“重要数据不出境”?解析新出台的两部重磅数据法规

创业
2021
08/27
18:39
亚设网
分享

“重要数据不出境”?解析新出台的两部重磅数据法规

编者按:本文来自微信公众号汽车商业评论(ID:autobizreview),作者:王海 康瑞霖 娄妍,编辑:张南,创业邦经授权转载,图源:图虫。

过去的一周,可以说是今年数据合规相关法规文件出台最为密集的一周,多部影响汽车行业发展的重磅法律法规接连公布:

1

2021年8月16日,国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定(试行)》,将自2021年10月1日起施行;

2

2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。

对个人信息保护、汽车等行业的监管力度不断增强,监管要求也进一步细化,这都表明了国家对数字经济的治理越发重视,监管也正逐步收紧。那么,相关法律法规的出台对车企数据安全制度的构建会起到怎样的推动作用?车企还有哪些数据安全和合规问题亟待规范?该如何遏制汽车行业数据安全违法行为?这些都需要每一个企业深入思考并积极应对。

我们根据当前的《个人信息保护法》、《汽车数据安全管理若干规定(试行)》等法律法规,结合《信息安全技术个人信息安全规范》、《车联网信息服务数据安全技术要求》、《车联网信息服务用户个人信息保护要求》等国家和行业标准,对个人数据和汽车数据的概念和类型进行了简要的整理,然后再做深入的解读。

首先是针对相关的数据定义和类型进行概念性介绍。

“重要数据不出境”?解析新出台的两部重磅数据法规

《个人信息保护法》的发布和实施与车企息息相关。

首先来看个人信息数据。汽车行业数字化转型走到今天,业务逐步丰富和扩展,数据丰富且量级庞大,客户数据一直被车企视为非常重要的核心资产,但是客户数据可以说既是“金子”,也是“炸弹”,因为企业如果不能对客户数据进行有效的合规管控,就可能会触及法律红线。

《个人信息保护法》当中,对于车企至关重要的核心关键点如下:

《个人信息保护法》中规定了处理个人信息要遵循合法、正当、必要和诚信的基本原则。

《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益等方面,构建了以“告知-同意”为核心的个人信息处理规则。

解析:车企作为个人信息处理者,在采集客户个人信息时,无论是线上APP采集还是线下店端的数据采集,均要践行“告知-同意”原则,比如在签订隐私政策时,需要完整和清晰地告知客户如下内容:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式、处理的个人信息种类、保存期限;个人行使《个人信息保护法》规定的权利的方式和程序;法律、行政法规规定应当告知的其他事项;前述规定事项发生变更的,应当将变更部分告知个人。

《个人信息保护法》赋予了信息主体知情权和决定权,包括知悉个人信息处理规则和处理事项、同意和撤回同意的权利,以及个人信息的查询、复制、更正、删除等权利,同时信息主体也有权限制或者拒绝他人对其个人信息的处理。

解析:随着客户隐私保护意识的增强,车企正在逐步接收到越来越多客户对于个人信息数据处理的规范化的需求,甚至包括删除数据的要求,因此车企应当构建完善的数据监控管理体系,以应对可能发生的数据处理情况。

《个人信息保护法》也规定了数据处理者保障个人信息的义务:包括但不限于制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案;法律、行政法规规定的其他措施。

解析:数据管理需要顶层思维,这一点非常重要。车企需构建顶层统一部门或者组织,并设置类似欧盟GDPR(《通用数据保护条例》)中建议的CDO(首席数据官 CDO - Chief Data Officer),专门负责组织、职责规划,分析和研究法律还有技术发展,对数据全生命周期的管理流程进行风险识别和体系规划,然后设计落地,最大程度上减少多头管理,而且这件事越早做,成本越小,车企面临的风险越低。

《个人信息保护法》设置了严苛的法律责任:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

解析:从法律责任不难看出,企业一旦发生违反《个人信息保护法》的情形,不仅会对品牌的形象造成损害,降低大众信任度,情节严重的,可能还会对整个企业的经营产生致命影响。而对于管理者来说,情节严重的情况下,也会受到非常严重的经济处罚。

基于以上对《个人信息保护法》的理解,我们再来看看《汽车数据安全管理若干规定(试行)》。

据研究,《汽车数据安全管理若干规定(试行)》(后文简称《规定》)是目前生效的中国法规中, 第一次也是目前的唯一一次对特定行业中的“重要数据”进行定义的法规,《规定》的颁布实际上也体现了《数据安全法》下由各行业主管部门制定相应的“重要数据”清单的要求,这一点值得大家注意。

《规定》中所称的汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,具体数据的样例在前文已经介绍过,大家已经有基本的概念。

本次《规定》的第六条成为行业关注的热点,即国家倡导汽车数据处理者在开展汽车数据处理活动中坚持的车内处理、默认不收集、精度范围适用和脱敏处理四原则。那么四原则的边界又在哪里,在车企实践中又该如何应用呢?解读如下:

车内处理原则:尽量让计算在车端完成,如果传输到云端,需要解释必要性。这要求整车的设计环节,在AI的使用设计上,尽量把算法放到车载芯片中。比如自动驾驶、人脸识别、声纹识别等。

