多省市展开汽车数据安全管理情况第一年度报送

无星无杠

多省市展开汽车数据安全管理情况第一年度报送，统一流程、模板等亟待确立

来源：21世纪经济报道

      日前，上海市通信管理局公布了对各汽车数据处理企业所报送数据安全年报的评审结果。结果显示，仅两家企业整体年报质量较好，部分企业数据年报未达到合格要求，存在内容缺失不完整等问题。

　　21世纪经济报道记者梳理公开资料发现，截至3月10日，广东、河北、江苏、湖南、天津、上海6个省市的网信办均已在公开渠道发布了报送2021年度汽车数据安全管理情况的通知（下称“报送通知”），但各地报送要求存在一定差异。

　　受访专家表示，由于2021年为汽车数据安全管理情况报送的第一个年度，相关报送文件及机制等尚未形成全国统一的标准，各地出现不一致的要求在所难免。未来，报送将成为车企及其相关配套企业必须面对、尤为重要且必须落实的法定义务。汽车企业需建立相应的数据安全管理制度，构建数据合规体系。

　　多省市要求报送年度汽车数据安全管理情况

　　2021年8月，五部门联合发布《汽车数据安全管理若干规定（试行）》（下称《规定》），聚焦汽车领域个人信息和重要数据的安全风险，为汽车产业数据安全管理指明了方向，并自同年10月起施行。目前，该《规定》条款正一一落到实处。

　　《规定》明确，汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送相关年度汽车数据安全管理情况。21世纪经济报道记者发现，报送通知的发布时间多集中于去年12月，报送截止的时间点也从2021年12月15日至2022年1月28日不等。

　　根据《规定》，汽车数据处理者指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。广东、天津、湖南在报送通知中规定的报送主体范围均为本省/市汽车数据处理者，河北表述为属地的汽车数据处理者，而上海和江苏则特别要求注册地为当地的汽车数据处理者。

　　“对于跨省市经营或多省市布局的汽车数据处理者，是否需要向涉及业务的多省市报送，可能存在一定不确定性。”汇业律师事务所合伙人王小敏指出。

　　在ICMA 智联出行研究院执行院长何姗姗看来，关于“注册地”的要求可能是考虑到相关企业子公司分布于多地，但数据处理情况更多掌握在总部的情况。

　　中国城市公共交通协会网约车分会政策研究院执行院长哲春明也与此观点相似，他提出可在企业总部注册地统一上报，与国家汽车数据平台对接，各个城市主管部门在系统中查阅本地汽车数据情况。

　　此外，是否以“开展重要数据处理活动”作为报送义务的前提，各地也有分歧，例如上海和河北就并未提及此。

　　针对报送要求，目前公开渠道仅能下载到江苏省的汽车数据处理者参考报告模板。上海的报送通知中虽也提及了《2021年度汽车数据安全管理情况报告模板》，但记者咨询上海市网信办相关工作人员得知，由于期限已过，目前该模板下载渠道已关闭，今年或将发布的新的模板要求。另有部分地区网信部门告知记者，企业可根据《规定》内容，自行评估汽车数据安全管理情况，并形成报告上交备案。

　　多位受访专家告诉记者，由于2021年为汽车数据安全管理情况报送的第一个年度，相关报送文件及机制等尚未形成全国统一的标准，有关部门对报送的门槛尚处于探索期，初期各地出现不一致的要求在所难免。

　　“这种情况只是暂时的，随着报送的逐年推进，很快就会形成统一的共识甚至是报送模板。”王小敏说。

　　监管部门及企业均面临挑战

　　根据《规定》，汽车数据处理者需报送的年度汽车数据安全管理情况包括：汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；处理汽车数据的种类、规模、目的和必要性；汽车数据的安全防护和管理措施，包括保存地点、期限等；向境内第三方提供汽车数据情况；汽车数据安全事件和处置情况；汽车数据相关的用户投诉和处理情况等。

