【汽车数据合规系列】汽车数据安全管理年度报送知多少
发布时间:2023.07.26
来源:
浏览量:6842
前言
本文针对汽车行业年度汽车数据安全管理情况的报送,从监管要求和具体报送操作不同角度,为企业落实汽车数据安全管理情况报送义务提供些许抓手和参考。
随着智能汽车相关技术的不断发展,汽车数据处理能力日益增强,汽车数据安全问题和风险隐患也日益突出。相较于其他传统行业,汽车行业的所面临的数据及个人信息保护处理场景更为复杂,汽车数据的场景涉及的参与主体众多,所涉数据及个人信息的种类繁多,数量可观,且包含大量重要数据、敏感个人信息等需要被重点关注和采取更高合规要求的内容。因此,监管部门也在不断深化和细化对于汽车数据及个人信息保护的监管要求,加强对重要数据和个人信息的保护力度。2021年出台的《汽车数据安全管理若干规定(试行)》(下称“《汽车数据规定》”),可谓是“从顶层设计上对汽车数据安全管理进行了规范[1]”。《汽车数据规定》对汽车数据处理者在汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据的处理活动提出了明确的要求。而针对开展重要数据处理活动的汽车数据处理者,《汽车数据规定》提出了每年向网信部门和有关部门报送年度汽车数据安全管理情况(以下简称“汽车数据安全管理年报”)的要求。根据《汽车数据规定》第十三条的规定,汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送“汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;处理汽车数据的种类、规模、目的和必要性;汽车数据的安全防护和管理措施;向境内第三方提供汽车数据情况;汽车数据安全事件和处置情况;汽车数据相关的用户投诉和处理情况及有关部门明确的其他汽车数据安全管理情况”。对于向境外提供重要数据的汽车数据处理者,《汽车数据规定》第十四条进一步明确,在上述要求报送的常规信息基础上,还需要补充报送境外接收者的基本情况;出境汽车数据的种类、规模、目的和必要性;汽车数据在境外的保存地点、期限、范围和方式;涉及向境外提供汽车数据的用户投诉和处理情况及有关部门明确需要报告的其他情况。二、 各地监管部门对汽车数据安全管理情况报送的要求
根据《汽车数据规定》的定义,汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等开展汽车处理活动的组织,均属于《汽车数据规定》项下的“汽车数据处理者”范畴,因此,受其规制的主体不仅仅限于通常意义上理解的“汽车企业”,即汽车制造商、经销商等,其上下游的其他参与者在处理汽车数据时,同样需要遵守《汽车数据规定》项下的相关规定。针对汽车数据安全管理年报,《汽车数据规定》将其缩限于“开展重要数据处理活动”。何谓“重要数据”?《汽车数据规定》在明确重要数据定义的基础上,进一步列举了6大类的汽车行业的重要数据,包括:
因此,并非所有的汽车数据处理者均需要进行汽车数据安全管理情况报送,仅有开展“重要数据”处理的汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等汽车行业企业才需履行该义务。
根据2021年度及2022年度各省市地区网信部门发布的对报送汽车数据安全管理情况的要求,报送主体大多要求为注册地为该省市或“本省/市”的汽车数据处理者。在明确按照“注册地”属地原则进行报送的省市,开展“重要数据”处理的汽车数据处理者可以根据企业注册地址判断申报地点,但对于仅规定在“本省/市”的地区,如企业汽车数据处理者跨省市经营或在多地存在分支机构等复杂情况,还需进一步与所在地网信部门沟通,确认是否可以集中报送。此外,尽管2021年度的报送要求中,有部分省市未提及“开展重要数据处理活动”的限定,但根据上位法《汽车数据规定》的要求,并参考2022年度各地更为细致统一的报送要求,可以推断,报送主体仍应限定为“开展重要数据处理活动”的注册地或所在地为当地的汽车数据处理者。依据《汽车数据规定》,汽车数据处理者应当在每年十二月十五日前进行报送。由于《汽车数据规定》自2021年10月1日起开始施行,作为《汽车数据规定》出台后的首个报送年度,仅有广东、河北、江苏、湖南、天津、上海6个省市的网信办在公开渠道发布关于2021年度汽车数据安全管理情况报送的通知,且部分地方网信办将汽车数据安全管理情况的截止时间做了一定程度的延长。我们对2021年度相关省市网信部门对报送汽车数据安全管理情况的要求进行了梳理:考虑到2021年是汽车数据处理企业和监管部门开展汽车数据安全管理年报的首个年度,部分省市未制定汽车数据安全管理情况报告的参考模板(以下简称“《参考模板》”)供报送企业参考,相关汽车数据处理企业对《汽车数据规定》等监管要求可能也未理解透彻,监管口径和报送的审核也尚在摸索期,首年度或多或少存在问题在所难免。但在监管部门与报送企业间经过一年的调研、交流、研讨,在报送的细则上有了更明确的要求。2022年11月起,各省市地区的网信部门陆续发布2022年度汽车数据安全管理情况报送的通知,与2021年相比,在以下方面有明显的变化:
首先,在公开渠道发布关于2022年度汽车数据安全管理情况报送的通知及要求的省级部门明显增多。根据我们的初步统计,截至2022年底,共有16个省市地区的网信部门在其官方公众号发布关于要求汽车数据处理者进行汽车数据安全管理年度报告工作的通知。
其次,大部分网信部门均在通知中公开提供了可供报送企业参考的《参考模板》。除江苏和福建两省份的汽车数据处理者需要通过官方平台报送而未提供《参考模板》外,其余需要自行开展报送的省份均提供了《参考模板》及填报说明,供相关企业参考。再次,除江苏网信办将报送截止日期延长至2023年1月10日24时外,其余开展年度报送的省份网信部门,均要求填报企业按照《汽车数据规定》的要求在2022年12月15日前完成报送。为便于阅读,我们对2022年度相关省市发布的报送通知中的部分信息梳理如下:此外,北京、上海、广东和江西的网信办还在通知中明确,将依据报送情况,选择重点单位进行实地走访调研,指导排查数据安全风险隐患。江苏省网信办也在2023年3月发布通知,定于2023年3-4月在江苏省范围内组织开展汽车数据安全风险排查,由此推测,其他省市地区的网信部门亦可能在开展年度报送后,挑选重点企业进行实地走访调研,这也可能将成为未来的监管趋势之一,需要相关汽车数据处理者予以关注。尽管《汽车数据规定》对数据处理者的报送要求范围做出了较为详细的规定,但各省市网信部门在执行层面发布的要求进一步细化,也体现其在执行层面的监管口径,因此,各地汽车数据处理者所需要具体的报送内容更依赖于相关省市网信部门发布的《参考模板》。针对《汽车数据规定》规定但未具体明确的“年度”,在大部分省市网信部门发布的《参考模板》中的《汽车数据安全管理情况报告填报说明》给出了明确的指向,其计算期间为“前一年12月1日至填报年11月30日”。《参考模板》通常由七大部分组成,包括基本情况、汽车数据处理总体情况、汽车数据安全防护和管理措施、向境内第三方提供汽车数据情况、向境外提供汽车数据情况、安全事件及用户投诉处置情况及其他。为便于阅读,我们以上海《参考模板》为例,对《参考模板》的框架和基本内容进行梳理:
汽车数据处理者如何预判其日常经营是否符合相关的监管要求,及时进行自查和整改?除相关法律法规外,或许可以从国家及行业标准层面获得一些参考。
2022年10月19日,全国信息安全标准化技术委员会针对汽车处理者处理汽车数据的全流程,发布了GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》(以下简称“《汽车数据要求》”),《汽车数据要求》从“通用安全要求”、“车外数据安全要求”、“座舱数据安全要求”及“管理安全要求”四大方面着手,从国标层面针对汽车数据处理者落实《汽车数据规定》提出了全方位的要求。值得关注的是,《汽车数据要求》第1条明确,该标准适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。结合各地网信部门提供的《参考模板》,不难发现《汽车数据要求》与《参考模板》中汽车数据处理者需填报的内容存在一定的对照关系。以北京市网信办和上海市网信办提供的2022年度的《参考模板》为例,在第三部分“汽车数据安全防护和管理措施”环节,两地网信部门均要求进行报送的汽车数据处理者从“车外人脸信息匿名化处理情况”、“默认不收集座舱数据情况”、“座舱数据向车外提供情况”、“处理个人信息的显著告知情况”、“汽车数据收集精度范围情况”、“汽车数据脱敏处理情况”、“持续提示收集敏感个人信息情况”、“汽车数据保存地点与期限情况”“汽车充电网数据处理情况”等方面进行说明。除其中的汽车数据收集精度范围情况和汽车充电网数据处理情况在《汽车数据要求》未有涉及外,针对其余需要汽车数据处理者填写的内容,《汽车数据要求》中均作出了较为具体和明确的要求。因此,虽然《汽车数据要求》仅为非具有强制约束力的国家标准,但对汽车数据处理者而言,《汽车数据要求》不仅是其落实《汽车数据规定》项下的各项义务的重要参考和指引,也必然成为监管部门在评审相关汽车数据安全管理年度报告、开展汽车数据安全风险排查等工作的抓手和准绳。