汽车行业数据合规制度建设初探 | 耀时数据原创

汽车行业数据合规制度建设初探 | 耀时数据原创

赵佳

而今汽车行业发展趋势不断智能化、互联化，传统工业产品与通信技术、互联科技、电子技术相互融合从而形成了车联网的新业态。然而汽车数字化应用技术过程中涉及的法律监督却引发了广泛的关注与讨论。比如，特斯拉就车辆远程升级等问题被国家市场监督管理总局等五部门约谈、蔚来汽车车主因辅助驾驶车祸死亡、小鹏汽车违规采集人脸信息、五部门联合约谈11家网约车平台、滴滴赴美上市后被要求进行网络安全审车等。

2021年相继出台了《数据安全法》和《个人信息保护法》，结合已经生效的《网络安全法》等相关法律法规，我国的网络数据合规立法框架已经基本形成。2021年8月20日《汽车数据安全管理若干规定(试行)》公布，正式对于汽车数据的保护要求规范实施。2025年中国将形成标准只能汽车法规标准、产品监管和网络安全体系。对汽车相关企业而言，数据已经不仅仅是企业的重要资产，数据的管理不善面临着巨大的经营和合规的风险。本文以《汽车数据安全管理若干规定（试行）》规定为基础，对目前实务中的法律法规以及应用场景进行梳理，为汽车行业经营者的合规制度建设提供建议和思路，并对汽车数据出境的合规进行分析。

PART 一、汽车行业数据内容及数据处理原则

1. 汽车行业数据主要包含以下内容：

汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

个人信息：以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。其中，敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：

（1）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

（2）车辆流量、物流等反映经济运行情况的数据；

（3）汽车充电网的运行数据；

（4）包含人脸信息、车牌信息等的车外视频、图像数据；

（5）涉及个人信息主体超过10万人的个人信息；

（6）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

笔者提示：汽车数据处理者在开展中重要数据处理活动时应对开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险报告包含：a所处理的重要数据的种类、数量、范围、保全地点与期限、适用范围及方式；b开展数据处理活动情况以及是否向第三方提供；c面临数据安全风险及应对措施等。当然《汽车数据安全管理若干规定（试行）》还规定了年度报告制度。

2. 汽车行业数据处理原则：

国家鼓励汽车数据依法合理有效利用，规范汽车数据处理者在开展汽车数据处理活动中坚持以下原则：

（1）车内处理原则，除非确有必要不向车外提供；

（2）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；

（3）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；

（4）脱敏处理原则，尽可能进行匿名化、去标识化等处理。

笔者提示：汽车数据的处理原则给现有汽车信息处理者、经营者带来了诸多风险。车企在处理平衡车联网技术与汽车数据保护的平衡上要积极落实，从制度层面进行规范落实，以满足日益规范的监管要求。

PART 二、汽车行业数据合规制度建设

汽车企业对数据合规制度建设应当从数据合规运行制度以及数据保障制度两个方面规范。数据合规运行制度直接应对合规风险的制度建设与运行，侧重于有效应对监管；数据合规保障制度是从资源、信息、技术等方面为数据合规工作提供支持，侧重于有效识别、防范和应对风险。

1. 数据合规运行制度包含以下内容：

（1）建立合规管理与风险识别制度；就制度搭建进行有效的统筹与计划，作为数据合规管理的全方位的指引与要求。

（2）对汽车采集数据进行分类与分级；数据分类是数据保护的核心，他决定了汽车企业对数据应采取何种级别，以及企业业务活动相关的标准与要求。

（3）汽车行业个人信息分类与分级；个人信息保护是企业数据安全管理制度的重点，不仅包含企业数据中的个人信息，还包括企业员工、访客的个人信息。确立独立的监管部门、制定个人信息曝光的规则、定期发布相关的社会责任报告等等。

2. 数据保障制度：

企业可以根据《合规管理体系 要求及使用指南》（ISO37301:2021）对其包括数据合规管理体系在整体合规管理进行规范化提高，取得认证。

（1）数据安全技术赋能；合规管理的安全技术要求企业在数据在线监控、风险评估以及信息集成、输出与共享中运用数据安全技术做好相关保障工作。

（2）数据合规培训制度；合规培训应当通过制度化、常态化的培训机制对员工，尤其是合规部门、业务部门等重点部门进行；内容围绕监管政策动态、数据合规体系要求，针对不同部门做法律知识讲解、案例分析、流程报告与审核等等。

（3）数据合规管理制度评估与认证；按照体系要求做好评估认证工作，针对合规职责可以将评价结果与员工考核、绩效、晋升等挂钩，激励员工做好合规工作。搭建数据合规的企业文化，这样数据管理工作才能“虚”“实”结合，落实到位。

PART 三、汽车数据出境合规分析

1. 汽车数据出境义务：

汽车数据处理者过度手机重要数据、违规出境重要数据对国家会造成严重的安全威胁，因此汽车企业需严格遵守《网络安全法》、《数据安全法》和《个人信息保护法》的规定，就数据出境提出完善的规定和要求：其中重要数据的存储应当在境内，这是数据本地化的必然要求，且重要数据向境外提供不得超出出境安全评估的目的、范围和数据种类、规模。

（1）安全评估义务；《汽车数据安全管理若干规定（试行）》特别针对此规定了抽查核验制度，国家网信部门会会同国务院有关部门会以抽查等方式核验汽车企业在向境外提供重要数据时是否履行安全评估义务。

（2）年度补充报告义务；

向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上，补充报告以下情况：

a 接收者的基本情况；

b 出境汽车数据的种类、规模、目的和必要性；

c 汽车数据在境外的保存地点、期限、范围和方式；

d 涉及向境外提供汽车数据的用户投诉和处理情况；

e 国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供

f 汽车数据需要报告的其他情况。

另外需要指出的是，对于环境数据出境限制将会成为监管部门注重关注和审查的领域。

2. 汽车数据出境合规应对措施：

数据出境规范严、要求高，进而汽车数据出境经营者应当严格做到以下工作：

（1）密切跟进立法动态，对跨境数据流动相关的法律规则充分认识学习。

（2）定位自身角色，对汽车行业部门机构合规做好预判。

（3）进行合规建设，对数据出境风险自评估与安全评估做技术准备。

可以预见，汽车数据出境将成为监管部门着重关注和审查的领域。建议各类汽车企业就现有营运和研发汽车数据出境做好必要性的充分评估，与第三方机构共同做好合规体系搭建，以防范数据出境的法律风险。数据安全是汽车行业的数字化转型成功的关键。而今在汽车数据合规制度建设上仍有诸多实践经验需要总结，制度框架与设计上需要系统思考与搭建，在数据合规制度建设与运营上都道阻且长。

【本文作者】