智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)體系構(gòu)建解析及建議(系列四)—從數(shù)據(jù)出境視角
作者:楊軍 2023-01-19近年來,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長,特別是隨著我國整車出口蓬勃發(fā)展,汽車企業(yè)跨境數(shù)據(jù)轉(zhuǎn)移不可避免。2022年,中國車企出口突破300萬輛,達到311.1萬輛,同比增長54.4%,有效拉動行業(yè)整體增長。新能源汽車成為了當之無愧的增長引擎,2022年全年新能源乘用車出口量為67.9萬輛,同比增長1.2倍。[1]同時,由于不同國家和地區(qū)法律制度、保護水平參差不齊,數(shù)據(jù)出境安全風險也相應凸顯。數(shù)據(jù)跨境活動既影響個人信息權(quán)益,又關(guān)系國家安全和社會公共利益。世界上許多國家和地區(qū)相繼從本國、本地區(qū)實際出發(fā),對數(shù)據(jù)跨境安全管理作了制度探索。國家網(wǎng)信辦發(fā)布并于2022年9月1日生效的《數(shù)據(jù)出境安全評估辦法》(“評估辦法”)就是落實《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》有關(guān)數(shù)據(jù)出境規(guī)定的重要舉措。
本文意在解析與智能網(wǎng)聯(lián)汽車企業(yè)(“車企”)數(shù)據(jù)出境相關(guān)的法律法規(guī)、標準的相關(guān)規(guī)定,分析該等法律法規(guī)、標準對車企數(shù)據(jù)出境的要求,并為車企建立數(shù)據(jù)出境合規(guī)流程提出初步建議,供業(yè)內(nèi)同行參考。
一、車企數(shù)據(jù)出境的法律法規(guī)概述
根據(jù)《數(shù)據(jù)安全法》之規(guī)定,關(guān)鍵信息基礎(chǔ)設施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡安全法》的規(guī)定;其他數(shù)據(jù)處理者在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關(guān)部門制定[2]。鑒于車企不屬于關(guān)鍵信息基礎(chǔ)設施運營者[3],因此,關(guān)于車企在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,不適用關(guān)鍵信息基礎(chǔ)設施運營者的相關(guān)規(guī)定,而應參照國家網(wǎng)信部門會同國務院有關(guān)部門制定的相關(guān)規(guī)定執(zhí)行。 根據(jù)《個人信息保護法》的規(guī)定,個人信息處理者因業(yè)務等需要,確需向中國境外提供個人信息的,應當具備下列條件之一:(1)通過國家網(wǎng)信部門組織的安全評估;(2)進行個人信息保護認證;(3)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同;(4)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。[4]另外,根據(jù)該法第五十五條,在向境外提供個人信息之前,企業(yè)還應開展個人信息保護影響評估。 國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部聯(lián)合公布了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(“若干規(guī)定”),作為規(guī)范汽車數(shù)據(jù)出境的專項規(guī)定。根據(jù)若干規(guī)定,汽車數(shù)據(jù),包括汽車設計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)(包括涉及個人信息主體超過10萬人的個人信息)。據(jù)此,汽車數(shù)據(jù)的出境包括個人信息數(shù)據(jù)和重要數(shù)據(jù)的出境。若干規(guī)定對數(shù)據(jù)的出境的規(guī)定為:重要數(shù)據(jù)應當依法在境內(nèi)存儲,因業(yè)務需要確需向境外提供的,應當通過國家網(wǎng)信部門會同國務院有關(guān)部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理,適用法律、行政法規(guī)的有關(guān)規(guī)定。[5] 國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評估辦法》(“評估辦法”)對數(shù)據(jù)出境的安全評估的條件做出了相應規(guī)定。