導 語

保障汽車數(shù)據(jù)安全出境，實現(xiàn)“防范風險、自由流動”一直是汽車行業(yè)探索數(shù)據(jù)合規(guī)使用的重大問題。近日，《數(shù)據(jù)出境安全評估辦法》、《數(shù)據(jù)出境安全評估申報指南（第一版）》已正式施行。汽車企業(yè)如何有序申報數(shù)據(jù)出境，做好數(shù)據(jù)出境的安全評估，中國汽研結(jié)合行業(yè)現(xiàn)狀對相關法規(guī)進行解讀，以輔助汽車企業(yè)迅速落地數(shù)據(jù)合規(guī)有序出境。

2022年9月1日起，由國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評估辦法》（下稱《評估辦法》）施行。

《評估辦法》明確了我國數(shù)據(jù)出境安全評估防范風險、自由流動的目的和事前評估與持續(xù)監(jiān)督相結(jié)合，自評估與國家評估相結(jié)合原則。

同時，《評估辦法》也明確了企業(yè)應當申報數(shù)據(jù)出境的四種情形。細化了數(shù)據(jù)出境安全評估的申報方式、申報流程、申報材料、咨詢方式。

8月31日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)出境安全評估申報指南（第一版）》（下稱《申報指南》），《申報指南》提供了2份評估申報模板，以指導和幫助企業(yè)規(guī)范、有序申報數(shù)據(jù)出境。

必須指出的是，汽車數(shù)據(jù)處理者，包括汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構(gòu)以及出行服務企業(yè)，需要按照《中華人民共和國數(shù)據(jù)安全法》以及《評估辦法》和《申報指南》的要求評估申報本企業(yè)數(shù)據(jù)出境情況。本文主要通過解讀《申報指南》及其上位法，為汽車行業(yè)數(shù)據(jù)出境申報提供幫助。

▌ 細化了數(shù)據(jù)出境申報的適用范圍，汽車行業(yè)相關企業(yè)應該對號入座

《申報指南》提出了四個需要出境申報的情形：

一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；

二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；

三是自上年1月1日起累計 向境外提供10萬人個人信息或者 1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；(2021年1月1日起累計）；

四是國家網(wǎng)信辦規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。作為汽車行業(yè)如何把握《申報指南》的適用范圍，對號入座，主要集中在以下兩點:

一是汽車行業(yè)的重要數(shù)據(jù)是什么? 

2021年7月5日國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)改委、工信部、公安部和交通運輸部發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》給出了明確的范圍：

一是軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；

二是車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；

三是汽車充電網(wǎng)的運行數(shù)據(jù)；

四是包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

五是涉及個人信息主體超過10萬人的個人信息；

六是國家相關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。

汽車行業(yè)涉及以上六類數(shù)據(jù)出境的需要申報。

二是關基運營者和個人信息，個人敏感信息如何界定? 

關基運營者（CIIO）目前在汽車行業(yè)并不多見，但是處理超過100萬人個人信息的汽車企業(yè)，應該針對汽車數(shù)據(jù)出境開展評估，根據(jù)評估結(jié)果申報。同時，年累積出境數(shù)據(jù)包含10萬個人信息或者1萬個人敏感信息的也在申報之列，企業(yè)可參照《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《信息安全技術 個人信息安全規(guī)范》（GB/T 35273—2020）標準，對個人信息和個人敏感信息進行評估，下面是個人信息和個人敏感信息的舉例可供車企評估時參考：

個人信息舉例

個人基本

資料

個人姓名、生日、性別、民族、國籍、家庭關系、住址、個人電話號碼、電子郵件地址等

個人身份

信息

身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等

個人生物

識別信息

個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等

個人健康生理信息

個人因生病醫(yī)治等產(chǎn)生的相關記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個人身體健康狀況相關的信息，如體重、身高、肺活量等網(wǎng)絡身份標識信息個人信息主體賬號、IP地址、個人數(shù)字證書等個人教育工作信息個人職業(yè)、職位、工作單位、學歷、學位、教育經(jīng)歷、工作經(jīng)歷、培訓記錄、成績單等

個人財產(chǎn)信息

銀行賬戶、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產(chǎn)信息個人通信信息通信記錄和內(nèi)容、短信、彩信、電子郵件，以及描述個人通信的數(shù)據(jù)（通常稱為元數(shù)據(jù)）等聯(lián)系人信息通訊錄、好友列表、群列表、電子郵件地址列表等

個人上網(wǎng)記錄

指通過日志儲存的個人信息主體操作記錄，包括網(wǎng)站瀏覽記錄、軟件使用記錄、點擊記錄、收藏列表等

個人常用設備信息

指包括硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼（如SIM卡IMSI信息等）等在內(nèi)的描述個人常用設備基本情況的信息個人位置信息包括行蹤軌跡、精準定位信息、住宿信息、經(jīng)緯度等其他信息婚史、宗教信仰、性取向、未公開的違法犯罪記錄等

