智能网联汽车数据合规体系构建解析及建议(系列五)—从车企内部制度建设视角
作者:毛卫飞 杨军 2023-02-14智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶的新一代汽车。在智能网联汽车产业快速发展的同时,如果车联网存在漏洞或遭遇计算机病毒、网络攻击、网络侵入,其可能导致智能网联汽车企业(“车企”)遭受难以估量的损失。为规制上述风险,工信部印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(“《准入意见》”),对车企强化数据安全管理能力并加强网络安全保障能力做出了规定。
我们撰写的智能网联汽车数据合规体系构建解析及建议的系列文章已分别从车企数据合规组织架构、网络数据安全事件应急预案、数据分类分级以及数据出境等视角出发,对智能网联汽车数据合规体系的构建进行了分析、解读并尝试提出了若干建议。本文(系列五)拟继续在智能网联汽车数据合规体系构建的框架下,从智能网联汽车企业(“车企”)制度建设的视角,梳理和分析相关法律法规对车企提出的建章立制的要求,并提出若干建议,供相关人士参考。
一、车企建立网络安全制度流程的义务
(一) 与网络安全相关的规定 1.《网络安全法》要求的制度流程及法律责任 制度流程 1) 内部网络安全管理制度和操作规程 根据《网络安全法》第二十一条,网络运营者应履行的网络安全保护义务之一是“制定内部安全管理制度和操作规程”,以“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。 2) 网络安全事件应急预案 根据《网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 3) 用户信息保护制度 根据《网络安全法》第四十条,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 4) 网络信息安全投诉、举报制度 根据《网络安全法》第四十九条,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报”。 法律责任 车企若未按照《网络安全法》规定制定内部安全管理制度和操作规程及网络安全事件应急预案,从行政责任角度,车企将承担《网络安全法》第五十九条规定的法律责任由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 《网络安全法》并未直接针对网络运营者未履行建立健全用户信息保护制度及网络信息安全投诉、举报制度义务设定直接的罚则,在实际操作中监管部门可以根据本法第七十一条追究企业的法律责任依照有关法律、行政法规的规定记入信用档案,并予以公示。 车企未履行《网络安全法》关于建立上述制度流程的义务并给他人造成损害的,应依法承担民事责任。违反《网络安全法》规定(不履行建立相关制度流程义务为违反本法的一种情形),构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任(如根据《刑法》第286条追究刑事责任)。[1] 2. 《关于加强车联网网络安全和数据安全工作的通知》(“《网安和数安工作通知》”)要求的制度流程及法律责任 制度流程 1) 网络安全和数据安全管理制度 根据《网安和数安工作通知》第(一)条的规定,智能网联汽车生产企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任,作为对相关企业(包括车企)落实网络安全和数据安全的基本要求。 2) 网络安全事件应急预案 根据《网安和数安工作通知》第(八)条的规定,智能网联汽车生产企业要建立网络安全应急响应机制,制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。该条规定车企加强车联网网络安全防护的义务之一。 3) 车联网应用程序开发、上线、使用、升级等安全管理制度 根据《网安和数安工作通知》第(十二)条的规定,智能网联汽车生产企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测,及时处置安全风险,防范恶意应用程序攻击和传播。该条规定是加强车联网服务平台安全防护的重要措施之一。 法律责任 《网安和数安工作通知》是工信部为推进实施《新能源汽车产业发展规划(2021-2035年)》、加强车联网网络安全和数据安全管理工作,就车联网安全和数据安全向相关方发送的有关事项的通知,不是一个正式的行政规章,并未设定相关方违反网络安全保护义务应承担的法律责任。 3. 《关于加强智能网联汽车生产企业及产品准入管理的意见》(“《准入意见》”)要求车企建立如下网络安全制度流程: 汽车网络安全管理制度 根据《准入意见》第(二)条,企业应当建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。 为实现上述目标,车企应确保具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件,确保车辆及其功能处于被保护的状态,保障车辆安全运行。依法依规落实网络安全事件报告和处置要求。 法律责任 《准入意见》是工信部为维护公民生命、财产安全和公共安全,促进智能网联汽车产业健康可持续发展,根据《道路交通安全法》《网络安全法》《数据安全法》《道路机动车辆生产企业及产品准入管理办法》等规定,提出的加强车企和产品准入管理的意见,并未设定相关方违反网络安全保护义务应承担的法律责任。 (二)评析 网络安全管理义务是智能网联车企应依法履行的重要合规义务之一,违反该义务将导致企业可能承担相应的行政、民事和刑事法律责任[2]。