車企向境外提供數(shù)據(jù)(對車企而言,此處的數(shù)據(jù)包括汽車數(shù)據(jù)和非汽車數(shù)據(jù)),有下列情形之一的,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個人信息;(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息;(4)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。[6]為保證車企數(shù)據(jù)的完整性,在分析評估辦法對車企數(shù)據(jù)出境的規(guī)制時應統(tǒng)籌考慮汽車數(shù)據(jù)和非汽車數(shù)據(jù)。 2022年6月30日,國家網(wǎng)信辦發(fā)布《個人信息出境標準合同規(guī)定(征求意見稿)》(“標準合同規(guī)定”)并附上了《個人信息出境標準合同》樣本(“標準合同”)。標準合同規(guī)定對于個人信息處理者的權(quán)利義務、境外接收方的權(quán)利義務、境外接收方當?shù)貍€人信息保護政策法規(guī)對于標準合同規(guī)定的影響、個人信息主體的權(quán)利、救濟、違約責任及適用法律與爭議解決均作出了詳細的規(guī)定。雖然標準合同規(guī)定尚未正式發(fā)布生效,但其內(nèi)容已較為完整,車企在進行數(shù)據(jù)出境活動時可以參考適用。 全國信息安全標準化技術(shù)委員會( “信安標委”) 于2022年6月發(fā)布《網(wǎng)絡安全標準實踐指南--個人信息跨境處理活動安全認證規(guī)范(v1.0-202206)(“《認證規(guī)范v1.0》”),成為首個探索個人信息跨境處理活動認證制度,并且為《個人信息保護法》第三十八條項下的“個人信息保護認證制度”提供了落地支撐。
二、車企數(shù)據(jù)出境的流程
(一)個人信息出境的前置程序 對于個人信息數(shù)據(jù),無論是否達成法律法規(guī)規(guī)定的數(shù)據(jù)出境的安全評估條件及是否需要啟動數(shù)據(jù)出境安全評估,在進行個人信息出境活動前,車企均應首先滿足以下三點基本要求: 1.車企應當告知個人信息主體下述信息: (1)個人信息處理者(車企)的名稱或者姓名和聯(lián)系方式;個人信息的處理目的、處理方式、處理的個人信息種類、保存期限;以及個人信息主體可向個人信息處理者行使《個人信息保護法》規(guī)定權(quán)利的方式和程序;[7] (2)境外接收方的名稱或者姓名、聯(lián)系方式;處理目的、處理方式、處理的個人信息種類;以及個人信息主體向境外接收方行使《個人信息保護法》下規(guī)定權(quán)利的方式和程序。[8] 2.就向境外提供個人信息取得個人信息主體的單獨同意[9]。 3.在向境外提供個人信息前進行個人信息保護影響評估(PIPIA)。《個人信息保護法》明確規(guī)定,在向境外提供個人信息之前,企業(yè)應開展個人信息保護影響評估。[10]個人信息保護影響評估的內(nèi)容應當包括:(1)處理目的、處理方式是否合法、正當、必要;(2)對個人權(quán)益的影響及風險程度;以及(3)所采取的安全保護措施是否合法、有效并與風險程度相適應這三方面。同時,個人信息保護影響評估報告和處理記錄應當至少保存三年。[11] 需要注意的是,非個人信息數(shù)據(jù)出境不適用本部分所述的前置程序。 (二)數(shù)據(jù)出境風險自評估 有下列情形之一的,車企應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個人信息;(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息;(4)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。根據(jù)評估辦法的規(guī)定,車企應當在申報數(shù)據(jù)出境安全評估前開展數(shù)據(jù)出境風險自評估,重點評估以下事項:(1)數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性;(2)出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險;(3)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;(4)數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風險,個人信息權(quán)益維護的渠道是否通暢等;(5)與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同(應為“標準合同”)或者其他具有法律效力的文件等(統(tǒng)稱“法律文件”)是否充分約定了數(shù)據(jù)安全保護責任義務;(6)其他可能影響數(shù)據(jù)出境安全的事項。 此項評估由企業(yè)自行啟動和進行,是車企數(shù)據(jù)出境安全評估的一項前置程序。對于有數(shù)據(jù)出境的車企而言,數(shù)據(jù)出境風險自評估的重要性不言而喻,是數(shù)據(jù)安全評估工作必不可少的重要環(huán)節(jié),尤其是網(wǎng)信部門在進行數(shù)據(jù)出境安全評估時,囿于評估工作量巨大,可能難以做到對提起安全評估申請的每一家企業(yè)均進行現(xiàn)場調(diào)查,而高質(zhì)量的數(shù)據(jù)出境風險自評估報告將有助于車企在可控的時間內(nèi)順利通過網(wǎng)信部門的數(shù)據(jù)出境安全評估。 