跨境数据合规 | 哪些汽车采集数据可以出境? 《汽车采集数据处理安全指南》解读【走出去智库】

2021/10/15-21:52      浏览:  次
A+ 收藏
来源:CGGT走出去智库
    

 

走出去智库观察  

近日全国信息安全标准化技术委员会(简称信安标委)发布《汽车采集数据处理安全指南》(简称《指南》),要求汽车制造商对整车的数据安全负责,并对汽车数据出境做出了具体规定。

 

走出去智库(CGGT)观察到,近来我国不断加强对于数据安全、个人信息安全等领域的保护力度,而智能网联汽车所采集的信息存在数据类型广、持续时间长、变化速率快的特点,对数据安全提出了更高要求。10月1日,《汽车数据安全管理若干规定(试行)》开始实行。10月11日,信安标委公布了《指南》,《指南》的出台为汽车制造商、监管部门、第三方机构等对汽车采集数据处理活动提供了标准指引。

 

《指南》对汽车数据出境有哪些具体规定?今天,走出去智库(CGGT)刊发下一代互联网国家工程中心数据治理研究员仝盼英的文章,供关注汽车数据合规管理的读者参考。

 

要 点

 
 
 
 

CGGT,CHINA GOING GLOBAL THINKTANK

 

1、汽车采集数据中的“个人信息”、“敏感个人信息”和“重要数据”这三类数据皆不可出境。

 

2个人信息处理者在因业务等需要的前提下,具备“国家网信部门组织的安全评估”、“经专业机构进行个人信息保护认证”、“按照标准合同与境外接收方订立合同”等条件之一,并取得个人的单独同意,可以将个人信息进行跨境传输。

 

3实践中,还可能存在其他属于一般数据的汽车采集数据,比如车外目标物的距离和状态、座舱内驾驶员或乘车人员发出的开关空调或调整音量的语音指示等,这些数据在符合法律规定的前提下,应可以进行跨境传输。

 

正 文

 
 
 
 

CGGT,CHINA GOING GLOBAL THINKTANK

 

文/仝盼英 

下一代互联网国家工程中心数据治理研究员

 

 

2021年10月11日,信安标委发布了《汽车采集数据处理安全指南》(以下简称“《指南》”),《指南》规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求。本文介绍了《指南》中关于汽车采集数据出境的内容。

 

《指南》第7.1条规定:“车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估。”可见,《指南》对汽车采集数据采取了较为严格的出境限制,只有“运行数据”在经过安全评估之后可以出境。那么,《指南》中关于汽车采集数据出境规则是否回应了《数据安全法》、《个人信息保护法》等上位法的要求?

 

要回答这个问题,首先需要厘清“车外数据”、“座舱数据”、“位置轨迹数据”、“运行数据”分别指什么数据。按照《指南》第4条的规定:

 

● “车外数据”是指“通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据”,而且,车外数据可能包含人脸、车牌等个人信息以及车辆流量、物流等法律法规标准所规定的重要数据;

 

● “座舱数据”是指“通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据”,而且,座舱数据可能包含驾驶员和乘员的人脸、指纹、心率等敏感个人信息;

 

● “位置轨迹数据”是指基于卫星定位、通信网络等各种方式获取的汽车定位和途径路径相关的数据;

 

● “运行数据”是指通过车速传感器、温度传感器、轴转速传感器、压力传感器等从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据。

 

以上几种汽车采集数据分类提到了几个概念,分别是“个人信息”、“敏感个人信息”和“重要数据”,而且按照《指南》的规定,只有未涉及这三类数据的“运行数据”在经过安全评估之后可以出境,也就是说,汽车采集数据中的“个人信息”、“敏感个人信息”和“重要数据”这三类数据皆不可出境。

 

对于“个人信息”、“敏感个人信息”和“重要数据”出境,《个人信息保护法》、《数据安全法》和《汽车数据安全管理若干规定(试行)》等法律法规提供了上位法规范。

 