确保企业履行网络安全管理义务的措施之一是建立健全并严格执行企业内部网络安全管理制度,而内部网络安全管理制度的缺位或薄弱可能导致企业发生网络安全事故并被监管部门处罚,企业的声誉和形象也会因此遭受重创。 《网络安全法》从网络运营安全和网络信息安全角度要求网络运营者制定相应的内部安全管理制度和操作规程,建立和健全用户信息保护制度,并建立网络信息安全投诉和举报制度,同时对于未履行网络安全保护义务的行为规定了相应的法律责任。《网安和数安工作通知》和《准入意见》重申了智能网联车企应建立和健全《网络安全法》要求的网络安全管理制度和网络安全应急响应机制。 前述规定均未明确相关制度的具体的内容和要求,智能网联车企可参考其他相关法规和标准并结合企业自身情况相应建立和健全前述法规要求的相关制度。 就网络安全管理制度,我们理解,车企应优先制定关于网络安全工作的顶层设计文件,说明本企业网络安全管理工作的总体目标、范围、原则、安全框架及负责人,彰显企业管理层建立网络安全管理制度体系的积极态度。在制定前述文件之后,车企可进一步制定网络安全的相应具体制度,例如,网络安全组织管理制度、人员管理制度、文件管理制度、违反网络安全管理的内部惩戒措施等。 就网络安全事件应急预案,建议可以参考《应急响应计划规范》的相关内容。需要注意的是,该国标发布于2009年,可能需要根据《网络安全法》以及相关配套法规作出相应调整。 如果涉及车联网服务平台运营企业,需要同时按照《公共互联网网络安全突发事件应急预案》制定其突发事件应急预案,并报工业和信息化部备案。 就用户信息保护制度,《网络安全法》仅做了原则性的要求,但我们理解,对车企而言,其用户即为其车主或者消费者/客户,用户的信息主要是个人信息。基于此,我们建议车企将其在《网络安全法》项下建立用户信息保护制度的义务整合到其满足《个人信息保护法》项下的合规义务之中。关于车企应根据《网络安全法》建立用户信息保护制度的合规义务我们将在下文讨论,但有一点是明确的,即智能网联车企应按照个人信息保护相关法规的要求建立和健全个人信息保护制度。 就网络信息安全投诉、举报制度,我们理解,为确保车企的网络运行安全,杜绝、防范和惩治违反网络安全的不合规事项,车企应根据《网络安全法》等有关法律法规和规范性文件,制定网络信息安全投诉、举报制度。车企应当明确负责处理本单位网络信息安全举报事项的机构,并在官方网站公布处理投诉、举报事项机构的办公电话、微信公众号、电子邮件等联系方式,及时受理并处置有关网络信息安全的投诉和举报。另外,该等投诉、举报制度亦可整合在车企的网络安全管理制度之中,作为网络安全管理制度的一个章节,这样做的好处是一方面可以保证车企履行《网络安全法》项下建立网络信息安全投诉、举报制度的义务,也可保证在车企、车企职能部门、管理层员工违反网络安全管理制度时有合适的投诉、举报渠道,并保证了网络安全管理制度的完整性。 (三) 小结 作为智能网联车企,应按照《网络安全法》的规定,按照相关法规和标准,结合企业自身业务中涉及的网络安全情况,建立和健全内部网络安全管理制度和操作规程、网络安全事件应急预案、用户信息保护制度以及网络信息安全投诉、举报制度等相关内控制度,同时采取相应的技术措施,以积极履行《网络安全法》等相关法律法规规定的网络安全管理义务,为企业的长治久安提供网络安全管理方面的制度保障。
二、车企建立数据安全制度流程的义务
(一) 与数据安全相关的规定 1.《数据安全法》要求的制度流程及法律责任 全流程数据安全管理制度 根据《数据安全法》第二十七条,数据处理者开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。 法律责任 根据《数据安全法》第四十五条之规定,如车企开展数据处理活动未按照该法第二十七条规定建立健全全流程数据安全管理制度的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令车企暂停相关业务、停业整顿、吊销车企相关业务许可证或者吊销车企营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 如果车企未按照该法第二十七条第规定建立健全全流程数据安全管理制度,导致车企违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 2. 《网络数据安全管理条例(征求意见稿)》[3]要求的制度流程及法律责任 1) 数据安全管理制度 规定 第六条:数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。 法律责任 征求意见稿并未对数据处理者违反此项规定设定直接对应的罚则,但如果车企未按第六条的规定建立完善数据安全管理制度和技术保护机制,属于违反正式发布实施的条例规定的行为,若因此给他人造成损害的,车企可能依第七十条的规定承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 2) 个人信息处理规则[4] 3) 数据相关的平台规则、隐私政策和算法策略披露制度 规定 第四十三条:互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。 法律责任 根据第六十七条的规定,互联网平台运营者违反第四十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 需要注意的是,于车企而言,本法第六十七条的规定适用于既从事汽车制造销售又提供互联网平台服务的车企,但不适用于不提供互联网平台服务的车企。 3. 