汽车企业如何判断数据出境路径？-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

综合《网络安全法》《个人信息保护法》和《评估办法》的相关规定，根据适用情形和触发条件的不同，我国数据出境规则主要包括三种路径：数字化转型网www.szhzxw.cn

通过官方评估（“官方评估路径”）；

经专业机构进行个人信息保护认证（“认证路径”）；

按照国家网信部门制定的标准合同（“标准合同”）与境外接收方订立合同，约定双方的权利和义务（“标准合同路径”）。

对于出境路径的选择和适用，汽车企业可采取以下步骤：

步骤一：梳理数据出境活动

对数据出境活动进行梳理和盘点是判断选择何种出境路径的第一步。就官方评估而言，《评估办法》规定“本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改”[2]，因此当前已发生（且仍将继续）的和《评估办法》生效后拟开展的数据出境活动均应纳入考虑范围，具体包括以下方面：数字化转型网www.szhzxw.cn

是否向中国境外传输数据

向中国境外传输数据有两类常见形式：一类是数据处理者主动将其在中国境内收集和产生的数据通过网络或硬件载体传输至境外接收方；另一类是数据处理者向境外接收方（包括关联方，如外资股东、全球或地区总部等）开放访问权限，允许其访问存储于境内的数据[3]。

向境外传输数据的具体情况

这包括数据出境背景（如数据出境系基于与境外接收方开展的何种合作、境外接收方提供何种产品或服务、是否签署了服务协议或其他合作协议）、境外接收方的类型（个人、企业、公共机构、其他组织等）、境外接收方所在国家或地区、数据处理者向境外接收方传输数据的传输期限、传输频率、传输规模等、境外接收方对出境数据的处理目的、处理方式、存储地点和存储期限等。

向境外传输的数据类型

在本步骤一中，汽车企业可以对出境的数据类型进行盘点，建立出境数据台账，例如客户数据（如车主姓名、手机号码、身份证号、驾驶证号）、车辆数据（如发动机号、工况数据、车内应用服务数据）、业务数据（如销售数据、维修数据）以及经营管理数据（如员工个人信息）等。完成出境数据类型盘点后，汽车企业还需要在步骤二中对该等出境数据是否构成重要数据以及涉及的个人信息主体数量进行识别和确认。数字化转型网www.szhzxw.cn

涉及的个人信息主体

如出境数据中包含个人信息，需考虑涉及哪些个人信息主体，例如车主、驾驶人、乘车人、员工、客户或供应商联系人等。

步骤二：识别数据性质和处理者身份

在完成步骤一的数据出境活动梳理后，汽车企业需结合以下维度，判断适合的数据出境路径：

数据性质维度：数字化转型网www.szhzxw.cn

出境数据中是否包括重要数据[4]

各行业、领域的重要数据具体目录由各地区、各部门按照数据分类分级保护制度确定[5]，而汽车行业则是较早明确了重要数据范围的行业之一。根据《汽车数据安全管理若干规定（试行）》（“《汽车数据规定》”），汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据[6]，而重要数据则包括[7]：

（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

（二）车辆流量、物流等反映经济运行情况的数据；

（三）汽车充电网的运行数据；数字化转型网www.szhzxw.cn

（四）包含人脸信息、车牌信息等的车外视频、图像数据；

（五）涉及个人信息主体超过10万人的个人信息；

（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

除上述已有明确规定的汽车行业重要数据类型以外，汽车企业可能还会处理其他须经审批方可出境的数据，我们将在下文详细讨论。

身份维度：

境内数据处理者是否存在特定身份数字化转型网www.szhzxw.cn

根据《评估办法》，如境内数据处理者属于关键信息基础设施运营者（CIIO）或处理100万人以上个人信息，其数据出境行为应当通过官方评估[8]。

结合《关键信息基础设施安全保护条例》确定的CIIO识别制度，CIIO的认定结果将由行业和领域的主管部门、监督管理部门向CIIO发出通知[9]，因此相对容易识别。提请注意的是，由于各行业（包括汽车行业）的CIIO识别工作仍在进行中，因此如果某一汽车企业在现阶段尚未收到主管或监管部门的认定结果通知，并不代表该企业就必然不是CIIO。为了防患于未然，我们建议汽车企业结合经营情况和相关数据处理活动，寻求对其自身CIIO身份的初步判断。

