(guī)定車企加強車聯(lián)網(wǎng)網(wǎng)絡安全防護的義務之一。 3) 車聯(lián)網(wǎng)應用程序開發(fā)、上線、使用、升級等安全管理制度 根據(jù)《網(wǎng)安和數(shù)安工作通知》第(十二)條的規(guī)定,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要建立車聯(lián)網(wǎng)應用程序開發(fā)、上線、使用、升級等安全管理制度,提升應用程序身份鑒別、通信安全、數(shù)據(jù)保護等安全能力。加強車聯(lián)網(wǎng)應用程序安全檢測,及時處置安全風險,防范惡意應用程序攻擊和傳播。該條規(guī)定是加強車聯(lián)網(wǎng)服務平臺安全防護的重要措施之一。 法律責任 《網(wǎng)安和數(shù)安工作通知》是工信部為推進實施《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》、加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全管理工作,就車聯(lián)網(wǎng)安全和數(shù)據(jù)安全向相關方發(fā)送的有關事項的通知,不是一個正式的行政規(guī)章,并未設定相關方違反網(wǎng)絡安全保護義務應承擔的法律責任。 3. 《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》(“《準入意見》”)要求車企建立如下網(wǎng)絡安全制度流程: 汽車網(wǎng)絡安全管理制度 根據(jù)《準入意見》第(二)條,企業(yè)應當建立汽車網(wǎng)絡安全管理制度,依法落實網(wǎng)絡安全等級保護制度和車聯(lián)網(wǎng)卡實名登記管理要求,明確網(wǎng)絡安全責任部門和負責人。 為實現(xiàn)上述目標,車企應確保具備保障汽車電子電氣系統(tǒng)、組件和功能免受網(wǎng)絡威脅的技術措施,具備汽車網(wǎng)絡安全風險監(jiān)測、網(wǎng)絡安全缺陷和漏洞等發(fā)現(xiàn)和處置技術條件,確保車輛及其功能處于被保護的狀態(tài),保障車輛安全運行。依法依規(guī)落實網(wǎng)絡安全事件報告和處置要求。 法律責任 《準入意見》是工信部為維護公民生命、財產(chǎn)安全和公共安全,促進智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康可持續(xù)發(fā)展,根據(jù)《道路交通安全法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《道路機動車輛生產(chǎn)企業(yè)及產(chǎn)品準入管理辦法》等規(guī)定,提出的加強車企和產(chǎn)品準入管理的意見,并未設定相關方違反網(wǎng)絡安全保護義務應承擔的法律責任。 (二)評析 網(wǎng)絡安全管理義務是智能網(wǎng)聯(lián)車企應依法履行的重要合規(guī)義務之一,違反該義務將導致企業(yè)可能承擔相應的行政、民事和刑事法律責任[2]。確保企業(yè)履行網(wǎng)絡安全管理義務的措施之一是建立健全并嚴格執(zhí)行企業(yè)內(nèi)部網(wǎng)絡安全管理制度,而內(nèi)部網(wǎng)絡安全管理制度的缺位或薄弱可能導致企業(yè)發(fā)生網(wǎng)絡安全事故并被監(jiān)管部門處罰,企業(yè)的聲譽和形象也會因此遭受重創(chuàng)。 《網(wǎng)絡安全法》從網(wǎng)絡運營安全和網(wǎng)絡信息安全角度要求網(wǎng)絡運營者制定相應的內(nèi)部安全管理制度和操作規(guī)程,建立和健全用戶信息保護制度,并建立網(wǎng)絡信息安全投訴和舉報制度,同時對于未履行網(wǎng)絡安全保護義務的行為規(guī)定了相應的法律責任。《網(wǎng)安和數(shù)安工作通知》和《準入意見》重申了智能網(wǎng)聯(lián)車企應建立和健全《網(wǎng)絡安全法》要求的網(wǎng)絡安全管理制度和網(wǎng)絡安全應急響應機制。 前述規(guī)定均未明確相關制度的具體的內(nèi)容和要求,智能網(wǎng)聯(lián)車企可參考其他相關法規(guī)和標準并結合企業(yè)自身情況相應建立和健全前述法規(guī)要求的相關制度。 就網(wǎng)絡安全管理制度,我們理解,車企應優(yōu)先制定關于網(wǎng)絡安全工作的頂層設計文件,說明本企業(yè)網(wǎng)絡安全管理工作的總體目標、范圍、原則、安全框架及負責人,彰顯企業(yè)管理層建立網(wǎng)絡安全管理制度體系的積極態(tài)度。在制定前述文件之后,車企可進一步制定網(wǎng)絡安全的相應具體制度,例如,網(wǎng)絡安全組織管理制度、人員管理制度、文件管理制度、違反網(wǎng)絡安全管理的內(nèi)部懲戒措施等。 