當(dāng)今世界正經(jīng)歷百年未有之大變局��,新一輪科技革命和產(chǎn)業(yè)變革方興未艾��,汽車產(chǎn)業(yè)是此次變革的重要力量之一���。在汽車產(chǎn)業(yè)發(fā)展趨向電動化���、智能化、網(wǎng)聯(lián)化�����、共享化的新趨勢下�,汽車將成為移動互聯(lián)網(wǎng)之后下一個(gè)流量入口,智能網(wǎng)聯(lián)汽車成為汽車產(chǎn)業(yè)發(fā)展方向和戰(zhàn)略制高點(diǎn)���,是全球汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向�。
作為未來智慧交通的重要組成部分���,智能網(wǎng)聯(lián)汽車的功能實(shí)現(xiàn)依賴于對海量數(shù)據(jù)進(jìn)行處理���。在其全生命周期中,智能網(wǎng)聯(lián)汽車會采集�、處理��、生產(chǎn)大量數(shù)據(jù)�����,并且與其他終端進(jìn)行時(shí)時(shí)數(shù)據(jù)交互����。海量數(shù)據(jù)的交互連接�,使得汽車從“信息孤島”轉(zhuǎn)變成為網(wǎng)絡(luò)信息的重要節(jié)點(diǎn)。與此同時(shí)�,汽車數(shù)據(jù)安全問題和風(fēng)險(xiǎn)隱患日益突出,特別是高精度地圖����、自動駕駛、數(shù)據(jù)跨境等技術(shù)涉及國家安全與社會公共利益���,受到政府監(jiān)管部門的高度重視與嚴(yán)格監(jiān)控����。
智能網(wǎng)聯(lián)汽車企業(yè)不僅要面臨如浪潮般洶涌的新技術(shù)考驗(yàn)——新能源��、無人駕駛����、大數(shù)據(jù)等,還要遵守國際國內(nèi)紛繁復(fù)雜且不斷變化的監(jiān)管規(guī)則�����。為了維護(hù)企業(yè)信譽(yù)����,維持市場信心,增強(qiáng)公眾信任�,確保可持續(xù)發(fā)展��,數(shù)據(jù)合規(guī)是智能網(wǎng)聯(lián)汽車企業(yè)的必然選擇�。本文以《汽車數(shù)據(jù)規(guī)定》為基礎(chǔ),結(jié)合《網(wǎng)安法》《數(shù)安法》《個(gè)保法》的相關(guān)規(guī)定�����,對智能汽車數(shù)據(jù)安全相關(guān)問題提出合規(guī)建議����。
二、數(shù)據(jù)安全監(jiān)管規(guī)則繁雜
針對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安全問題��,各國紛紛加大對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安全監(jiān)管力度,我國亦在其中扮演重要角色�����,為全球數(shù)據(jù)安全治理貢獻(xiàn)中國智慧與中國方案�����。
除《民法典》《刑法》對個(gè)人信息�����、網(wǎng)絡(luò)安全的相關(guān)規(guī)定外�,我國繼《網(wǎng)絡(luò)安全法》(2017年6月1日實(shí)施,以下簡稱《網(wǎng)安法》)《數(shù)據(jù)安全法》(2021年6月10日頒布���、2021年9月1日實(shí)施��,以下簡稱《數(shù)安法》)《個(gè)人信息保護(hù)法》(2021年8月16日發(fā)布����、2021年10月1日實(shí)施�����,以下簡稱《個(gè)保法》)之后,國家網(wǎng)信辦�、國家發(fā)改委、工信部����、公安部�、交通運(yùn)輸部于2021年8月16日正式發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(2021年10月1日實(shí)施,以下簡稱《汽車數(shù)據(jù)規(guī)定》)�。這是我國首個(gè)關(guān)于汽車數(shù)據(jù)安全管理方面的法規(guī),為智能汽車相關(guān)企業(yè)開展數(shù)據(jù)合規(guī)工作指明了方向����。
除了法律法規(guī)之外,國家市場監(jiān)督管理總局����、國家標(biāo)準(zhǔn)化管理委員會頒布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)《信息安全技術(shù) 個(gè)人信息去標(biāo)識化指南》(GB/T 37964-2019)《信息安全技術(shù) 網(wǎng)聯(lián)汽車 采集數(shù)據(jù)的安全要求(草案)》等國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)在智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)建設(shè)方面�,起到了重要作用。
1. 什么是汽車數(shù)據(jù)��?
