1.随着中国汽车企业的国际化步伐加快,基于行业新四化等特性,汽车数据的跨境流通已成为行业技术创新、海外业务拓展的必然选择,尤其对于中国车企而言,随着智能网联汽车产业的快速发展以及汽车出口量的激增,车企对于数据出境的需求也日益增长,随之而来企业所面临的网络安全和数据安全风险也越来越高。CNCERT曾联合智联出行研究院(ICMA)对15类主流车型的数据出境情况进行分析。结果显示,分析期间境内与境外汽车数据通联732万余次,其中汽车数据出境262万余次,单日最大出境次数超17万次。部分汽车数据出境同时涉及身份证号(行驶证号)、驾驶证档案编号、手机号/固话、经纬度等个人信息和地理位置信息。
也正是基于全球智能网联汽车产业高度融合的背景下,中国汽车企业迅速崛起,业务战略均呈现出海进度加快且深度全球化的趋势,尤其是加速了在海外新建或扩建研发中心、生产基地、销售网点的步伐。据调研显示,车企目前虽然普遍将海外数据存储在当地自有数据中心或公有云中,没有涉及出口国当地个人信息跨境传输,但由于海外销售、研发等分支机构需要共用国内业务系统,仍然会涉及到研发、制造、销售、财务、运行等相关数据跨境流动的需求。根据监管要求个人信息数据应本地存储,但涉及技术的数据却免不了出境或远程跨国访问,这就带来了数据和网络安全的挑战。
2.从全球范围来看,中国、美国、欧盟在数据监管上均有较为完善的法律法规体系,三方对于数据的监管很有代表性,且在围绕着数据展开博弈,因此大家对于数据出境是相对谨慎的。目前常见的数据出境场景有两种,第一种类型的数据出境的常见场景是:通过有形的方式(如携带含有数据的硬盘)或者无形的方式(如即时通讯系统,包括电子邮件等、使用部署在境外的服务器)将汽车数据传输出中国境外进行技术处理;第二种类型的数据出境的常见场景包括:境内企业将汽车数据存储在云端供境外的研发人员远程访问。由于汽车产业链是个漫长的产业,辐射范围非常广泛,且产业边界也在不断外延,所涉及的数据种类越来越丰富,预期完全放开汽车数据在全球范围内的流通,可能性较小,因此汽车企业将面临多重合规压力。
概述来看来看,数据出境主要涉及以下三种类型:一是在境内运营中收集和产生的数据由境内转移至境外,二是境外远程访问,指的是数据未被转移至国外,但被境外的机构、组织、个人访问查看,三是向本国境内的主体提供数据,但该主体不属于本国司法管辖或未在境内注册。而针对我国汽车企业的数据出境的评估主要有两种情况:重要数据出境只能通过安全评估的方式;非重要数据出境可以通过标准合同或安全认证,其中标准合同相对更方便。对于欧盟内的汽车数据回境,我国尚未得到“充分性认定”,需要采取适当的保障措施,如签订标准合同、约束性企业规则、认证机制或行为准则,以保障数据主体的可执行权利和有效的法律救济措施。对于企业内部的数据跨境,中大型跨国汽车公司可以选择BCR,而企业间的个人数据跨境更普遍采用标准合同。
欧盟设立了约束性企业规则(BCR),主要为了解决跨国汽车公司总部和分支机构频繁的数据跨境流动问题。通过分析汽车企业提交给监管机构数据出境安全评估审查结果,由于跨国汽车企业的分支机构需要与海外总部频繁进行数据交换。虽然我国已经规定了三种途径来管理数据出境方式,包括安全评估、认证和标准合同,但对于跨国企业内部的数据跨境传输,还没有专门的审批途径,这三种途径的效率相对较低,监管部门的审批压力较大。而欧盟设立的BCRs模式相当于跨国企业的“白名单”,如果跨国企业或集团公司获得欧盟成员国数据管理机构承认的约束性企业规则,欧盟行政机关在对整个企业内部的数据跨境流通合规框架进行审查合格后,可以直接进行集团内部的个人数据跨境传输,无需另行批准,但不得传输给其他主体。
3.尽管我国在法律层面上为BCR作为合法的数据出境方式预留了空间,但目前,跨国汽车公司将我国境内的数据传输到海外总部时,BCRs模式尚不适用。从长远来看,要引入类似BCRs的模式,我国还需要进一步明确适用的企业范围、适用的数据类型以及境外总部是否接受中国监管部门的检查等问题。
具体来说,我国监管部门目前更关注数据出境安全管理,尚未对数据本地化存储政策进行深入研究,《网络安全法》规定关键信息基础设施运营者收集的重要数据和个人信息应在境内存储,但没有对国外企业在我国境内处理数据的规范。随着智能网联汽车数据规模的增加,从国家安全的角度看,保护力度似乎不够。因此,我国应在现有的数据本地化存储制度框架下,进一步明确重要汽车数据和个人信息的“管用”分离监管要求,并适度增加跨国企业在我国的数据本地化存储和处理要求,例如只允许数据存储在我国政府信任和可控的境内数据中心,并且数据访问受限于中方人员。在此基础上,可以逐步放宽跨国企业对数据的开发利用。