《工业和信息化领域数据安全管理办法(试行)》要求数据处理者建立如下制度流程: 1) 数据全生命周期安全管理制度 规定 第十三条:工业和信息化领域数据处理者应当建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。 法律责任 对于违反第十三条规定“应当建立数据全生命周期安全管理制度”而未建立的行为,管理办法并未一一对应设定专门的罚则,而是适用第三十六条的概括性规定,即有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。 2) 数据销毁制度 规定 第二十条:工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。 法律责任 与前述分析一样,违反第二十条规定未建立数据销毁制度的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。 4. 《关于加强车联网网络安全和数据安全工作的通知》(“《网安和数安工作通知》”)要求数据处理者建立如下制度流程: 网络安全和数据安全管理制度 根据《网安和数安工作通知》第(一)条的规定,智能网联汽车生产企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任,作为对相关企业(包括车企)落实网络安全和数据安全的基本要求。 法律责任 如前所述,《网安和数安工作通知》是工信部为推进实施《新能源汽车产业发展规划(2021-2035年)》、加强车联网网络安全和数据安全管理工作,就车联网安全和数据安全向相关方发送的有关事项的通知,不是一个正式的行政规章,并未设定相关方违反数据安全保护义务应承担的法律责任。 (二)评析 1.关于数据安全管理制度 如上所述,《数据安全法》《网络数据安全管理条例(征求意见稿)》及工信部发布的与数据安全管理相关的管理办法、通知对数据处理者应建立的相关制度流程做出了规定,集中体现在要求数据处理者建立和完善数据管理制度/数据全生命周期安全管理制度,但并未明确该等数据安全管理制度应包含哪些元素和具备哪些内容。 2. 建议的数据安全管理制度及内容 《汽车数据安全管理若干规定(试行)》虽然未对车企提出建立具体的制度规则要求,但对车企处理汽车数据的全流程安全管理做出了规定,车企可以《汽车数据安全管理若干规定(试行)》作为主要根据,再结合《数据安全法》及与汽车数据安全管理相关的国家和行业标准,制定车企的数据全生命周期数据安全管理制度,该管理制度包括如下基本原则: a) 处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。 b) 依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。如利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度。 c) 明确数据安全负责人和管理机构,落实数据安全保护责任。 d) 按照国家、地区、部门确定的数据分类分级保护制度,确定车企的分级分类制度和重要数据具体目录,对列入目录的数据进行重点保护。 e) 在开展汽车数据处理活动中应坚持:(1)车内处理原则,除非确有必要不向车外提供;(2)默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;(3)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;(4)脱敏处理原则,尽可能进行匿名化、去标识化等处理。 f) 处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:(1)处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;(2)收集各类个人信息的具体情境以及停止收集的方式和途径;(3)处理各类个人信息的目的、用途、方式;(4)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;(5)查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;(6)用户权益事务联系人的姓名和联系方式;(7)法律、行政法规规定的应当告知的其他事项。 g) 处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。 h) 处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:(1)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;(2)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;(3)应当取得个人单独同意,个人可以自主设定同意期限;(4)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;(5)个人要求删除的,汽车数据处理者应当在十个工作日内删除。 i) 开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。 j) 重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。 k) 车企具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。 