经过对相关汽车数据处理企业所报送的汽车数据安全管理年报的评审,部分省市通信管理局就评审结果进行了分析。以上海地区为例,上海市通信管理局于2022年3月1日发文称,经有关行业组织专家组对各汽车数据处理企业报送的数据安全年报进行评审,2021年度,仅有2家企业报送的材料完整、目录清晰、内容充实,整体年报质量较好;其余企业的数据年报未达到合格要求,有待进一步整改[2]。综合各地区网信部门对报送结果以及汽车数据安全风险排查的反馈,汽车数据安全管理情况报送主要存在内容缺失不完整,描述前后不一致;未提供实施工作的证明材料;缺少用户请求删除数据的合理渠道;重要数据出境未落实评估备案等几方面问题。依据多地《汽车数据安全管理情况报告填报说明》,汽车数据处理者在汽车数据安全管理情况报送中可能需要关注以下几方面的内容:尽管《汽车数据规定》列举了6类汽车行业的重要数据,但在汽车数据处理者的日常运营中可能涉及个人信息及重要数据势必更加复杂和多元化,相关汽车数据处理者仅依照《汽车数据规定》,仍存在无法准确判断是否涉及重要数据的可能。对此,多地《汽车数据安全管理情况报告填报说明》要求,对不确定是否涉及的个人信息或重要数据应计入汽车数据统计。此外,相关汽车数据处理者计算现存汽车数据规模时,应覆盖填报时保存的全部汽车数据情况,包括各个可访问物理以及虚拟位置的全部汽车数据,以及委托第三方处理的汽车数据;在计算本年度获取汽车数据规模时,除将其接收到汽车传出数据的情况计入统计外,还囊括所有由其提供的功能或服务中涉及汽车向外传输数据的情况。根据《个人信息保护法》《数据出境安全评估办法》等相关法律法规的要求,数据处理者向境外提供重要数据的,需要开展数据出境风险自评估,并通过所在地省级网信部门向国家网信部门申报数据出境安全评估。由于《数据出境安全评估办法》自2022年9月1日起方开始施行,而在《数据出境安全评估办法》实施前,企业可能已经开展了数据出境活动,但尚未开展数据出境风险自评估,或已经进行数据出境风险自评估但未向网信部门申报或未通过数据出境安全评估。但随着数据出境安全评估等相关配套的实施细则和指引的落地,各地网信部门对数据出境安全评估工作不断深化,越来越多的申报项目如火如荼推进,逐渐有申报企业通过数据出境安全评估。因此,对于汽车数据处理者来说,落实相关数据出境风险自评估、安全评估申报等义务应当尽快提上议程,以符合网信监管部门的合规要求。同时,对于已经开展数据出境风险自评估、安全评估申报的汽车数据处理者,在填写汽车数据安全管理情况报告时也应关注报告中描述的内容与进行数据出境安全评估申报描述内容保持一致,减少未来汽车数据安全管理年报评审未达到合格要求的风险。如我们在前文对《汽车数据要求》的分析,《汽车数据要求》与《汽车数据规定》存在高度的一致性,在一定程度上可以被视为网信监管部门结合《汽车数据要求》及汽车行业的相关实践,对汽车数据处理者提供的行为准则和合规参考。因此,汽车数据处理者可以遵循《汽车数据要求》的要求,在日常经营中细化落实相关合规要求,并结合《汽车数据要求》对企业现有业务场景进行自核,并有针对性的对现存的合规缺陷进行逐项整改和完善。在填写报告时,相关汽车数据处理者也可以相应参照《汽车数据要求》中的各项要点及颗粒度,如实但有针对性地进行填报,在形式和内容上更好地贴合《汽车数据要求》所要求的合规水准,从而更有利于通过监管部门汽车数据年报的审查,获得监管部门的认可。随着相关法律法规的落地和生效,关于汽车数据合规的监管趋严、细则日益完善,对于汽车数据处理者来说,遵循相关法律法规、行业标准的要求,并构建自身的数据合规体系已经成为迫切的现实需求。汽车行业企业,应当强化合规意识,加强对数据和个人信息的全生命周期的保护。作为汽车数据保护中的重要一环,相关汽车数据处理者在依法依规健全完善汽车数据安全管理体系、制度保障的同时,也应重视汽车数据安全管理和年度报告工作,履行相关主体责任,积极迎接数据合规的新时代。
[1] 人民日报,《汽车数据有了“安全锁”》, https://www.gov.cn/zhengce/2021-12/26/content_5664607.htm,最后访问日期:2023年6月16日。
[2] 上海通信圈(上海市通管局官方微信),《上海市通信管理局组织开展2021年度汽车数据处理企业数据安全年报评审工作》,https://mp.weixin.qq.com/s/f7KjfjDCNjxh6twYSkAnEg,最后访问时间:2023年7月8日。