中国汽研谈汽车数据出境安全怎么办？

导 语

保障汽车数据安全出境，实现“防范风险、自由流动”一直是汽车行业探索数据合规使用的重大问题。近日，《数据出境安全评估办法》、《数据出境安全评估申报指南（第一版）》已正式施行。汽车企业如何有序申报数据出境，做好数据出境的安全评估，中国汽研结合行业现状对相关法规进行解读，以辅助汽车企业迅速落地数据合规有序出境。

2022年9月1日起，由国家互联网信息办公室发布的《数据出境安全评估办法》（下称《评估办法》）施行。

《评估办法》明确了我国数据出境安全评估防范风险、自由流动的目的和事前评估与持续监督相结合，自评估与国家评估相结合原则。

同时，《评估办法》也明确了企业应当申报数据出境的四种情形。细化了数据出境安全评估的申报方式、申报流程、申报材料、咨询方式。

8月31日，国家互联网信息办公室发布了《数据出境安全评估申报指南（第一版）》（下称《申报指南》），《申报指南》提供了2份评估申报模板，以指导和帮助企业规范、有序申报数据出境。

必须指出的是，汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业，需要按照《中华人民共和国数据安全法》以及《评估办法》和《申报指南》的要求评估申报本企业数据出境情况。本文主要通过解读《申报指南》及其上位法，为汽车行业数据出境申报提供帮助。

▌ 细化了数据出境申报的适用范围，汽车行业相关企业应该对号入座

《申报指南》提出了四个需要出境申报的情形：

一是数据处理者向境外提供重要数据；

二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

三是自上年1月1日起累计 向境外提供10万人个人信息或者 1万人敏感个人信息的数据处理者向境外提供个人信息；(2021年1月1日起累计）；

四是国家网信办规定的其他需要申报数据出境安全评估的情形。作为汽车行业如何把握《申报指南》的适用范围，对号入座，主要集中在以下两点:

一是汽车行业的重要数据是什么? 

2021年7月5日国家互联网信息办公室联合发改委、工信部、公安部和交通运输部发布的《汽车数据安全管理若干规定（试行）》给出了明确的范围：

一是军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

二是车辆流量、物流等反映经济运行情况的数据；

三是汽车充电网的运行数据；

四是包含人脸信息、车牌信息等的车外视频、图像数据；

五是涉及个人信息主体超过10万人的个人信息；

六是国家相关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

汽车行业涉及以上六类数据出境的需要申报。

二是关基运营者和个人信息，个人敏感信息如何界定? 

关基运营者（CIIO）目前在汽车行业并不多见，但是处理超过100万人个人信息的汽车企业，应该针对汽车数据出境开展评估，根据评估结果申报。同时，年累积出境数据包含10万个人信息或者1万个人敏感信息的也在申报之列，企业可参照《汽车数据安全管理若干规定（试行）》和《信息安全技术 个人信息安全规范》（GB/T 35273—2020）标准，对个人信息和个人敏感信息进行评估，下面是个人信息和个人敏感信息的举例可供车企评估时参考：

个人信息举例

个人基本

资料

个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等

个人身份

信息

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

个人生物

识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人健康生理信息

个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关的信息，如体重、身高、肺活量等网络身份标识信息个人信息主体账号、IP地址、个人数字证书等个人教育工作信息个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等

个人财产信息

银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人通信信息通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等联系人信息通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

指通过日志储存的个人信息主体操作记录，包括网站浏览记录、软件使用记录、点击记录、收藏列表等

个人常用设备信息

指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如SIM卡IMSI信息等）等在内的描述个人常用设备基本情况的信息个人位置信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等其他信息婚史、宗教信仰、性取向、未公开的违法犯罪记录等

个人敏感信息举例

个人财产信息

银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

▌ 明确了数据出境的含义，以下三种情形均被评定为数据出境

一是企业将在境内运营中收集和产生的数据既包含车端数据，也包含系统平台的数据，传输、存储至境外的情形。

二是企业收集和产生的数据存储在境内，但是境外的机构、组织或者个人可以查询、调取、下载、导出的情形。

三是国家网信办规定的其他数据出境情形。这里需要特别注意，国内车辆数据存储在境外属于数据跨境，国内车辆数据存储在国内，国外组织和用户能通过网络查询、调取、下载到处的，也属于数据跨境。

▌ 提出了详细的申报流程，明确了提交材料并提供了申报模板

第一步，交材料：汽车申报数据出境安全评估，应当通过所在地省级网信办 （接收材料）申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。

第二步，完备性查验： 省级网信办收到申报材料后，在 5 个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报 国家网信办 （实际评估单位）；未通过完备性查验的，数据处理者将收到申报退回通知。

第三步，上报受理：国家网信办自收到省级网信办上报申报材料之日起 7 个工作日内，确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。 情况复杂的，数据处理者将被告知评估预计延长的时间。

第四步，出结果，可申请复评：评估完成后，企业将收到评估结果通知书。对评估结果无异议的，企业须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求， 规范相关数据出境活动；对评估结果有异议的，企业可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评，复评结果为最终结论。申报流程可参考汽车企业数据出境申报考流程图。

汽车企业数据出境申报流程图

▌ 汽车企业数据出境申报及评估的特别说明

《申报指南》中对《数据出境安全评估申报表》的填写提出了具体要求，相关企业需对数据出境的目的、数据出境方式、数据出境链路、拟出境数据情况、遵守中国法律、行政法规、部门规章制度等情况如实填写。另外，还需简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。

同时，《申报指南》明确提出企业需对数据出境情况进行自评估，自评估一是需包含自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容；二是包含企业数据出境活动整体情况包括企业自身基本情况、数据出境涉及业务及信息系统情况、拟出境数据情况、企业自身数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况等；三是拟出境活动的风险评估情况，需要特别指出的是，企业可授权第三方机构参与自评估，须在自评估报告中说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。