【中文摘要】2020年国务院《智能汽车创新发展战略》中第一次提出智能汽车定义:“智能汽车是指通过搭载先进传感器等装置,运用人工智能等新技术,具有自动驾驶功能,逐步成为智能移动空间和应用终端的新一代汽车。智能汽车通常又称为智能网联汽车、自动驾驶汽车等。”之后国家陆续出台了一批车联网相关的法律法规,截止目前,基本形成了一套行业内的监管框架。以《汽车数据安全管理若干规定(试行)》为基础性法规,在汽车产品准入环节适用《关于加强智能网联汽车生产企业及产品准入管理的意见》,在道路测试与示范应用上适用《智能网联汽车道路测试与示范应用管理规范(试行)》,在道路交通发展上适用《关于促进道路交通自动驾驶技术发展和应用的指导意见》,在高精度地图领域适用《关于加强自动驾驶地图生产测试与应用管理的通知》,在汽车雷达领域适用《汽车雷达无线电管理暂行规定》等。 根据《汽车数据安全管理若干规定(试行)》(以下简称《试行规定》)的规定,汽车数据处理者开展重要数据处理活动的,应当在每年12月15日之前上报年度汽车数据安全管理情况。近期,多省市网信办陆续要求开展属地汽车重要数据处理者上报年度汽车数据安全管理情况。12月10日,河北省网信办要求属地的汽车处理者收集2021年度汽车数据安全管理情况。同日,天津市网信办要求本市汽车数据处理者报送2021年度汽车数据安全管理情况。12月13日,广东省网信办要求本省汽车数据处理者开展重要数据处理活动的,于12月15日之前报送2021年度汽车数据安全管理情况。本文将主要回答以下问题:1、什么样的企业需履行上报义务?2、汽车数据处理者需上报哪些内容?3、汽车数据处理者应当如何作为?
【全文】
一、什么样的企业需履行上报义务
《试行规定》已经明确汽车数据处理者在开展重要数据处理活动时,需履行上报义务。为便于理解,可概括为“汽车数据处理者?处理重要数据=履行年度上报义务”。问题的关键转变为对汽车数据处理者和重要数据的概念理解。
汽车数据处理者。根据《试行规定》,汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。以笔者对智能汽车行业浅析的了解,依据汽车数据处理者的定义,将汽车数据处理者进行不完全细分,如下表所示。
其中,介于智能汽车行业的供应商众多,因此细分领域较广泛,包括Tier1、Tier2……各级供应商,涵盖硬件和软件两个方面。
重要数据。根据《试行规定》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。在汽车数据类型下,主要包括六种类型的重要数据。
因此,对于汽车数据处理者,在日常业务经营过程中,有处理上述六大类重要数据的,应当履行重要数据的年度上报义务。但是具体需上报哪些内容?
二、汽车数据处理者需上报哪些内容
根据《试行规定》,年度报送的汽车数据安全管理情况应当包括如下内容:
汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式
处理汽车数据的种类、规模、目的和必要性
汽车数据的安全防护和管理措施,包括保存地点、期限等
向境内第三方提供汽车数据情况
汽车数据安全事件和处置情况
汽车数据相关的用户投诉和处理情况
国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况
同时还规定,若存在将重要数据向境外提供的,还应当补充报告如下内容:
接收者的基本情况
出境汽车数据的种类、规模、目的和必要性
汽车数据在境外的保存地点、期限、范围和方式
涉及向境外提供汽车数据的用户投诉和处理情况
国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况
从上述上报基本内容看,“汽车数据安全管理负责人、用户权益事务联系人”可以归类为对公司组织架构设置的要求;“处理汽车数据的种类、规模、目的和必要性”、“出境汽车数据的种类、规模、目的和必要性”可以归类为对公司数据的分级分类要求;“汽车数据的管理措施”、“汽车数据安全事件和处置情况”、“汽车数据相关的用户投诉和处理情况”、“涉及向境外提供汽车数据的用户投诉和处理情况”可以归类为对公司建立数据管理制度机制的要求;“汽车数据的安全防护”可以归类为对公司建立数据技术措施的要求;“向境内第三方提供汽车数据情况”、“接收者的基本情况”、“汽车数据在境外的保存地点、期限、范围和方式”可以归类为对公司数据处理操作规程的管理要求。
三、汽车数据处理者应当如何作为
我们发现《试行规定》要求汽车数据处理者需履行年度重要数据上报义务,目的在于要求汽车数据处理者需采取必要措施,对自身数据安全进行必要保障。具体的数据管理措施可以从组织架构、分级分类、制度机制、操作规程、技术措施五个方面来展开:
1、组织架构
组织架构,特指数据安全管理的组织架构设置。对应年度上报内容,指汽车数据处理者需明确自身的数据安全负责人和用户权益事务联系人。所谓数据安全负责人,在《数据安全法》、《网络安全数据安全管理条例(征求意见稿)》中均有所明确。特别是后者,提出重要数据处理者需明确数据安全负责人和数据安全管理机构。具体提出数据安全负责人的独立性要求、多重知识背景要求、决策层中选拔等要求,并提出数据安全管理机构的具体工作职责等。而用户权益事务联系人,我们理解该要求是面向处理个人信息的车企,具体可参照《个人信息保护法》中个人信息保护负责人的角色定位。
2、分级分类
分级分类,特指数据的分级分类工作。对应年度上报内容,指汽车数据的种类、规模、目的和必要性。我们认为要上报“汽车数据的种类、规模、目的和必要性”,前提条件是需要对数据进行分级分类,如此才可能了解自身所掌握数据的类型、规模等。按照《网络安全数据安全管理条例(征求意见稿)》,将数据分为一般数据、重要数据、核心数据三个级别。从数据类型看,又将数据分为个人信息、敏感个人信息、重要数据、核心数据等。车企可根据要求,对自身数据进行识别,查看有哪些类型和级别的数据,便于年度上报工作。
3、制度机制
制度机制,特指数据安全管理制度和运行保障机制的搭建。对应年度上报内容,指汽车数据的管理措施、安全事件和处置情况、相关的用户投诉和处理情况等内容。我们的理解是车企至少需要制定数据管理办法、数据安全事件应急处置办法和用户投诉举报机制等制度和机制。当然除了年度上报义务外,重要数据处理者还需要履行风险评估义务。同时按照目前《网络安全数据安全管理条例(征求意见稿)》,作为重要数据处理者在运行机制层面,需建立数据安全监测预警机制、定期检测评估机制、数据安全事件应急机制、数据安全审查机制(包括应当优先采购安全可信的网络产品和服务)等。在保障机制层面,需落实数据安全领导责任制、加强数据安全管理队伍建设、定期开展数据安全培训教育(管理技术人员不少于20小时)、履行限时的数据安全报告机制、建立数据保密机制和尽职合规免责机制、以及结合评价考核和举报机制,落实激励约束机制。
4、操作规程
操作规程,特指数据全生命周期的操作规程,包括汽车数据的收集、存储、使用、共享、加工、出境、删除等环节。对应年度上报内容,指向境内第三方提供汽车数据情况、境外接收者的基本情况、数据在境外的保存地点、期限、范围和方式等内容。我们理解该部分内容,可在数据共享和数据出境环节中制定具体的操作规程中予以约束。
5、技术措施
技术措施,特指数据安全技术措施。对应年度上报内容,指汽车数据的安全防护。常见的数据安全技术手段包括建立防火墙、匿名化、加密、去标识化、数据库最小权限管理等,可通过赋能的方式,与上述数据合规管理制度等进行结合,以减少合规成本、便于公司管控。