根據(jù)《汽車數(shù)據(jù)規(guī)定》第三條的規(guī)定,汽車數(shù)據(jù)包括汽車設(shè)計(jì)�、生產(chǎn)、銷售��、使用���、運(yùn)維等過程中的涉及個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)�����。
個(gè)人信息����,可分為“一般個(gè)人信息”與“敏感個(gè)人信息”���。一般個(gè)人信息����,是指以電子或者其他方式記錄的����,與已識別或者可識別的車主、駕駛?cè)?��、乘車人���、車外人員等有關(guān)的各種信息��,不包括匿名化處理后的信息��。敏感個(gè)人信息���,是指一旦泄露或者非法使用���,可能導(dǎo)致車主�����、駕駛?cè)?����、乘車人��、車外人員等受到歧視或者人身���、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括車輛行蹤軌跡、音頻���、視頻�����、圖像和生物識別特征等信息����。當(dāng)然�����,此處還應(yīng)包括不滿十四周歲未成年人的個(gè)人信息�����。由于個(gè)人敏感信息被泄露或被非法使用�����,容易造成個(gè)人名譽(yù)���、身心健康受到損害或歧視性待遇�����,因此對其保護(hù)更為嚴(yán)格����。
重要數(shù)據(jù),包括�,軍事管理區(qū)、國防科工單位以及縣級以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息��、人員流量�、車輛流量等數(shù)據(jù);車輛流量�����、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)�����;汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)����;包含人臉信息����、車牌信息等的車外視頻�����、圖像數(shù)據(jù)��;涉及個(gè)人信息主體超過10萬人的個(gè)人信息�����;國家網(wǎng)信部門和國務(wù)院發(fā)展改革�、工業(yè)和信息化�����、公安����、交通運(yùn)輸?shù)扔嘘P(guān)部門確定的其他可能危害國家安全、公共利益或者個(gè)人��、組織合法權(quán)益的數(shù)據(jù)��。前述數(shù)據(jù)一旦遭到篡改�����、破壞、泄露或者非法獲取���、非法利用����,可能危害國家安全��、公共利益或者個(gè)人�、組織合法權(quán)益,因此將其界定為重要數(shù)據(jù)����,予以嚴(yán)格保護(hù)。
需要注意的是�����,重要數(shù)據(jù)的范圍和定義仍存在一定的不明確���,例如,哪些數(shù)據(jù)構(gòu)成“反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)”�?如何界定“涉及個(gè)人信息主體超過10萬人的個(gè)人信息”��?這些在實(shí)踐中如何解釋仍有待主管部門的進(jìn)一步解釋說明�����。
2. 去標(biāo)識化與匿名化
去標(biāo)識化與匿名化��,均是針對個(gè)人信息的脫敏技術(shù)��。
去標(biāo)識化:《信息安全技術(shù) 個(gè)人信息安全規(guī)范(GB/T 35273-2020)》第3.15條規(guī)定�����,去標(biāo)識化是通過對個(gè)人信息的技術(shù)處理����,使其在不借助額外信息的情況下,無法識別或者關(guān)聯(lián)個(gè)人信息主體的過程�。從上述規(guī)定可以看出,去標(biāo)識化是指一種對標(biāo)識符進(jìn)行處理���,使其處理后的信息在不借助其他信息的情況下,無法識別到特定個(gè)人信息主體的數(shù)據(jù)處理方式��。
匿名化:《信息安全技術(shù)個(gè)人信息安全規(guī)范(GB/T 35273-2020)》第3.14條規(guī)定�,匿名化是通過對個(gè)人信息的技術(shù)處理����,使得個(gè)人信息主體無法被識別或者關(guān)聯(lián)�,且處理后的信息不能被復(fù)原的過程。
