一、指南出台背景
2021年8月国家互联网信息办公室(下称“网信办”)牵头发布的《汽车数据安全管理若干规定(试行)》(下称“《汽车数据规定》”)提出了处理汽车数据的原则性规定,并针对汽车数据出境提出了一系列合规要求。作为践行汽车数据安全管理的重要工作内容,建立相应的网络与数据安全标准体系便成了必然的合规路径。为此,工业和信息化部于2022年3月7日发布了《关于车联网网络安全和数据安全标准体系建设指南》(下称“《指南》”),针对智能网联汽车、车联网平台、车载应用服务等提出了完善且细致的数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。这其中,相较于去年6月发布的《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿),《指南》一改此前将“数据安全”作为“二级标题”的做法,大幅提升了智能网联汽车“数据安全”的出现频次,并使之与车联网“网络安全”在重要程度上获得了同等地位,足见“数据安全”将成为未来车联网合规监管的重点。
本文聚焦数据出境安全标准,即主要规范网联汽车行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准,对车联网数据的分级分类、梳理识别和必要性评估等进行解读和建议。
二、目前智能网联汽车所涉数据类型
汽车产业发展至今,智能汽车愈发广泛,汽车内外传感器交错复杂,产生着大量的数据,我们认为智能汽车的数据产生方式、数据归属、数据影响,共同构成了车联网数据安全的分级分类标准,分级分类标准是明确不同数据主体主权边界的第一步,在分级分类的基础上方可进一步进行评估和管理,在数据目录尚未建立的当下,我们结合《指南》的精神,建议可将车辆数据大致分为车辆数据、用户个人数据、应用服务、环境感知数据等四类。
分级层面,车联网数据目前并无专有的分级标准,我们建议可以参考《信息安全等级保护管理办法》所提出的信息系统安全等级保护的划分办法,对车辆数据安全等级进行划分。对于涉军、涉密相关地方的环境感知数据(即发生数据泄露对国家安全形成极其严重损害的数据),需要予以严格保护;对于敏感个人信息、外部环境数据、涉及驾驶算法和安全系统,但又不涉及国家安全的车辆数据等,应当给予较车辆基础数据、工况数据等不涉及到复杂算法和汽车安全系统的车辆数据、非敏感的用户数据和应用服务数据更为严格的保护措施。
三、对应上述数据类型在中外法律下跨境流动下的规制
他山之石,可以攻玉,由于中国法律目前对于完整的汽车数据出境目录、禁止措施的规定尚未完整,我们对境外主要汽车生产国家和地区的数据法律进行了研究,并结合上述分级分类标准分析中国法律下的适用。
(一)境外法律实践
1、美国
作为车联网数据最先发轫的国家,拥有庞大的车联网产业,为促进该层面下的经济发展,美国在车联网数据跨境流动上以数据跨境自由流动为主旨,构建针对性数据跨境流动与限制政策,即建立负面清单的举措,通过《出口管理条例》,以管制清单限制重要技术数据出口,受管制的技术为14项核心技术,我们认为,负面清单的形式是较为明确的分级分类后进行针对处理的措施,其中与外部环境数据相关的包括:定位、导航和定时技术、与车辆数据和应用服务数据相关的为数据分析技术、量子信息和传感技术、先进监控技术等。
2、欧盟
欧盟始终拥有较为严格的数据管理体系,汽车数据也不例外,主要做法通过统一规则对汽车跨境数据传输施加高保护,《统一数据保护条例》(2016)(“GDPR”)的主要宗旨为欧盟境内数据自由流通,但第三国与欧盟数据流通需符合充分保护原则,细化到《车联网个人数据保护指南》(2021),则提出联网汽车跨境数据的一般性规制,车联网数据数据应遵循的原则包括:(1)个人数据本地化处理。(2)匿名化或假名化处理。(3)开展数据保护影响评估。(4)为数据主体提供知情权。(5)为用户提供选择权。在此层面上,我们认为更多的应当借鉴欧盟对于本地化存储、处理和评估的方式,筑牢个人信息和重要数据保护的体系防线。
3、韩国
韩国虽然并无明确的针对车联网数据分级分类后的对应限制措施,但对于国家安全相关数据早有立法,以控制特定领域数据流动,《位置信息保护法》(2012)严格限制了个人地理位置信息收集和使用,其中规定在未获得个人或移动物体所有人同意的情况下,任何人不得收集、使用或供有关个人或移动物体的位置信息,在外部环境数据分析画像足以对国家安全造成威胁的情况下,首先保护了最为核心的数据。
(二)汽车数据梳理识别与境内法律适用