　　针对向境外提供重要数据的汽车数据处理者，还应补充报告接收者的基本情况；出境汽车数据的种类、规模、目的和必要性；涉及向境外提供汽车数据的用户投诉和处理情况等。

　　上述条款落到地方执行层面，有了更加细化统一的要求。以江苏省公布的《2021年汽车数据安全管理情况报告模板》（下称《模板》）为例，《模板》分为七大块。

　　在数据处理方面，江苏参考了《汽车数据安全管理若干规定（试行）》《信息安全技术 汽车采集数据的安全要求（征求意见稿）》《信息安全技术 个人信息安全规范 GB/T 35273—2020》中相关的定义，对需填报的数据进行了详细分类，包括一般数据、重要数据、一般数据出境或重要数据出境。

　　值得注意的是，《模板》要求企业报送数据平台情况。其中，除了《规定》明确提到的数据保存地点和数据保存期限外，《模板》还要求填报企业数据中心及数据资产规模情况。

　　王小敏认为，江苏省模板中要求报送的内容整体上符合《规定》中的报送要求范围。他同样提到，《模板》中数据提供、数据出境、处理各类数据的目的和必要性和处理敏感个人信息取得用户单独同意的情况等内容对于企业挑战不小。

　　在哲春明看来，报送中数据存储相关的内容可能对企业影响较大。“数据存储期限不能一刀切，不同类型数据保存时间应该要求不同。不然大量无用数据会消耗算力，造成存储资源浪费，企业成本提升，社会资源浪费。”

　　此外，王小敏提到监管部门审查报送数据的难点，他表示报送审查需要耗费监管部门大量的人力、物力和时间。

　　“对于监管部门而言，目前若对相关报送数据进行审查，重难点主要在于相关报送数据量大和复杂，且真实性、完整性、有效性等难以一一核实。”王小敏说。

　　严阵以待，迎接数据合规的新时代

　　根据上海公布的汽车数据处理企业数据安全年报评审结果，部分企业数据年报未达到合格要求。这些企业主要存在如下问题：内容缺失不完整，描述前后不一致；未提供实施工作的证明材料；缺少用户请求删除数据的合理渠道；重要数据出境未落实评估备案等。

　　针对评审未通过的企业，上海市通信管理局已召开评审结果通报会并要求企业限期重新提交材料。

　　王小敏认为，评审结果反映出来的问题确实是车企目前在数据合规方面面临的现实问题。

　　他以“重要数据出境评估备案”为例，根据《规定》，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估；而根据《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》，智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在境内收集和产生的重要数据的，应当依法依规进行数据出境安全评估并向所在省（区、市）通信管理局、工业和信息化主管部门报备。

　　“在相关要求的落地实施细则和指引，比如重要数据出境安全评估的具体内容及考量因素、流程机制等未明确的情况下，企业在实践操作中会面临很大的困惑和不确定性，这些对企业来说均是棘手之处。”王小敏说。

　　某车企业内人士向记者反馈，报送部门、时间紧迫、重复报送等问题可能给企业带来困扰。

　　在监管趋严但细则尚待完善的背景之下，汽车企业在应如何加强数据合规建设？

　　王小敏认为，汽车数据处理者向网信等主管部门报送其开展的重要数据处理活动情况，将成为今后车企及其相关配套企业必须面对、尤为重要且必须落实的法定义务。因此，他表示汽车企业需建立相应的数据安全管理制度，构建数据合规体系。

　　“对于汽车企业及其配套服务企业而言，随着相关法律法规的落地和生效，遵循相应规范并构建自身的数据合规体系已经成为迫切的现实需求。汽车企业应当严阵以待，积极迎接数据合规的新时代。”王小敏说。

　　哲春明同样提醒，企业要看到政府对数据安全重视程度，必须响应政府号召，做好数据安全管理。他建议，要符合报送规范，企业日常工作中不过度使用用户数据。建立专门团队管理数据安全，并准时向国家上报。

　　在何姗姗看来，政府未来应加强对行业及企业的引导，而企业应具有“拥抱监管”的态度，依法依规做到全链条的包括个人信息在内的汽车数据保护。此外，她提示企业有数据跨境需求时，需完成数据安全评估相关工作。