從上述定義可以看出�,匿名化與去標(biāo)識化的目的都是對個(gè)人信息進(jìn)行處理,使處理后的信息即使結(jié)合其他額外信息也無法識別到特定個(gè)人信息主體�����。但是相比去標(biāo)識化����,大多數(shù)法律對匿名化還要求匿名化后信息的不可復(fù)原性。通常來說�����,匿名化的第一步是針對直接標(biāo)識符進(jìn)行脫敏處理�����,比如將直接標(biāo)識符假名化���、加密��、抑制或者屏蔽等等����;其次��,再對間接標(biāo)識符進(jìn)行泛化或者隨機(jī)化�����。但是需要注意��,泛化或者隨機(jī)化程度越高����,雖然安全性就越高,但是同時(shí)數(shù)據(jù)的可用性也就越低��,因此�,對數(shù)據(jù)處理時(shí)還需要對數(shù)據(jù)的可用性進(jìn)行考慮,在匿名性與可用性之間達(dá)到一個(gè)平衡����。
《汽車數(shù)據(jù)規(guī)定》第三條規(guī)定,汽車數(shù)據(jù)處理者包括汽車制造商���、零部件和軟件供應(yīng)商����、經(jīng)銷商�、維修機(jī)構(gòu),以及出行服務(wù)企業(yè)等�����。
汽車產(chǎn)品是由主機(jī)廠和許多供應(yīng)商共同完成的���,參與方眾多�。在個(gè)人信息合規(guī)方面也同樣涉及這些主體��,包括主機(jī)廠和他們的銷售公司����,他們有車主的信息、車機(jī)供應(yīng)商�、車機(jī)內(nèi)線的功能或者是應(yīng)用的供應(yīng)商,進(jìn)入車機(jī)控制的各種零部件的供應(yīng)商�����,軟硬件集成供應(yīng)商�。用戶在使用特定功能時(shí),這些供應(yīng)商就可能會采集用戶的個(gè)人信息以提供服務(wù)���。因此�,根據(jù)該條款的表述����,汽車數(shù)據(jù)處理者基本上覆蓋了汽車行業(yè)上下游的全部主體。只要相關(guān)企業(yè)所處理的數(shù)據(jù)落入《汽車數(shù)據(jù)規(guī)定》的保護(hù)范圍���,均應(yīng)承擔(dān)相應(yīng)的數(shù)據(jù)保護(hù)義務(wù)��。
五���、處理汽車數(shù)據(jù)應(yīng)遵循的要求
1. 國家倡導(dǎo)汽車數(shù)據(jù)處理者應(yīng)堅(jiān)持的四項(xiàng)原則
車內(nèi)處理原則:越來越多的智能汽車在車內(nèi)安裝了攝像頭、麥克風(fēng)等設(shè)備���,用于采集駕駛員的人臉信息及聲音信息����,以便達(dá)到人臉識別、疲勞監(jiān)測���、語音交互功能��。為使相關(guān)功能能夠正常實(shí)現(xiàn)�,不能排除攝像頭���、麥克風(fēng)等設(shè)備是在時(shí)時(shí)開啟的��。此時(shí)����,駕駛員及車內(nèi)其他人員的所有行為及對話均會被相應(yīng)設(shè)備收集和處理�����。除此之外��,車輛在行駛過程中隨時(shí)會產(chǎn)生大量的行駛數(shù)據(jù)����、行蹤軌跡、自動駕駛雷達(dá)所獲得的超精讀地圖數(shù)據(jù)等���。本條原則即倡導(dǎo)�����,除非確有必要���,車輛數(shù)據(jù)不得向車外提供。但是如何判斷“確有必要”仍具有較大難度��,在實(shí)踐中存在諸多爭議��。默認(rèn)不收集原則:一些機(jī)構(gòu)在收集處理個(gè)人信息時(shí)��,往往默認(rèn)用戶同意授權(quán)����。從表面上看,用戶依然擁有選擇權(quán)���,可以自行修改取消授權(quán)��。但在實(shí)際操作中�,不少人很容易忽視這個(gè)細(xì)節(jié)��,加之取消授權(quán)的選項(xiàng)往往比較隱蔽,在不知情的情況下“被同意”��。本條原則倡導(dǎo)汽車數(shù)據(jù)處理者將設(shè)備及軟件設(shè)置為����,除非駕駛?cè)俗灾髟O(shè)定,否則每次駕駛時(shí)設(shè)備及軟件均應(yīng)設(shè)定為“不收集”的狀態(tài)�����。這意味著汽車數(shù)據(jù)處理者必須公開征求駕駛?cè)艘庖?�,從而充分保障車主及乘客的知情?quán)�����、選擇權(quán)�����。如果感到個(gè)人信息安全得不到有效保護(hù)��,駕駛?cè)四軌螂S時(shí)��、方便地終止收集�,或是在下一次駕駛時(shí)拒絕授權(quán)�。