如上文所述,在进行数据分级分类后,在对应类型上进行梳理与识别,在我国现有的法律框架下,不同种类数据可能面临着不同的出境合规要求,如涉及个人信息的数据出境需要在满足具备必要性、开展个人信息保护影响评估、详尽披露并取得个人信息主体单独同意、确保境外接收方具备安全保障能力等实质性要求的基础上,符合《个人信息保护法》第三十八条列举的四种条件之一;而重要数据的出境面临着更加繁重的“评估”义务,包括开展自评估、通过网信部门组织的监管评估、组织年度数据安全评估和报送年度汽车数据安全管理情况等等,下文将进一步阐述,
如上所述,车联网数据包含车辆数据、用户服务数据、应用服务数据、外部环境数据等多种类型,同时各类数据在实际应用中还可能存在一定程度上的重叠(例如用户在使用车机系统过程中产生的行为数据可能既包含车辆数据也包含用户服务数据),因此,对数据出境场景进行“地毯式”的梳理是开展车联网数据出境安全评估的前提,在梳理过程中,需要出境的数据类型及其层级、规模、数据出境的方式、境外接收方的身份、能力及所在国家/地区的政策法律环境等均是开展数据出境安全评估的重要信息,梳理的关键在于一方面尽可能详尽的描述数据出境活动的具体细节,一方面尽量识别数据出境活动的关键风险,如出境数据是否涉及重要数据甚至国家秘密、是否涉及大量个人信息、是否涉及敏感个人信息等。需要特别关注的时,一些国家或行业标准已对禁止跨境提供部分类型的车联网数据,例如2021年10月发布的《信息安全技术汽车采集数据的安全要求》即规定“车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估”,因此开展出境数据梳理的一个重要目标即为识别禁止出境的数据类型、限制出境的数据类型及可以传输的数据类型。
同时应注意,在个人信息的识别方面,虽然《个人信息保护法》采取的个人信息识别标准较为宽泛,但在实践中盲目扩张个人信息的范围将使车联网企业处处面临单独同意获取困难的障碍,最终导致业务难以高效运行,因此,在识别个人信息时还应特别关注是否对拟出境个人信息进行了匿名化处理从而使其脱离个人信息的范围;在重要数据的识别方面,不同于其他行业的模糊标准,《汽车数据规定》为汽车行业提供了较为明确的重要数据识别方法,一方面显示出监管部门对汽车数据监管的重视,一方面也凸显出部分汽车数据在保障国家安全和公共利益方面的重要作用,这要求车联网企业在识别重要数据的过程中时刻从宏观方面审视拟出境数据对国家安全和社会公共安全的影响,在跨境提供涉及地理信息、充电网运行等数据时保持高度谨慎。
四、车联网数据出境安全评估
在《指南》提到的五类数据安全标准中,数据出境安全评估标准将在数据出境安全标准中占据重要篇幅,在国家对数据跨境的监管日趋严格、与数据跨境相关的法律规制框架日趋明朗的背景下,结合车联网数据类型复杂、跨境场景多样的特点,做好数据出境安全评估将是车联网企业,尤其是跨国车联网企业相当长时期内数据合规工作的关键步骤。
1、数据出境必要性评估
数据境内存储的原则得到我国多部法律法规的重申,在车联网数据可能涉及诸多重要数据的背景下,是否要进行数据的跨境提供是车联网企业面临的第一个难题,因此开展数据出境必要性评估是所有数据出境活动的前提性要求。《个人信息保护法》对个人信息出境、《汽车数据规定》对重要数据出境的前提都规定为“因业务需要确需向境外提供”,此外,《汽车数据规定》规定“处理汽车数据的必要性”是汽车数据安全管理情况年度报告的必备内容;《数据出境安全评估办法(征求意见稿)》将“数据出境及境外接收方处理数据的目的、范围、方式等的必要性”明确为数据出境风险自评估的重要内容、将“数据出境的目的、范围、方式等的必要性”明确为网信部门开展数据出境安全评估的重点关注事项,因此,数据出境必要性评估的结果一方面决定了车联网企业能否开展数据跨境提供活动,进而影响企业总体的业务布局;另一方面也决定了车联网企业能否通过监管部门组织的数据出境安全评估、年度数据安全评估等各类评估。
需要指出的是,根据处理数据的“最小必要”原则及中国的执法实践,“必要性”在我国监管部门的眼中是一个范围相对狭窄的概念,如“实现企业的全球运营”、“为用户提供更好的服务”等笼统且缺乏具体场景描述与论证的理由通常很难通过“必要性”的检验。在论证车联网企业的数据出境活动具有“必要性”时,企业应尽量结合具体场景、从数据出境活动对提供产品或服务的重要性角度进行客观论证,而避免使用相对主观且宏观的商业理由试图扩张“必要性”的合理范围。在具体的实操当中,我们建议车联网企业制备数据出境必要性评估的相关表单及流程,同时将通过必要性评估作为开展数据出境安全评估的前置程序。