國家互聯(lián)網(wǎng)信息辦公室于2022年8月31日發(fā)布的《數(shù)據(jù)出境安全評估申報指南(第一版)》(“申報指南”) 對數(shù)據(jù)出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明。車企可參照申報指南的《數(shù)據(jù)出境風險自評估報告(模板)》從如下幾個方面完成自評估報告:(1)自評估工作簡述:介紹車企自評估工作開展情況,包括起止時間、組織情況、實施過程、實施方式等內(nèi)容;(2)出境活動整體情況,包括但不限于:a)車企基本情況、b)數(shù)據(jù)出境涉及業(yè)務和信息系統(tǒng)情況、c)擬出境數(shù)據(jù)情況、d)車企數(shù)據(jù)安全保障能力情況、e)境外接收方情況、f)法律文件約定數(shù)據(jù)安全保護責任義務的情況和g)車企認為需要說明的其他情況;(3)擬出境活動的風險評估情況;(4)出境活動風險自評估結(jié)論。 需要注意的是,申報指南特別要求企業(yè)承諾自評估工作為申報之日前3個月內(nèi)完成,且至申報之日未發(fā)生重大變化。基于此,申報數(shù)據(jù)出境安全評估的車企應注意自評估完成的時限并及時啟動安全評估申報,以避免二者時間脫節(jié)而影響后續(xù)的安全評估。 (三)數(shù)據(jù)出境安全評估 在完成數(shù)據(jù)出境風險自評估且自評估結(jié)果滿足出境風險評估要求的情況下,車企可通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估,并提交如下材料:(1)申報書;(2)數(shù)據(jù)出境風險自評估報告;(3)數(shù)據(jù)處理者與境外接收方擬訂立的法律文件;(4)安全評估工作需要的其他材料。[12]省級網(wǎng)信部門應當自收到申報材料之日起5個工作日內(nèi)完成完備性查驗。申報材料齊全的,將申報材料報送國家網(wǎng)信部門;申報材料不齊全的,應當退回車企并一次性告知需要補充的材料。國家網(wǎng)信部門自收到申報材料之日起7個工作日內(nèi)確定是否受理評估;[13]自出具書面受理通知書之日起45個工作日內(nèi)完成數(shù)據(jù)出境安全評估;情況復雜或者需要補充、更正材料的,可以適當延長并告知數(shù)據(jù)處理者預計延長的時間[14]。 數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險,主要包括以下事項:一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護水平是否達到中國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求。三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風險。四是數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障。五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責任義務。六是遵守中國法律、行政法規(guī)、部門規(guī)章情況。七是國家網(wǎng)信部門認為需要評估的其他事項。[15] 評估結(jié)果有效期屆滿或者在有效期內(nèi)出現(xiàn)評估辦法中規(guī)定重新評估情形的,數(shù)據(jù)處理者應當重新申報數(shù)據(jù)出境安全評估。已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的,在收到國家網(wǎng)信部門書面通知后,車企應終止數(shù)據(jù)出境活動。車企需要繼續(xù)開展數(shù)據(jù)出境活動的,應當按照要求整改,整改完成后重新申報評估。[16] (四)其他數(shù)據(jù)出境的流程 上述“數(shù)據(jù)出境風險自評估”和“數(shù)據(jù)出境安全評估”所述流程為符合下述條件之一的數(shù)據(jù)出境的必經(jīng)流程:(1)向境外提供重要數(shù)據(jù);(2)其累積已處理100萬人以上個人信息;(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息;(4)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。 根據(jù)標準合同規(guī)定,如果個人信息處理者(車企)同時符合下列情形的,可以通過簽訂標準合同的方式向境外提供個人信息:(1)非關(guān)鍵信息基礎(chǔ)設施運營者;(2)處理個人信息不滿100萬人的;(3)自上年1月1日起累計向境外提供未達到10萬人個人信息的;(4)自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。