精度范圍適用原則:此原則是《個(gè)保法》“最小必要原則”在信息收集精度要求方面的體現(xiàn)��。智能網(wǎng)聯(lián)汽車搭載的攝像頭和雷達(dá)通?���?梢允占煌愋偷臄?shù)據(jù):車載攝像頭可能收集的信息包括交通信號燈的狀態(tài)、行人的位置和移動路線以及行車過程中的各類障礙,而汽車?yán)走_(dá)則需要對盲點(diǎn)監(jiān)測����、緊急剎車��、前后防撞等作出反應(yīng),因此需要收集的信息中就含有諸如面部信息等個(gè)人敏感信息, 以及車外視頻�、敏感地區(qū)人流車流等重要數(shù)據(jù)。因此,汽車數(shù)據(jù)處理者有必要根據(jù)具體的服務(wù)場景, 對數(shù)據(jù)收集的顆粒度進(jìn)行劃分��。脫敏處理原則:此原則是針對在車內(nèi)采集���、處理的數(shù)據(jù)所提出的要求��。正式生效的《汽車數(shù)據(jù)規(guī)定》則在“脫敏原則下”刪除了“確有必要向車外提供”這一表述, 并統(tǒng)一要求所有的汽車數(shù)據(jù)處理場景, 也就是說無論是否存在“需要向車外提供”這一場景�,均應(yīng)當(dāng)“盡可能采用匿名化和去標(biāo)識化處理”�����。這一修訂體現(xiàn)了監(jiān)管部門更為嚴(yán)格的執(zhí)法目標(biāo), 即通過強(qiáng)化“脫敏處理”要求, 實(shí)現(xiàn)數(shù)據(jù)主體不被識別或關(guān)聯(lián)這一最終目的, 并以此保護(hù)汽車數(shù)據(jù)(尤其是在車內(nèi)外所收集的個(gè)人信息)的安全。
2. 數(shù)據(jù)處理者收集數(shù)據(jù)的“知情-同意”義務(wù)
收集汽車個(gè)人信息方面�,《汽車數(shù)據(jù)規(guī)定》延續(xù)了《民法典》《網(wǎng)絡(luò)安全法》以及《個(gè)人信息保護(hù)法》下的“告知同意”要求, 其第八條第一款規(guī)定,汽車數(shù)據(jù)處理者處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意或者符合法律�����、行政法規(guī)規(guī)定的其他情形���。需要注意的是, 即便是在不需要取得個(gè)人同意的“符合法律���、行政法規(guī)規(guī)定的其他情形”, 汽車數(shù)據(jù)處理者仍應(yīng)當(dāng)對收集個(gè)人信息的行為進(jìn)行告知(即納入到諸如隱私政策等文件中), 并采取相應(yīng)的保護(hù)措施。
針對智能網(wǎng)聯(lián)汽車收集數(shù)據(jù)的特點(diǎn)����,《汽車數(shù)據(jù)規(guī)定》第八條第二款規(guī)定,因保證行車安全需要���,無法征得個(gè)人同意采集到車外個(gè)人信息且向車外提供的����,應(yīng)當(dāng)進(jìn)行匿名化處理���,包括刪除含有能夠識別自然人的畫面�����,或者對畫面中的人臉信息等進(jìn)行局部輪廓化處理等��。
實(shí)踐中, 自動駕駛�、自動剎車、自動泊車等功能的實(shí)現(xiàn)都需要通過車載攝像頭����、激光雷達(dá)等傳感器實(shí)時(shí)收集車輛外部的各類數(shù)據(jù), 包括車外行人的音頻視頻信息。車輛收集此類個(gè)人信息難以取得個(gè)人信息主體的同意, 在此類場景下, 通過匿名化處理則能夠有效地防止特定個(gè)人信息主體被識別, 降低數(shù)據(jù)泄露給個(gè)人信息主體帶來的風(fēng)險(xiǎn)���。在《汽車數(shù)據(jù)規(guī)定》正式生效后, 對于可能收集到車外行人數(shù)據(jù)的汽車數(shù)據(jù)處理者而言, 如何從技術(shù)手段上滿足“匿名化處理”要求則是當(dāng)務(wù)之急�����。
3. 汽車數(shù)據(jù)的境內(nèi)存儲與出境要求
根據(jù)《汽車數(shù)據(jù)規(guī)定》第十一條的規(guī)定,重要數(shù)據(jù)以境內(nèi)存儲為原則��,確“因業(yè)務(wù)需要確需向境外提供的”���,需經(jīng)過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估��。此外��,對于未被列入重要數(shù)據(jù)的個(gè)人信息的出境安全管理��,適用法律�����、行政法規(guī)的有關(guān)規(guī)定��。