個人敏感信息舉例

個人財產(chǎn)信息

銀行賬戶、鑒別信息（口令）、存款信息（包括資金數(shù)量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產(chǎn)信息個人健康生理信息個人因生病醫(yī)治等產(chǎn)生的相關記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等個人生物識別信息個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等個人身份信息身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等其他信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內(nèi)容、通訊錄、好友列表、群組列表、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準定位信息等

▌ 明確了數(shù)據(jù)出境的含義，以下三種情形均被評定為數(shù)據(jù)出境

一是企業(yè)將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)既包含車端數(shù)據(jù)，也包含系統(tǒng)平臺的數(shù)據(jù)，傳輸、存儲至境外的情形。

二是企業(yè)收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，但是境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出的情形。

三是國家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境情形。這里需要特別注意，國內(nèi)車輛數(shù)據(jù)存儲在境外屬于數(shù)據(jù)跨境，國內(nèi)車輛數(shù)據(jù)存儲在國內(nèi)，國外組織和用戶能通過網(wǎng)絡查詢、調(diào)取、下載到處的，也屬于數(shù)據(jù)跨境。

▌ 提出了詳細的申報流程，明確了提交材料并提供了申報模板

第一步，交材料：汽車申報數(shù)據(jù)出境安全評估，應當通過所在地省級網(wǎng)信辦 （接收材料）申報數(shù)據(jù)出境安全評估。申報方式為送達書面申報材料并附帶材料電子版。

第二步，完備性查驗： 省級網(wǎng)信辦收到申報材料后，在 5 個工作日內(nèi)完成申報材料的完備性查驗。通過完備性查驗的，省級網(wǎng)信辦將申報材料上報 國家網(wǎng)信辦 （實際評估單位）；未通過完備性查驗的，數(shù)據(jù)處理者將收到申報退回通知。

第三步，上報受理：國家網(wǎng)信辦自收到省級網(wǎng)信辦上報申報材料之日起 7 個工作日內(nèi)，確定是否受理并書面通知數(shù)據(jù)處理者。數(shù)據(jù)處理者如被告知補充或者更正申報材料，應當及時按照要求補充或者更正材料。無正當理由不補充或者更正申報材料的，安全評估將會終止。 情況復雜的，數(shù)據(jù)處理者將被告知評估預計延長的時間。

第四步，出結(jié)果，可申請復評：評估完成后，企業(yè)將收到評估結(jié)果通知書。對評估結(jié)果無異議的，企業(yè)須按照數(shù)據(jù)出境安全管理相關法律法規(guī)和評估結(jié)果通知書的有關要求， 規(guī)范相關數(shù)據(jù)出境活動；對評估結(jié)果有異議的，企業(yè)可以在收到評估結(jié)果通知書 15 個工作日內(nèi)向國家網(wǎng)信辦申請復評，復評結(jié)果為最終結(jié)論。申報流程可參考汽車企業(yè)數(shù)據(jù)出境申報考流程圖。

汽車企業(yè)數(shù)據(jù)出境申報流程圖

▌ 汽車企業(yè)數(shù)據(jù)出境申報及評估的特別說明

《申報指南》中對《數(shù)據(jù)出境安全評估申報表》的填寫提出了具體要求，相關企業(yè)需對數(shù)據(jù)出境的目的、數(shù)據(jù)出境方式、數(shù)據(jù)出境鏈路、擬出境數(shù)據(jù)情況、遵守中國法律、行政法規(guī)、部門規(guī)章制度等情況如實填寫。另外，還需簡述近2年在業(yè)務經(jīng)營活動中受到行政處罰和有關主管監(jiān)管部門調(diào)查及整改情況，重點說明數(shù)據(jù)和網(wǎng)絡安全方面相關情況。

同時，《申報指南》明確提出企業(yè)需對數(shù)據(jù)出境情況進行自評估，自評估一是需包含自評估工作開展情況，包括起止時間、組織情況、實施過程、實施方式等內(nèi)容；二是包含企業(yè)數(shù)據(jù)出境活動整體情況包括企業(yè)自身基本情況、數(shù)據(jù)出境涉及業(yè)務及信息系統(tǒng)情況、擬出境數(shù)據(jù)情況、企業(yè)自身數(shù)據(jù)安全保障能力情況、境外接收方情況、法律文件約定數(shù)據(jù)安全保護責任義務的情況等；三是擬出境活動的風險評估情況，需要特別指出的是，企業(yè)可授權(quán)第三方機構(gòu)參與自評估，須在自評估報告中說明第三方機構(gòu)的基本情況及參與評估的情況，并在相關內(nèi)容頁上加蓋第三方機構(gòu)公章。