導(dǎo) 語

保障汽車數(shù)據(jù)安全出境，實(shí)現(xiàn)“防范風(fēng)險(xiǎn)、自由流動(dòng)”一直是汽車行業(yè)探索數(shù)據(jù)合規(guī)使用的重大問題。近日，《數(shù)據(jù)出境安全評(píng)估辦法》、《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》已正式施行。汽車企業(yè)如何有序申報(bào)數(shù)據(jù)出境，做好數(shù)據(jù)出境的安全評(píng)估，中國汽研結(jié)合行業(yè)現(xiàn)狀對(duì)相關(guān)法規(guī)進(jìn)行解讀，以輔助汽車企業(yè)迅速落地?cái)?shù)據(jù)合規(guī)有序出境。

2022年9月1日起，由國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》（下稱《評(píng)估辦法》）施行。

《評(píng)估辦法》明確了我國數(shù)據(jù)出境安全評(píng)估防范風(fēng)險(xiǎn)、自由流動(dòng)的目的和事前評(píng)估與持續(xù)監(jiān)督相結(jié)合，自評(píng)估與國家評(píng)估相結(jié)合原則。

同時(shí)，《評(píng)估辦法》也明確了企業(yè)應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境的四種情形。細(xì)化了數(shù)據(jù)出境安全評(píng)估的申報(bào)方式、申報(bào)流程、申報(bào)材料、咨詢方式。

8月31日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》（下稱《申報(bào)指南》），《申報(bào)指南》提供了2份評(píng)估申報(bào)模板，以指導(dǎo)和幫助企業(yè)規(guī)范、有序申報(bào)數(shù)據(jù)出境。

必須指出的是，汽車數(shù)據(jù)處理者，包括汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)，需要按照《中華人民共和國數(shù)據(jù)安全法》以及《評(píng)估辦法》和《申報(bào)指南》的要求評(píng)估申報(bào)本企業(yè)數(shù)據(jù)出境情況。本文主要通過解讀《申報(bào)指南》及其上位法，為汽車行業(yè)數(shù)據(jù)出境申報(bào)提供幫助。

▌ 細(xì)化了數(shù)據(jù)出境申報(bào)的適用范圍，汽車行業(yè)相關(guān)企業(yè)應(yīng)該對(duì)號(hào)入座

《申報(bào)指南》提出了四個(gè)需要出境申報(bào)的情形：

一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；

二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

三是自上年1月1日起累計(jì) 向境外提供10萬人個(gè)人信息或者 1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；(2021年1月1日起累計(jì)）；

四是國家網(wǎng)信辦規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。作為汽車行業(yè)如何把握《申報(bào)指南》的適用范圍，對(duì)號(hào)入座，主要集中在以下兩點(diǎn):

一是汽車行業(yè)的重要數(shù)據(jù)是什么? 

2021年7月5日國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)改委、工信部、公安部和交通運(yùn)輸部發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》給出了明確的范圍：

一是軍事管理區(qū)、國防科工單位以及縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；

二是車輛流量、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)；

三是汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)；

四是包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

五是涉及個(gè)人信息主體超過10萬人的個(gè)人信息；

六是國家相關(guān)部門確定的其他可能危害國家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。

汽車行業(yè)涉及以上六類數(shù)據(jù)出境的需要申報(bào)。

二是關(guān)基運(yùn)營者和個(gè)人信息，個(gè)人敏感信息如何界定? 

關(guān)基運(yùn)營者（CIIO）目前在汽車行業(yè)并不多見，但是處理超過100萬人個(gè)人信息的汽車企業(yè)，應(yīng)該針對(duì)汽車數(shù)據(jù)出境開展評(píng)估，根據(jù)評(píng)估結(jié)果申報(bào)。同時(shí)，年累積出境數(shù)據(jù)包含10萬個(gè)人信息或者1萬個(gè)人敏感信息的也在申報(bào)之列，企業(yè)可參照《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）標(biāo)準(zhǔn)，對(duì)個(gè)人信息和個(gè)人敏感信息進(jìn)行評(píng)估，下面是個(gè)人信息和個(gè)人敏感信息的舉例可供車企評(píng)估時(shí)參考：

