合规系列 | 智能网联汽车数据出境重点问题解析

2022-12-27

智能网联汽车作为融合现代通信、网络技术、人工智能等各项技术的新一代汽车，无论从早期试验开发，还是目前的示范运营，到最终的落地商用，几乎每个环节都离不开多类市场主体、多重技术设备之间的海量数据的收集、交互、处理等活动，由此也伴随着较高的数据安全风险。尤其对于跨国企业而言，更是面临着大量汽车数据跨境传输的业务场景与合规挑战。

2021年10月落地生效的《汽车数据安全管理若干规定（试行）》（以下简称《规定》）是国内首个对汽车行业的数据安全进行保护的法规，内容呼应其上位法《网络安全法》《数据安全法》和《个人信息保护法》，对汽车数据出境提出了针对性的监管要求。

根据《规定》，对于汽车数据出境，境内企业应采取相应的合规措施。本文将以问答的形式，结合相关政策法规与行业标准，对智能网联汽车数据出境的合规要点进行梳理。

01

哪些汽车数据不应出境？

根据《办法》，重要数据应当依法在境内存储，不得出境，包括：

1. 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

2. 反映经济运行情况的数据，如车辆流量、物流等；

3. 汽车充电网的运行数据；

4. 包含人脸信息、车牌信息等的车外视频、图像数据；

5. 涉及个人信息主体超过10万人的个人信息；

6. 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

此外，根据行业标准《汽车采集数据处理安全指南》，车外数据、座舱数据、位置轨迹数据不应出境；运行数据如需出境，应当通过国家网信部门组织开展的数据出境安全评估。

02

因业务需要确需向境外提供重要数据的，应满足哪些合规要求？

1、安全评估：通过有关部门组织的安全评估，如网信办组织的数据出境安全评估，具体可参考文章【《数据出境安全评估办法》9月1日生效，企业到底该如何合规？】

2、年度报告：每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况，包含数据出境情况：

汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；
处理汽车数据的种类、规模、目的和必要性；
汽车数据的安全防护和管理措施，包括保存地点、期限等；
向境内第三方提供汽车数据情况；
汽车数据安全事件和处置情况；
汽车数据相关的用户投诉和处理情况；
境外数据接收者的基本情况；
出境汽车数据的种类、规模、目的和必要性；
汽车数据在境外的保存地点、期限、范围和方式；
涉及向境外提供汽车数据的用户投诉和处理情况；
国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况和向境外提供汽车数据需要报告的其他情况。

其中，“有关部门”具体指哪些部门，《规定》虽然未明确，但根据全文来看，有关部门包括各省市的工业和信息化厅、公安厅、交通运输厅及发改委。具体报送要求，可参照以上部门的公开通知。

03

哪种情况属于数据汽车数据出境？

就跨国车企而言，汽车数据出境可能涉及（1）境外机构、组织或个人访问或者调用汽车数据处理者从境内直接收集和产生的汽车数据，或者（2）境内企业将在境内收集和产生的数据传输、存储至境外关。常见场景有：

车内传感器收集车辆本身的信息或车外环境信息后，传输并存储至境外，为境外企业所用于改善产品和服务用；
通过车载感应设备收集行车历史轨迹、车辆事故相关信息后在境内存储，而后向境外提供，用于汽车设计；
通过车载及手机APP收集用户个人信息和敏感个人信息，而后向境外提供，用于APP的开发等；
通过车内摄像头收集的数据，如驾驶人的音视频等数据，而后向境外提供，用于技术的研发、服务改进；
通过车外摄像头收集的数据：例如收集包含人脸信息、车牌信息等的车外视频、图像数据，道路、交通状况等车外信息后，而后向境外提供，用于自动驾驶技术研发；
收集充电桩相关的数据（可能涉及汽车充电网的运行数据等重要数据），而后向境外提供；
境外研发人员远程访问境内企业存储在云端的数据；
跨境执法调查等。

04

哪些情形下，汽车数据出境主体必须进行数据出境安全评估？

根据《数据出境安全评估办法》，数据处理者有下列情形之一的，应申报数据出境安全评估：

向境外提供重要数据；
关键信息基础设施运营者向境外提供个人信息；
处理100万以上个人信息的数据处理者向境外提供个人信息；
自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息；
国家网信部门规定的其他情形。

05

哪些主体可能会涉及到汽车数据出境？

只要在中国境内开展汽车数据处理活动，均可能成为汽车数据出境的当事方，从而遵守《规定》项下的汽车数据出境管制。

所谓汽车数据处理者，即开展智能网联汽车数据处理活动的组织，包括智能网联汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

可见，汽车数据处理者的范围贯穿了整个汽车行业的境内外上下游企业，从上游的系统供应商（如感知系统、决策系统、执行系统、通信系统）到中游的智能驾驶舱、自动驾驶解决方案、智能网联汽车整车，到下游的服务提供商（如出行服务、物流服务、数据增值）等。

综上，对于汽车数据出境，境内企业需采取的合规措施包括：

1、境内储存：收集汽车数据后，在境内的云服务、数据中心等平台存储重要数据；

2、事前评估：向境外提供重要数据和满足特定条件的个人信息前须通过网信办等有关部门组织的安全评估；

3、事中核验：按照出境安全评估时明确的目的、范围、方式和数据种类、规模等向境外提供汽车数据，并配合国家有关部门的核验工作；

4、事后报告：报送年度汽车数据安全管理情况，其中包含数据出境情况。

小结

智能网联汽车产业链条之中的各类主体，不论经营性质和范围，只要在我国境内或境外进行处理智能网联汽车数据的行为，落入我国《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《汽车数据安全管理若干规定（试行）》等法律法规的规制范围内的，都可参考本文进行汽车数据出境的合规检查和评估。

接下来，我们还会就充电桩布设的合规要点进行分享，欢迎您的持续关注。