公司车辆管理存在问题(汽车数据安全管理情况年度报送实务六大问题)

近日，上海、广东、天津、河北、湖南等省市网信办根据《汽车数据安全管理若干规定(试行)》要求，通知开展2021年汽车数据安全管理报告工作。[1]

问题1:投稿的规范依据是什么？

2021年8月20日，《车辆数据安全管理若干规定(试行)》(以下简称《车辆数据规定》)由国家网信办、国家发改委、工信部、公安部、交通运输部联合发布，自2021年10月1日起施行。

根据该规定，汽车数据处理者在开展重要数据处理活动时，应当于每年12月15日前向各省、自治区、直辖市网信部门及相关部门报送以下年度汽车数据安全管理信息: (一)汽车数据安全管理负责人、用户权益事务联系人的姓名及联系方式；(2)汽车数据处理的类型、规模、目的和必要性；(3)汽车数据的安全保护和管理措施，包括存储位置和期限等。；(4)向中国境内第三方提供汽车数据；(5)车辆数据安全事件及处置；(6)汽车数据相关用户投诉及处理；(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门规定的其他汽车数据安全管理信息。据此，开展重要数据处理活动的汽车数据处理者应当每年定期向互联网信息办公室等监管部门提交当年汽车数据安全管理报告。

如果是在境外提供重要数据的汽车数据处理方，还应当在上述提交要求的基础上补充重要数据接收方的基本信息；出站汽车数据的类型、规模、用途和必要性；汽车数据境外存储的地点、时限、范围和方式；海外提供汽车数据用户的投诉及处理等。因此，对于汽车数据出境涉及的行业主体，如跨国汽车企业、零部件供应商、在线出行服务企业、自动驾驶或智能网联服务企业等，其每年必须履行的法定报告义务高于在国内完全进行汽车数据处理的行业主体。

问题二:提交的主体和前提是什么？

1。汽车数据处理器

根据《汽车数据规定》，汽车数据安全管理报告的主体是汽车数据处理者，即开展汽车数据处理活动的机构，包括汽车制造商、零部件和软件供应商、经销商、维修机构和出行服务企业等。[2]可见，需要履行提交义务的汽车数据处理者，不仅包括一般意义上的汽车生产企业及相关配套零部件供应商、经销维修机构，还包括使用互联网、APP等的市场主体。开展汽车服务等。，其实质规范目的是实现汽车产业上下游全生态链的数据安全管理。

2。汽车的重要数据处理活动

根据《汽车数据规定》，并不是所有的汽车数据处理活动都会触发提交义务，汽车数据处理者履行提交义务的前提是进行重要的数据处理活动。《数据安全法》规定的数据处理是指数据的收集、存储、使用、处理、传输、提供和披露等处理活动，[3]而《汽车数据条例》则完全沿用了《数据安全法》规定的数据处理规定，将汽车数据处理定义为包括汽车数据的收集、存储、使用、处理、传输、提供和披露，[4]

《数据安全法》要求各行业主管部门根据数据在经济社会发展中的重要程度，建立相关行业的重要数据目录。[5]《汽车数据规定》不仅在第三条中对汽车数据进行了定义，即汽车数据包括个人信息数据和汽车设计、生产、销售、使用、运营、维护过程中的重要数据，还通过总结和列举，明确了汽车重要数据的内涵和外延。重要汽车数据是指一旦被篡改、销毁、泄露或者被非法获取、利用，可能危及国家安全、公共利益或者个人、组织合法权益的数据，包括:(一)军事管理区、国防科技单位、县级以上党政机关等重要敏感区域的地理信息、人员流动、车辆流动等数据；(2)反映车流、物流等经济运行的数据；(3)汽车充电网络的运行数据；(4)车辆外部的视频和图像数据，包括人脸信息和车牌信息；(5)涉及10万人以上的个人信息；(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人和组织合法权益的数据。

