数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
(一)重要数据处理情况的风险评估及报送义务
《数据安全法》要求重要数据处理者按规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。在此基础上,《汽车数安规定》细化了汽车数据处理者的评估报告义务,将汽车数据处理者的报送义务分成了两部分,即第十条所规定的开展重要数据处理活动的汽车数据处理者自评估的风险评估报告义务,以及第十三条和第十四条所规定的年度报送义务及向境外提供重要数据的补充报告。
汽车数据处理者自评估风险报告义务要求开展重要数据处理活动的汽车数据处理者,按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括该处理者所处理的重要数据种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等方面。作为一项法定义务,所有处理汽车数据的企业都应及时开始自评估及建立自评估体系,并报送风险评估报告。数字化转型网www.szhzxw.cn
对于年度报送义务,《汽车数安规定》并未明确较为具体的报送内容以及具体的报送流程,法律法规层面也尚无标准性可参考的文件,但在江苏省网信办和上海市网信办在通知中分别公布了适用于本省/市的《2021年度汽车数据安全管理情况报告》填写模板(分别简称为 《江苏模板》 和 《上海模板》)及未来可能出现的地方性申报要求文件或模板中,企业可以预见某些合规要点。
根据发布的《江苏模板》,汽车数据处理者应从以下七方面分别申报企业情况:
1.企业实体和组织结构情况,包括:企业基本情况、主营业务和数据业务情况、分支机构和运营架构情况、股权结构情况和组织架构情况;
2.数据管理情况,包括:年度数据基本情况、企业数据安全管理制度及执行情况、数据安全防护措施及有效性、数据安全教育培训、对数据接收方及服务商的监督和约束机制、境外数据接收方的基本情况和数据提供情况;
3.数据平台情况,包括:数据保存地点和数据保存期限、数据中心、数据资产规模情况;
4.数据处理情况,包括:处理汽车数据的种类、处理汽车数据的规模、处理各类数据的目的和必要性、处理个人信息时取得用户同意的情况、数据删除情况;
5.数据安全风险和处置措施;
6.数据安全事件及其处置情况;数字化转型网www.szhzxw.cn
7.数据安全相关的投诉及处理情况。
针对年度报送义务,《江苏模板》较为侧重汽车数据处理者企业内部的详细情况,要求企业提供股权结构、是否上市或计划上市、以及境外接收方的详细信息等。
相较而言,《上海模板》更侧重于要求汽车数据处理者提供其所处理的数据在各环节中的具体情况,该模板在《汽车数安规定》第十三条所规定的基础报送内容上,额外要求汽车数据处理者从七大数据类型的不同处理环节角度出发报送相应情况,具体包括:车外视频图像、车外雷达、汽车行踪轨迹、车内视频图像、车内音频、生物识别特征信息及其他个人信息这七大数据类型项下,从数据的收集、存储、使用、加工、传输、提供以及公开的全处理生命周期角度报送相关情况,报送要求极为细致,在汽车数据处理的目的及必要性的同时,特别侧重数据的安全保护及防护措施(脱敏、加密、降低精度、数据分类分级、匿名化、去标识化等)。
未来各省市网信办可能会逐步出台细化规定及申报模板对汽车数据处理者年度报送义务进行进一步规制,汽车数据处理企业应及时落地相应的合规措施并完成报送要求,这势必将成为汽车行业企业未来数据合规调整方向的重中之重。数字化转型网www.szhzxw.cn
(二)汽车数据处理原则
针对汽车数据处理者在开展数据处理活动,《汽车数安规定》第十六条提出了四项原则,以《上海模板》为例,这四项原则在收集汽车数据处理者七大处理数据类型项下均有具体体现。
1.车内处理原则:要求汽车数据处理者除非确有必要,否则不向车外提供。在《上海模板》中,对于七大数据类型在数据收集环节中的数据存储,均问及数据是否在车内储存、数据是否需要向车外提供、接收方身份、向车外提供的方式和频率,以及向车外提供后车内是否存储等问题;
2.默认不收集原则:要求除非驾驶人自主设定,否则每次驾驶时默认设定为不收集状态。《上海模板》亦要求汽车数据处理者提供数据收集前用户授权的方式,如“一次性”或“每次提供数据前”;
3.精度范围适用原则:要求汽车数据处理者根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。在《上海模板》中,汽车数据处理者应在七大数据类型(如涉及)项下的不同情景下提供具体的参数、精度等数据;
4.脱敏处理原则:根据数据处理的不同阶段,可将数据脱敏分为“车端数据脱敏”和“车外数据脱敏”。应完善数据脱敏的技术措施与标准化。包括但不限于建立数据访问权限控制、TLS加密传输、AES256、RSA2048或以上强度的加密算法进行加密存储、敏感信息脱敏显示等。《上海模板》要求汽车数据处理者提供是否在拍摄的同时进行脱敏、向外传输时脱敏、传输到云平台后立即脱敏、传输到云平台后择机脱敏以及所使用的脱敏技术等。数字化转型网www.szhzxw.cn
对于上述四项处理原则,汽车数据处理者应根据现有《汽车数安规定》和各省市通知中相关问题的指引,落实和开展日常企业数据合规工作。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 子象;编辑/翻译:数字化转型网Jack。
