DGXC黄雷:智能网联汽车数据跨境现状和痛点以及解决路径

2022-12-13 16:31:40·  来源:ICMA智联出行研究院  
 
2022年12月7日,智能网联汽车数据治理和发展论坛成功召开。论坛由北京市高级别自动驾驶示范区工作办公室主办,ICMA智联出行研究院、北京国际数字经济治理研究院、清华大学国家治理研究院承办。本次论坛以线上的形式举行,智能网联汽车行业相关单位和企业代表

2022年12月7日,智能网联汽车数据治理和发展论坛成功召开。论坛由北京市高级别自动驾驶示范区工作办公室主办,ICMA智联出行研究院、北京国际数字经济治理研究院、清华大学国家治理研究院承办。


本次论坛以线上的形式举行,智能网联汽车行业相关单位和企业代表近300位嘉宾在线参会。论坛以“数据安全与发展”为主题,北京国际数字经济治理研究院数据跨境专委会副主任、数据治理与跨境服务中心总经理黄雷作“智能网联汽车数据跨境现状和痛点以及解决路径”主题演讲。


北京国际数字经济治理研究院数据跨境专委会副主任、数据治理与跨境服务中心总经理 黄雷


黄雷提出,数据跨境流动的法律规则逐渐清晰,数据出境风险自评估成为企业数据跨境流动的必要合规路径,由于数据出境风险自评估工作复杂度高、难度大、耗时长,建议企业:一是尽早开展数据出境风险自评估工作,提前识别潜在风险与隐患,通过整改切实解决或降低风险;二是制定并完善数据合规制度,建立数据安全合规体系;三是必要时可聘用专业的第三方跨境合规服务机构,保障数据出境风险自评估报告的效果和质量。


以下为演讲摘录:


一、介绍北京国际数字经济研究院


研究院是在北京市经信局的指导下筹建的民非组织,是一个非营利性社会组织,也是基于北京市发布的《北京市数字经济全产业链开放发展行动方案》中的一部分,发起单位包括了清华大学、北京大学,国家互联网应急中心、信通院、自然资源部、测绘学会等。


研究院具体有三个任务,首先它是一个学习型、研究型和实干型的智库平台,从事一些项目的孵化与实施,同时也参与北京市数字经济的建设,其中一个任务是支撑政府关于数字经济的顶层设计。第二是参与企业数字经济治理模式的创新,同时协助推进企业的数字化的转型。第三是围绕着数据流动和数据跨境的治理,提出一个综合的解决方案,推动数据要素高效的合规流动。


在北京国际数字经济研究院下,我们也成立了数据治理与跨境服务中心,简称DGXC。服务中心在我国相关的法律法规的要求和政策下成立,是会同各方面专业力量来筹建的、面向全国的、多行业的第三方的服务机构,服务中心同时也于北京第二届全球国际数字经济大会上发布。


服务中心秉承三个宗旨,第一是贯彻法律法规的要求,坚持安全是第一要素。在该前提下,服务中心会严格按照我国相关的法律法规要求,在数据的收集、存储、使用等全生命周期,还有数据出境上完成数据合规,帮助企业守住安全底线,避免触碰或误碰国家的安全红线。第二,帮助企业增效降本。通过服务中心合规、数据治理和数据跨境的整体方案,帮助企业开展好数据跨境风险自评估工作。第三,聚焦技术创新。数据跨境体系第一是比较复杂,第二链条比较长,所以服务中心提供了一系列整体解决方案,帮助企业完成一站式的数据跨境自评估工作,同时参与协助企业建设数据安全治理合规平台。现在服务中心其实已经在多行业为多个企业提供了综合的安全合规服务。