就網(wǎng)絡安全事件應急預案,建議可以參考《應急響應計劃規(guī)范》的相關內(nèi)容。需要注意的是,該國標發(fā)布于2009年,可能需要根據(jù)《網(wǎng)絡安全法》以及相關配套法規(guī)作出相應調(diào)整。 如果涉及車聯(lián)網(wǎng)服務平臺運營企業(yè),需要同時按照《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》制定其突發(fā)事件應急預案,并報工業(yè)和信息化部備案。 就用戶信息保護制度,《網(wǎng)絡安全法》僅做了原則性的要求,但我們理解,對車企而言,其用戶即為其車主或者消費者/客戶,用戶的信息主要是個人信息。基于此,我們建議車企將其在《網(wǎng)絡安全法》項下建立用戶信息保護制度的義務整合到其滿足《個人信息保護法》項下的合規(guī)義務之中。關于車企應根據(jù)《網(wǎng)絡安全法》建立用戶信息保護制度的合規(guī)義務我們將在下文討論,但有一點是明確的,即智能網(wǎng)聯(lián)車企應按照個人信息保護相關法規(guī)的要求建立和健全個人信息保護制度。 就網(wǎng)絡信息安全投訴、舉報制度,我們理解,為確保車企的網(wǎng)絡運行安全,杜絕、防范和懲治違反網(wǎng)絡安全的不合規(guī)事項,車企應根據(jù)《網(wǎng)絡安全法》等有關法律法規(guī)和規(guī)范性文件,制定網(wǎng)絡信息安全投訴、舉報制度。車企應當明確負責處理本單位網(wǎng)絡信息安全舉報事項的機構,并在官方網(wǎng)站公布處理投訴、舉報事項機構的辦公電話、微信公眾號、電子郵件等聯(lián)系方式,及時受理并處置有關網(wǎng)絡信息安全的投訴和舉報。另外,該等投訴、舉報制度亦可整合在車企的網(wǎng)絡安全管理制度之中,作為網(wǎng)絡安全管理制度的一個章節(jié),這樣做的好處是一方面可以保證車企履行《網(wǎng)絡安全法》項下建立網(wǎng)絡信息安全投訴、舉報制度的義務,也可保證在車企、車企職能部門、管理層員工違反網(wǎng)絡安全管理制度時有合適的投訴、舉報渠道,并保證了網(wǎng)絡安全管理制度的完整性。 (三) 小結 作為智能網(wǎng)聯(lián)車企,應按照《網(wǎng)絡安全法》的規(guī)定,按照相關法規(guī)和標準,結合企業(yè)自身業(yè)務中涉及的網(wǎng)絡安全情況,建立和健全內(nèi)部網(wǎng)絡安全管理制度和操作規(guī)程、網(wǎng)絡安全事件應急預案、用戶信息保護制度以及網(wǎng)絡信息安全投訴、舉報制度等相關內(nèi)控制度,同時采取相應的技術措施,以積極履行《網(wǎng)絡安全法》等相關法律法規(guī)規(guī)定的網(wǎng)絡安全管理義務,為企業(yè)的長治久安提供網(wǎng)絡安全管理方面的制度保障。
二、車企建立數(shù)據(jù)安全制度流程的義務
(一) 與數(shù)據(jù)安全相關的規(guī)定 1.《數(shù)據(jù)安全法》要求的制度流程及法律責任 全流程數(shù)據(jù)安全管理制度 根據(jù)《數(shù)據(jù)安全法》第二十七條,數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。 法律責任 根據(jù)《數(shù)據(jù)安全法》第四十五條之規(guī)定,如車企開展數(shù)據(jù)處理活動未按照該法第二十七條規(guī)定建立健全全流程數(shù)據(jù)安全管理制度的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令車企暫停相關業(yè)務、停業(yè)整頓、吊銷車企相關業(yè)務許可證或者吊銷車企營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。 如果車企未按照該法第二十七條第規(guī)定建立健全全流程數(shù)據(jù)安全管理制度,導致車企違反國家核心數(shù)據(jù)管理制度,危害國家主權、安全和發(fā)展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構成犯罪的,依法追究刑事責任。 2. 《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》[3]要求的制度流程及法律責任 1) 數(shù)據(jù)安全管理制度 規(guī)定 第六條:數(shù)據(jù)處理者應當按照有關法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,建立完善數(shù)據(jù)安全管理制度和技術保護機制。 法律責任 征求意見稿并未對數(shù)據(jù)處理者違反此項規(guī)定設定直接對應的罰則,但如果車企未按第六條的規(guī)定建立完善數(shù)據(jù)安全管理制度和技術保護機制,屬于違反正式發(fā)布實施的條例規(guī)定的行為,若因此給他人造成損害的,車企可能依第七十條的規(guī)定承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。 