对于“处理100万人以上个人信息”这一标准，可根据步骤一的梳理结果做出判断。一般而言，汽车制造商、经销商、维修机构、出行服务企业等基于B2C的业务性质，相较于开展B2B业务的零部件和软件供应商而言更容易达到处理100万人以上个人信息的身份标准。数字化转型网www.szhzxw.cn

数量维度：

传输数据是否累计达到一定数量

《评估方法》明确，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息需通过官方评估[10]。

根据我们的观察，以B2C业务模式为主的汽车企业很容易达到这一数量门槛，开展B2B业务的企业也可能因工厂员工数量较多而达到这一门槛。

但需要注意的是，并非所有看似个人信息的信息都属于个人信息，汽车企业需要结合具体情况予以甄别。以实践中常见的一类出境汽车数据——VIN码为例：VIN码又称车辆识别号、车架号，由英文字母和阿拉伯数字组成，共17位，是每辆机动车自出厂时起就有的独一无二的代码。由于VIN码具有唯一性，确实存在通过VIN码识别到车主等具体个人的可能性，从而属于个人信息；但在向企业客户销售车辆（B2B）的场景中，VIN码对应的是企业客户而非具体个人，因此不应属于个人信息。由此，在识别某一类型的数据是否构成个人信息时，汽车企业还需结合数据处理活动的具体情形，严格基于识别性与关联性两大原则[11]进行判断。数字化转型网www.szhzxw.cn

其他情形

《评估方法》对官方评估的触发场景规定了一个兜底项，即国家网信部门可能另行发布其他规定，进一步扩大官方评估的触发范围[12]。

目前哪些情形属于“其他情形”尚不明确，有待国家网信部门以及其他相关部门做出进一步规定。但就《评估办法》的现有措辞来看，数据处理者如符合官方评估的触发条件，应当“向国家网信部门申报”[13]，换言之，国家网信部门通常仅在受理数据处理者的申报后才会组织开展官方评估，一般不会主动开展。因此我们倾向于认为，国家网信部门未来将会通过部门规章或部门规范性文件对本条兜底项进行解释或补充，单独要求个别数据处理者申报官方评估的可能性较低。

步骤三：确认数据出境路径

在完成对数据性质、数量以及处理者身份的识别后，汽车企业即可最终判断适用的数据出境路径：

如符合步骤二中的任何一项标准，则应当适用官方评估路径；数字化转型网www.szhzxw.cn

如不符合步骤二中的任何一项标准，但出境数据中包含个人信息，则应当适用认证路径或标准合同路径；

需要特别说明的是，认证路径和标准合同路径并非在任何情形下都可以二选一。根据《认证规范》，个人信息保护认证适用于下列两种情形[14]：

跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

《个保法》第三条第二款适用的个人信息处理活动，即在中国境外处理境内自然人个人信息，以向境内自然人提供产品或服务或分析评估境内自然人行为的活动[15]（由境外的数据处理者通过其在境内设置的专门机构或指定代表申请个人信息保护认证，并承担法律责任[16]）。

对于前述第2项中的场景，如果境外主体直接从中国境内收集数据，虽然存在数据“跨境”的属性，但不存在数据“传输（即一方提供至另一方）”的行为。该场景是否需要遵从数据出境规则尚存在争议。我们倾向于认为该等场景下，境外主体将受制于《数据安全法》《个人信息保护法》的域外效力。该等场景如何适用认证路径，还有待进一步观察。数字化转型网www.szhzxw.cn

如不符合上述1或2的任一情形，则应通过标准合同路径开展数据出境。

如出境数据中不含任何重要数据或个人信息，且境内数据处理者不存在特定身份，则汽车企业和境外接收方可在履行数据安全保护义务的前提下自行开展数据出境活动（涉密信息或行业有特殊要求的除外）。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn