六、 数据存储本地化和数据出境

第十一条 重要数据应当依法在境内存储 ,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。

我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。

第十二条 汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

第十四条 向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上,补充报告以下情况:

  1. 接收者的基本情况;
  2. 出境汽车数据的种类、规模、目的和必要性;
  3. 汽车数据在境外的保存地点、期限、范围和方式;
  4. 涉及向境外提供汽车数据的用户投诉和处理情况;
  5. 国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。
  1. 数据储存和传输,动不动就会涉及到郭嘉安全,一直是一个很敏感的问题,之前滴滴赴美上市被打屁股也和这个有关。《规定》明确了重要数据在中国境内储存, 因业务需要确需向境外提供的,应当通过安全评估。 未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。

《网络安全法》和《数据安全法》只规定了 关键信息基础设施运营者 的本地化存储和出境安全评估义务,但对关键信息基础设施的范围一直没有出台细则。

  1. 现在《规定》出台后,无论智能汽车是不是被认定为关键信息基础设施,重要数据都要在境内存储,出境前需要履行安全评估义务。

七、监管报告要求

内容

要求

事前报告

第十条 汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。

年度报告

第十三条 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:

  1. 汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;
  2. 处理汽车数据的种类、规模、目的和必要性;
  3. 汽车数据的安全防护和管理措施,包括保存地点、期限等;
  4. 向境内第三方提供汽车数据情况;
  5. 汽车数据安全事件和处置情况;
  6. 汽车数据相关的用户投诉和处理情况;
  7. 国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

配合评估

国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。

参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。

评析:

  1. 年报制度 :鉴于《规定》出台不久, 对于即将到来的 十二月十五日年报,今年度估计不会实考,各地的网信部门对怎么开展年报工作自己也并不清楚 。但稳妥起见,企业还是主动和当地网信部门沟通一下年检的准备工作,至少态度要做好。

八、加强管理平台建设,增加投诉渠道

相对意见稿,《规定》新增了 国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。