4.全球范围内各国对汽车安全监管的侧重点不同,欧盟对内实施单一化战略,对外设置较为灵活的数据出境模式。目前主要仍旧通过GDPR的“充分性认定”协议参与并主导数据跨境流动的监管和协调,并设立“白名单”,允许经认定的国家将在欧盟收集的个人数据引入该国内部,目前已有日本、新西兰、加拿大等14个非欧盟国家(地区)进入了白名单。在欧盟成员国内部数据流动政策旨在消除欧盟境内数据自由流动障碍,实施欧盟数字化单一市场战略。为了实现数字化单一市场,欧盟通过 GDPR 在成员国间的直接适用,消除成员国数据保护规则的差异性,实现个人数据在欧盟范围内的自由流动。通过《非个人数据在欧盟境内自由流动框架条例》则致力于消除各成员国的数据本地化要求的壁垒。针对数据向成员国之外的出境,欧盟为企业提供了遵守适当保障措施条件下的转移机制
美国主张将数据跨境自由流动纳入协议条款、限制重要技术数据、确定长臂域外管辖。美国是最早将个人数据传输条款纳入国际贸易协定的国家之一,鉴于其在ICT行业和数字经济上具有绝对的全球领先优势,美国在与各国的新一轮贸易谈判中都主张将“数据跨境自由流动”纳入协议条款,以破除许多国家利用数据跨境流动而设置的市场准入壁垒;同时,限制重要技术数据出口和特定数据领域的外国投资,最后,通过“长臂域外管辖”扩大国内法域外适用的范围,进一步扩展数据主权,以满足新环境下美国政府跨境调取数据的执法需要。早在1980年,美国就开始在经济合作与发展组织(OECD)框架下推动数据保护项目。在2004年的美国-智利自由贸易协定、2012年的美国-韩国自由贸易协定以及2018年的美国-墨西哥-加拿大协定中都推动了数据全球自由流动的主张。
日本主张数据保护和数据自由流动相结合,为企业设置多样化的出境条件,并积极参与数据跨境流动合作机制。虽然日本在数据跨境转移的规则形式上参考了欧盟,但对规则的解释更为弹性,为数据跨境自由流动提供了更多的空间。与此同时,日本积极积极参与美国为主导的跨太平洋伙伴关系协定(TPP)和 APEC 的 CBPR 规则体系,也通过制定补充规则以弥合欧盟和日本在数据保护规则上的差异,已经实现了日欧之间双向互认。
鉴于不同国家的数据监管要求存在一定的差异。过去,我国参与的双边/多边协定中较少涉及数据跨境流动的条款,因此,我国车企在海外发展时将面临较大的数据安全合规压力。借鉴欧美的经验,我国需要围绕数据跨境传输与其他国家建立互相认可的协议或机制,既能传递我国数据安全监管的底线原则,也能为我国车企在合作国家之间的数据跨境传输提供便利。借鉴国际规则的开放性,进一步完善我国的汽车数据跨境规定。我国目前通过《网络安全法》、《数据出境安全评估办法》等法律对数据跨境流动进行了一定的规制,初步构建了跨境数据流动的管理体系,但与CPTPP、DEPA等高度开放和高管理水平的数据跨境流动规则相比,仍存在不兼容的问题。
5.虽然随着标准法规的完善,全球范围内汽车的终端消费者们已经比以往更为关注汽车的数据和网络安全风险问题,但是企业除了满足监管合规要求外,为了进一步赢得客户信任,以下是汽车企业亦需要关注的的业务安全风险。
1. 数据隐私泄露风险:在海外营销和销售过程中,汽车企业将涉及大量隐私数据,如客户购买信息、车辆使用数据等等。这些数据若泄露,将损害个人隐私和企业声誉。
2. 知识产权侵权风险:中国汽车企业出海需要在国外市场上建立自己的品牌,并开展研发与生产,因此必须处理与知识产权相关的法律和政策规定。如果处理不当,可能会出现知识产权侵犯案件,如知识产权盗窃或仿冒等。
3. 网络攻击和数据破坏风险:随着汽车公司数字化转型的加速,其数字威胁面也在不断扩大,可能受到黑客、病毒、恶意软件、勒索软件和网络犯罪等网络攻击的影响,进而造成生产和销售的停滞,对企业造成极大的经济损失。
4. 供应链网络风险:在全球市场上,汽车企业通常需要依托供应商、分销商和其他生产和销售参与方才能开展业务。但是,这些参与方的行为可能会影响汽车企业的整体生产和销售效率,也可能会对其网络安全和数据安全造成影响。
总之,如何保障数据安全和网络安全已经成为中国汽车企业出海的一项重要的挑战。汽车企业应该采取有效的方法和措施,不断加强网络安全和数据安全防护,提高企业的网络安全和数据安全水平,以有效应对风险。
Copyright © 2005-2021 网信安全世界版权所有