個(gè)人信息舉例

個(gè)人基本

資料

個(gè)人姓名、生日、性別、民族、國籍、家庭關(guān)系、住址、個(gè)人電話號(hào)碼、電子郵件地址等

個(gè)人身份

信息

身份證、軍官證、護(hù)照、駕駛證、工作證、出入證、社?？?、居住證等

個(gè)人生物

識(shí)別信息

個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等

個(gè)人健康生理信息

個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個(gè)人身體健康狀況相關(guān)的信息，如體重、身高、肺活量等網(wǎng)絡(luò)身份標(biāo)識(shí)信息個(gè)人信息主體賬號(hào)、IP地址、個(gè)人數(shù)字證書等個(gè)人教育工作信息個(gè)人職業(yè)、職位、工作單位、學(xué)歷、學(xué)位、教育經(jīng)歷、工作經(jīng)歷、培訓(xùn)記錄、成績單等

個(gè)人財(cái)產(chǎn)信息

銀行賬戶、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費(fèi)記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財(cái)產(chǎn)信息個(gè)人通信信息通信記錄和內(nèi)容、短信、彩信、電子郵件，以及描述個(gè)人通信的數(shù)據(jù)（通常稱為元數(shù)據(jù)）等聯(lián)系人信息通訊錄、好友列表、群列表、電子郵件地址列表等

個(gè)人上網(wǎng)記錄

指通過日志儲(chǔ)存的個(gè)人信息主體操作記錄，包括網(wǎng)站瀏覽記錄、軟件使用記錄、點(diǎn)擊記錄、收藏列表等

個(gè)人常用設(shè)備信息

指包括硬件序列號(hào)、設(shè)備MAC地址、軟件列表、唯一設(shè)備識(shí)別碼（如SIM卡IMSI信息等）等在內(nèi)的描述個(gè)人常用設(shè)備基本情況的信息個(gè)人位置信息包括行蹤軌跡、精準(zhǔn)定位信息、住宿信息、經(jīng)緯度等其他信息婚史、宗教信仰、性取向、未公開的違法犯罪記錄等

個(gè)人敏感信息舉例

個(gè)人財(cái)產(chǎn)信息

銀行賬戶、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費(fèi)記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財(cái)產(chǎn)信息個(gè)人健康生理信息個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等個(gè)人生物識(shí)別信息個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等個(gè)人身份信息身份證、軍官證、護(hù)照、駕駛證、工作證、社?？ā⒕幼∽C等其他信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內(nèi)容、通訊錄、好友列表、群組列表、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準(zhǔn)定位信息等

▌ 明確了數(shù)據(jù)出境的含義，以下三種情形均被評(píng)定為數(shù)據(jù)出境

一是企業(yè)將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)既包含車端數(shù)據(jù)，也包含系統(tǒng)平臺(tái)的數(shù)據(jù)，傳輸、存儲(chǔ)至境外的情形。

二是企業(yè)收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，但是境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出的情形。

三是國家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境情形。這里需要特別注意，國內(nèi)車輛數(shù)據(jù)存儲(chǔ)在境外屬于數(shù)據(jù)跨境，國內(nèi)車輛數(shù)據(jù)存儲(chǔ)在國內(nèi)，國外組織和用戶能通過網(wǎng)絡(luò)查詢、調(diào)取、下載到處的，也屬于數(shù)據(jù)跨境。

▌ 提出了詳細(xì)的申報(bào)流程，明確了提交材料并提供了申報(bào)模板

第一步，交材料：汽車申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信辦 （接收材料）申報(bào)數(shù)據(jù)出境安全評(píng)估。申報(bào)方式為送達(dá)書面申報(bào)材料并附帶材料電子版。