二、数据跨境法律法规的背景


数据跨境是当前汽车行业或者是智能网联行业安全合规的重要组成部分,这里面分为数据安全和数据出境两个部分。就智能网联行业数据安全而言,监管部门主要有网信办、工信部、自然资源部等,主管部门已经发布了《汽车数据安全管理若干规定》《网络数据安全管理条例(征求意见稿)》,还有2021年的《关于开展汽车数据安全网络安全自查的工作通知》。汽车行业参与者被定义为汽车数据处理者,所以需要完成汽车数据安全自评估工作,也要依照若干规定的要求,完成每年12月15日的汽车重要数据年报。同时根据网信办的要求,在《个人信息出境安全评估办法(征求意见稿)》、《数据出境安全评估办法》、《个人数据出境标准合同规定》的要求下,满足条件的汽车数据处理者需要做数据出境风险自评估,要向网信部门提交风险自评估报告。


《数据出境安全评估办法》出台的背景是基于《网络安全法》《数据安全法》《个人信息保护法》中对数据出境的基础制度——安全评估制度的细化和落实。立法目的是规范整体企业的数据出境活动,保护信息权益,维护国家安全和公共安全,同时促进数据跨境的安全流动和自由流动。确立原则是坚持事前评估和持续监督,风险自评估和安全评估相结合,防范属于出境的安全风险,保障整体依法有序地自由流动。


数据出行安全评估的流程分为两大部分,第一部分是企业申报准备和提交申报,第二部分是网信部门开展安全评估及持续监督。在自评估阶段,依照办法中的第五条企业开展风险自评估。根据第六条,我们要申请提报材料,包括申报书、自评估报告、法律文件、其他材料等。在安全评估阶段,基于第十一条、第八条、第十条,会出现受理和不受理的结果,同时有补充材料的机会,最后根据第十二条去完成,形成一个评估结果。实际程序中也会出现申请重新评估、安全监管,投诉举报等要求。


企业自评估,首先要明确向境外提供数据的时候,是否包含个人信息和重要数据。是否满足法规中定性和定量的申报条件,如满足需要准备开展安全自评估工作并向网信部门提交安全评估报告。除了提供数据出境安全评估外,个人信息的保护认证、标准合同和网信部门的其他要求,都可以作为我们数据出境的路径,这需要企业根据自身实际情况结合法律法规要求去决定出境路径。


在自评估的过程中,企业开展评估中要注意以下几个要点,第一,整体数据出境情况的风险和整体的数据盘点。企业要从企业业务的角度,从数据的出境和境外接收方去论述它的目的、范围、方式,数据出境的合法性、正当性和必要性、规模、种类、敏感程度等。境外接收方面,我们主要关注境外接收方承担的一些责任和义务,包括境外接收方的安全保障能力。同时,个人信息权益的维护渠道是否通畅。在法律文件与约定情况上,主要是看与境外接收方拟定的数据出境相关合同,或者其他的这些法律文件是否充分约定了数据安全保护的责任和义务。此外,还有一些企业认为有必要的其他事项,也需要作为评估的重点,放到自评估报告里面来。


违反相关规定的企业,根据《数据出境评估的安全办法》18条,可能会受到相应处罚,如果情节严重,还要追究刑事责任,同时企业需要停止未经许可的数据出境行为和线路通道。


三、汽车数据跨境评估痛点和解决路径


汽车数据跨境评估有六大痛点。第一,数据出境的行为是具备隐蔽性的,例如因供应商导致的数据出境、远程运维导致的数据出境等。第二,跨国企业全球统一部署的系统占比高。第三,个人信息和重要数据难以识别。在很多场景下,个人信息的范围也不是很清晰,所以需要进一步识别。第四,企业自身开展数据出境自评估耗时较长。企业整体运营情况和的数据流转情况都要进行比较完整、比较精细的盘点,才能把整个的数据梳理出来,时间跨度大。第五,数据出境的自评估需要大量的内外部协调工作。第六,风险缓释计划和合规体系建设亟需指导。