2) 個人信息處理規(guī)則[4] 3) 數(shù)據(jù)相關的平臺規(guī)則、隱私政策和算法策略披露制度 規(guī)定 第四十三條:互聯(lián)網(wǎng)平臺運營者應當建立與數(shù)據(jù)相關的平臺規(guī)則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規(guī)則、隱私政策、算法公平公正。 法律責任 根據(jù)第六十七條的規(guī)定,互聯(lián)網(wǎng)平臺運營者違反第四十三條的規(guī)定,由有關部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節(jié)嚴重的,可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。 需要注意的是,于車企而言,本法第六十七條的規(guī)定適用于既從事汽車制造銷售又提供互聯(lián)網(wǎng)平臺服務的車企,但不適用于不提供互聯(lián)網(wǎng)平臺服務的車企。 3. 《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》要求數(shù)據(jù)處理者建立如下制度流程: 1) 數(shù)據(jù)全生命周期安全管理制度 規(guī)定 第十三條:工業(yè)和信息化領域數(shù)據(jù)處理者應當建立數(shù)據(jù)全生命周期安全管理制度,針對不同級別數(shù)據(jù),制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。 法律責任 對于違反第十三條規(guī)定“應當建立數(shù)據(jù)全生命周期安全管理制度”而未建立的行為,管理辦法并未一一對應設定專門的罰則,而是適用第三十六條的概括性規(guī)定,即有違反本辦法規(guī)定行為的,由行業(yè)監(jiān)管部門按照相關法律法規(guī),根據(jù)情節(jié)嚴重程度給予沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、吊銷業(yè)務許可證等行政處罰;構成犯罪的,依法追究刑事責任。 2) 數(shù)據(jù)銷毀制度 規(guī)定 第二十條:工業(yè)和信息化領域數(shù)據(jù)處理者應當建立數(shù)據(jù)銷毀制度,明確銷毀對象、規(guī)則、流程和技術等要求,對銷毀活動進行記錄和留存。個人、組織按照法律規(guī)定、合同約定等請求銷毀的,工業(yè)和信息化領域數(shù)據(jù)處理者應當銷毀相應數(shù)據(jù)。 法律責任 與前述分析一樣,違反第二十條規(guī)定未建立數(shù)據(jù)銷毀制度的,由行業(yè)監(jiān)管部門按照相關法律法規(guī),根據(jù)情節(jié)嚴重程度給予沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、吊銷業(yè)務許可證等行政處罰;構成犯罪的,依法追究刑事責任。 4. 《關于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全工作的通知》(“《網(wǎng)安和數(shù)安工作通知》”)要求數(shù)據(jù)處理者建立如下制度流程: 網(wǎng)絡安全和數(shù)據(jù)安全管理制度 根據(jù)《網(wǎng)安和數(shù)安工作通知》第(一)條的規(guī)定,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要建立網(wǎng)絡安全和數(shù)據(jù)安全管理制度,明確負責人和管理機構,落實網(wǎng)絡安全和數(shù)據(jù)安全保護責任,作為對相關企業(yè)(包括車企)落實網(wǎng)絡安全和數(shù)據(jù)安全的基本要求。 法律責任 如前所述,《網(wǎng)安和數(shù)安工作通知》是工信部為推進實施《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》、加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全管理工作,就車聯(lián)網(wǎng)安全和數(shù)據(jù)安全向相關方發(fā)送的有關事項的通知,不是一個正式的行政規(guī)章,并未設定相關方違反數(shù)據(jù)安全保護義務應承擔的法律責任。 (二)評析 1.