汽车行业是全球化程度较高的行业之一,随着近年来智能网联汽车[1]的快速发展,汽车行业相关企业(“汽车企业”)的数据出境需求日益增多,对于跨国性质的汽车企业来说更是如此。另外,汽车行业也是数据安全严监管的行业之一,这使得汽车企业的数据出境更为敏感和复杂。

2022年6月30日,国家互联网信息办公室(“国家网信部门”)发布了《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定征求意见稿》”)及其附件《个人信息出境标准合同》。

2022年7月7日,国家网信部门正式发布了《数据出境安全评估办法》(“《评估办法》”),并将于2022年9月1日正式生效。

在此之前,全国信息安全标准技术委员会于2022年6月24日发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(“《认证规范》”)。

上述三项规定和规范,涵盖了我国数据出境的基本框架。尤其是《评估办法》的最终落地,标志着我国数据出境规则基本形成。

《评估办法》不仅提供了国家网信部门组织的安全评估(“官方评估”)的若干适用情形、申报条件、评估重点、评估程序等,更为重要的是,《评估办法》明确了个人信息出境触发官方评估的门槛。汽车企业亟需对其各自的数据出境活动及后续安排做出策略性的调整和规划。

本文旨在帮助汽车企业判断适用的数据出境路径并开展相应准备工作。

01 汽车企业如何判断数据出境路径?

综合《网络安全法》《个人信息保护法》和《评估办法》的相关规定,根据适用情形和触发条件的不同,我国数据出境规则主要包括三种路径:

  • 通过官方评估(“官方评估路径”);

  • 经专业机构进行个人信息保护认证(“认证路径”);

  • 按照国家网信部门制定的标准合同(“标准合同”)与境外接收方订立合同,约定双方的权利和义务(“标准合同路径”)。

对于出境路径的选择和适用,汽车企业可采取以下步骤:

  • 步骤一:梳理数据出境活动

对数据出境活动进行梳理和盘点是判断选择何种出境路径的第一步。就官方评估而言,《评估办法》规定“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改”[2],因此当前已发生(且仍将继续)的和《评估办法》生效后拟开展的数据出境活动均应纳入考虑范围,具体包括以下方面:

是否向中国境外传输数据

向中国境外传输数据有两类常见形式:一类是数据处理者主动将其在中国境内收集和产生的数据通过网络或硬件载体传输至境外接收方;另一类是数据处理者向境外接收方(包括关联方,如外资股东、全球或地区总部等)开放访问权限,允许其访问存储于境内的数据[3]。

向境外传输数据的具体情况

这包括数据出境背景(如数据出境系基于与境外接收方开展的何种合作、境外接收方提供何种产品或服务、是否签署了服务协议或其他合作协议)、境外接收方的类型(个人、企业、公共机构、其他组织等)、境外接收方所在国家或地区、数据处理者向境外接收方传输数据的传输期限、传输频率、传输规模等、境外接收方对出境数据的处理目的、处理方式、存储地点和存储期限等。

向境外传输的数据类型

在本步骤一中,汽车企业可以对出境的数据类型进行盘点,建立出境数据台账,例如客户数据(如车主姓名、手机号码、身份证号、驾驶证号)、车辆数据(如发动机号、工况数据、车内应用服务数据)、业务数据(如销售数据、维修数据)以及经营管理数据(如员工个人信息)等。完成出境数据类型盘点后,汽车企业还需要在步骤二中对该等出境数据是否构成重要数据以及涉及的个人信息主体数量进行识别和确认。

涉及的个人信息主体

如出境数据中包含个人信息,需考虑涉及哪些个人信息主体,例如车主、驾驶人、乘车人、员工、客户或供应商联系人等。

  • 步骤二:识别数据性质和处理者身份

在完成步骤一的数据出境活动梳理后,汽车企业需结合以下维度,判断适合的数据出境路径:

数据性质维度:

出境数据中是否包括重要数据[4]

