2023年4月13日13:42:16评论26 views字数 2128阅读7分5秒阅读模式

《汽车数据安全若干问题合规实践指南》（以下简称《指南》）是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，为汽车企业提供数据安全合规实践指引。

本系列将持续探讨汽车数据安全合规实践，希望增强汽车企业数据安全合规保障能力，提高汽车行业数据安全保护水平。

本文将聚焦“数据出境合规”，解析合规要点，总结汽车行业典型场景，进而提出合规实践建议。

数据出境合规

合规要点

数据安全领域三部上位法初步确立了以安全评估制度为核心的数据出境基本原则。在此基础上2022年7月7日国家互联网信息办公室（以下简称“国家网信办”）发布《数据出境安全评估办法》（以下简称“《评估办法》”），规定了应当申报数据出境安全评估的情形，明确了自评估、申报评估的评估流程。同时，国家网信办2022年8月31日发布了《数据出境安全评估申报指南（第一版）》（以下简称“《申报指南》”），指导和帮助数据处理者规范、有序申报数据出境安全评估，对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。

典型场景

数据出境行为主要包括三类：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；三是国家网信办规定的其他数据出境行为。从汽车行业场景和行业实践出发，汽车数据出境的典型场景包括但不限于：

数据直接存储在境外服务器；
境内信息按照一定规则传输至境外系统；
邮件等外发方式将数据传输至境外；
境外运维人员访问和调用境内服务器中的数据；
全球化办公软件的使用（Office、Cisco Webex）。

合规实践建议

汽车企业应尽早梳理企业数据出境活动和场景。根据梳理结果情形，研判本企业适用的数据出境路径，具体可参考表1。企业梳理数据出境活动可参照如下方法：

（1）数据资产盘点（数据台账）。首先，企业应根据自己的业务模式，厘清企业内部管控的数据内容。在不同业务场景下，会涉及跨境传输的场景及所涉数据字段，并通过内部的评估分级，确定所涉数据属于 “个人信息”、“敏感个人信息”还是“重要数据”。识别数据的类型和级别后，进一步确定不同类型级别的数据跨境安排，例如根据法律法规的要求，对重要数据等进行必要的数据本地化存储安排，对需要出境的数据做好匿名化等脱敏处理。

（2）根据数据资产台账，结合业务流程，合理定义需要申报的数据出境业务场景。例如：企业员工类（员工基本信息管理、薪酬福利管理、绩效管理、休假出差管理等）；客户类（售后维修保养、客户服务管理、车辆召回等）。

（3）定义数据出境业务场景的同时需要考虑数据接收方是否一致、是否涵盖了企业今后两年内的战略部署。

表1 数据出境路径 汽车数据安全合规⑦—如何进行数据出境合规准备？

汽车企业如有数据出境的需求，应尽早着手准备数据出境安全评估工作。在申报前企业需要完成大量的准备工作，《评估办法》要求企业完成内部立项和沟通，风险自评估，另需要提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料，这意味有大量的准备工作需要企业尽早处理。具体的数据出境安全评估流程可参考图1。在《评估办法》施行前，企业已经开展的数据出境活动且不符合规定的，应当按规定在施行之日起6个月内完成整改，也就是说企业之前开展的数据出境活动最迟于2023年3月1日完成整改，这也意味着数据出境安全评估工作需要尽早尽快开展。

汽车数据安全合规⑦—如何进行数据出境合规准备？ 图1 数据出境安全评估流程

数据出境风险自评估是申报数据出境安全评估的必要条件。通过自评估全面梳理企业数据出境活动情况，核查企业数据安全保障能力是否可以处置数据出境安全风险，并形成高质量的数据出境风险自评估报告，为网信部门进行正式的数据出境安全评估提供重要基础。风险自评估报告所描述的自评估活动应该在申报数据出境安全评估前3个月内完成，且至申报之日未发生重大变化。国家网信办发布的《申报指南》中提供了《数据出境风险自评估报告（模板）》，参考模板可见自评估报告应包含自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况和出境活动风险自评估结论四部分内容，具体可参考图2。

汽车数据安全合规⑦—如何进行数据出境合规准备？ 图2 数据出境风险自评估