首页/前沿观察/专业文章/专业领域/合规

《汽车数据安全管理若干规定》(试行)要点解析》

2021-08-23

作者:秦英、营青

2021年8月20日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《汽车数据规定》),并将于2021年10月1日起正式施行。《汽车数据规定》以《网络安全法》、《数据安全法》等法律、行政法规为上位法,其作为汽车行业数据安全方面的专门规定,主要明确了汽车数据安全领域的相关概念,以及汽车数据处理者处理数据的相关责任义务,并且明确了重要数据出境的规制办法。相较于今年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》(以下简称“征求意见稿”),《汽车数据规定》有较多调整,具体而言:


要点一:监管范围更广


(1)《汽车数据规定》对于个人信息、敏感个人信息的规定与今年8月20日刚通过并将于11月1日起正式生效的《个人信息保护法》(以下简称《个保法》)以及《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)等规定的范围一致,但其进一步明确了与汽车行业有关的具体范围,个人信息以及敏感个人信息不仅包括与车主、驾驶人、乘车人员有关的信息,还包括通常理解上与汽车本身没有关系的“车外人员”的个人信息(敏感个人信息),这意味着通过汽车摄像头、雷达等方式记录的与已识别或可识别车外人员有关的信息也应受到《汽车数据规定》的规制。


(2)《汽车数据规定》规制的汽车数据处理者的范围较广,不仅包括传统意义上的汽车制造商、零部件和软件供应商、经销商、维修机构,还包括出行服务企业。与《征求意见稿》相比,《汽车数据规定》扩大了适用对象的范围,将“网约车企业”表述修改为“出行服务企业”。网约车企业主要包括如滴滴出行、首汽约车、曹操出行、美团出行等以互联网技术为依托构建服务平台提供网络预约出租汽车经营服务的企业,但正式生效的《汽车数据规定》进行了调整之后,结合第三条有关“敏感个人信息”的规定中列举了“车辆行踪轨迹”,如此一来,为汽车出行提供地图导航服务的企业也有较大可能被包含在出行服务企业的范围内。可见,相比《征求意见稿》,《汽车数据规定》中汽车数据处理者的定义范围更广。


要点二:监管力度更强


(1)与《征求意见稿》相比,《汽车数据规定》新增对“重要数据”的界定,并且就重要数据的范围而言,新增“涉及个人信息主体超过10万人的个人信息”。《汽车数据规定》明确汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向有关部门报送风险评估报告。因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。该数据出境的安全评估制度与《个保法》的规定保持了一致,但目前《个保法》并未对个人信息的数量作出明确界定,作为参考,网信办在2017年公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》和今年7月公布的《网络安全审查办法(修订草案征求意见稿)》中,均要求对超过一定数量(详见下表)的个人信息运营者进行安全评估:


虽然以上两条规定暂未生效,但相比之下不难看出,《汽车数据规定》中要求涉及10万人的个人信息出境就要求进行安全评估,其标准明显更为严格,也充分表明立法机关对于汽车数据安全领域数据出境方面的监管力度更强。


要点三:监管规定更明确


(1)《汽车数据规定》第五条第五款规定个人要求删除敏感个人信息的,汽车数据处理者应当在十个工作日内删除。虽然《个保法》第四十七条以及《个人信息安全规范》第8.3条均规定了在某些特定情形下,个人信息主体有权请求个人信息处理者删除个人信息,但并未对时间做出具体要求,《汽车数据规定》进一步明确了数据处理者删除个人信息的时间限制,细化了上位法《个保法》的规定。此外,对于汽车数据处理者开展重要数据处理活动年度报告制度的规定,也细化了最迟报送时间为每年十二月十五日前。精确到具体时间的规制方式,为汽车数据处理者提供了具体明确的合规要求。


(2)《汽车数据规定》对于汽车数据处理者处理个人信息告知义务的具体告知事项,处理敏感个人信息的要求,处理重要数据活动年度报送制度的具体报送事项以及向境外提供重要数据的补充报送事项等问题都做出了更具体、明确、细致的规定,是对上位法《网络安全法》、《数据安全法》以及《个保法》的进一步补充。


结语


《汽车数据规定》与《网络安全法》、《数据安全法》等上位法一脉相承并进行了进一步细化,旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用,为我国汽车行业数据安全管理提供强有力的法治保障,具体而言:

  • 《数据安全法》:两者结构相对统一,并且《汽车数据规定》第十条的风险评估以及报送义务与《数据安全法》相衔接;


  • 《网络安全法》:开展重要数据处理活动的汽车数据处理者有可能落入《网络安全法》中规定的“关键信息基础设施运营者”,并且《汽车数据规定》第五条要求利用互联网等信息网络开展汽车数据处理活动应当落实网络安全等级保护等制度,也与《网络安全法》相呼应;


  • 《个保法》:虽然《汽车数据规定》第一条并未将《个保法》明确列举为制定依据,但《汽车数据规定》第八、九、十一条等条款有关个人信息以及重要数据出境安全管理的相关规定均与《个保法》的相关规定保持一致。


目前,我国有关数据方面的法律法规以及相关配套规定不断推陈出新,除国家级监管机构外,地方以及各行业监管机构也被赋予了监管职责。作为数据相关的经营者,可能面临多部法律法规项下的义务竞合,以及应对不同监管部门的不同要求的局面。如何高效而全面地开展数据合规工作,已经成为数据相关企业亟待解决的重要问题。对此,我们建议企业建立起一套完备、并紧跟立法动态并不断更新的内部数据合规制度,从而有效控制当前强监管趋势下的数据合规风险。


特别声明


本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

专业领域

相关推荐

专业文章

数据合规领域大事记:2023回顾与2024展望

02/2024
专业文章

医药反腐合规专题(一)医药企业如何有效管控“讲课费”合规风险

11/2023