第二步，完備性查驗(yàn)： 省級(jí)網(wǎng)信辦收到申報(bào)材料后，在 5 個(gè)工作日內(nèi)完成申報(bào)材料的完備性查驗(yàn)。通過完備性查驗(yàn)的，省級(jí)網(wǎng)信辦將申報(bào)材料上報(bào) 國家網(wǎng)信辦 （實(shí)際評(píng)估單位）；未通過完備性查驗(yàn)的，數(shù)據(jù)處理者將收到申報(bào)退回通知。

第三步，上報(bào)受理：國家網(wǎng)信辦自收到省級(jí)網(wǎng)信辦上報(bào)申報(bào)材料之日起 7 個(gè)工作日內(nèi)，確定是否受理并書面通知數(shù)據(jù)處理者。數(shù)據(jù)處理者如被告知補(bǔ)充或者更正申報(bào)材料，應(yīng)當(dāng)及時(shí)按照要求補(bǔ)充或者更正材料。無正當(dāng)理由不補(bǔ)充或者更正申報(bào)材料的，安全評(píng)估將會(huì)終止。 情況復(fù)雜的，數(shù)據(jù)處理者將被告知評(píng)估預(yù)計(jì)延長的時(shí)間。

第四步，出結(jié)果，可申請(qǐng)復(fù)評(píng)：評(píng)估完成后，企業(yè)將收到評(píng)估結(jié)果通知書。對(duì)評(píng)估結(jié)果無異議的，企業(yè)須按照數(shù)據(jù)出境安全管理相關(guān)法律法規(guī)和評(píng)估結(jié)果通知書的有關(guān)要求， 規(guī)范相關(guān)數(shù)據(jù)出境活動(dòng)；對(duì)評(píng)估結(jié)果有異議的，企業(yè)可以在收到評(píng)估結(jié)果通知書 15 個(gè)工作日內(nèi)向國家網(wǎng)信辦申請(qǐng)復(fù)評(píng)，復(fù)評(píng)結(jié)果為最終結(jié)論。申報(bào)流程可參考汽車企業(yè)數(shù)據(jù)出境申報(bào)考流程圖。

汽車企業(yè)數(shù)據(jù)出境申報(bào)流程圖

▌ 汽車企業(yè)數(shù)據(jù)出境申報(bào)及評(píng)估的特別說明

《申報(bào)指南》中對(duì)《數(shù)據(jù)出境安全評(píng)估申報(bào)表》的填寫提出了具體要求，相關(guān)企業(yè)需對(duì)數(shù)據(jù)出境的目的、數(shù)據(jù)出境方式、數(shù)據(jù)出境鏈路、擬出境數(shù)據(jù)情況、遵守中國法律、行政法規(guī)、部門規(guī)章制度等情況如實(shí)填寫。另外，還需簡述近2年在業(yè)務(wù)經(jīng)營活動(dòng)中受到行政處罰和有關(guān)主管監(jiān)管部門調(diào)查及整改情況，重點(diǎn)說明數(shù)據(jù)和網(wǎng)絡(luò)安全方面相關(guān)情況。

同時(shí)，《申報(bào)指南》明確提出企業(yè)需對(duì)數(shù)據(jù)出境情況進(jìn)行自評(píng)估，自評(píng)估一是需包含自評(píng)估工作開展情況，包括起止時(shí)間、組織情況、實(shí)施過程、實(shí)施方式等內(nèi)容；二是包含企業(yè)數(shù)據(jù)出境活動(dòng)整體情況包括企業(yè)自身基本情況、數(shù)據(jù)出境涉及業(yè)務(wù)及信息系統(tǒng)情況、擬出境數(shù)據(jù)情況、企業(yè)自身數(shù)據(jù)安全保障能力情況、境外接收方情況、法律文件約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的情況等；三是擬出境活動(dòng)的風(fēng)險(xiǎn)評(píng)估情況，需要特別指出的是，企業(yè)可授權(quán)第三方機(jī)構(gòu)參與自評(píng)估，須在自評(píng)估報(bào)告中說明第三方機(jī)構(gòu)的基本情況及參與評(píng)估的情況，并在相關(guān)內(nèi)容頁上加蓋第三方機(jī)構(gòu)公章。