l) 按照国家主管部门的要求建立汽车数据安全应急处置机制。发生汽车数据安全事件,配合有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 m) 建立数据销毁制度(尚需细化),明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。 n) 建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。 车企在制定企业数据安全管理规定时,亦可参考以下标准的要求: 《信息安全技术 汽车数据处理安全要求》(GB/T 41871 - 2022)(2023年5月1日生效)规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。智能网联车企可参考该推荐性国标的要求相应制定本企业的数据安全管理规定。 《汽车采集数据处理安全指南》(TC260-001)(2021年10月8日生效)对于汽车采集数据的类型、传输要求、存储要求、数据出境要求和其他要求作出了规定。就汽车采集数据,汽车制造商在制定数据安全管理制度过程中可参考该指南的要求。 (三)小结 《数据安全法》等法律规定要求数据处理者建立和完善数据安全管理制度。智能网联车企作为数据处理者应按照《数据安全法》等法律规定,参考《信息安全技术 汽车数据处理安全要求》(GB/T 41871 - 2022)等相关国家标准和技术指南,结合自身企业的情况,建立并不断健全和完善企业数据安全管理制度。
三、车企建立个人信息保护制度流程的义务
(一)规定 1. 《个人信息保护法》项下的制度流程及法律责任 制度流程 1) 个人信息处理规则 根据《个人信息保护法》第七条,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 2) 未成年人个人信息处理规则 根据《个人信息保护法》第三十一条,个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。 3) 个人信息安全事件应急预案 根据《个人信息保护法》第五十一条,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,制定内部管理制度和操作规程;制定并组织实施个人信息安全事件应急预案。 法律责任 如个人信息处理者(车企)未按《个人信息保护法》的上述规定建立相应的制度,即处理个人信息未履行本法规定的个人信息保护义务的,将承担如下法律责任: 1) 行政责任 由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 依照有关法律、行政法规的规定记入信用档案,并予以公示。 构成违反治安管理行为的,依法给予治安管理处罚。 2) 民事责任 侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。 3) 刑事责任 构成犯罪的,依法追究刑事责任。 2. 《儿童个人信息网络保护规定》 制度流程 1) 儿童个人信息保护规则 第八条:网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。 2) 应急预案 第二十一条:网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。 法律责任 若违反上述规定的,由网信部门和其他有关部门依据职责,根据《网络安全法》和《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 3. 《网络数据安全管理条例(征求意见稿)》 个人信息处理规则 规定 根据《网络数据安全管理条例(征求意见稿)》第二十条,数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。 法律责任 根据《网络数据安全管理条例(征求意见稿)》第六十一条,数据处理者(车企)不履行第二十条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 (二) 评析 《个人信息保护法》对个人信息处理者提出了建立个人信息处理规则、未成年人个人信息处理规则、个人信息安全事件应急预案的要求;《儿童个人信息网络保护规定》对个人信息处理者提出了建立专门的儿童个人信息保护规则和应急预案的要求;《网络数据安全管理条例(征求意见稿)》对个人信息处理者提出了建立个人信息处理规则的要求。 1.车企可结合《个人信息保护法》并参考《网络数据安全管理条例(征求意见稿)》关于个人信息处理规则的相关规定建立车企的个人信息处理规则并严格遵守。个人信息处理规则应当包括但不限于以下内容: a) 依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响; b) 个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式; c) 个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法; d) 以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则; e) 向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等; f) 个人信息安全风险及保护措施; g) 个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 2. 