2、车联网数据出境安全评估的关注要点
在具体开展数据出境安全评估时,《指南》指出未来将制定《车联网数据跨境流动安全管理要求》及《车联网数据跨境流动安全评估规范》,预计这两部标准将结合车联网行业背景及特殊需求,对车联网企业开展数据出境安全评估的流程、要点与方法提供具体的指导。在上述两部标准尚未出台时,车联网企业可参考《数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》(下称“《数据出境评估指南》”)的通用要求进行数据出境安全评估的工具设计及报告撰写,同时参考《汽车数据规定》将车联网行业数据出境安全评估中的特殊要求纳入考量。下表列举了我们认为车联网企业在开展数据出境安全评估时需要关注的重点内容:
五、我们的观察与建议
1、车联网数据跨境提供实践观察
2021年10月,特斯拉宣布特斯拉上海研发创新中心和上海超级工厂数据中心已建设落成,根据此前特斯拉CEO马斯克的表态,特斯拉中国业务产生的所有数据,包括生产数据、销售数据、服务数据和充电数据等将完全存储在中国境内,同时通过数据加密、鉴权、访问控制等技术手段确保存储安全[1]。此外,福特、宝马、戴姆勒等车企也表示将采取类似措施存储在中国产生的数据[2]。自特斯拉车主维权事件爆发、滴滴接受网络安全审查以来,汽车数据本地化存储已成为实践当中的一个重要趋势,代表着各大跨国车企落实中国数据安全合规要求的努力。
然而一方面,落实中国数据的本地化存储对于跨国车企集团来说影响深远,另一方面,即使通过在中国建立数据中心等方式实现了本地化存储,也不意味着车联网企业就可以完全规避由数据出境触发的各项合规义务。事实上,数据出境具有多种形式,根据《数据出境评估指南》,向本国境内,但不属于本国司法管辖或未在境内注册的主体提供数据的,或数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看(公开信息、网页访问除外)等情形也均属于数据出境,跨国车联网企业很难在实践中完全避免数据出境活动的发生,也就不可避免地需要建立数据跨境管理相关的制度、流程与相关工具。
2、我们的建议
鉴于《指南》释放出重视车联网数据出境安全评估的强烈信号,我们建议存在数据跨境提供的车联网企业从以下几个方面着手建立或完善数据出境安全评估治理体系:
制定企业数据分类分级盘点表,并以其指导数据出境安全评估中的数据梳理与识别工作:
数据分类分级既是《数据安全法》、《个人信息保护法》下的合规要求,也是数据出境安全评估的重要基础。对于车联网企业等可能涉及诸多重要数据和掌握大量个人敏感信息的企业来说,对不同类型、不同保护级别的数据设置不同的跨境流动管理和技术措施,有助于企业在落实合规要求和高效开展业务之间寻求平衡。
制定数据出境安全评估制度、组织数据出境安全评估小组、建立企业内部的数据出境自评估表单等工具:
车联网企业涉及的数据处理活动繁杂、数据处理者多样,伴随着车联网技术的快速迭代和车联网应用的迅速增长,数据出境的发生频次可能较高,面对业务层面随时可能触发的数据出境安全评估需求,完善的安全评估制度和组织人员将有助于车联网企业做到“一事一评估”和“实时动态评估”。在建立企业内部的数据出境自评估工具时,需将数据出境必要性评估与论证作为启动评估的重要一环,并在尽量囊括本文第四章第二节所列各项内容的基础上,保持该等工具的开放性,使车联网企业可以根据未来将出台的行业规范细则对自评估流程与方法进行同步调整。
将数据出境安全评估与车联网企业的其他评估、报告义务有机结合:
车联网企业将是未来网络安全和数据合规领域的重点监管行业,车联网企业需要满足的合规要求也比一般企业更为严格,例如《汽车数据规定》就要求向境外提供重要数据的汽车数据处理者在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况和数据出境情况。今年3月初,上海市通信管理局发布了对汽车数据处理企业数据安全年报的评审结果,上海市通信管理局对部分车企报送的年报内容进行了表扬,也同时指出部分企业的数据年报未达到合格要求,而其中“重要数据出境未落实评估备案”就是年报未合格的重要原因之一,可以明确的是,数据出境安全评估和各类数据出境相关合规义务的落实状况是车企常态化年报工作的重要内容,车联网企业应注意对数据出境安全评估记录和结果的完整保存,一方面为撰写数据安全年报准备好素材,一方面作为合规义务履行的重要证明。
Copyright © 2005-2021 网信安全世界版权所有