当前位置:首页 > 行业动态 > 制造业 >《汽车数据安全管理若干规定(试行)》解读(下)

《汽车数据安全管理若干规定(试行)》解读(下)

时间: 2021-10-09    浏览量:  1392    

《汽车数据安全管理若干规定(试行)》解读(上)


六、 数据存储本地化和数据出境



要求
本地化储存

第十一条 重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。

我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。

一般要求

第十二条  汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

跨境传输的报告

第十四条 向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上,补充报告以下情况:

(一)接收者的基本情况;

(二)出境汽车数据的种类、规模、目的和必要性;

(三)汽车数据在境外的保存地点、期限、范围和方式;

(四)涉及向境外提供汽车数据的用户投诉和处理情况;

(五)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。


评析:

1. 数据储存和传输,动不动就会涉及到郭嘉安全,一直是一个很敏感的问题,之前滴滴赴美上市被打屁股也和这个有关。《规定》明确了重要数据在中国境内储存,因业务需要确需向境外提供的,应当通过安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。


《网络安全法》和《数据安全法》只规定了关键信息基础设施运营者的本地化存储和出境安全评估义务,但对关键信息基础设施的范围一直没有出台细则。


2. 现在《规定》出台后,无论智能汽车是不是被认定为关键信息基础设施,重要数据都要在境内存储,出境前需要履行安全评估义务。


七、监管报告要求


内容

要求

事前报告

第十条 汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。

年度报告

第十三条 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:

(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;

(二)处理汽车数据的种类、规模、目的和必要性;

(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;

(四)向境内第三方提供汽车数据情况;

(五)汽车数据安全事件和处置情况;

(六)汽车数据相关的用户投诉和处理情况;

(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

配合评估

国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。

参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。


评析:


1、年报制度:鉴于《规定》出台不久,对于即将到来的十二月十五日年报,今年度估计不会实考,各地的网信部门对怎么开展年报工作自己也并不清楚图片。但稳妥起见,企业还是主动和当地网信部门沟通一下年检的准备工作,至少态度要做好。


八、加强管理平台建设,增加投诉渠道


相对意见稿,《规定》新增了国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。


工信部近期发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称“《意见》”),也再次强调了对智能网联汽车生产企业的网络安全和数据安全要求,智能网联汽车生产企业应当建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护,并且应当落实网络安全等级保护制度和车联网卡实名登记管理要求,建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。


并在第十七条设定了汽车数据处理者建立投诉举报渠道的义务。


九、法律责任


《规定》第十八条明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。


比如,根据《网络安全法》六十六条,关键信息基础设施运营者未按照要求在本地存储数据或数据出境时未进行安全评估的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而在《数据安全法》下,违反上述规定向境外提供重要数据的,对企业的罚款甚至可能高达一千万,对直接负责的主管人员和其他直接责任人员可达一百万元


结束语

《规定》是在《国家安全法》、《数据安全法》和《个人信息保护法》等法律法规的基础上,针对汽车领域的个人信息和重要数据作出的特别规定。国家对数据合规问题,态度一脉相承,而且日渐严格,相关企业在数据合规上得慎重再慎重。


(全文完)