2022年12月,北京國際數字經濟治理研究院數據跨境專委會副主任、數據治理與跨境服務中心總經理黃雷在智能網聯汽車數據治理和發展論壇上做了“智能網聯汽車數據跨境現狀和痛點以及解決路徑”主題演講。
黃雷提出,數據跨境流動的法律規則逐漸清晰,數據出境風險自評估成為企業數據跨境流動的必要合規路徑,由于數據出境風險自評估工作復雜度高、難度大、耗時長,建議企業:一是盡早開展數據出境風險自評估工作,提前識別潛在風險與隱患,通過整改切實解決或降低風險;二是制定并完善數據合規制度,建立數據安全合規體系;三是必要時可聘用專業的第三方跨境合規服務機構,保障數據出境風險自評估報告的效果和質量。
以下為演講摘錄:
一、數據跨境法律法規的背景
數據跨境是當前汽車行業或者是智能網聯行業安全合規的重要組成部分,這里面分為數據安全和數據出境兩個部分。就智能網聯行業數據安全而言,監管部門主要有網信辦、工信部、自然資源部等,主管部門已經發布了《汽車數據安全管理若干規定》《網絡數據安全管理條例(征求意見稿)》,還有2021年的《關于開展汽車數據安全網絡安全自查的工作通知》。汽車行業參與者被定義為汽車數據處理者,所以需要完成汽車數據安全自評估工作,也要依照若干規定的要求,完成每年12月15日的汽車重要數據年報。同時根據網信辦的要求,在《個人信息出境安全評估辦法(征求意見稿)》、《數據出境安全評估辦法》、《個人數據出境標準合同規定》的要求下,滿足條件的汽車數據處理者需要做數據出境風險自評估,要向網信部門提交風險自評估報告。
《數據出境安全評估辦法》出臺的背景是基于《網絡安全法》《數據安全法》《個人信息保護法》中對數據出境的基礎制度——安全評估制度的細化和落實。立法目的是規范整體企業的數據出境活動,保護信息權益,維護國家安全和公共安全,同時促進數據跨境的安全流動和自由流動。確立原則是堅持事前評估和持續監督,風險自評估和安全評估相結合,防范屬于出境的安全風險,保障整體依法有序地自由流動。數據出行安全評估的流程分為兩大部分,第一部分是企業申報準備和提交申報,第二部分是網信部門開展安全評估及持續監督。在自評估階段,依照辦法中的第五條企業開展風險自評估。根據第六條,我們要申請提報材料,包括申報書、自評估報告、法律文件、其他材料等。在安全評估階段,基于第十一條、第八條、第十條,會出現受理和不受理的結果,同時有補充材料的機會,最后根據第十二條去完成,形成一個評估結果。實際程序中也會出現申請重新評估、安全監管,投訴舉報等要求。
企業自評估,首先要明確向境外提供數據的時候,是否包含個人信息和重要數據。是否滿足法規中定性和定量的申報條件,如滿足需要準備開展安全自評估工作并向網信部門提交安全評估報告。除了提供數據出境安全評估外,個人信息的保護認證、標準合同和網信部門的其他要求,都可以作為我們數據出境的路徑,這需要企業根據自身實際情況結合法律法規要求去決定出境路徑。
在自評估的過程中,企業開展評估中要注意以下幾個要點,第一,整體數據出境情況的風險和整體的數據盤點。企業要從企業業務的角度,從數據的出境和境外接收方去論述它的目的、范圍、方式,數據出境的合法性、正當性和必要性、規模、種類、敏感程度等。境外接收方面,我們主要關注境外接收方承擔的一些責任和義務,包括境外接收方的安全保障能力。同時,個人信息權益的維護渠道是否通暢。在法律文件與約定情況上,主要是看與境外接收方擬定的數據出境相關合同,或者其他的這些法律文件是否充分約定了數據安全保護的責任和義務。此外,還有一些企業認為有必要的其他事項,也需要作為評估的重點,放到自評估報告里面來。
違反相關規定的企業,根據《數據出境評估的安全辦法》18條,可能會受到相應處罰,如果情節嚴重,還要追究刑事責任,同時企業需要停止未經許可的數據出境行為和線路通道。
二、汽車數據跨境評估痛點和解決路徑
汽車數據跨境評估有六大痛點。
第一,數據出境的行為是具備隱蔽性的,例如因供應商導致的數據出境、遠程運維導致的數據出境等。
第二,跨國企業全球統一部署的系統占比高。
