在汽车制造领域,亚洲某汽车有限公司的数据出境申报进行全系统盘点、全业务申报,且全场景获批。
(一)受出境管控的汽车数据
根据《汽车数据安全管理规定(试行)》(下称《汽车数据规定》)相关规定,受出境管控的汽车数据包括汽车设计、生产、销售、使用、运维等过程中的重要数据以及个人信息两大类别。
首先,重要数据包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息,车辆流量、物流等反映经济运行情况的数据,汽车充电网运行数据,车外音视频数据(包含人脸信息、车牌信息等,涉及车外人员的人身或者财产安全以及其他实体的动向)。此外,重要数据还包括个人信息主体超过10万人的个人信息。
其次,个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
再次,有部分信息拟被禁止出境。《信息安全技术网联汽车采集数据的安全要求(GB/T 41871 - 2022)》规定,网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据,以及车辆位置、轨迹相关数据,不得出境。
为了保障这些重要数据和个人信息的安全和合规性,汽车企业应严格遵守相关法律法规,加强数据安全管理和保护。
(二)汽车数据出境的合规建议
汽车数据合规出境的内控机制(ICP)是确保汽车企业在进行数据出境活动时,能够遵循相关法律法规,保障数据安全,并有效预防潜在风险的一套管理体系。通过内控机制的构建,汽车企业可以确保数据合规出境,降低安全风险,并为企业的可持续发展提供有力保障。国樽律师认为境内汽车企业,需要在以下几个方面,落实汽车数据合规出境的内控机制:
1、识别企业内部汽车数据合规风险:企业需深入识别汽车数据收集与存储的源头和端口,系统梳理涉及汽车数据的各类信息、出境途径以及内部管控权限,确保全面把握数据合规风险。
2、制度化汽车数据合规管理:将数据出境合规责任明确为数据合规专员及各部门的核心职责,并将其纳入员工绩效考核体系。同时,建立健全培训机制和内部调查制度,以确保合规要求得到有效执行。
3、强化境内存储汽车数据:企业应避免直接将境内收集的汽车数据传输至境外,而应优先选择在境内通过服务器、数据处理中心或云平台等方式进行安全存储,以确保数据的安全可控。
4、关注事前安全评估动态:企业在数据出境前,应密切关注国家安全评估的相关动态。尽管目前我国尚未出台具体的评估细则,但企业应提前做好准备工作,以应对可能出台的新规定。
5、严格遵守事中安全评估要求:企业应严格按照出境安全评估所确定的目的、范围、方式和数据种类、规模等要求,向境外提供数据。
6、定期报送汽车数据安全管理报告:企业应在事后定期报告汽车数据的安全管理情况,特别关注数据出境的相关情况,确保数据出境活动的合规性和透明性。