各行业、领域的重要数据具体目录由各地区、各部门按照数据分类分级保护制度确定[5],而汽车行业则是较早明确了重要数据范围的行业之一。根据《汽车数据安全管理若干规定(试行)》(“《汽车数据规定》”),汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据[6],而重要数据则包括[7]:

(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

除上述已有明确规定的汽车行业重要数据类型以外,汽车企业可能还会处理其他须经审批方可出境的数据,我们将在下文详细讨论。

身份维度:

境内数据处理者是否存在特定身份

根据《评估办法》,如境内数据处理者属于关键信息基础设施运营者(CIIO)或处理100万人以上个人信息,其数据出境行为应当通过官方评估[8]。

结合《关键信息基础设施安全保护条例》确定的CIIO识别制度,CIIO的认定结果将由行业和领域的主管部门、监督管理部门向CIIO发出通知[9],因此相对容易识别。提请注意的是,由于各行业(包括汽车行业)的CIIO识别工作仍在进行中,因此如果某一汽车企业在现阶段尚未收到主管或监管部门的认定结果通知,并不代表该企业就必然不是CIIO。为了防患于未然,我们建议汽车企业结合经营情况和相关数据处理活动,寻求对其自身CIIO身份的初步判断。

对于“处理100万人以上个人信息”这一标准,可根据步骤一的梳理结果做出判断。一般而言,汽车制造商、经销商、维修机构、出行服务企业等基于B2C的业务性质,相较于开展B2B业务的零部件和软件供应商而言更容易达到处理100万人以上个人信息的身份标准。

数量维度:

传输数据是否累计达到一定数量

《评估方法》明确,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息需通过官方评估[10]。

根据我们的观察,以B2C业务模式为主的汽车企业很容易达到这一数量门槛,开展B2B业务的企业也可能因工厂员工数量较多而达到这一门槛。

但需要注意的是,并非所有看似个人信息的信息都属于个人信息,汽车企业需要结合具体情况予以甄别。以实践中常见的一类出境汽车数据——VIN码为例:VIN码又称车辆识别号、车架号,由英文字母和阿拉伯数字组成,共17位,是每辆机动车自出厂时起就有的独一无二的代码。由于VIN码具有唯一性,确实存在通过VIN码识别到车主等具体个人的可能性,从而属于个人信息;但在向企业客户销售车辆(B2B)的场景中,VIN码对应的是企业客户而非具体个人,因此不应属于个人信息。由此,在识别某一类型的数据是否构成个人信息时,汽车企业还需结合数据处理活动的具体情形,严格基于识别性与关联性两大原则[11]进行判断。

其他情形

《评估方法》对官方评估的触发场景规定了一个兜底项,即国家网信部门可能另行发布其他规定,进一步扩大官方评估的触发范围[12]。

目前哪些情形属于“其他情形”尚不明确,有待国家网信部门以及其他相关部门做出进一步规定。但就《评估办法》的现有措辞来看,数据处理者如符合官方评估的触发条件,应当“向国家网信部门申报”[13],换言之,国家网信部门通常仅在受理数据处理者的申报后才会组织开展官方评估,一般不会主动开展。因此我们倾向于认为,国家网信部门未来将会通过部门规章或部门规范性文件对本条兜底项进行解释或补充,单独要求个别数据处理者申报官方评估的可能性较低。

  • 步骤三:确认数据出境路径

在完成对数据性质、数量以及处理者身份的识别后,汽车企业即可最终判断适用的数据出境路径:

  • 如符合步骤二中的任何一项标准,则应当适用官方评估路径;

  • 如不符合步骤二中的任何一项标准,但出境数据中包含个人信息,则应当适用认证路径或标准合同路径;

    需要特别说明的是,认证路径和标准合同路径并非在任何情形下都可以二选一。根据《认证规范》,个人信息保护认证适用于下列两种情形[14]:

  1. 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;

  2. 《个保法》第三条第二款适用的个人信息处理活动,即在中国境外处理境内自然人个人信息,以向境内自然人提供产品或服务或分析评估境内自然人行为的活动[15](由境外的数据处理者通过其在境内设置的专门机构或指定代表申请个人信息保护认证,并承担法律责任[16])。

