汽车数据出境合规重点及难点分析-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

结合实务经验和法律规定，汽车行业数据出境需要特别注意几个合规风险，这不仅是实际数据出境过程中会被重点关注的部分，也是部分企业合规中容易忽视的内容。

1. 有效的“告知-同意”

根据《个人信息保护法》的规定，处理个人信息前，企业通过制定个人信息处理规则的方式依法向个人告知的，个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、清晰易懂。

通常来说，处理个人信息需要制定隐私政策（个人信息处理规则），其中需要明确的内容包括：①网络数据处理者的名称或者姓名和联系方式；②处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影响；③个人信息保存期限和到期后的处理方式；④个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径的。同时，处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则。此外，根据《工业和信息化部关于开展信息通信服务感知提升行动的通知》，企业在告知时需提供“双清单”——已收集个人信息清单和向第三方共享个人信息清单。数字化转型网www.szhzxw.cn

《个人信息保护法》第十三条规定了处理个人信息的合法性基础，通常以用户同意为核心。实践中取得用户同意是最为有效的合法性基础。对于基于同意处理个人信息的场景，对个人信息进行跨境需要取得用户的“单独同意”，特别需要避免概括同意、强制同意来进行个人信息出境。

2. 重要数据识别

根据《数据安全法》的要求，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。而最新公布的《网络数据安全管理条例》在此基础上又规定了企业的自识别义务，“网络数据处理者应当按照国家有关规定识别、申报重要数据”。按照行业管理要求，工信部出台的《工业和信息化领域数据安全感安全管理办法（试行）》规定，“工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录”。工业和信息化领域数据包括工业数据、电信数据和无线电数据，而工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台经营等过程中产生和收集的数据，其中亦会包含汽车数据。因此，汽车数据处理者需要按照相关规定对重要数据进行识别，并留存相关记录或者向主管部门申报，重要数据识别的结果应作为数据出境选择的参考。

3. 个人信息保护影响评估

根据《个人信息保护法》的规定，向境外提供个人信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录，个人信息保护影响评估报告和处理情况记录应当至少保存三年。具体而言，汽车企业进行数据出境的，无论是否属于豁免情形，也无论适用何种方式出境，都应当履行个人信息保护影响评估义务。具体而言，评估的内容包括：数字化转型网www.szhzxw.cn

（1）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（2）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（3）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（4）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险；

（5）个人信息权益维护的渠道是否畅通。

采取订立标准合同方式出境的，还应当评估境外接收方所在国家或者地区的个人信息保护政策和法规的的影响。

4. 数据出境风险自评估

需要通过安全评估方式出境的，汽车企业应当重点关注自评估工作，这是申报数据出境安全评估的必要条件之一，亦是重点内容之一。汽车企业需要全面核查其数据安全保障能力是否满足相关法律法规对于数据出境的安全要求，并形成自评估报告。自评估报告主要应包含四部分内容：

（1）自评估工作简述：起止时间、组织情况、实施过程等；

（2）出境活动整体情况：数据处理者和境外接收方的情况、数据出境涉及的业务和信息系统、拟出境数据情况等；

（3）拟出境活动的的风险评估情况：出境数据的规模、范围、种类等，境外接收方的责任义务等，其他可能影响出境安全的事项等；数字化转型网www.szhzxw.cn

（4）自评估结论：充分说明自评估结论的理由和依据。