汽车数据安全管理情况年度报送实务六大问题

发布时间:2022-02-28

近日,上海市、广东省、天津市、河北省、湖南省等多省市网信办依据《汽车数据安全管理若干规定(试行)》的要求,通知开展2021年度汽车数据安全管理情况报送工作。[1]

问题一:报送的规范依据是什么?

2021年8月20日,《汽车数据安全管理若干规定(试行)》(以下简称“《汽车数据规定》”)由国家网信办、发改委、工信部、公安部、交通运输部联合发布,自2021年10月1日起施行。

根据该规定,汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;(二)处理汽车数据的种类、规模、目的和必要性;(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;(四)向境内第三方提供汽车数据情况;(五)汽车数据安全事件和处置情况;(六)汽车数据相关的用户投诉和处理情况;(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。据此,开展重要数据处理活动的汽车数据处理者,应当每年定期向网信办等监管部门报送当年度的汽车数据安全管理情况报告。

如果是向境外提供重要数据的汽车数据处理者,还应当在上述报送要求的基础上,补充报告重要数据接收者的基本情况;出境汽车数据的种类、规模、目的和必要性;汽车数据在境外的保存地点、期限、范围和方式;涉及向境外提供汽车数据的用户投诉和处理情况等。因此,对于跨国车企、零部件供应商、网络出行服务企业、自动驾驶或智能网联服务企业等涉及汽车数据出境的行业主体来说,其每年必须履行的法定报送义务比完全在境内开展汽车数据处理的行业主体的要求更高。

问题二:报送的主体与前提有哪些?

1. 汽车数据处理者

根据《汽车数据规定》,汽车数据安全管理情况报送的主体为汽车数据处理者,即指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。[2]由此可见,需履行报送义务的汽车数据处理者不仅囊括了一般意义上的汽车整车生产企业及相关配套零部件供应商、经销和维修机构,还涵盖了利用互联网、APP等开展汽车服务的市场主体等,其要达到的实质规范目的就是为了实现对汽车行业上下游全生态链的数据安全管理。

2. 汽车重要数据处理活动

根据《汽车数据规定》,并不是所有汽车数据处理活动都会触发报送义务,汽车数据处理者履行报送义务的前提是开展重要数据处理活动。《数据安全法》规定的数据处理是指数据的收集、存储、使用、加工、传输、提供、公开等处理活动,[3]而《汽车数据规定》完全沿用了《数据安全法》关于数据处理的规定,将汽车数据处理亦定义为包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,[4]涉及汽车数据处理的全生命周期。

《数据安全法》要求各行业主管部门应根据数据在经济社会发展中的重要程度建立相关行业领域的重要数据目录。[5]《汽车数据规定》不仅在第三条明确了汽车数据的定义,即汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,并且以概括加列举的方式明确了汽车重要数据的内涵与外延,即汽车重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

需要注意的是,目前《汽车数据规定》中列举的汽车重要数据并未穷尽,仍需持续关注网信等相关部门后续出台的关于汽车重要数据的相关细则和标准指引。

问题三:报送的时间要求和相关部门为何?

根据《汽车数据规定》,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。此处有两个点值得注意,一个是时间要求,即每年十二月十五日前;二是部门要求,除了各省市的网信办之外,还需向有关部门报送。有关部门具体指哪些部门?《汽车数据规定》第十三条虽然未明确,但根据规定全文来看,有关部门包括各省市的工业和信息化厅、公安厅、交通运输厅及发改委。

因《汽车数据规定》今年十月才生效,目前也是第一个报送年度,相关的报送流程和机制还需在实践中进一步磨合和打通,因此,报送时间的要求也并非不可逾期,根据目前某些省市网信部门的通知来看,也并未完全遵循《汽车数据规定》中要求的12月15日前这一时间要求,比如上海市网信办要求的报送时间截点是12月22日,而河北省网信办的报送要求并没有规定具体时间截止,而是使用了“及时配合报送”的表述。

另外,虽然《汽车数据规定》向网信办报送之外,还需向有关部门报送。但目前除了上海市、广东省、天津市、河北省、湖南省等少数几个省市网信办发布报送要求通知外,并未见有各省市其他有关部门的报送要求或通知公之于众,相关部门的报送流程和机制还有待进一步明确。

问题四:实践中各省市具体报送要求有何区别?

从湖南、广东、天津、河北等地网信办发送的通知来看,前述地区网信办均要求汽车数据处理者按照《汽车数据规定》第十三条的规定报送2021年度汽车数据安全管理情况,但并未发布具体的报送指引和文件模板。

经我们与各地网信部门的沟通征询,得知大部分省市对报送并无特别要求,例如:

(1)广东、天津、河北等地网信办对报送均无特别要求,亦无相关模板,要求按照《汽车数据安全管理若干规定(试行)》第十三条规定的内容进行报送即可。但是天津网信办反馈,在具体报送材料中可对安全管理要求的部分内容进行详细填写。

(2)重庆、江苏、湖北等地网信办均反馈没有接到需要报送的通知。

(3)上海网信办提供了《2021年度汽车数据安全管理情况报告模板》,要求参照模板报送。

截至本文成文之时,仅有上海网信办发布了报送汽车数据的模板。其中,上海报送模板在基本管理情况中要求汽车数据处理者填报年份、企业名称、企业联系人、数据安全管理负责人、用户事宜联系人、处理数据类型、汽车数据所在地、向境内第三方提供情况、安全事件、投诉情况、风险评估报告、是否涉及数据出境。如下图所示:

微信图片_20220228143938.jpg

同时,上海报送模板中的报告内容还涵盖车外视频、车外雷达、行踪轨迹、车内视频和图像、车内音频、生物识别特征、其他个人信息数据的收集、存储、使用、加工、传输、提供、公开。

微信图片_20220228143941.jpg

此外,基于收集、存储、使用、加工、传输、提供、公开等数据处理方式的不同,上海网信办对不同场景数据要求报送的内容也有所不同。下表以报送模板中的车外数据为例:

微信图片_20220228143944.jpg

从报送要求不难看出,上海网信办尤为关注汽车数据处理的目的及必要性、数据处理活动的脱敏(去识别化、匿名化)等保护措施、数据的分级分类保护措施及处理者是否进行了相应的风险评估。在各地网信等相关部门未发布汽车数据年度报送的具体要求及指引前,上海网信办的年度报送模板具有较大的参考价值。

此外,值得注意的是,虽然《汽车数据规定》中明确指出“开展重要数据处理活动”的汽车数据处理者具有相应的“年度报送义务”,但天津和上海网信办的通知及上海报送模板均未明确指出报送“汽车数据安全管理情况”的前提为“开展重要数据处理活动”,而广东、湖南、天津网信办的通知则明确将“开展重要数据处理活动”作为报送前提。

因此,针对汽车数据安全管理情况的年度报送义务触发前提和具体要求指引,仍有待各地网信等相关部门进一步明确和落地。

问题五:报送实务中还面临哪些不确定性?

如前所述,目前各省市对汽车数据安全管理情况的年度报送具体通知要求、触发前提和时间截点等均存在一定差异,对跨省市经营或多省市布局的汽车数据处理者来说,实务当中仍面临一些报送难题或不确定性。

比如报送主体地域范围是注册地在某省市的汽车数据处理者,还是只要在某省市有经营活动的汽车数据处理者,就应当向该省市进行报送?目前各地标准不一,有以注册地为报送标准的,比如上海明确要求报送的范围为注册地在上海的汽车数据处理者,而广东、天津则要求报送的范围为本省或本市的汽车数据处理者,河北则要求报送的范围为属地的汽车数据处理者;如果在多省市进行经营,是否需要在各省市均进行报送?逾期报送或者未收到报送通知的,是否可以暂缓报送?除网信办外,向其他有关部门的报送如何操作?向网信办报送的材料是否可以通用于向其他有关部门的报送?等等这些具体实务操作细节,均需各地网信或有关部门进一步明确,后续我们会密切关注监管要求动向,同时也建议相关汽车数据处理者加强与监管的沟通,及时掌握最新的报送要求。

问题六:报送要求给汽车数据处理者带来哪些合规启示?

1. 及时履行报送义务

早在2019年5月8日国家网信办发布的《数据安全管理办法(征求意见稿)》中就规定了“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。”[6]《汽车数据规定》进一步明确和细化汽车重要数据处理情况的报送义务,不仅在第十三条规定了每年定期的情况报告义务,同时还在第十条规定了汽车数据处理者开展重要数据处理活动的风险评估与评估报告的报送义务。由此可见,汽车数据处理者向网信等主管部门报送其开展的重要数据处理活动情况,将成为今后车企及其相关配套企业必须面对、尤为重要且必须落实的法定义务。

2. 建立数据安全管理制度

《汽车数据规定》第十三条第三项明确载明汽车数据处理者需要报送“汽车数据的安全防护和管理措施”,同时在上海网信办发布的报送模板中,“汽车数据的安全防护和管理措施”的内容也是重中之重。此外,2021年7月工业和信息化部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》亦明确要求企业应当建立健全汽车数据安全及网络安全管理制度,实施数据分类分级管理和网络安全等级保护制度,建设数据安全保护技术措施,依法依规落实数据安全风险评估、数据安全事件报告等。[7]因此,汽车企业建立相应的数据安全管理制度,不仅是年度报送的内容要求,更是企业自身的合规需要。

3. 建立汽车企业的数据合规体系

伴随政府部门逐步建立和完善汽车数据安全合规监管体系,汽车企业的数据合规义务通过《数据安全法》《个人信息保护法》等上位法及《汽车数据规定》《关于加强智能网联汽车生产企业及产品准入管理的意见》等细则的规定,目前已经较为清晰和详细。由此,对于汽车企业及其配套服务企业而言,随着相关法律法规的落地和生效,遵循相应规范并构建自身的数据合规体系已经成为迫切的现实需求。汽车企业应当严阵以待,积极迎接数据合规的新时代。

参考资料

[1]各地网信办的具体通知详见网信上海微信公众号发布的《关于报送2021年度汽车数据安全管理情况的通知》;网信广东微信公众号发布的《广东省互联网信息办公室关于报送2021年度汽车数据安全管理情况的通知》;网信天津微信公众号发布的《天津市互联网信息办公室关于报送2021年度汽车数据安全管理情况的通知》;网信河北微信公众号发布的《@河北省汽车数据处理者,省委网信办开展年度汽车数据安全管理情况收集工作》;网信湖南微信公众号发布的《湖南省互联网信息办公室关于报送2021年度汽车数据安全管理情况的通知》。

[2]《汽车数据安全管理若干规定(试行)》第三条。

[3]《数据安全法》第三条。

[4]《汽车数据安全管理若干规定(试行)》第三条。

[5]《数据安全法》第二十一条。

[6]《数据安全管理办法(征求意见稿)》第十五条。

[7]《关于加强智能网联汽车生产企业及产品准入管理的意见》第二条。

返回列表