此外�,國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會于2021年4月28日完成的《信息安全技術(shù) 網(wǎng)聯(lián)汽車 采集數(shù)據(jù)的安全要求(草案)》第7.1條規(guī)定�,“網(wǎng)聯(lián)汽車通過攝像頭、雷達(dá)等傳感器從車外環(huán)境采集的道路���、建筑��、地形���、交通參與者等數(shù)據(jù), 以及車輛位置、軌跡相關(guān)數(shù)據(jù), 不得出境��。網(wǎng)聯(lián)汽車行駛狀態(tài)參數(shù)����、異常告警信息等數(shù)據(jù)如需出境��,應(yīng)當(dāng)符合國家關(guān)于數(shù)據(jù)出境的相關(guān)規(guī)定”,這進(jìn)一步細(xì)化了不得出境數(shù)據(jù)的范圍, 也對汽車行業(yè)個(gè)人信息和重要數(shù)據(jù)的出境提出更為嚴(yán)苛的要求���,值得汽車數(shù)據(jù)處理者關(guān)注。
《汽車數(shù)據(jù)規(guī)定》針對重要數(shù)據(jù)出境所要求的安全評估要求��,可結(jié)合“數(shù)據(jù)安全審查”制度綜合理解�����?���!稊?shù)據(jù)安全法》規(guī)定, “國家建立數(shù)據(jù)安全審查制度, 對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查”, 盡管目前尚未有“影響或可能影響國家安全”的判斷標(biāo)準(zhǔn)和判斷依據(jù),但如果汽車數(shù)據(jù)處理者具有重要數(shù)據(jù)的出境需要,應(yīng)當(dāng)密切關(guān)注后續(xù)出臺的配套法規(guī),以判斷自身是否可能落入被審查的范圍����。
《汽車數(shù)據(jù)規(guī)定》并未對數(shù)據(jù)處理者違反規(guī)定需要承擔(dān)的具體法律責(zé)任進(jìn)行明確規(guī)定����,而是由相關(guān)部門依照《網(wǎng)安法》《數(shù)安法》���,當(dāng)然也應(yīng)當(dāng)包括《個(gè)保法》等法律法規(guī)的規(guī)定進(jìn)行處罰。
1. 民事責(zé)任:《個(gè)保法》對個(gè)人信息處理者苛以“過錯(cuò)推定責(zé)任原則”����,即在侵害個(gè)人信息權(quán)益造成損害時(shí),如果個(gè)人信息處理者不能證明自己沒有過錯(cuò)�,就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此受到的利益來確定�,如果損失或者利益均難以確定的,則根據(jù)實(shí)際情況確定賠償數(shù)額��。
同時(shí)《個(gè)保法》規(guī)定了侵害個(gè)人信息的公益訴訟制度����,即在個(gè)人信息處理者違反規(guī)定處理個(gè)人信息,且侵害眾多個(gè)人的利益的��,檢察院���、法律規(guī)定的消費(fèi)者組織和國家網(wǎng)信部門確定的組織可以依法向法院提起訴訟�。
對于類似的公益訴訟����,北京市海淀區(qū)人民檢察院在2021年8月6日發(fā)布公告稱����,因發(fā)現(xiàn)深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司的微信產(chǎn)品“青少年模式”不符合《未成年人保護(hù)法》的相關(guān)規(guī)定�,侵犯未成年人合法權(quán)益,涉及公共利益���。遂發(fā)布公告��,請擬提起民事公益訴訟的機(jī)關(guān)和社會組織將相關(guān)情況反饋該院����。
2. 行政責(zé)任:《個(gè)保法》規(guī)定�,對違反規(guī)定處理個(gè)人信息或者處理個(gè)人信息未履行個(gè)人信息保護(hù)義務(wù)的主體,予以責(zé)令改正�����,給予警告����,沒收違法所得,對相關(guān)應(yīng)用程序責(zé)令暫?��;蚪K止提供服務(wù)��;拒不改正的����,處以一百萬以下罰款���。并且�����,對直接負(fù)責(zé)的人員和其他直接責(zé)任人員處以一萬元以上十萬元以下罰款�。
