如您希望下载PDF版本,请点击文末“阅读原文”获取。
引言
汽车生产与销售属于典型的全球性产业,依赖于全球供应链协作及跨国市场体系。汽车智能化发展加速了数据在汽车生产与销售中的角色,并成为基础性要素之一。汽车产业链全球运作过程中,必然带来数据的交互与融合,且成为汽车产业发展不可或缺的部分。无论是中国汽车企业出海,还是跨国企业运营中国市场,都面临数据跨境流动的需求。同时,地缘政治因素又叠加了数据博弈的冲突,对汽车企业经营主要国家和地区的市场带来挑战(详见前期文章:美国即将对中国网联汽车采取禁止交易措施)。
汽车行业作为典型的标准化行业,需要跨场景、跨平台、跨企业的统一标准,以实现协作的有效性。而从数据要素本身来看,汽车行业的数字化转型程度仍有较大空间,如何发挥数据要素能力,提升新质生产力,是诸多汽车企业面临的主要问题之一。数字化转型需要转变数据治理思维,确定如何收集和使用数据,发挥要素价值,这恰恰是数据合规的任务。
从企业级数据治理体系出发,数据跨境合规并非孤立的事项,它与数据合规高度关联,对于汽车这样的全球行业来说,甚至应该是数据合规的一部分,必须有数据的合规,才有数据跨境的合规。通过本文的梳理,我们希望能够为汽车数据跨境合规梳理清晰底层逻辑、关键要点,提供经济、有效的合规应对思路。
01
汽车数据监管法律体系
数据合规所依据的是我国的数据法律体系,数据跨境合规又依据于我国的数据跨境法律体系。两个体系既相互关联又自成系统,涉及法律、行政法规、部门规章、规范性文件、标准、指引以及具体行业通用实践。概括而言,我们可以用两个“3+1”来快速掌握法律体系的轮廓。在这两个体系之下,我国也于2021年专门出台了《汽车数据安全管理若干规定(试行)》,亦是汽车数据合规的重要法规。
1. 数据治理“3+1”
数据治理法律体系包括3部法律:《网络安全法》《数据安全法》《个人信息保护法》,以及1部行政法规:《网络数据安全管理条例》。
《网络安全法》于2016年出台,2017年起实施,主要从网络运营安全的视角进行管理,其中第三十七条涉及数据管理,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定,依照其规定。”《网络安全法》把关键信息基础设施运营者的个人信息和重要数据跨境作为切入点,确定了管理思路及模式,形成了我国数据治理及跨境数据监管的雏形。
《数据安全法》于2021年出台和实施,在《网络安全法》的基础上,把数据作为一个独立的对象进行治理,不再局限于关键信息基础设施运营者的数据,而是规范一般意义的数据处理者,确定了数据安全义务。同时,《数据安全法》亦坚持和延展了《网络安全法》第三十七条的规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”这就重申了《网络安全法》对关键信息基础设施运营者的管理,同时把其他数据处理者纳入管理范围,并将个人信息的部分交给《个人信息保护法》规范。
《个人信息保护法》于2021年出台和实施,其中对个人信息跨境专门用了一章来规定。《个人信息保护法》以个人信息为对象,确立了出境的三种方式:安全评估、保护认证和标准合同,同时也坚持了《网络安全法》第三十七条的跨境管理制度(见《个人信息保护法》第四十条)。
《网络数据安全管理条例》于2024年9月出台,并将于2025年1月1日起实施。这部《条例》是国务院的行政法规,定位于《网络安全法》《数据安全法》《个人信息保护法》的配套法规,在数据治理体系中无疑具有非常重要的地位。《条例》也用了专门一章对数据跨境进行规定,其中对重要数据识别的实践问题首次作出了明确的回应。
2. 数据跨境“3+1”
《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》从整体上构建并明确了我国数据治理的体系,其中正如前文所述,亦搭建完成我国的跨境数据管理体系。从数据类型上来说,涉及重要数据和个人信息;从出境方式上来说,涉及安全评估、保护认证和标准合同,以及增加的豁免情形。据此,我国通过部门规章和规范性文件的形式,确定了数据跨境“3+1”体系,包括《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》和《促进和规范数据跨境流动规定》。
《数据出境安全评估办法》于2022年出台和实施,并留出6个月的宽恕期,即2023年3月1日起完成整改。这部《办法》明确了通过安全评估方式进行数据出境的适用情形以及申报流程,其中关键信息基础设施运营者和向境外提供重要数据的数据处理者需注意此项义务,而涉及一定数量以上的个人信息也需要申报安全评估出境。
《个人信息出境标准合同办法》于2023年出台和实施,也留出6个月宽恕期,即2024年1月1日起完成整改。订立标准合同的方式仅适用于个人信息出境活动,涉及重要数据以及出境主体为关键信息基础设施运营者的,不能使用标准合同的方式。
《关于实施个人信息保护认证的公告》于2022年公布,附有《个人信息保护认证实施规则》。个人信息保护认证区分为“不含跨境处理活动的”和“包含跨境处理活动的”。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求,而对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。据公开信息,2023年12月,五家企业获发首批个人信息保护认证证书,但应不涉及跨境事宜。
《促进和规范数据跨境流动规定》于2024年公布实施。这部《规定》因给出了明确的豁免情形而备受关注,亦对跨境数据流动管理做出了很大的调整和完善。这部《规定》对免予申报安全评估的情形和免予所有申报手续的情形予以明确,有效促进数据依法有序自由流动。同时,在此后公布的《网络数据安全管理条例》亦将豁免情形进一步上升为行政法规层级,可以说我国整体的数据跨境政策得以固化,未来将在实践中逐步厘清操作性指引。
02
汽车数据、数据跨境
1. 何为汽车数据?
根据2021年公布的《汽车数据安全管理若干规定(试行)》,汽车数据包括汽车设计、生产、销售、适用、运维等过程中的涉及个人信息数据和重要数据。汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。具体判定过程中,还需要进一步参考有关行业标准,如GB/T 41871-2022《汽车采集数据处理安全指南》、YD/T3751-2020《车联网信息服务 数据安全技术要求》等。
表:汽车数据类型和范围。金杜网络安全与数据合规团队整理
*参考《网络安全标准实践指南——敏感个人信息识别指南》
今年5月,上海自贸区临港片区发布了《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》,以正面清单的方式明确了可以出境的汽车数据,覆盖了跨国生产制造、全球研发测试、全球售后服务、二手车全球贸易等四个场景[1]。8月,北京自贸区发布数据出境负面清单,其中对汽车行业的重要数据和个人信息进行了明确,达到了字段级标准,对识别汽车数据中的重要数据极具参考意义(见下表)。
表:北京自贸区数据出境负面清单汽车领域。金杜网络安全与数据合规团队整理
2. 何为数据出境?
数据出境包括三种情形:①数据处理者将在境内运营中收集和产生的数据传输、存储至境外;②数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;③国家网信办规定的其他数据出境行为。
实践中,基于汽车领域的场景复杂性,判断是否构成数据出境还需要结合具体情形。比如,全球的IT运维中心设在印度,而汽车数据存储于中国境内,印度员工远程访问境内的数据,即构成数据出境。
值得注意的是,《促进和规范数据跨境流动规定》亦对“数据过境”作出了明确的规定,“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。对于汽车行业而言,在远程运维、全球研发等场景中,都可能适用这一条的豁免规定。如研发中心位于中国境内,将境外的碰撞数据传回境内分析,再将结果作为解决方案传输至境外,只要其中没有引入境内个人信息或者重要数据的,就可以得到豁免。但是,这一条的豁免仅以个人信息为对象,而不涉及重要数据——理论来说在境外收集和产生数据也很难符合重要数据的构成要件。
03
汽车数据出境的义务及豁免
来源:金杜网络安全与数据合规团队整理
汽车企业涉及数据跨境需求的,需要划分场景并对需求进行预估,从而确定底层策略——进行申报或者本地化部署。采取本地化部署的,则需要与境外主体(海外global或者境外branch)进行治理架构和数据本身的隔离。如果采取申报路径,则应根据出境场景确定具体出境的方式。
1. 安全评估
根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》,满足任一条件的,应当申报安全评估:重要数据出境;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者;自上年1月1日起累计向境外提供10万人个人信息的;自上年1月1日起累计向境外提供1万人敏感个人信息的。
2. 标准合同
根据《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》,必须同时满足条件,才可以采取订立标准合同的方式出境:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
3. 保护认证
根据《关于实施个人信息保护认证的公告》和《促进和规范数据跨境流动规定》,采取保护认证的方式出境的条件与标准合同相同,不过目前通过保护认证的方式出境的公开信息有限。
4. 豁免情形
根据《促进和规范数据跨境流动规定》和《网络数据安全管理条例》,豁免情形包括两类:免予所有申报手续和免予申报安全评估的情形。具体可参见下表:
表:免予所有申报手续的情形。金杜网络安全与数据合规团队整理
表:免予申报安全评估的情形。金杜网络安全与数据合规团队整理
04
汽车数据出境合规的步骤
一般而言,汽车企业数据出境包括三个主要步骤,盘点数据资产、定义业务场景和开展出境申报。对于数字化程度比较高的企业,可以跳过第一步骤,因为数字化转型中必然涉及数据资产的梳理。
1. 盘点数据资产
盘点数据资产的目的包括三个:①识别出境事实。企业需全面核查业务条线,识别存在的数据出境事实,如信息系统是否设置在境外,境外是否可以对境内数据进行访问等。②判断数据类型。结合法规标准。判断涉及跨境的数据类型,确定是否存在个人信息(个人敏感信息),以及重要数据。③确定出境方式。根据数据类型、规模等,明确应当采取何种方式出境,或者考虑进行本地化部署。
图:数据出境判定流程。金杜网络安全与数据合规团队整理
2. 定义业务场景
根据数据资产盘点的结果,企业可结合业务流程及需求,合理定义需要申报的数据出境业务场景。一般来说,根据汽车业务环节,可以分为销售管理场景、售后保修场景、产品质量调研场景、汽车记录分析场景等;根据企业内部管理环节,可以分为合同管理场景、薪酬管理场景、绩效管理场景等。这里需要注意的是,虽然《促进和规范跨境数据流动规定》对人力资源管理场景作出了豁免,但是仅限于劳动法框架下的人力资源管理,涉及派遣、实习、员工家属等情况的跨境,并不必然可以豁免。
3. 开展出境申报
企业决定开展数据出境申报的,也要分为两步。第一步确定出境前置义务的履行,《促进和规范数据跨境流动规定》第十条要求,数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。因此,需要注意的是,申报手续的豁免,并不意味着其他个人信息出境义务的豁免,这也是实践中容易产生合规风险的环节。第二步则是根据选定的出境方式开展相关申报工作。
05
汽车数据出境合规重点及难点分析
结合实务经验和法律规定,汽车行业数据出境需要特别注意几个合规风险,这不仅是实际数据出境过程中会被重点关注的部分,也是部分企业合规中容易忽视的内容。
1. 有效的“告知-同意”
根据《个人信息保护法》的规定,处理个人信息前,企业通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂。
通常来说,处理个人信息需要制定隐私政策(个人信息处理规则),其中需要明确的内容包括:①网络数据处理者的名称或者姓名和联系方式;②处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;③个人信息保存期限和到期后的处理方式;④个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径的。同时,处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。此外,根据《工业和信息化部关于开展信息通信服务感知提升行动的通知》,企业在告知时需提供“双清单”——已收集个人信息清单和向第三方共享个人信息清单。
《个人信息保护法》第十三条规定了处理个人信息的合法性基础,通常以用户同意为核心。实践中取得用户同意是最为有效的合法性基础。对于基于同意处理个人信息的场景,对个人信息进行跨境需要取得用户的“单独同意”,特别需要避免概括同意、强制同意来进行个人信息出境。
2. 重要数据识别
根据《数据安全法》的要求,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。而最新公布的《网络数据安全管理条例》在此基础上又规定了企业的自识别义务,“网络数据处理者应当按照国家有关规定识别、申报重要数据”。按照行业管理要求,工信部出台的《工业和信息化领域数据安全感安全管理办法(试行)》规定,“工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录”。工业和信息化领域数据包括工业数据、电信数据和无线电数据,而工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台经营等过程中产生和收集的数据,其中亦会包含汽车数据。因此,汽车数据处理者需要按照相关规定对重要数据进行识别,并留存相关记录或者向主管部门申报,重要数据识别的结果应作为数据出境选择的参考。
3. 个人信息保护影响评估
根据《个人信息保护法》的规定,向境外提供个人信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录,个人信息保护影响评估报告和处理情况记录应当至少保存三年。具体而言,汽车企业进行数据出境的,无论是否属于豁免情形,也无论适用何种方式出境,都应当履行个人信息保护影响评估义务。具体而言,评估的内容包括:
(1)
个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(2)
出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(3)
境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(4)
个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险;
(5)
个人信息权益维护的渠道是否畅通。
采取订立标准合同方式出境的,还应当评估境外接收方所在国家或者地区的个人信息保护政策和法规的的影响。
4. 数据出境风险自评估
需要通过安全评估方式出境的,汽车企业应当重点关注自评估工作,这是申报数据出境安全评估的必要条件之一,亦是重点内容之一。汽车企业需要全面核查其数据安全保障能力是否满足相关法律法规对于数据出境的安全要求,并形成自评估报告。自评估报告主要应包含四部分内容:
(1)
自评估工作简述:起止时间、组织情况、实施过程等;
(2)
出境活动整体情况:数据处理者和境外接收方的情况、数据出境涉及的业务和信息系统、拟出境数据情况等;
(3)
拟出境活动的的风险评估情况:出境数据的规模、范围、种类等,境外接收方的责任义务等,其他可能影响出境安全的事项等;
(4)
自评估结论:充分说明自评估结论的理由和依据。
06
对汽车企业合规的启示
根据中国汽车工业协会的最新数据,2024年10月我国汽车出口54.2万辆,环比增长0.5%,同比增长11.1%。中国汽车出海已是大势所趋,同时跨国车企也持续将中国作为重要市场,全球化生产经营中势必会面临数据跨境的挑战。然而,随着我国跨境数据管理制度的日趋成熟和完善,汽车数据跨境将成为数字时代的基本任务,也是汽车企业必须掌握的知识内容。本文结合汽车数据跨境实践总结了相关制度要求和操作经验,但在具体实施过程中,仍可能面临细节性具体问题,欢迎相关企业与我们联系,就相应问题作进一步的讨论分析。
*本文为金杜律师事务所在第三十一届中国汽车工程学会年会上的主题发言的主要内容。
脚注:
[1] 参见:首页 - 中国(上海)自由贸易试验区临港新片区管理委员会
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
感谢吴真恺、苏琦对本文作出的贡献。
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