就未成年人个人信息处理规则,车企作为个人信息处理者应按照《个人信息保护法》第二十八条的规定将不满十四周岁未成年人的个人信息归类于敏感个人信息,并对未成年人的个人信息实施特别的处理原则,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,车企方可处理未成年人的个人信息。 车企可参照《个人信息保护法》中对未成年人个人信息保护的特别规定及《儿童个人信息网络保护规定》的相关规定,制定专门的个人信息处理规则,主要的规则内容如下: a) 在处理未成年人的个人信息前,应向未成年人的父母或者其他监护人告知处理未成年人的个人信息的必要性以及对未成年人权益的影响,并应当取得未成年人的父母或者其他监护人的同意。 b) 指定专人负责未成年人个人信息保护。 c) 征得同意时,同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露未成年人个人信息的目的、方式和范围以下事项、投诉、举报的渠道和方式、投诉、举报的渠道和方式等相关内容。 d) 已告知事项发生实质性变化的,再次征得未成年人的父母或者其他监护人的同意。 e) 不得收集与其提供的服务无关的未成年人的个人信息,不得违反法律、行政法规的规定和双方的约定收集未成年人的个人信息。 f) 对工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。 g) 委托第三方处理未成年人个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。 h) 向第三方转移未成年人个人信息的,应当自行或者委托第三方机构进行安全评估。 i) 法律法规要求的其他内容。 3. 车企可参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(“《个人信息安全规范》”)关于个人信息安全事件应急预案的规定制定车企的个人信息安全事件应急预案,主要内容包括: a) 车企应制定个人信息安全事件应急预案; b) 车企应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,车企应根据应急响应预案进行以下处置:(略) d) 车企应根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。 在发生个人信息安全事件时,车企应根据应急预案进行如下处置: a) 及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。 b) 告知内容应包括但不限于:安全事件的内容和影响、已采取或将要采取的处置措施、个人信息主体自主提供的补救措施、车企的个人信息保护负责人和个人信息保护工作机构的联系方式。 另外,车企亦可参考《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)(“《应急响应计划规范》”)的相关体例、格式规范、篇章结构及具体条款制定车企的个人信息安全事件应急预案。虽然《应急响应计划规范》并非针对个人信息安全事件的专门规范,但我们理解,个人信息安全事件亦为该国标规定的信息安全事件中的一类,其中的大部分规则均可适用于个人信息保护,亦可援引作为车企制定的应急预案相关条款的内容。 (三) 小结 从个人信息保护角度,作为处理大量个人信息的智能网联车企,应按照《个人信息保护法》《儿童个人信息网络保护规定》《个人信息安全规范》及其他相关法律法规、标准的要求,建立(1) 个人信息处理规则;(2) 儿童个人信息保护规则;和(3)个人信息安全事件应急预案。 车企在制定前述内部制度的过程中,除应严格遵守《个人信息保护法》和《儿童个人信息网络保护规定》的相关规定外,还可参考《网络数据安全管理条例(征求意见稿)》《个人信息安全规范》和《应急响应计划规范》等相关规定和标准的相关规定和要求,以使企业制定并施行的个人信息处理规则、儿童个人信息保护规则和个人信息安全事件预案兼具合法性和可操作性。
四、总结
建立和健全数据安全管理制度是履行车企数据合规义务的重要环节之一。作为处理大量数据的智能网联车企,应建立健全包括网络安全管理制度、数据安全管理制度和个人信息保护制度在内的内控制度和流程,并辅之以相应的技术措施和支持,方可能打造真正符合日益强化的监管要求和满足消费者要求的产品,同时达成社会效益和经济效益、企业短期收益和长远利益的平衡。
注释 [1] 《刑法》第286条规定了拒不履行信息网络安全管理义务罪。该罪指网络服务者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的;或致使用户信息泄露,造成严重后果的;或者致使刑事案件证据灭失,情节严重的;或者具有其他严重情节的行为。 [2]《刑法》第286条规定了拒不履行信息网络安全管理义务罪。该罪指网络服务者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的;或致使用户信息泄露,造成严重后果的;或者致使刑事案件证据灭失,情节严重的;或者具有其他严重情节的行为。 [3] 虽然《网络数据安全管理条例(征求意见稿)》尚未正式发布施行,但其规定代表了作为行业主管部门的工信部的立法导向,正式发布施行的条例应会包含本征求意见稿的大部分内容。基于此,我们在分析车企在数据合规体系下需建立的制度规则时将本征求意见稿一并纳入讨论。 [4] 根据本文的体例,有关个人信息保护及相应的法律责任将在下一部份的个人信息保护专章分析,因此,《网络数据安全管理条例(征求意见稿)》项下的“个人信息处理规则”及相应的法律责任也将放在下一部份的个人信息保护分析。