特別需要注意的是���,對違法行為情節(jié)嚴(yán)重的主體���,由省級以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得����,并處以五千萬元以下或者上一年度營業(yè)額百分之五以下的罰款,并可以責(zé)任暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓���、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照�����。并且��,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上壹佰萬元以下罰款����,還可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事�、高級管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。
3. 因違反《汽車安全規(guī)定》《個(gè)保法》《數(shù)安法》《網(wǎng)安法》的相關(guān)規(guī)定而構(gòu)成犯罪的��,均應(yīng)被依法追究刑事責(zé)任��。根據(jù)我國《刑法》的相關(guān)規(guī)定���,與數(shù)據(jù)安全相關(guān)的罪名大致包括:侵犯公民個(gè)人信息罪�、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)�、非法控制計(jì)算機(jī)信息系統(tǒng)罪;提供侵入����、非法控制計(jì)算機(jī)信息系統(tǒng)程序�、工具罪����;破壞計(jì)算機(jī)信息系統(tǒng)罪�����;非法侵入計(jì)算機(jī)信息系統(tǒng)罪����;拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。
其中���,侵犯公民個(gè)人信息罪����,主要涉及住宿���、財(cái)產(chǎn)�、征信���、軌跡等敏感內(nèi)容���,極易引發(fā)綁架���、詐騙、敲詐勒索等二次關(guān)聯(lián)犯罪��,存在較為嚴(yán)重的社會危害性�。例如,2020年12月4日北京市第三中級法院對審理涉公民個(gè)人信息犯罪案件的情況及典型案例進(jìn)行了通報(bào)��,發(fā)現(xiàn)近幾年被侵犯的公民個(gè)人信息不僅從數(shù)量上呈現(xiàn)“指數(shù)級”爆炸式增長����,涉案的信息類型也從過去的姓名、身份證號�����、手機(jī)號����、住址等傳統(tǒng)靜態(tài)信息,拓展至了征信信息�、定位信息、行蹤軌跡信息、住宿信息����、房屋產(chǎn)權(quán)信息等多方面、多維度的動態(tài)信息——該等信息的泄露和濫用將對公民造成極大的次生危害�。
《汽車數(shù)據(jù)規(guī)定》對數(shù)據(jù)處理者����、汽車數(shù)據(jù)的范圍進(jìn)行了規(guī)定����,相關(guān)企業(yè)應(yīng)當(dāng)依據(jù)該規(guī)定及《個(gè)保法》《數(shù)安法》《網(wǎng)安法》等法律,重新結(jié)合自身業(yè)務(wù)操作���,研判企業(yè)所開展的數(shù)據(jù)處理活動是否屬于《汽車數(shù)據(jù)規(guī)定》或其他法律的規(guī)制范圍內(nèi)�����,并進(jìn)一步厘清相關(guān)數(shù)據(jù)究竟屬于一般個(gè)人信息還是敏感個(gè)人信息���,是一般數(shù)據(jù)還是重要數(shù)據(jù)。此外�����,在排查相關(guān)電子數(shù)據(jù)的同時(shí),亦不能忽視對非電子數(shù)據(jù)的處理活動予以研判����。
此階段的重點(diǎn)工作是依據(jù)法律法規(guī),以及國家標(biāo)準(zhǔn)���、行業(yè)標(biāo)準(zhǔn)的要求���,識別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)不僅限于企業(yè)自身����,還包括各類供應(yīng)商有關(guān)數(shù)據(jù)合規(guī)的風(fēng)險(xiǎn)點(diǎn)。特別是涉及數(shù)據(jù)出境業(yè)務(wù)的企業(yè)�����,不僅要依據(jù)中國法律識別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)���,還要按照所涉及的法域所制定的數(shù)據(jù)安全及個(gè)人信息保護(hù)法規(guī)���,排查相應(yīng)風(fēng)險(xiǎn)點(diǎn)。
(三) 建立符合要求的數(shù)據(jù)安全制度,確保義務(wù)的履行
依據(jù)《個(gè)保法》《數(shù)安法》《網(wǎng)安法》等相關(guān)規(guī)定��,結(jié)合企業(yè)處理數(shù)據(jù)的實(shí)際情況�����,搭建數(shù)據(jù)合規(guī)制度體系���,對數(shù)據(jù)進(jìn)行分級分類保護(hù)���,建立不同的合規(guī)流程與管理制度。同時(shí)��,要對供應(yīng)商開展的數(shù)據(jù)合規(guī)工作提出明確要求��,確保其數(shù)據(jù)處理行為合法合規(guī)�����。
(四)任命獨(dú)立的數(shù)據(jù)合規(guī)管理部門或合規(guī)人員
為確保數(shù)據(jù)合規(guī)體系能夠順利運(yùn)轉(zhuǎn)�,企業(yè)應(yīng)當(dāng)明確數(shù)據(jù)合規(guī)人員或管理機(jī)構(gòu)�,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。合規(guī)人員可以從熟悉數(shù)據(jù)隱私法的公司法務(wù)部門選擇����,亦可從懂得信息技術(shù)的IT部門選擇�����。對于企業(yè)規(guī)模較大或數(shù)據(jù)合規(guī)工作較為繁重的企業(yè)�,應(yīng)當(dāng)設(shè)立專門的合規(guī)管理部門��,負(fù)責(zé)企業(yè)合規(guī)體系的建設(shè)以及合規(guī)工作的具體執(zhí)行����。
(五)定期開展風(fēng)險(xiǎn)評估,履行風(fēng)險(xiǎn)評估報(bào)告義務(wù)
定期開展風(fēng)險(xiǎn)評估工作�����,針對所處理的重要數(shù)據(jù)的種類�、數(shù)量、開展數(shù)據(jù)處理活動的情況����,數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等進(jìn)行定期風(fēng)險(xiǎn)評估。具體的風(fēng)險(xiǎn)評估方法可以根據(jù)未來出臺的《個(gè)人信息保護(hù)法》項(xiàng)下規(guī)定的個(gè)人信息安全影響評估的規(guī)則����,提前部署重要數(shù)據(jù)風(fēng)險(xiǎn)評估工作及評估制度���。
(六)定期開展風(fēng)險(xiǎn)評估,履行風(fēng)險(xiǎn)評估報(bào)告義務(wù)
定期開展風(fēng)險(xiǎn)評估工作�,針對所處理的重要數(shù)據(jù)的種類、數(shù)量�����、開展數(shù)據(jù)處理活動的情況�,數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等進(jìn)行定期風(fēng)險(xiǎn)評估。具體的風(fēng)險(xiǎn)評估方法可以根據(jù)《個(gè)保法》《數(shù)安法》《汽車數(shù)據(jù)規(guī)定》所規(guī)定的個(gè)人信息安全影響評估的規(guī)則�����,提前部署重要數(shù)據(jù)風(fēng)險(xiǎn)評估工作及評估制度�����。
(七)定期開展數(shù)據(jù)安全培訓(xùn)
根據(jù)《數(shù)據(jù)安全法》要求�,一方面應(yīng)定期對數(shù)據(jù)安全崗位相關(guān)人員開展數(shù)據(jù)安全培訓(xùn)�,培訓(xùn)內(nèi)容應(yīng)涵蓋法律法規(guī)、管理要求����、安全技術(shù)等內(nèi)容���;另一方面定期對全員開展數(shù)據(jù)安全意識培訓(xùn),加強(qiáng)員工數(shù)據(jù)安全意識與能力����。