    对于前述第2项中的场景,如果境外主体直接从中国境内收集数据,虽然存在数据“跨境”的属性,但不存在数据“传输(即一方提供至另一方)”的行为。该场景是否需要遵从数据出境规则尚存在争议。我们倾向于认为该等场景下,境外主体将受制于《数据安全法》《个人信息保护法》的域外效力。该等场景如何适用认证路径,还有待进一步观察。

  • 如不符合上述1或2的任一情形,则应通过标准合同路径开展数据出境。

  • 如出境数据中不含任何重要数据或个人信息,且境内数据处理者不存在特定身份,则汽车企业和境外接收方可在履行数据安全保护义务的前提下自行开展数据出境活动(涉密信息或行业有特殊要求的除外)。

02 汽车企业如何进行合规准备?

认证路径的具体实施细则还有待进一步观察。对于其他两种数据出境路径,无论是官方评估路径还是标准合同路径,汽车企业需要准备的申报文件可以大致归纳为以下几类:

  • 与境外接收方签订的法律文件

在官方评估路径下与境外接收方签订的法律文件与标准合同之间存在差别,主要体现在前者除个人信息外还可能包括重要数据的出境,而后者仅包括个人信息的出境,且许多条款与个人信息主体有关,例如合同签署方应当向个人信息主体履行哪些义务。

尽管存在上述主要差别,为顺利推进官方评估工作、使企业减轻程序性负担,我们建议企业以标准合同为基础制定法律文件(如适用),具体而言:

  • 如出境数据仅包括个人信息,不包括且不构成重要数据[17],则尽可能参照或直接使用标准合同作为与境外接收方签订的法律文件;

  • 如出境数据除个人信息以外还包括重要数据,则在与境外接收方签订的法律文件中将个人信息与重要数据进行拆分处理:个人信息相关条款尽可能参照标准合同,重要数据部分则通过法律文件中的单独章节予以约定;

  • 如出境数据仅包括重要数据,不包括任何个人信息,则企业可使用自拟模板作为与境外接收方签订的法律文件。

另外,在标准合同路径下,如已经与境外接收方签署了与数据出境相关的协议,则还需考虑二者之间如何衔接的问题:

首先需要明确的是,签订标准合同并不会导致已签署协议终止或失效,只有当标准合同与已签署的协议发生冲突时,应优先适用标准合同的条款[18]。另外,由于标准合同的备案工作目前尚未开展,诸多程序细节(例如网信部门是否对提交备案的合同内容进行实质审查)尚不清晰,且网信部门对自拟模板的接受度未知,因此我们建议尽可能使用官方发布的标准合同模板提交备案,否则可能会影响备案进度(例如需要向网信部门做出额外解释)。

考虑到已签署协议中可能存在标准合同未包含的其他约定,我们建议在签署标准合同的同时对已签署协议做如下安排:

  • 如已签署协议仅涉及数据跨境传输,则建议终止该协议,并将其中超出但不违反标准合同的条款补充约定在标准合同的附录中(双方约定的其他条款)中;

  • 如已签署协议除数据跨境传输以外还涉及其他事项(例如技术服务、经销安排等),则建议对其进行修订,将与数据跨境传输相关的条款从其中剥离,随后作为补充条款约定于标准合同的附录中。

  • 评估报告(个人信息保护影响评估和/或数据出境风险自评估)

向境外提供个人信息应当事先进行个人信息保护影响评估(PIA)系《个人信息保护法》的明确规定[19],数据出境风险自评估(“风险自评估”)则源于《评估办法》的规定,是数据处理者申报官方评估的前置条件。二者的主要区别如下:

由此可见,PIA与风险自评估虽然是两项独立的工作,但存在一定程度的重合。为避免企业重复评估,我们建议触发了官方评估的汽车企业可将这两项评估工作合并进行。具体而言,汽车企业如已完成PIA,则可在此基础上直接针对超出PIA范围的风险自评估重点(如重要数据出境对国家安全、公共利益等带来的风险等)进行补充评估,反之亦然。汽车企业在进行评估的过程中也要注意留存相关评估材料和证明文件,并对评估过程做好记录,以备后用。