關于數(shù)據(jù)安全管理制度 如上所述,《數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》及工信部發(fā)布的與數(shù)據(jù)安全管理相關的管理辦法、通知對數(shù)據(jù)處理者應建立的相關制度流程做出了規(guī)定,集中體現(xiàn)在要求數(shù)據(jù)處理者建立和完善數(shù)據(jù)管理制度/數(shù)據(jù)全生命周期安全管理制度,但并未明確該等數(shù)據(jù)安全管理制度應包含哪些元素和具備哪些內(nèi)容。 2. 建議的數(shù)據(jù)安全管理制度及內(nèi)容 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》雖然未對車企提出建立具體的制度規(guī)則要求,但對車企處理汽車數(shù)據(jù)的全流程安全管理做出了規(guī)定,車企可以《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》作為主要根據(jù),再結合《數(shù)據(jù)安全法》及與汽車數(shù)據(jù)安全管理相關的國家和行業(yè)標準,制定車企的數(shù)據(jù)全生命周期數(shù)據(jù)安全管理制度,該管理制度包括如下基本原則: a) 處理汽車數(shù)據(jù)應當合法、正當、具體、明確,與汽車的設計、生產(chǎn)、銷售、使用、運維等直接相關。 b) 依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。如利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展汽車數(shù)據(jù)處理活動,應當落實網(wǎng)絡安全等級保護等制度。 c) 明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。 d) 按照國家、地區(qū)、部門確定的數(shù)據(jù)分類分級保護制度,確定車企的分級分類制度和重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。 e) 在開展汽車數(shù)據(jù)處理活動中應堅持:(1)車內(nèi)處理原則,除非確有必要不向車外提供;(2)默認不收集原則,除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態(tài);(3)精度范圍適用原則,根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率;(4)脫敏處理原則,盡可能進行匿名化、去標識化等處理。 f) 處理個人信息應當通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式,告知個人以下事項:(1)處理個人信息的種類,包括車輛行蹤軌跡、駕駛習慣、音頻、視頻、圖像和生物識別特征等;(2)收集各類個人信息的具體情境以及停止收集的方式和途徑;(3)處理各類個人信息的目的、用途、方式;(4)個人信息保存地點、保存期限,或者確定保存地點、保存期限的規(guī)則;(5)查閱、復制其個人信息以及刪除車內(nèi)、請求刪除已經(jīng)提供給車外的個人信息的方式和途徑;(6)用戶權益事務聯(lián)系人的姓名和聯(lián)系方式;(7)法律、行政法規(guī)規(guī)定的應當告知的其他事項。 g) 處理個人信息應當取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等。 h) 處理敏感個人信息,應當符合以下要求或者符合法律、行政法規(guī)和強制性國家標準等其他要求:(1)具有直接服務于個人的目的,包括增強行車安全、智能駕駛、導航等;(2)通過用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響;(3)應當取得個人單獨同意,個人可以自主設定同意期限;(4)在保證行車安全的前提下,以適當方式提示收集狀態(tài),為個人終止收集提供便利;(5)個人要求刪除的,汽車數(shù)據(jù)處理者應當在十個工作日內(nèi)刪除。 i) 開展重要數(shù)據(jù)處理活動,應當按照規(guī)定開展風險評估,并向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量、范圍、保存地點與期限、使用方式,開展數(shù)據(jù)處理活動情況以及是否向第三方提供,面臨的數(shù)據(jù)安全風險及其應對措施等。 j) 重要數(shù)據(jù)應當依法在境內(nèi)存儲,因業(yè)務需要確需向境外提供的,應當通過國家網(wǎng)信部門會同國務院有關部門組織的安全評估。 k) 車企具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特征信息。 l) 按照國家主管部門的要求建立汽車數(shù)據(jù)安全應急處置機制。發(fā)生汽車數(shù)據(jù)安全事件,配合有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關的警示信息。 m) 建立數(shù)據(jù)銷毀制度(尚需細化),明確銷毀對象、規(guī)則、流程和技術等要求,對銷毀活動進行記錄和留存。 n) 建立投訴舉報渠道,設置便捷的投訴舉報入口,及時處理用戶投訴舉報。 車企在制定企業(yè)數(shù)據(jù)安全管理規(guī)定時,亦可參考以下標準的要求: 《信息安全技術 汽車數(shù)據(jù)處理安全要求》(GB/T 41871 - 2022)(2023年5月1日生效)規(guī)定了汽車數(shù)據(jù)處理者對汽車數(shù)據(jù)進行收集、傳輸?shù)忍幚砘顒拥耐ㄓ冒踩蟆④囃鈹?shù)據(jù)安全要求、座艙數(shù)據(jù)安全要求和管理安全要求。智能網(wǎng)聯(lián)車企可參考該推薦性國標的要求相應制定本企業(yè)的數(shù)據(jù)安全管理規(guī)定。 《汽車采集數(shù)據(jù)處理安全指南》(TC260-001)(2021年10月8日生效)對于汽車采集數(shù)據(jù)的類型、傳輸要求、存儲要求、數(shù)據(jù)出境要求和其他要求作出了規(guī)定。就汽車采集數(shù)據(jù),汽車制造商在制定數(shù)據(jù)安全管理制度過程中可參考該指南的要求。 (三)小結 《數(shù)據(jù)安全法》等法律規(guī)定要求數(shù)據(jù)處理者建立和完善數(shù)據(jù)安全管理制度。智能網(wǎng)聯(lián)車企作為數(shù)據(jù)處理者應按照《數(shù)據(jù)安全法》等法律規(guī)定,參考《信息安全技術 汽車數(shù)據(jù)處理安全要求》(GB/T 41871 - 2022)等相關國家標準和技術指南,結合自身企業(yè)的情況,建立并不斷健全和完善企業(yè)數(shù)據(jù)安全管理制度。
三、車企建立個人信息保護制度流程的義務
(一)規(guī)定 1. 《個人信息保護法》項下的制度流程及法律責任 制度流程 1) 個人信息處理規(guī)則 根據(jù)《個人信息保護法》第七條,處理個人信息應當遵循公開、透明原則,公開個人信息處理規(guī)則,明示處理的目的、方式和范圍。 2) 未成年人個人信息處理規(guī)則 根據(jù)《個人信息保護法》第三十一條,個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規(guī)則。 3) 個人信息安全事件應急預案 根據(jù)《個人信息保護法》第五十一條,個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,制定內(nèi)部管理制度和操作規(guī)程;制定并組織實施個人信息安全事件應急預案。 法律責任 如個人信息處理者(車企)未按《個人信息保護法》的上述規(guī)定建立相應的制度,即處理個人信息未履行本法規(guī)定的個人信息保護義務的,將承擔如下法律責任: 1) 行政責任 由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 情節(jié)嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。 依照有關法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。 構成違反治安管理行為的,依法給予治安管理處罰。 2) 民事責任 侵害眾多個人的權益的,人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。 3) 刑事責任 構成犯罪的,依法追究刑事責任。 2. 《兒童個人信息網(wǎng)絡保護規(guī)定》 制度流程 1) 兒童個人信息保護規(guī)則 第八條:網(wǎng)絡運營者應當設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議,并指定專人負責兒童個人信息保護。 2) 應急預案 第二十一條:網(wǎng)絡運營者發(fā)現(xiàn)兒童個人信息發(fā)生或者可能發(fā)生泄露、毀損、丟失的,應當立即啟動應急預案,采取補救措施;造成或者可能造成嚴重后果的,應當立即向有關主管部門報告,并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監(jiān)護人,難以逐一告知的,應當采取合理、有效的方式發(fā)布相關警示信息。 法律責任 若違反上述規(guī)定的,由網(wǎng)信部門和其他有關部門依據(jù)職責,根據(jù)《網(wǎng)絡安全法》和《互聯(lián)網(wǎng)信息服務管理辦法》等相關法律法規(guī)規(guī)定處理;構成犯罪的,依法追究刑事責任。 違反本規(guī)定被追究法律責任的,依照有關法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。 3. 《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》 個人信息處理規(guī)則 規(guī)定 根據(jù)《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第二十條,數(shù)據(jù)處理者處理個人信息,應當制定個人信息處理規(guī)則并嚴格遵守。個人信息處理規(guī)則應當集中公開展示、易于訪問并置于醒目位置,內(nèi)容明確具體、簡明通俗,系統(tǒng)全面地向個人說明個人信息處理情況。 法律責任 根據(jù)《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第六十一條,數(shù)據(jù)處理者(車企)不履行第二十條規(guī)定的數(shù)據(jù)安全保護義務的,由有關部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 有前款規(guī)定的違法行為,情節(jié)嚴重的,由有關部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。 (二) 評析 《個人信息保護法》對個人信息處理者提出了建立個人信息處理規(guī)則、未成年人個人信息處理規(guī)則、個人信息安全事件應急預案的要求;《兒童個人信息網(wǎng)絡保護規(guī)定》對個人信息處理者提出了建立專門的兒童個人信息保護規(guī)則和應急預案的要求;《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》對個人信息處理者提出了建立個人信息處理規(guī)則的要求。 1.車企可結合《個人信息保護法》并參考《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》關于個人信息處理規(guī)則的相關規(guī)定建立車企的個人信息處理規(guī)則并嚴格遵守。個人信息處理規(guī)則應當包括但不限于以下內(nèi)容: a) 依據(jù)產(chǎn)品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響; b) 個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式; c) 個人查閱、復制、更正、刪除、限制處理、轉(zhuǎn)移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法; d) 以集中展示等便利用戶訪問的方式說明產(chǎn)品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規(guī)則; e) 向第三方提供個人信息情形及其目的、方式、種類,數(shù)據(jù)接收方相關信息等; f) 個人信息安全風險及保護措施; g) 個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯(lián)系方式。 2. 就未成年人個人信息處理規(guī)則,車企作為個人信息處理者應按照《個人信息保護法》第二十八條的規(guī)定將不滿十四周歲未成年人的個人信息歸類于敏感個人信息,并對未成年人的個人信息實施特別的處理原則,即只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,車企方可處理未成年人的個人信息。 車企可參照《個人信息保護法》中對未成年人個人信息保護的特別規(guī)定及《兒童個人信息網(wǎng)絡保護規(guī)定》的相關規(guī)定,制定專門的個人信息處理規(guī)則,主要的規(guī)則內(nèi)容如下: a) 在處理未成年人的個人信息前,應向未成年人的父母或者其他監(jiān)護人告知處理未成年人的個人信息的必要性以及對未成年人權益的影響,并應當取得未成年人的父母或者其他監(jiān)護人的同意。 b) 指定專人負責未成年人個人信息保護。 c) 征得同意時,同時提供拒絕選項,并明確告知收集、存儲、使用、轉(zhuǎn)移、披露未成年人個人信息的目的、方式和范圍以下事項、投訴、舉報的渠道和方式、投訴、舉報的渠道和方式等相關內(nèi)容。 d) 已告知事項發(fā)生實質(zhì)性變化的,再次征得未成年人的父母或者其他監(jiān)護人的同意。 e) 不得收集與其提供的服務無關的未成年人的個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集未成年人的個人信息。 f) 對工作人員應當以最小授權為原則,嚴格設定信息訪問權限,控制未成年人個人信息知悉范圍。 g) 委托第三方處理未成年人個人信息的,應當對受委托方及委托行為等進行安全評估,簽署委托協(xié)議,明確雙方責任、處理事項、處理期限、處理性質(zhì)和目的等,委托行為不得超出授權范圍。 h) 向第三方轉(zhuǎn)移未成年人個人信息的,應當自行或者委托第三方機構進行安全評估。 i) 法律法規(guī)要求的其他內(nèi)容。 3. 