需要注意的是，目前《汽车数据规定》中列举的重要汽车数据并不详尽，仍需继续关注网信等相关部门发布的关于重要汽车数据的相关规则和标准指引。

问题3:提交的时间要求和相关部门是什么？

根据《汽车数据管理规定》，每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。这里有两点值得注意，一是时间要求，即每年12月15日前；二是被部门要求除了各省市网信办外，还要向相关部门报送。相关部门具体指哪些部门？《汽车数据条例》第十三条虽未明确，但根据条例全文，相关部门包括各省市工业和信息化主管部门、公安部门、交通运输部门和国家发改委。

《汽车数据条例》自今年10月生效以来，也是第一个提交年，相关的提交流程和机制还需要在实践中进一步做工作。因此，提交时间的要求并未逾期。从目前部分省市网信部门的通知来看，汽车数据规定中要求的12月15日前的时间要求并没有完全遵循。比如上海市网信办要求的投稿截止时间是12月22日。

另外，《汽车数据规定》虽然要提交给网信办，但也需要提交给相关部门。但是，目前除了少数省市，如上海、广东、天津、河北、湖南等。，已下发报送要求通知，未公开各省市其他相关部门的报送要求或通知，相关部门的报送流程和机制有待进一步明确。

问题4:实践中不同省市的具体提交要求有什么区别？

从湖南、广东、天津、河北等地网信办发出的通知来看，前述地区的网信办均要求汽车数据处理者根据《汽车数据管理规定》第十三条提交2021年汽车数据的安全管理情况，但并未出台具体的提交指引和文档模板。

通过与各地网信部门的沟通和咨询，我们知道大部分省市对报送没有特殊要求，比如:

(1)广东、天津、河北等地网信办对提交没有特殊要求，也没有相关模板，只要求按照《车辆数据安全管理若干规定(试行)》第十三条规定的内容提交。但根据天津市网信办反馈，部分安全管理要求可在具体提交材料中详细填写。

(2)重庆、江苏、湖北等网信办均反映未收到待报送通知。

(3)上海市网信办提供了《汽车数据安全管理2021报表模板》，要求参照该模板提交。

截至本文撰写时，只有上海市网信办发布了汽车数据报送模板。其中，上海提交模板要求汽车数据处理方填写年份、企业名称、企业联系人、数据安全管理负责人、用户联系人、处理数据类型、汽车数据所在地、提供给中国境内第三方的信息、安全事件、投诉、风险评估报告、是否涉及数据退出。如下图所示:

同时，上海提交的模板中的报告内容还涵盖了境外视频、境外雷达、行踪、境内视频和图像、境内音频、生物特征等个人信息数据的收集、存储、使用、处理、传输、提供和披露。

此外，基于采集、存储、使用、加工、传输、提供、披露等数据处理方式的不同，上海市网信办对不同场景数据要求提交的内容也有所不同。下表以提交模板中的车外数据为例:

从提交要求中不难看出，上海市网信办特别关注汽车数据处理的目的和必要性、数据处理活动的脱敏(去身份化、匿名化)等保护措施、数据的分级保护措施以及处理方是否做了相应的风险评估。在各地网信部门和其他相关部门尚未出台汽车数据年度报送的具体要求和指引之前，上海市网信办的年度报送模板很有参考价值。

此外，值得注意的是，虽然《汽车数据管理规定》明确规定“开展重要数据处理活动”的汽车数据处理人员负有相应的“年度报告义务”，但无论是天津、上海市网信办的通知，还是上海市的报送模板，都没有明确表示报送“汽车数据安全管理”的前提是“开展重要数据处理活动”，而广东、湖南、天津市网信办的通知明确将“开展重要数据处理活动”称为报送。

因此，汽车数据安全管理年度报告义务的触发前提和具体要求指导，仍需各地网信等相关部门进一步明确并付诸实践。

问题5:提交实践中有哪些不确定性？

如前所述，目前各省市汽车数据安全管理年度报送的具体通知要求、触发前提条件、时间截止点存在一定差异。对于跨省市运营或多省市布局的汽车数据处理器，在实际操作中的报送仍存在一定的困难或不确定性。