[17]即使如此,在向境外提供個人信息前,車企應當事前開展個人信息保護影響評估。[18] 對于那些既不是重要數(shù)據(jù)也不是個人信息數(shù)據(jù)的數(shù)據(jù)出境,由于沒有前置程序和審批程序要求,車企因業(yè)務需要將該等數(shù)據(jù)向境外提供的,無需進行數(shù)據(jù)出境安全評估和簽署標準合同。即使如此,如果車企滿足其他條件需進行出境安全評估,為謹慎起見,建議車企在提交申請時把不是重要數(shù)據(jù)和個人數(shù)據(jù)的此類數(shù)據(jù)一并提交進行評估。另外,對于此類非重要數(shù)據(jù)和個人數(shù)據(jù)的跨境轉(zhuǎn)移,數(shù)據(jù)提供方和接收方通常會簽署一份商務合同,以規(guī)定雙方在數(shù)據(jù)跨境轉(zhuǎn)移交易中的權(quán)利義務關(guān)系。建議車企在制作這份與數(shù)據(jù)跨境轉(zhuǎn)移有關(guān)的合同時參照標準合同的相關(guān)內(nèi)容或者基于標準合同制造這份數(shù)據(jù)跨境數(shù)據(jù)轉(zhuǎn)移合同,以便該數(shù)據(jù)跨境轉(zhuǎn)移合同的內(nèi)容與標準合同相同或相近,且能夠提早為應對監(jiān)管部門可能實施從嚴監(jiān)管做好準備。
三、數(shù)據(jù)出境的其他要求
(一)對數(shù)據(jù)接收方的組織管理要求 1.規(guī)定 根據(jù)《個人信息保護法》的規(guī)定,作為跨境數(shù)據(jù)轉(zhuǎn)移的數(shù)據(jù)接收方,其應當在中國境內(nèi)設立專門機構(gòu)或者指定代表,負責處理個人信息保護相關(guān)事務,并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門[19]。即《個人信息保護法》對境外數(shù)據(jù)接收方設立專門機構(gòu)和指定代表沒有數(shù)量門檻限制,只要開展個人信息處理活動,符合條件申請出境認證的,境外的個人信息數(shù)據(jù)接收方就應當在中國境內(nèi)指定個人信息保護負責人并設立個人信息保護的專門機構(gòu),不論涉及處理個人信息的主體數(shù)量多少。 另一方面,《個人信息保護法》僅規(guī)定“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人”,這里的個人信息處理者應為跨境個人信息數(shù)據(jù)轉(zhuǎn)移活動中的國內(nèi)數(shù)據(jù)提供方,但國家網(wǎng)信部門并未規(guī)定具體的數(shù)量標準。根據(jù)國家市監(jiān)總局和國家標委會發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)( “《個人信息安全規(guī)范》”),滿足以下標準之一的,即應設立個人信息保護負責人和個人信息保護工作機構(gòu)負責個人信息安全工作:(1)主要業(yè)務涉及個人信息處理,且從業(yè)人員規(guī)模大于200人;(2)處理超過100萬人的個人信息,或預計在12個月內(nèi)處理超過100萬人的個人信息;(3)處理超過10萬人的個人敏感信息的。 《認證規(guī)范v1.0》規(guī)定,開展個人信息跨境處理活動的個人信息處理者和境外接收方均應指定個人信息保護負責人和設立個人信息保護機構(gòu),履行個人信息保護義務。 2. 問題 值得注意的是,按照《個人信息安全規(guī)范》的要求,在滿足相應的標準的情況下才需要設立個人信息保護負責人和個人信息保護工作機構(gòu),而根據(jù)《認證規(guī)范v1.0》的規(guī)定,只要開展跨境個人信息處理活動,開展個人信息跨境處理活動的個人信息處理者和境外接收方就應指定個人信息保護負責人和設立個人信息保護機構(gòu),履行個人信息保護義務,不論涉及處理個人信息的主體數(shù)量多少。 3. 建議 車企在向境外提供個人數(shù)據(jù)時應關(guān)注上述法律法規(guī)及標準關(guān)于指定個人信息保護負責人和設立個人信息保護機構(gòu)的條件差異,為謹慎起見,一旦涉及向境外提供個人數(shù)據(jù),除滿足本文所述的流程外,車企可根據(jù)《認證規(guī)范v1.0》的規(guī)定指定個人信息保護負責人和設立個人信息保護機構(gòu),履行個人信息保護義務。另外,在與境外數(shù)據(jù)接收方簽署的數(shù)據(jù)跨境轉(zhuǎn)移合同或者標準合同中規(guī)定境外接收方應指定個人信息保護負責人和設立個人信息保護機構(gòu),以履行個人信息保護義務,并把包含上述約定的合同文本作為向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估(如適用)的附件。 (二)關(guān)于跨國公司的跨境數(shù)據(jù)轉(zhuǎn)移 《認證規(guī)范v1.0》規(guī)定,該文件作為認證機構(gòu)對個人信息跨境處理活動進行個人信息保護認證的基本要求,適用于跨國公司或者同一經(jīng)濟、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動。