其一,有关汽车采集数据中“个人信息”的跨境传输规则主要在《个人信息保护法》和《汽车数据安全管理若干规定(试行)》中规定。根据《汽车数据安全管理若干规定(试行)》,涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。目前,相关的法律就是《个人信息保护法》。根据《个人信息保护法》第三章“个人信息跨境提供的规则”,个人信息处理者在因业务等需要的前提下,具备“国家网信部门组织的安全评估”、“经专业机构进行个人信息保护认证”、“按照标准合同与境外接收方订立合同”等条件之一,并取得个人的单独同意,可以将个人信息进行跨境传输。只有关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将个人信息存储在境内。而且,这种本地化存储要求不是绝对的,在确需向境外提供的情况下,可以在通过网信部门组织的安全评估之后进行跨境传输。据此,《指南》为了最大限度地保护个人信息,采取了较为谨慎的态度,即无论汽车数据处理者是否属于关键信息基础设施运营者(按照《关键信息基础设施确定指南(试行)》,汽车数据处理者可能属于“工业制造”行业的“智能制造系统”),都不得跨境传输汽车采集数据中的个人信息。

 

其二,对于“敏感个人信息”的跨境传输,《个人信息保护法》没有明确作出规定,而是将相关规则的制定交给了网信办进行统筹协调。但是,《个人信息保护法》对敏感个人信息的其他处理规则作出了十分严格的规定,即“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”,事前进行个人信息保护影响评估之后,方可处理敏感个人信息。因此,本文不能排除后续出台的相关法律规则禁止敏感个人信息出境的可能性。据此,《指南》禁止“人脸、指纹、心率等敏感个人信息”出境的规定具有合理性。

 

其三,对于“重要数据”的跨境传输,《数据安全法》规定在我国境内运营中收集和产生的重要数据都以本地化存储为原则,但是也并非完全不能出境。《数据安全法》第三十一条规定了重要数据出境的两种情形:一是,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据,其出境安全管理适用《网络安全法》的规定,即原则上本地化存储,因业务需要确需向境外提供的,应当按照国家网信部门汇通国务院有关部门制定的办法进行安全评估;二是,其他数据处理者在中国境内运营中收集和产生的重要数据,其出境安全管理办法,由国家网信部门会同国务院有关部门另行制定。目前,有关管理办法尚未出台,有业内人士认为,其他数据处理者在中国境内运营中收集和产生的重要数据出境前也可能需要进行安全评估。《汽车数据安全管理若干规定(试行)》第十一条也规定,重要数据以境内存储为原则,因业务需要确需向境外提供的,应当通过安全评估。可见,在现行法下,重要数据在满足相应条件时可以进行跨境传输。《指南》考虑到重要数据对国家安全、公共利益和个人、组织合法权益的重要性,采取了严格的出境管理标准,禁止“车辆、物流等法律法规标准所规定的重要数据”出境。

 

《指南》中关于汽车采集数据的跨境传输规则还有一点值得关注:按照《指南》规定,“车外数据”和“座舱数据”可能包含“个人信息”、“敏感个人信息”和“重要数据”等限制或禁止出境的数据。本文认为,实践中,还可能存在其他属于一般数据的汽车采集数据,比如车外目标物的距离和状态、座舱内驾驶员或乘车人员发出的开关空调或调整音量的语音指示等,这些数据在符合法律规定的前提下,应可以进行跨境传输。因此,仍需对汽车采集数据作出更细致的分类,以在保障数据安全和保护个人信息的前提下实现汽车采集数据的安全有序流动。

 

来源:下一代互联网广州创新中心

 

本文为CGG走出去智库版权所有,未经过允许不得转载。如需转载请联系Contact@cggthinktank.com
关键词:

关于我们

    "走出去"一站式解决方案平台

  • CGGT是一个"走出去"在线实务智囊团,由走出去智库主办;
  • 秉持"让企业走出去、走得稳、走的好"朴素价值观;
  • 为企业提供一站式海外战略、金融、财务、税务、法律、品牌管理的实务研讨平台。

发起机构

其他文章

发送私信咨询

向专家Kaldkfjalskjdf咨询