車企可參考《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2020)(“《個人信息安全規(guī)范》”)關于個人信息安全事件應急預案的規(guī)定制定車企的個人信息安全事件應急預案,主要內(nèi)容包括: a) 車企應制定個人信息安全事件應急預案; b) 車企應定期(至少每年一次)組織內(nèi)部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規(guī)程; c) 發(fā)生個人信息安全事件后,車企應根據(jù)應急響應預案進行以下處置:(略) d) 車企應根據(jù)相關法律法規(guī)變化情況,以及事件處置情況,及時更新應急預案。 在發(fā)生個人信息安全事件時,車企應根據(jù)應急預案進行如下處置: a) 及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應采取合理、有效的方式發(fā)布與公眾有關的警示信息。 b) 告知內(nèi)容應包括但不限于:安全事件的內(nèi)容和影響、已采取或?qū)⒁扇〉奶幹么胧€人信息主體自主提供的補救措施、車企的個人信息保護負責人和個人信息保護工作機構的聯(lián)系方式。 另外,車企亦可參考《信息安全技術 信息安全應急響應計劃規(guī)范》(GB/T 24363-2009)(“《應急響應計劃規(guī)范》”)的相關體例、格式規(guī)范、篇章結構及具體條款制定車企的個人信息安全事件應急預案。雖然《應急響應計劃規(guī)范》并非針對個人信息安全事件的專門規(guī)范,但我們理解,個人信息安全事件亦為該國標規(guī)定的信息安全事件中的一類,其中的大部分規(guī)則均可適用于個人信息保護,亦可援引作為車企制定的應急預案相關條款的內(nèi)容。 (三) 小結 從個人信息保護角度,作為處理大量個人信息的智能網(wǎng)聯(lián)車企,應按照《個人信息保護法》《兒童個人信息網(wǎng)絡保護規(guī)定》《個人信息安全規(guī)范》及其他相關法律法規(guī)、標準的要求,建立(1) 個人信息處理規(guī)則;(2) 兒童個人信息保護規(guī)則;和(3)個人信息安全事件應急預案。 車企在制定前述內(nèi)部制度的過程中,除應嚴格遵守《個人信息保護法》和《兒童個人信息網(wǎng)絡保護規(guī)定》的相關規(guī)定外,還可參考《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》《個人信息安全規(guī)范》和《應急響應計劃規(guī)范》等相關規(guī)定和標準的相關規(guī)定和要求,以使企業(yè)制定并施行的個人信息處理規(guī)則、兒童個人信息保護規(guī)則和個人信息安全事件預案兼具合法性和可操作性。
四、總結
建立和健全數(shù)據(jù)安全管理制度是履行車企數(shù)據(jù)合規(guī)義務的重要環(huán)節(jié)之一。作為處理大量數(shù)據(jù)的智能網(wǎng)聯(lián)車企,應建立健全包括網(wǎng)絡安全管理制度、數(shù)據(jù)安全管理制度和個人信息保護制度在內(nèi)的內(nèi)控制度和流程,并輔之以相應的技術措施和支持,方可能打造真正符合日益強化的監(jiān)管要求和滿足消費者要求的產(chǎn)品,同時達成社會效益和經(jīng)濟效益、企業(yè)短期收益和長遠利益的平衡。
注釋 [1] 《刑法》第286條規(guī)定了拒不履行信息網(wǎng)絡安全管理義務罪。該罪指網(wǎng)絡服務者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;或致使用戶信息泄露,造成嚴重后果的;或者致使刑事案件證據(jù)滅失,情節(jié)嚴重的;或者具有其他嚴重情節(jié)的行為。 [2]《刑法》第286條規(guī)定了拒不履行信息網(wǎng)絡安全管理義務罪。該罪指網(wǎng)絡服務者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;或致使用戶信息泄露,造成嚴重后果的;或者致使刑事案件證據(jù)滅失,情節(jié)嚴重的;或者具有其他嚴重情節(jié)的行為。 [3] 雖然《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》尚未正式發(fā)布施行,但其規(guī)定代表了作為行業(yè)主管部門的工信部的立法導向,正式發(fā)布施行的條例應會包含本征求意見稿的大部分內(nèi)容。基于此,我們在分析車企在數(shù)據(jù)合規(guī)體系下需建立的制度規(guī)則時將本征求意見稿一并納入討論。 [4] 根據(jù)本文的體例,有關個人信息保護及相應的法律責任將在下一部份的個人信息保護專章分析,因此,《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》項下的“個人信息處理規(guī)則”及相應的法律責任也將放在下一部份的個人信息保護分析。
