随着新一代信息技术与产业变革的蓬勃发展,汽车产业逐步向智能化、网联化转型;与此同时,全球汽车产业链的高度融合使得汽车企业在设计、研发、生产、销售等多个环节均存在数据跨境流动的迫切需求,汽车产品与汽车数据双跨境已成为车企发展的常态。当前,中国汽车数据过度采集、不当使用、违规出境、数据泄露等安全事件频发,汽车数据安全问题和风险隐患日益突出。
本文通过分析汽车数据跨境流动面临的多种风险,结合对中国现行汽车数据跨境流动相关法律法规、标准等规定的解读,提出中国汽车数据合规体系构建的建议,以期为汽车数据有序跨境流动提供一些参考,也为国外相关主体与中国汽车企业开展合作提供一定的指引或风险防控的建议。
一、汽车数据跨境流动的风险与监管范式
(一)汽车数据的复杂性带来高风险
随着车联网、云计算、人工智能等先进技术与传统汽车行业的深度融合与革新,汽车数据所涉及的数据种类不断增多。根据汽车数据产生的主要来源,我们可将汽车数据大致分为用户数据、环境数据和车辆数据三大类型,不同类型数据映射的数据安全风险存在差异,而各类数据在实际应用中存在一定程度上的交叉也加剧了汽车数据安全风险。
表1 汽车数据类型映射风险
(二)汽车数据跨境流动的监管范式
基于不同的法律制度环境、监管理念、国家战略及安全等多种因素,国际社会对汽车数据的跨境流动监管形成了二种典型的模式,即“强调数据保护构建单一数字市场”的欧盟模式与“提倡数据流动以维护本国数字产业优势”的美国模式。
欧盟对“个人数据”秉持 “人格尊严”的独特理解,通过《数据保护指令》《通用数据保护条例(GDPR)》以“人权之上”理念为依托建立起严格的数据跨境流动监管体系。当个人数据向欧盟或欧洲经济区以外的国家或地区流动时,目标国家或地区须通过GDPR第45条规定下的“充分性保护水平”认定①,实现欧盟“避免数据流入不被信任的国家”的规制目的。同时,为避免过于严苛的数据保护阻碍日益频繁的跨境数据流动需求,GDPR也制定了多种跨境数据传输机制以兼顾数据的自由流动②。除“白名单国家”之外,其余境外接收方需为接收的数据提供适当的保障措施,如“有约束力的公司规则”(BCRs)、“数据跨境标准合同条款”(SCCs)、“具有约束力的行为准则”(conduct code)以及政治体之间达成的各项隐私框架协议等③。汽车数据包含大量个人信息数据,其跨境流动自然处于GDPR的规制范畴之下。除此之外,2021年3月,欧盟数据保护委员会在GDPR框架下正式通过了《车联网个人数据保护指南v2.0》,该指南从数据保护、本地化处理、匿名化和假名化、数据主体的权利保障等方面提出了处理原则,④再次强调了个人数据传输至境外的合规必要性。
美国对汽车数据的跨境流动管理存在双重标准。对于数据入境,美国以较低的监管标准主张汇聚全球数据资源,提供美国车企及相关产业的国际竞争力。2017年7月,美国众议院通过《自动驾驶法案》,该法案要求开发者制定需要的数据隐私保护计划,遵循选择同意、最小必要、公开透明、主体参与等信息处理原则,同时说明如果个人信息经过匿名化处理或无法与个人关联,则无需采取前述保护措施。通过该法案,美国汽车企业能够以较低的合规成本获得境外的汽车数据。而对于国内数据出境,美国则设置诸多要求与限制,严格限制核心技术与特定领域数据出境。例如,美国通过《外国投资风险审查现代化法》《出口管制条例》等法律法规对自动驾驶、人工智能关键技术等采取相关的跨境限制⑤,对数据进行分类分级管理,一旦数据涉及国家安全便实施严格的数据本地化政策。
二、中国现行汽车数据出境监管现状及其解读
(一)中国现行汽车数据出境步入合规发展期
为促进数据出境流动、保护数据出境安全,我国在《网络安全法》、《数据安全法》、《个人信息保护法》中对数据出境安全管理做出统领性规定。而后,《数据出境安全评估办法》、《个人信息出境标准合同办法》等具体制度规范陆续出台,进一步完善了数据出境的合规机制。数据出境相关申报、备案指南的出台、国家标准和行业标准的发布也为数据出境提供落地指引。
整体而言,宏观上我国建立了以三部法律为轴心的数据保护体系,数据出境制度规范从上位法到行政法规、部门规章再到规范性文件和相关国家、行业标准,体系相对完备,具有科学性与前瞻性。但聚焦到汽车领域,当前制度规制的重心偏向道路安全、技术测试等,汽车数据安全尚不具备成体系的数据保护规范。再细化到汽车数据出境领域,相关规范性文件中与汽车数据跨境流动相关的内容谈及甚少,尚未能针对汽车数据的特点做出完备的出境制度设计。
(二)汽车数据出境监管尚待完善
1.汽车数据出境规则缺乏细化指引
在国内外对数据跨境行为监管日趋严格的大环境下,中国汽车企业数据出境需要承担强法律义务。在具体实操过程中,汽车数据出境相关法律法规及其制度指引仍存在不少的模糊地带,具有重叠或不完善的问题。例如,根据《数据出境安全评估申报指南(第一版)》第一条之规定,数据出境行为包含以下几种情形:
(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(3)国家网信办规定的其他数据出境行为。常规理解的数据跨境传输属于第(1)种情形,而第(2)种情形下数据跨境行为发生的时间、转移的路径和方式较难预设或预判,存在一定的偶发性。例如,某汽车企业员工在境外通过该车企内网链接查询、调取、下载、导出重要数据或个人信息,是否需要进行安全评估或以其他合规路径向监管进行备案仍存疑。
2.汽车数据出境监管主体权责不明
通常情况下,数据出境的监管主体为国家、省级这两级网信办,而汽车数据出境可能同时涉及向不同行业主管部门申报安全评估,事实上形成多头监管的局面。例如,工业和信息化部发布的《关于加强车联网网络安全和数据安全工作的通知》第十六条指出,智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的,应当依法依规进行数据出境安全评估并向所在省(区、市)通信管理局、工业和信息化主管部门报备。对汽车数据出境的监管主体多元化、职责分配不清晰,也尚未形成制度化的申报标准和程序,极有可能因申报流程、标准不统一而导致监管部门对同一批数据是否允许出境给出相矛盾的结论。
三、中国汽车数据出境合规管理体系构建要点
(一)完善汽车数据出境规则
有关中国汽车数据出境规则的完善,一方面应着眼于汽车领域数据出境相关规则的制定与细化,对相关法律法规及其制度指引中模糊的部分进行澄清与解释,对企业实操过程中存疑的问题及时发布指引。当前,在《车联网网络安全和数据安全标准体系建设指南》项下的《车联网数据跨境流动安全管理要求》和《评估规范》尚处于待制定的状态,有待通过填补汽车数据数据跨境流动的法律缺位,形成完善的法律规范体系,实现安全与发展相平衡的数据规制目标。
(二)创新汽车数据监管机制
对企业数据出境的监管、审查应当将数据分类分级理念融入数据跨境流动规制,根据汽车数据的影响对象和影响程度综合考量汽车数据的安全级别,具化出境审查的要求,构建合理高效、差异化的审查机制。国家核心数据应遵循本地化的原则,禁止出境;对“重要数据”应当进行数据出境安全评估,进行重点审核;对二、三、四级的一般数据施加不同的监管和保障措施,一级数据一般为车企在生产经营过程中产生的业务统计数据、业务运营数据、财务数据等,可以考虑建立数据出境绿色通道,简化审查流程;对于一般数据出境的审批可以根据数据类别甚至特定数据处理主体针对性地创建快速审批机制,提高数据出境管理效率。
表2 数据分级标准
(三)设立专门的出境监管主体
就汽车数据出境而言,监管涉及覆盖面广,监管技术难度大,一项出境场景可能需要多部门协同参与。当前,汽车行业的数据合规主要监管机构有网信办、工业和信息化部、公安部和国家市场监督管理总局及地方各级市场监督管理局,而根据汽车数据的具体类型,汽车数据出境也会存在交通交互数据向交通部门申报,地理数据向自然资源部门申报,用户数据向网信部门申报等情形⑥,极大增加了企业的合规成本和监管的沟通成本。此外,汽车数据监管涉及众多数据主体,具有变化快、内容多、范围广的特点,因此,可以坚持鼓励和创新原则,考虑设立或集中至单独的审批部门或网信部下一个特殊行业小组,以改善目前监管主体多元化,职责分配不清晰的现状。
(四)加强国际交流与合作
我国要增进国际交流,构建政府间、行业间、研究机构间多类型多线条的沟通模式,参与到国际规则和相关标准制定过程中,确保管理框架和基本制度与国际规则衔接,增进数据跨境领域国际互信。例如,积极主导或参与车联网安全国际标准化活动及工作规则制定,逐步提升我国车联网数据标准化在国际组织中的影响力。另一方面,虽然汽车数据链条长、种类丰富、存在的数据风险较大,完全开放汽车数据的全球范围流动暂时较难实现,但基于双边或多边协议打造有限范围内的汽车数据流动仍存在可能性。中国要积极参与到《区域全面经济伙伴关系协定》等双边或多边协议中,通过明确缔约国各方的监管义务,探索如何在保护国家安全的基础上为汽车数据跨境流动打造自由空间。
四、结语
汽车数据跨境流动应坚持保障数据安全的价值目标,于国家而言,数据安全构成了新时代下中国国家主权安全的重要内容,于个人而言,对个人信息的汇聚、挖掘和分析不得侵害个人的数据合法权益。面对汽车数据跨境流动的风险与阻碍,中国宜以阶段性和分类分级的数据治理思维应对汽车数据出境监管问题,通过完善汽车数据出境规则、创新监管主体和机制、加强国际交流与合作等手段,多管齐下建设汽车数据出境合规体系,防范化解汽车数据出境安全风险,保障汽车数据依法合理有效利用。
以上文章来源于党玺法律服务团队,如有侵权,请联系删除