随着信息技术的不断进步,海量数据如潮水般扑面而来,数据已经成为基础性资源和战略性资源,世界各国也都纷纷在立法和监管方面探索开展相关工作。2021年11月14日,国家互联网信息办公室公布了《网络数据安全管理条例(征求意见稿)》(以下简称“条例”),并面向全社会公开征求意见。在《网络安全法》《数据安全法》和《个人信息保护法》等上位法的框架下,《条例》作为行政法规,对前述上位法的规定进行落实、细化、补充,进一步增强了数据安全法律体系的完备性和可操作性,具体包括:落实三部上位法中提出的数据安全制度,明确实施路径;细化原则性要求,给出进一步明确规定;补充重要数据处理者备案要求和年度报告要求、数据处境管理义务、互联网平台责任等。
虽然《条例》之中未明确提及汽车行业,但在智能网联汽车快速发展的背景下,汽车已经从孤立的电子信息终端逐步向网联化的信息节点发展,其数据保护的紧迫性也日益凸显,数据安全保障体系亟须健全完善。未来无论是智能网联汽车的研发、测试验证,还是政府对智能网联汽车的监管,都将依赖多种类的海量交互数据。
《条例》共九章七十五条,涵盖了数据安全、个人信息保护、数据跨境、网络平台、监督管理等内容,其中倡导性条款较少,重在对上位法的制度设计进行落地,并创设新的制度。
下面对《条例》中8个重点方面要求进行阐述:
一
规定了在进行数据处理活动过程中,应当遵循《条例》的相关主体有数据处理者、互联网平台运营者和大型互联网平台运营者,并对三个主体给出了明确定义。
二
明确了数据分类分级保护制度,将数据分为一般数据、重要数据和核心数据三级,《条例》将100万以上的个人信息的保护要求提升到与重要数据相同的水平。但我们也注意到在汽车行业《汽车数据安全管理若干规定》中存在特别规定,即涉及个人信息主体超过10万人的个人信息属于重要数据。
三
规定了数据处理者应当履行的相关义务,如:建立完善数据安全管理制度和技术保护机制;采取有效的数据保障措施;建立数据安全应急处置机制;处理涉及第三方的数据流转;处理企业合并、分立、解散、破产的数据等。
四
规定了当使用自动化采集技术等技术措施,且无法避免采集到非必要个人信息或者未经个人同意的个人信息时,相关数据处理者应当在十五个工作日内删除上述采集的个人信息或者对上述个人信息进行匿名化处理。在汽车行业,智能网联汽车收集车外数据极有可能落入此类范畴。
五
针对个人信息处理规则提出了进一步要求,应到遵循合法、正当、必要要求,对制定个人信息处理规则作了具体要求,细化了征得个人同意的要求,明确了删除个人信息要求。此外,还包括个人信息主体权利响应、个人信息安全风险及保护措施、个人信息安全问题投诉、举报渠道及解决路径、个人信息保护负责人联系方式的内容要求。
六
对重要数据安全管理制度作了规定,包括重要数据处理者明确数据安全负责人、成立数据安全管理机构、向网信部门备案、实施全员教育培训、采购安全可信的产品和服务、年度评估报告、对外提供数据的安全评估等。
七
在《网络安全法》《数据安全法》和《个人信息保护法》基础上,对数据跨境流动规则进行了完善,较完整地建立了数据出境安全管理制度,包括个人信息出境前同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。
八
考虑到越来越多的重要数据处理者在使用云计算服务,《条例》提出了强制性要求,国家机关和关键信息基础设施运营者采购云计算服务时,应通过国家网信部门会同国务院有关部门组织的安全评估。虽然这项工作已开展多年,但首次将其上升为法规的规定。
从当前监管实际看,数据过度采集、滥用等问题较为突出,广大群众对此反应强烈。此外,国家对网络数据安全异常重视,将其上升到国家安全战略高度。面对汽车行业中网络数据安全的新形势,亟需进一步加大工作力度,切实规范数据的收集使用行为、督促企业加强用户个人信息和数据保护、制定出台网络数据安全合规性评估标准规范、组织企业开展网络数据安全合规性自评估工作、提升企业网络数据安全风险防范能力。同时,需要加快推进行业网络数据安全制度、标准、技术、管理等综合体系建设,这也是提升汽车行业网络数据安全保护水平的必然要求。
本文来源于罗戈网,不代表九州物流网(http://www.wl890.com)观点,如有侵权可联系删除,文章所用图片来源于网络,文章图片如有侵权可联系删除。