第三,個人信息和重要數據難以識別。在很多場景下,個人信息的范圍也不是很清晰,所以需要進一步識別。
第四,企業自身開展數據出境自評估耗時較長。企業整體運營情況和的數據流轉情況都要進行比較完整、比較精細的盤點,才能把整個的數據梳理出來,時間跨度大。
第五,數據出境的自評估需要大量的內外部協調工作。
第六,風險緩釋計劃和合規體系建設亟需指導。
《數據出境安全評估辦法》所稱的數據出境活動主要包括:一是,數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是,數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。數據的分級分類,其實是為了有序的跨境流動。這里面可能分一般數據,個人信息和個人敏感信息。個人信息是用電子或者其他方式去識別或者可識別的自然人有關的信息,其實不包括匿名化和處理過的信息。敏感信息是一旦泄露或者非法使用,會容易導致自然人的人格尊嚴受到侵害或者是危害人身財產安全的信息。重要數據里面包括一些未公開的政府信息、大面積人口基因的數據、地理位置信息等。
我們認為企業應該做的第一件事情是做判定自身屬于哪種數據處理者,跨境傳輸的數據類型是什么,企業性質是什么,是否達到了其他申報評估的觸發條件。第二件事情是識別風險,根據數據盤點、制度排查去識別出潛在的風險。第三件事情是解決或者降低數據處理中的風險和隱患,提高數據安全保護能力,進行合規整改、合規體系建設和完善,最終制定整體的風險緩釋計劃,確保整體數據安全流轉可控。
我們對企業數據跨境安全合規有三部分建議。
第一,希望企業可以盡早地開展數據跨境的咨詢工作。
第二,是希望企業可以積極參與我國數據分級分類的政策制定,貢獻企業智慧,完善整體數據合規制度,建立整體數據內部的合規體系。
第三,在自評估的過程中,要確保數據評估質量,要聘用專業的第三方機構去完成企業的自評估。
一個典型的數據處理者評估的流程,需要分為兩部分:
第一部分是數據處理者進行數據出境的風險自評估;
第二部分是從監管一事一議的角度去做數據出境的安全評估。
如果整體流程都沒有問題,最終會完成評估,有效期是兩年。如果在兩年之內發生特定變化,企業需要重新提交評估材料。如果企業還有新業務,新目的,新跨境傳輸方式產生,也需要提前向網信部門提交數據安全評估資料,以獲批準。數據處理者針對已開展或將要開展的數據出境活動進行數據出境安全風險自評估時,應當遵循五大原則,分別是全面性原則、客觀性原則、匹配性原則、及時性原則和持續性原則。
《數據出境安全評估辦法》第六條規定了申報數據出境安全評估應當提交的材料:首先要包含申報書,申報書實際上是有統一模板。第二,自評估報告,要提前實施、提前準備。第三,數據處理者與境外接收方簽訂的法律文件。第四,其他材料,包括網信部門的一些管理材料、工程文檔或其他佐證。
北京國際數字經濟研究院數據治理與跨境服務中心針對企業數據跨境的六個痛點,提出了一些解決方案。
第一,針對數據出境行為的隱蔽性,中心已經總結出一些標準化的問卷模板,并且服務中心也有產品級的工具,可以幫助企業做相對全面細致的資產盤點工作。
第二,針對個人信息、重要數據難以識別,中心充分吸收了數據技術和法律安全等各行業的優勢專家資源,并且針對不同行業,尤其是智能網聯行業的一些典型的業務場景的知識庫,做相應的檢索,去識別個人信息和重要數據。
第三,針對內外部所需的大量協調工作,中心現在可以協助各方實現可知可控可溯的數據盤點的管理要求,有相關的工具系統支撐。同時我們的系統也支持多部門協同工作。
第四,針對全球企業統一部署的系統占比高的情況,中心在系統上也針對不同場景的系統,形成了快速應對、快速識別的整體合規整理方案。
第五,針對企業耗時長的問題,中心針對不同的行業對不同的業務場景進行分析。通過我們之前的積累、模板以及技術手段,可以支持報告的半自動化生成。這種方式可以整體提升報告生成的效率。
第六,針對風險緩釋計劃和合規體系的指導,中心有很多行業資深專家,還有很多過往案例支撐,可以為企業提供有效的咨詢方案。
轉自焉知智能汽車