比如提交主体的地域范围是在某省市注册的汽车数据处理器，还是只要在该省市有经营活动的汽车数据处理器就应该提交到该省市？目前各地标准不一。例如，上海明确要求提交范围为在上海注册的汽车数据处理器，广东、天津要求提交范围为自己所在省或市的汽车数据处理器，河北要求提交范围为当地汽车数据处理器；如果在多个省市经营，是否需要在所有省市提交？如果逾期或未收到提交通知，是否可以延期提交？除了网信办，如何向其他相关部门举报？提交给网信办的材料是否可以通用于提交给其他相关部门？这些具体的实际操作细节还需要地方网站或相关部门进一步明确。后续，我们将密切关注监管要求的动向。同时也建议相关汽车数据处理商加强与监管部门的沟通，及时了解最新的提交要求。

问题6:提交要求给汽车数据处理器带来了哪些合规性影响？

1。及时履行提交义务

早在2019年5月8日，国家网信办发布的《数据安全管理办法(征求意见稿)》就规定，“网络运营者因经营目的收集重要数据或者个人敏感信息的，应当向当地网信部门备案。”[6]《汽车数据规定》进一步明确和细化了重要汽车数据处理的报告义务。不仅在第13条规定了每年定期报告情况的义务，还在第10条规定了汽车数据处理者提交重要汽车数据处理活动风险评估和评估报告的义务。由此可见，汽车企业及其相关配套企业向网信等主管部门报告其所进行的重要数据处理活动，将是汽车数据处理者必须面对、尤为重要且在未来得以落实的法定义务。

2。建立数据安全管理体系

《汽车数据管理规定》第十三条第三项明确提出，汽车数据处理者需要提交“汽车数据安全保护管理措施”，而在上海市互联网信息办公室发布的提交模板中，“汽车数据安全保护管理措施”的内容也是重中之重。此外，工信部2021年7月发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》也明确要求企业建立健全汽车数据安全和网络安全管理制度，落实数据分类分级管理和网络安全等级保护制度，构建数据安全保护技术措施，依法依规实施数据安全风险评估和数据安全事件报告。[7]因此，建立相应的汽车企业数据安全管理体系，既是年度报送的内容要求，也是企业自身的合规需求。

3。建立汽车企业数据合规体系

随着政府部门对汽车数据安全合规监管体系的逐步建立和完善，汽车企业的数据合规义务经过了数据安全法、个人信息保护法等上位法的规定，《汽车数据条例》、《关于加强智能网联汽车生产企业及产品准入管理的意见》等细则，现在已经比较明确和详细。因此，对于汽车企业及其配套服务企业来说，随着相关法律法规的落地和生效，遵循相应的规范，构建自己的数据合规体系，已经成为迫切的现实需求。企业应该为数据合规性的新时代做好准备。

引用

[1]各地网信办具体通知详见上海微信微信官方账号发布的《关于报送2021年汽车数据安全管理的通知》。相信广东微信微信官方账号发布的《广东省互联网信息办公室关于报送2021汽车数据安全管理的通知》；相信天津市网信办微信官方账号发布的《天津市互联网信息办公室关于报送2021汽车数据安全管理的通知》；[email protected]，[email protected]�北微信微信官方账号；相信湖南微信微信官方账号发布的《湖南省互联网信息办公室关于报送2021年汽车数据安全管理的通知》。

[2]《汽车数据安全管理若干规定(试行)》第三条。

[3]《数据安全法》第三条。

[4]《汽车数据安全管理若干规定(试行)》第三条。

[5]《数据安全法》第二十一条。

[6]《数据安全管理办法(征求意见稿)》第十五条。

[7]《关于加强智能网联汽车生产企业及产品准入管理的意见》第二条。