跨國公司或者同一經(jīng)濟、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動可以由境內(nèi)一方申請認證,并承擔法律責任。《個人信息保護法》第三條第二款規(guī)定的境外個人信息處理者,可以由其在境內(nèi)設置的專門機構(gòu)或指定代表申請認證,并承擔法律責任。[20] 根據(jù)上述規(guī)定,國內(nèi)車企或者同一經(jīng)濟、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動可以由境內(nèi)一方申請認證,并承擔法律責任。這種安排一方面可以減輕集團各企業(yè)跨境數(shù)據(jù)轉(zhuǎn)移的合規(guī)工作負擔,但另一方面也有可能加重境內(nèi)一方申請認證的法律責任。在申請數(shù)據(jù)跨境轉(zhuǎn)移認證時,車企境內(nèi)外各實體應彼此支持,加強合力,以避免申請認證一方承擔由申請認證導致的法律責任。 (三)“非典型性”數(shù)據(jù)出境行為 1.規(guī)定 根據(jù)《數(shù)據(jù)出境安全評估申報指南(第一版)》,以下情形屬于數(shù)據(jù)出境行為:(1)數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外;(2)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出;(3)國家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。 2. 問題 常規(guī)理解的數(shù)據(jù)跨境轉(zhuǎn)移為“數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外”,該種場景下境內(nèi)數(shù)據(jù)的提供方和境外的接收方相對確定,跨境轉(zhuǎn)移的路徑和方式可以預設或預判,而“數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出”場景下的數(shù)據(jù)跨境轉(zhuǎn)移發(fā)生的時間、轉(zhuǎn)移的路徑和方式較難預設或預判,存在一定的偶發(fā)性,相比前一類出境出境而言是一種“非典型性”數(shù)據(jù)出境。假定一家大型的國內(nèi)整車企業(yè)的主要業(yè)務集中在國內(nèi),按其業(yè)務體量和已經(jīng)處理的個人信息數(shù)據(jù)、個人敏感信息數(shù)據(jù)的數(shù)量,該車企應完成數(shù)據(jù)出境安全評估才可進行數(shù)據(jù)跨境轉(zhuǎn)移。由于其境外業(yè)務尚處于起步階段,該車企尚未進行數(shù)據(jù)出境安全評估,如果其員工在境外商務旅行/休假期間通過該車企內(nèi)網(wǎng)鏈接查詢、調(diào)取、下載、導出重要數(shù)據(jù)和/或個人信息,是否違反若干規(guī)定第十一條的規(guī)定(重要數(shù)據(jù)應當依法在境內(nèi)存儲,因業(yè)務需要確需向境外提供的,應當通過國家網(wǎng)信部門會同國務院有關(guān)部門組織的安全評估)? 3. 建議 類似上述車企員工境外商務旅行/休假期間遠程查詢、調(diào)取、下載、導出重要數(shù)據(jù)/個人信息的問題比較極端,但不在少數(shù),如果一律要求車企嚴格遵照法律法規(guī)的規(guī)定執(zhí)行對車企可能并不公平,實操上也做不到。我們建議車企一方面在建立自己的數(shù)據(jù)合規(guī)體系時盡量預判所有“非典型性”場景,設置合適的流程規(guī)制可能出現(xiàn)的不合規(guī)事件;另一方面在出現(xiàn)或可能出現(xiàn)某些無法預判、實操上也很難做到的需要完成前置審批流程的“非典型性”數(shù)據(jù)出境場景時,車企應主動及時與主管部門進行溝通,尋求主管部門對該等“非典型性”數(shù)據(jù)出境事件的處理方案的權(quán)威解讀。 (四)汽車重要數(shù)據(jù)處理活動的年度報告義務 除了本文所述的個人信息保護影響評估、數(shù)據(jù)出境風險自評估、數(shù)據(jù)出境安全評估和其他流程要求外,車企還需關(guān)注年度報告義務。 根據(jù)若干規(guī)定,汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應當在每年12月15日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關(guān)部門報送年度汽車數(shù)據(jù)安全管理情況[21],其中如涉及到向境外提供重要數(shù)據(jù),還應當補充報告如下情況:(1)接收者的基本情況;(2)出境汽車數(shù)據(jù)的種類、規(guī)模、目的和必要性;(3)汽車數(shù)據(jù)在境外的保存地點、期限、范圍和方式;(4)涉及向境外提供汽車數(shù)據(jù)的用戶投訴和處理情況;(5)國家網(wǎng)信部門會同國務院工業(yè)和信息化、公安、交通運輸?shù)扔嘘P(guān)部門明確的向境外提供汽車數(shù)據(jù)需要報告的其他情況。[22]