关于评估报告中的分析内容撰写,《标准合同规定征求意见稿》对PIA评估重点的规定较《个人信息保护法》而言更为详细,PIA报告可依照前者所列的评估重点逐项进行撰写。《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》也可作为开展PIA的参考依据之一,但其中并未专门针对个人信息出境场景下的评估提供指引,参考时需注意。风险自评估报告则可按照《评估办法》第五条所列的评估重点逐项撰写。

  • 其他文件

官方评估所需的其他文件主要为申报书,我们理解国家网信部门后续应会发布标准版本。此外,其他文件还应当包括风险自评估的证明材料和评估过程记录、已采取适当技术措施的证明文件等。

标准合同路径下,向网信部门备案所需的材料仅包括标准合同和PIA报告,暂无需其他文件。

03 汽车企业可以考虑的其他有关数据出境的事项

《评估办法》生效在即,汽车企业需尽快进行合规准备,同时考虑和注意以下事项:

  • 规划数据出境数量

触发官方评估的数量门槛是“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”。在可行的前提下,汽车企业每年(或每两年)可对出境数据数量进行适当规划,例如在即将达到上述10万人个人信息或1万人敏感个人信息的临界点时,控制个人信息出境数量甚至暂缓出境活动,在法律允许的限度内避免触发官方评估。

另外,我们也建议汽车企业借此机会进行数据资产梳理和盘点,将不再具备利用价值的数据及时进行删除或匿名化处理,避免因达到处理100万人个人信息这一身份标准而触发官方评估。

  • 建立境内数据存储中心

关于境内数据是否能在境外存储这一问题,在法律层面,《网络安全法》明确了CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储[24];《个人信息保护法》规定CIIO和处理个人信息达到国家网信部门规定数量(结合《评估办法》,即100万人)的个人信息处理者,应当其将在中国境内收集和产生的个人信息存储在境内[25];在行业规定层面,《汽车数据规定》规定重要数据应当依法在境内存储[26],工信部2021年发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》也要求企业在中国境内运营中收集和产生的个人信息和重要数据在境内存储[27]。

实践中,有些汽车企业因总部统一要求或暂时未在中国境内建立数据中心等原因,而将在境内收集和产生的数据存储于境外(如境外总部的数据中心或服务器位于境外的第三方云存储平台)。对于该等汽车企业,如其触发上述境内存储的要求,则应当尽快实现境内存储。由于境内数据中心的搭建需要较长的建设周期和较大的成本投入,汽车企业应尽早进行规划。

  • 限制境外远程访问

如我们在上文中所提到的,汽车企业将境内收集和产生的数据存储于境内,但向境外总部、关联方、合作伙伴等(或其部分人员)开放远程访问权限仍将被认定为数据出境。因此,我们建议汽车企业秉持谨慎原则,除非确有必要,尽可能不对境外组织或个人开放访问权限;如确需开放权限,也需注意限制境外接收方可访问或调用的数据类型、范围和数量,仅开放实现业务目的所必须的数据,尽可能避免触发官方评估。

  • 测绘数据的出境

如上文第一节步骤二所述,《汽车数据规定》已明确了汽车行业的五类重要数据类型(不含兜底项),但这些重要数据(特别是军事管理区、国防科工单位等重要敏感区域的地理信息、车外视频、图像数据)可能在某些情形下同时构成测绘数据。例如,自动驾驶技术研发企业若使用GPS接收设备、高清摄像头、车载传感器、激光雷达等设备在公开道路上进行道路测试,收集车外实景影像等,则很可能被认定为从事测绘活动,从而需要额外遵守《中华人民共和国测绘法》《测绘成果管理条例》《测绘地理信息管理工作国家秘密范围的规定》以及自然资源部发布的与测绘地理信息相关的其他规范性文件。对于涉密测绘成果以及部分非涉密测绘地理信息成果,汽车企业必须经过相关测绘地理信息主管部门批准方可向境外提供[28]。