默认不收集原则:原来车联网数据都是默认收集的,比如行车记录仪、驾驶轨迹、导航搜索记录等。在车机交互层面,要设计为启动车辆时,在收集数据前,提醒用户是否开启行车记录。这个从UX角度可能会比较影响用户体验,需要车企在实际的应用中再设计和进行优化。

精度范围适用原则:本质上是限制传感器的采集颗粒度,要求颗粒度越小越好,最好粗到就像一个马赛克。比如拍到的行车记录里面有人脸的,传出来的视频必须要将人脸擦除,或者清晰度降低到120万像素以下。这些设备在扫描整个路况的过程中所收集的数据,诸如人、房屋、道路等,并不归属于某个车企。

脱敏处理原则:这个最好理解,未来在数据存储和流通环节,要做好匿名化和去标识化,比如使数据去明文化,id映射为id2然后再打通等。

除了上述四原则,《规定》中“告知-同意”的原则基本与《个人信息保护法》的理念保持一致,但是在数据采集和应用方面,《规定》中对于告知内容进行了更为详尽的描述,包括:

处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;

收集各类个人信息的具体情境以及停止收集的方式和途径;

处理各类个人信息的目的、用途、方式;

个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;

查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;

用户权益事务联系人的姓名和联系方式;

法律、行政法规规定的应当告知的其他事项

数据出境问题也在《规定》里进行了明确,车企尤其是合资企业需要对数据出境合规问题提高重视,《规定》中要求:重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。

解析:也就是说,重要数据如需跨境,其核心监管要求是需要通过国家网信办会同相关部门的审查,非重要数据的其他数据,如个人信息等的出境,需要满足其他数据出境相关的法律法规的要求。结合《个人信息和重要数据出境安全评估办法(征求意见稿)》,拿线索管理来举例,数据出境会审查的内容就包括但不限于:

1

线索数据出境的必要性,为什么线索数据一定要出境,有什么合理场景;

2

涉及到车企线索个人信息情况,包括个人信息的数量、范围、类型、敏感程度(比如财务信息、身份证信息、人脸信息、指纹信息等都属于个人敏感数据),出境数据必须获得个人信息主体的同意,获得授权同意其个人信息出境 ;

3

数据出境及出境数据汇聚是否可能对国家安全、社会公共利益、个人合法利益是否会带来风险等;

4

数据接收方的安全评估、数据出境后的转移泄露风险等;

5

如果涉及到重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模,同时在每年12月15日之前向有关部门报送数据安全管理情况。

最后,还有一点值得一提,《规定》中明确规定汽车数据处理者开展重要数据处理活动,应当开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告;还应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:

1

汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;

2

处理汽车数据的种类、规模、目的和必要性;

3

汽车数据的安全防护和管理措施,包括保存地点、期限等;

4

向境内第三方提供汽车数据情况;

5

汽车数据安全事件和处置情况;

6

汽车数据相关的用户投诉和处理情况;

7

国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

由此,我们建议车企需建立相应的组织机构和管理制度,来完成相应的评估报告和内容上报,以应对法规的要求。

在大数据时代,数据作为生产要素,其价值不亚于石油。汽车作为IOT(物联网)的移动中心,其采集的数据体量和可挖掘的数据价值远超想象。如果被违法滥用,它伤害的将不仅仅是公民的人身财产安全,还可能涉及国家安全。

近些年,国家治理互联网数据收集使用乱象的经验不断丰富,这些经验让主管部门在汽车数据安全隐患大面积爆发之前就制定出相应的法律法规,以期防患于未然。本次法律法规关于汽车数据合规要求的范围,不仅包括车辆售后车联网数据,还包括售前阶段、生产设计阶段,汽车行业全体从业者都需要认真解读和自检自查。

当前汽车行业的现状是,许多企业在数据管理上还相当粗犷,部分企业管理者虽然已经意识到数据合规安全能力建设的必要性,但对于该采取哪些举措以落实数据合规和风险管控,却感到无从下手。我们基于多年汽车行业大数据应用与服务的经验,与知名律所合作,构建了一套完整的数据安全能力体系,从规划、管理、技术、运营四大能力着手,帮助企业构建可持续发展的企业级数据合规安全生态。

“重要数据不出境”?解析新出台的两部重磅数据法规

数据合规安全能力建设的重要性日益凸显,是未来企业数字化转型的基石。数据安全需要在组织内持续性地进行数据资产管控,落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,将数据安全策略、制度规程及技术工具在通过安全运营能力在组织内部进行推广落地,保障企业安全能力体系的可持续发展。

两部重磅法律法规的接连出台,对汽车行业的的影响可以说是巨大的,尤其是对合资企业的经营模式、新能源汽车、自动驾驶等领域甚至将产生颠覆性改变。作为企业的管理者,要未雨绸缪,尽快将数据合规咨询和合规风控软件落地,避免成为法规落地后被罚的第一单。

THE END
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表亚设网的观点和立场。

2.jpg

关于我们

微信扫一扫,加关注

Top