《数据出境安全评估办法》所称的数据出境活动主要包括:一是,数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是,数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。数据的分级分类,其实是为了有序的跨境流动。这里面可能分一般数据,个人信息和个人敏感信息。个人信息是用电子或者其他方式去识别或者可识别的自然人有关的信息,其实不包括匿名化和处理过的信息。敏感信息是一旦泄露或者非法使用,会容易导致自然人的人格尊严受到侵害或者是危害人身财产安全的信息。重要数据里面包括一些未公开的政府信息、大面积人口基因的数据、地理位置信息等。


我们认为企业应该做的第一件事情是做判定自身属于哪种数据处理者,跨境传输的数据类型是什么,企业性质是什么,是否达到了其他申报评估的触发条件。第二件事情是识别风险,根据数据盘点、制度排查去识别出潜在的风险。第三件事情是解决或者降低数据处理中的风险和隐患,提高数据安全保护能力,进行合规整改、合规体系建设和完善,最终制定整体的风险缓释计划,确保整体数据安全流转可控。


我们对企业数据跨境安全合规有三部分建议。第一,希望企业可以尽早地开展数据跨境的咨询工作。第二,是希望企业可以积极参与我国数据分级分类的政策制定,贡献企业智慧,完善整体数据合规制度,建立整体数据内部的合规体系。第三,在自评估的过程中,要确保数据评估质量,要聘用专业的第三方机构去完成企业的自评估。


一个典型的数据处理者评估的流程,需要分为两部分,第一部分是数据处理者进行数据出境的风险自评估,第二部分是从监管一事一议的角度去做数据出境的安全评估。如果整体流程都没有问题,最终会完成评估,有效期是两年。如果在两年之内发生特定变化,企业需要重新提交评估材料。如果企业还有新业务,新目的,新跨境传输方式产生,也需要提前向网信部门提交数据安全评估资料,以获批准。数据处理者针对已开展或将要开展的数据出境活动进行数据出境安全风险自评估时,应当遵循五大原则,分别是全面性原则、客观性原则、匹配性原则、及时性原则和持续性原则。


《数据出境安全评估办法》第六条规定了申报数据出境安全评估应当提交的材料:首先要包含申报书,申报书实际上是有统一模板。第二,自评估报告,要提前实施、提前准备。第三,数据处理者与境外接收方签订的法律文件。第四,其他材料,包括网信部门的一些管理材料、工程文档或其他佐证。


北京国际数字经济研究院数据治理与跨境服务中心针对企业数据跨境的六个痛点,提出了一些解决方案。


第一,针对数据出境行为的隐蔽性,中心已经总结出一些标准化的问卷模板,并且服务中心也有产品级的工具,可以帮助企业做相对全面细致的资产盘点工作。


第二,针对个人信息、重要数据难以识别,中心充分吸收了数据技术和法律安全等各行业的优势专家资源,并且针对不同行业,尤其是智能网联行业的一些典型的业务场景的知识库,做相应的检索,去识别个人信息和重要数据。


第三,针对内外部所需的大量协调工作,中心现在可以协助各方实现可知可控可溯的数据盘点的管理要求,有相关的工具系统支撑。同时我们的系统也支持多部门协同工作。


第四,针对全球企业统一部署的系统占比高的情况,中心在系统上也针对不同场景的系统,形成了快速应对、快速识别的整体合规整理方案。


第五,针对企业耗时长的问题,中心针对不同的行业对不同的业务场景进行分析。通过我们之前的积累、模板以及技术手段,可以支持报告的半自动化生成。这种方式可以整体提升报告生成的效率。


第六,针对风险缓释计划和合规体系的指导,中心有很多行业资深专家,还有很多过往案例支撑,可以为企业提供有效的咨询方案。


最后,在刚刚过去的11月,中心所服务的两个企业成为了第一批拿到了中央网信部门的受理通知函的企业。同时,我们也会继续跟进整体行业。如果大家对数据跨境评估服务有疑问,欢迎与我们取得联系。

分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25