汽车行业2022年数据合规关注方向及重点内容（下篇）

《个人信息保护法》规定，个人对其个人信息的处理享有知情权、决定权[1] 、查询复制权[2] 、更正权、补充权、数据携带权[3]、删除权[4]、限制权、拒绝权[5]、撤回同意权[6] 等权利。为了保障汽车用户的上述权利，国家明确了汽车数据处理者处理个人信息、敏感个人信息的具体要求：（1）告知义务，汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息[7] ；（2）征得同意义务，汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形；（3）匿名化要求，因保证行车安全需要，无法征得个人同意采集到个人信息且向车外提供的，应当进行匿名化处理[8] ；针对汽车数据中敏感个人信息，在履行告知、征得个人单独同意等义务基础上，汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求；针对个人生物识别特征信息如指纹、声纹、人脸、心律等，明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。[9] 在此基础上，国家还明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施[10] ，指定负责人对其个人信息处理活动进行监督[11] ，定期对其个人信息活动进行合规审计[12] ，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估[13] ，履行个人信息泄露通知和补救义务[14] 等。

针对关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，应当适用《中华人民共和国网络安全法》的规定；而针对其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，应当适用国家网信部门会同国务院有关部门制定的相关标准。[15] 在此，需特别注意的是非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。[16] 对于汽车行业，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定，但我国缔结或者参加的国际条约、协定有不同规定的，适用该国际条约、协定，我国声明保留的条款除外。[17] 如汽车数据处理者需向境外提供重要数据，也不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。国家网信部门会同国务院有关部门以抽查等方式核验前述规定事项，汽车数据处理者应当予以配合，并以可读等便利方式予以展示。[18] 向境外提供重要数据的汽车数据处理者应当在报送年度汽车数据安全管理情况的基础上，补充报告以下情况：（1）接收者的基本情况；（2）出境汽车数据的种类、规模、目的和必要性；（3）汽车数据在境外的保存地点、期限、范围和方式；（4）涉及向境外提供汽车数据的用户投诉和处理情况；（5）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。[19] 

针对个人信息的出境管理方面，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（1）依照规定通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件。如果中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。[20] 个人信息处理者还应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。[21] 在这里与数据出境规则一致，非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。[22] 

汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告，风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。[23] 

另外，根据数据风险评估年报制度的要求，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况：（1）汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；（2）处理汽车数据的种类、规模、目的和必要性；（3）汽车数据的安全防护和管理措施，包括保存地点、期限等；（4）向境内第三方提供汽车数据情况；（5）汽车数据安全事件和处置情况；（6）汽车数据相关的用户投诉和处理情况；[24] （7）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。并且汽车数据处理者应当配合国家有关部门根据处理数据情况进行的数据安全评估。[25] 如果涉及向境外提供重要数据的，汽车数据处理者还应当在上述要求的基础上，补充报告以下情况：1）接收者的基本情况；2）出境汽车数据的种类、规模、目的和必要性；3）汽车数据在境外的保存地点、期限、范围和方式；4）涉及向境外提供汽车数据的用户投诉和处理情况；5）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。[26] 

汽车数据处理者应当建立投诉举报渠道，设置便捷的投诉举报入口，并及时处理用户投诉举报。如果汽车数据处理活动造成用户合法权益或者公共利益受到损害的，应当依法承担相应责任，[27] 即由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《中华人民共和国网络安全法》， 《中华人民共和国数据安全法》第四十五条、第四十六条、第四十七条、第四十八条以及第五十一条，《中华人民共和国个人信息保护法》第六十六条、第六十七条、第六十九条等法律、行政法规的规定进行处罚，且构成犯罪的，会被追究刑事责任。[28] 

据悉，工信部将持续加强并引导行业加大资金和技术投入，提升车联网安全管理水平。具体举措为：（1）国家将建设工业互联网安全态势感知与风险预警平台，开展车联网安全威胁监测，并及时通报处置，有效支撑车联网网络安全和数据安全保护等工作；（2）工信部印发《网络产品安全漏洞管理规定》，推动建立车联网网络安全通报机制，发布软件漏洞通报，指导相关企业开展隐患排查，及时防范和化解网络安全和数据安全风险，企业应当依据《网络产品安全漏洞管理规定》建立健全网络产品安全漏洞信息渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月[29] ，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施；（3）国家支持汽车制造、信息通信、互联网等领域骨干企业加强车载操作系统等产品研发与产业化，提升智能汽车安全可控水平；依托工业互联网创新发展工程，支持车联网加密认证、安全态势感知、安全检测等项目，初步形成面向车联网平台、应用程序以及T-BOX、IVI等关键部件的安全风险评估能力；（4）国家将开展网络安全技术应用试点示范，设置车联网安全赛道，围绕车路协同通信安全、应用安全、车载系统安全防护等方向遴选20个优秀解决方案，引导企业加强核心技术研发与应用，促进车联网安全领域先进技术和解决方案应用推广。为此，企业应当做好相应的安全技术保障工作。

 [1] 《个人信息保护法》第四十四条

 [2] 《个人信息保护法》第四十五条

 [3] 《个人信息保护法》第四十六条

 [4] 《个人信息保护法》第四十七条

 [5] 《个人信息保护法》第四十四条

 [6] 《个人信息保护法》第十五条

 [7] 《汽车数据安全管理若干规定（试行）》第七条

 [8] 《汽车数据安全管理若干规定（试行）》第八条

 [9] 《汽车数据安全管理若干规定（试行）》第九条

 [10] 《个人信息保护法》第五十一条

 [11] 《个人信息保护法》第五十二条

[12] 《个人信息保护法》第五十四条

 [13] 《个人信息保护法》第五十五条

 [14] 《个人信息保护法》第五十七条

 [15] 《数据安全法》第三十一条

 [16]  《数据安全法》第三十六条

 [17] 《汽车数据安全管理若干规定（试行）》第十一条

 [18] 《汽车数据安全管理若干规定（试行）》第十二条

 [19] 《汽车数据安全管理若干规定（试行）》第十四条

 [20] 《个人信息保护法》第三十八条

 [21] 《个人信息保护法》第三十九条

 [22] 《个人信息保护法》第四十一条

 [23] 《汽车数据安全管理若干规定（试行）》第十条

 [24] 《汽车数据安全管理若干规定（试行）》第十三条

 [25] 《汽车数据安全管理若干规定（试行）》第十五条

 [26] 《汽车数据安全管理若干规定（试行）》第十四条

 [27] 《汽车数据安全管理若干规定（试行）》第十七条

 [28] 《汽车数据安全管理若干规定（试行）》第十八条

 [29] 《网络产品安全漏洞管理规定》第五条