四、結(jié)語
當下,中國汽車產(chǎn)業(yè)的全球化布局已呈現(xiàn)出高速增長態(tài)勢。2022年,中國車企出口突破300萬輛,達到311.1萬輛,同比增長54.4%,有效拉動行業(yè)整體增長。新能源汽車成為了當之無愧的增長引擎,2022年全年新能源乘用車出口量為67.9萬輛,同比增長1.2倍。[23]經(jīng)過十幾年的深耕,中國車企自主品牌出海的方式已經(jīng)從單純的出口貿(mào)易模式逐漸進化為海外建廠、當?shù)夭少徚悴考⑸a(chǎn)并銷售的“因地制宜”模式,中國汽車由此從“低質(zhì)低價”更新為高品質(zhì)、高技術(shù)、高智能的代言,并帶動中國制造國際形象進一步躍升。[24] 重要數(shù)據(jù)和個人信息的出境一直以來都是數(shù)據(jù)合規(guī)中的一大難題,對于車企而言更是重中之重。國內(nèi)主流車企的年度銷量上百萬輛和幾十萬輛級的不在少數(shù),主流的新能源造車新勢力的年度銷量也已超過十萬輛級。該等主流車企的客戶和潛客數(shù)量幾十萬、幾百萬甚至超過千萬不足為奇,其處理和積累的個人信息數(shù)據(jù)堪稱海量。該等車企的業(yè)務基本上全球布局,其處理的數(shù)據(jù)量極易觸發(fā)數(shù)據(jù)出境安全評估流程。建議車企梳理其已布點業(yè)務的國家和地區(qū),如果對該等國家和地區(qū)提供的數(shù)據(jù)量已觸發(fā)但尚未完成安全評估流程,則應盡快啟動并完成數(shù)據(jù)出境安全評估流程,以保證數(shù)據(jù)出境的合規(guī)。 隨著《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》的相繼發(fā)布生效,與之配套的行政規(guī)章、行業(yè)標準等文件相繼出臺,各地網(wǎng)信辦也陸續(xù)公開了咨詢通道,為車企的實踐給予指導。現(xiàn)在的數(shù)據(jù)出境監(jiān)管路徑相較前些年已更為清晰,但由此導致監(jiān)管部門對車企數(shù)據(jù)出境提出了更高的監(jiān)管要求。車企應隨時關(guān)注數(shù)據(jù)出境最新立法和監(jiān)管動向,及時更新和調(diào)整其應對措施,以保證其數(shù)據(jù)跨境活動的合規(guī)性,防范和化解可能的法律風險。
注釋 [1] 財聯(lián)社1月12日訊(記者 劉陽),“2022車市盤點之海外篇:2022年整車出口大漲54.4%、居全球第二 中國智造“加大電門”向前沖”, https://new.qq.com/rain/a/20230112A04GKJ00。 [2] 《數(shù)據(jù)安全法》第三十一條。 [3] 《關(guān)鍵信息基礎(chǔ)設施安全保護條例》第二條 本條例所稱關(guān)鍵信息基礎(chǔ)設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。 [4] 《個人信息保護法》第三十八條。 [5] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十一條。 [6] 《數(shù)據(jù)出境安全評估辦法》第四條。 [7] 《個人信息保護法》第十七條。 [8] 《個人信息保護法》第三十九條。 [9] 《個人信息保護法》第三十九條。 [10] 《個人信息保護法》第五十五條。 [11] 《個人信息保護法》第五十六條。 [12] 《數(shù)據(jù)出境安全評估辦法》第六條。 [13] 《數(shù)據(jù)出境安全評估辦法》第七條。 [14] 《數(shù)據(jù)出境安全評估辦法》第十二條。 [15] 《數(shù)據(jù)出境安全評估辦法》第八條。 [16] 《數(shù)據(jù)出境安全評估辦法》第十七條。 [17] 《個人信息出境標準合同規(guī)定(征求意見稿)》第四條。 [18] 《個人信息出境標準合同規(guī)定(征求意見稿)》第五條。 [19] 《個人信息保護法》第五十三條。 [20] 《網(wǎng)絡安全標準實踐指南--個人信息跨境處理活動安全認證規(guī)范》1.適用情形;2.認證主體。 [21] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十三條。 [22] 《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第十四條。 [23] 財聯(lián)社1月12日訊(記者 劉陽),“2022車市盤點之海外篇:2022年整車出口大漲54.4%、居全球第二 中國智造“加大電門”向前沖”, https://new.qq.com/rain/a/20230112A04GKJ00。 [24] 《中國車企全球化戰(zhàn)略持續(xù)提速》,來源:《經(jīng)濟參考報》,載于https://auto.youth.cn/xw/202202/t20220218_13458988.htm。