  • 个人信息出境的告知同意

汽车企业向境外提供境内收集和产生的个人信息时,需留意《个人信息保护法》中关于获取个人信息主体单独同意的特别要求。实践中,如汽车企业作为数据处理者直接向个人信息主体收集信息,则有关数据出境获取单独同意的义务原则上需由汽车企业自行履行;如汽车企业从其他第三方数据处理者处接收个人信息,需分析判断其在接收时的数据处理角色(如提供关系中的接收方,或委托处理关系中的受托方等),对其是否应履行获取单独同意义务进行事先判断并做出安排。

结语

随着《评估办法》等数据出境规则的陆续颁布,目前我国数据出境的三种合规路径已基本清晰。除个人信息外,汽车企业通常可能还会涉及重要数据这一敏感领域。考虑到汽车行业涉及的数据类型的多样性和复杂性,我们建议汽车企业在充分梳理数据出境活动的基础上对适用的出境路径做出准确判断,尽快启动相关准备工作。如涉及官方评估,则应尽快做好申报准备,并在《评估办法》规定的整改期限前就已发生的数据出境活动完成整改。

脚注:

[1] 《智能网联汽车道路测试与示范应用管理规范(试行)》第三十七条:“智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现安全、高效、舒适、节能行驶,并最终可实现替代人来操作的新一代汽车。智能网联汽车通常也被称为智能汽车、自动驾驶汽车等”。

[2] 《数据出境安全评估办法》第二十条

[3] 2022年7月7日国家互联网信息办公室就《数据出境安全评估办法》答记者问

[4] 《数据出境安全评估办法》第四条第(一)项

[5] 《数据安全法》第二十一条

[6] 《汽车数据安全管理若干规定(试行)》第三条

[7] 《汽车数据安全管理若干规定(试行)》第三条

[8] 《数据出境安全评估办法》第四条第(二)项

[9] 《关键信息基础设施安全保护条例》第十条

[10] 《数据出境安全评估办法》第四条第(三)项

[11] 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》附录A

[12] 《数据出境安全评估办法》第四条第(四)项

[13] 《数据出境安全评估办法》第四条

[14] 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》第1条

[15] 《个人信息保护法》第三条

[16] 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》第2条

[17] 《汽车数据安全管理若干规定(试行)》第三条将“涉及个人信息主体超过10万人的个人信息”规定为重要数据;《网络数据安全管理条例(征求意见稿)》第二十六条将处理100万人以上个人信息视为处理重要数据

[18] 《个人信息出境标准合同规定(征求意见稿)》附件《个人信息出境标准合同》第九条

[19] 《个人信息保护法》第五十五条

[20] 《个人信息保护法》第五十五条

[21] 《数据出境安全评估办法》第四条

[22] 《个人信息出境标准合同规定(征求意见稿)》第五条

[23] 《数据出境安全评估办法》第五条

[24] 《网络安全法》第三十七条

[25] 《个人信息保护法》第四十条

[26] 《汽车数据安全管理若干规定(试行)》第十一条

[27] 《关于加强智能网联汽车生产企业及产品准入管理的意见》第二条第(一)项

[28] 《关于加强自动驾驶地图生产测试与应用管理的通知》第二条;《国家测绘地理信息局非涉密测绘地理信息成果提供使用管理办法》第十七条

本文作者

赵新华

合伙人

公司业务部

atticus.zhao@cn.kwm.com

业务领域:公司业务,在公司并购、外商直接投资、公司重组及其他公司事务方面具有丰富的经验

赵律师拥有十多年的法律执业经验,曾先后为多家知名跨国公司和国内大型企业提供并购、投资等方面的法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营等,涉及的行业包括汽车、高科技、物联网、零售、教育、工业制造、船舶和医药等。

王哲峰

公司业务部

游婕

公司业务部

封面图源:画作·林子豪

责任编辑:赵天园

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。