汽车行业作为具有全球性设计、研发、零部件供应、生产、销售的行业，全球化程度高，数据跨境流动不可避免。然而，近年来，汽车行业数据出境安全风险事件频发，引起了国家相关部门格外的重视，连续出台汽车相关的法律、法规、规章，旨在加强跨境流动治理工作，对汽车数据出境实施强监管。

  2021年10月29日，国家互联网信息办公室发布《数据出境安全评估办法（征求意见稿）》（简称《评估办法》），对应依规向网信办申报数据出境安全评估的情形以及具体流程等作出进一步总结和细化规定。但是，对于相关出境监管规定的具体适用和执行尺度，企业在实践中任旧存在理解不到位、关注度不够等问题。

  ICMA智联出行研究院建议企业，为防范数据出境安全法律风险，需要在汽车数据出境活动中关注以下十大问题：

  根据《汽车数据安全管理若干规定（试行）》，汽车数据是指包括汽车设计、生产、销售、使用、运维等过程中的涉及个人隐私信息数据和重要数据。

  《汽车数据安全管理若干规定（试行）》率先对汽车行业的重要数据来进行列举，具体包括：

  1.军事管理区、国防科工单位和县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据

  6.国家网信部门和国务院发展改革、工业与信息化、公安、交通运输等有关部门确定的别的可能危害国家安全、公共利益或者个人、组织合法权益的数据

  个人信息的范围则比较广泛，根据《民法典》和《个人隐私信息保护法》对个人隐私信息的定义，由一辆车产生的大多数数据都可能构成个人隐私信息。

  《汽车数据安全管理若干规定（试行）》也对汽车领域的个人隐私信息作出了细化规定，其指出个人隐私信息是指为以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。

  1. 直接可识别的个人隐私信息是指可以单独、直接识别出自然人的信息，例如驾驶员的姓名、身份证号等；

  2. 间接可识别的个人信息是指通过与别的资料相结合，从而识别出自然人的信息，例如通过与车辆识别号（VIN）相结合，一辆车行驶旅程的细节、车辆使用行为数据、技术数据、车辆状况数据等都可能会被认定为是个人隐私信息。在实践中，间接可识别的个人隐私信息容易被忽视，易引发合规风险。

  此外，根据自己信息的敏感程度不同，个人隐私信息中还包括敏感个人隐私信息、生物识别特征信息等保护要求更高的类型。

  根据《汽车数据安全管理若干规定（试行）》，敏感个人隐私信息是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人隐私信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

  对于“数据出境”的含义，目前《网络安全法》《个人隐私信息保护法》《数据安全法》等相关法律并未做出明确具体的定义，虽然之前出台的一些标准和规范的征求意见稿或者草案，曾经尝试对数据出境进行定义，但也均未发布最终具有约束力的生效文本。

  例如，《信息安全技术 数据出境安全评估指南（草案）》将“数据出境”定义为：网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人隐私信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

  《评估办法》依然没有对“数据出境”做明确的定义，也使法律可解释性的空间增大，执法的灵活性提高。尽管如此，就现有实践而言，也存在一些公认的数据出境情形，例如：数据虽未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看等。

  二是境外远程访问，指的是数据未被转移至国外，但被境外的机构、组织、个人访问查看；

  三是向本国境内的主体提供数据，但该主体不属于本国司法管辖或未在境内注册。

  第一种类型的数据出境的常见场景为：通过有形的方式（如携带含有数据的硬盘）或者无形的方式（如即时通讯系统，包括电子邮件等、使用部署在境外的服务器）将汽车数据传输出中国境外进行技术处理。

  第二种类型的数据出境的常见场景为：境内企业将汽车数据存储在云端供境外的研发人员远程访问。

  针对关键信息基础设施运营者（CIIO）与其他数据处理者，数据出境的基本规则有所区分。CIIO适用《网络安全法》，对于个人隐私信息和重要数据应进行境内存储与出境安全评估。针对其他数据处理者，个人隐私信息的出境提供将适用《个人隐私信息保护法》，数据处理者应根据自身情况选择合适的出境机制，重要数据的出境安全管理则适用于国家网信部门会同国务院有关部门制定的规则。

  具体到汽车数据本身，《汽车数据安全管理若干规定（试行）》细化了对汽车个人隐私信息和重要数据的监管要求。在涉及数据出境时，汽车数据处理者需要完成个人隐私信息和重要数据境内存储和出境安全评估、采取有效措施明确和监督接收者、出境数据不得超出出境安全评估时明确的内容、在年报中报告其对外提供数据的情况等。

  数据出境风险自评估是向境外提供数据的前提，也是申报数据出境安全评估的申请材料之一。

  《评估办法》第五条规定了企业自评估需要重点关注的事项，比如出境方及接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；双方的安全保障能力；出境数据的数量、范围、种类、敏感程度，数据出境可能造成的风险；数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅；双方订立的合同是否充分约定数据安全保护责任等。

  数据出境安全评估是国家网信部门对数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险进行评估。

  评估重点主要包括：数据出境的目的、范围、方式等的合法性、正当性、必要性；境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求；出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；数据安全和个人信息权益是否能够得到充分有效保障；数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；遵守中国法律、行政法规、部门规章情况等。

  数据出境达到触发条件则需要申报安全评估。《评估办法》列举了六种应当申报数据出境安全评估的“触发条件”，可以分为以下三类：

  一般而言，车企被认定为关键信息基础设施的运营者的可能性较低。但值得注意的是，2021年9月1日生效的《关键信息基础设施安全保护条例》赋予了相关领域的主管部门、监督管理部门制定关键信息基础设施认定规则的权限，故企业应当关注后续不时出台的认定规则，以判断产品/业务是否落入关键信息基础设施的范畴。

  ▲ 触发条件二：数据处理者身份为处理个人信息达到一百万人的个人信息处理者。

  此处需注意，不管企业向境外传输的个人信息数量多少，只要企业本身处理超过一百万人的个人信息，就应当申报安全评估。故建议企业对自身处理的个人信息涉及的主体数量进行盘点，并做好自评估，待《评估办法》正式生效后积极响应。

  对企业而言，当务之急是梳理业务过程中涉及到数据出境的具体环节或系统、出境数据的类型，是否包含重要数据等问题。

  该等兜底条款赋予国家网信部门较大的自主调整空间，故建议企业关注国家网信办不时出台的新规定，并实时调整申报数据出境安全评估的战略。

  据《评估办法》规定，企业需提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等（以下统称“合同”）以及安全评估工作需要的其他材料。

  如企业与境外数据接收方尚未订立合同的，建议补充签订合同，并充分约定数据安全保护责任义务。

  企业应当开展数据盘点工作，识别个人信息、重要数据等受到严格监管的数据类型，建立符合监督管理要求的数据分级分类体系。从组织机构搭建、制度流程建设、系统完善、意识增强等方面建立和健全数据安全管理制度，落实数据安全保护义务。

  处理重要数据和个人隐私信息数量达到一定数量的企业和组织应当依据《数据安全法》《个人隐私信息保护法》等规定指定数据安全管理负责人、个人隐私信息保护负责人，对本企业的数据处理活动进行监督。

  企业应建立数据出境风险自评估机制，及时掌握企业内数据出境情况的动态变化，结合所处业务特性、出境应用场景及流转路径，定期开展风险评估工作，及时开展合规自查和整改工作。与此同时，应当及时关注主管部门后续发布的关于数据出境的监管细则，从而有效、快速应对后续的监管活动。

  网络安全等级保护即对网络进行分等级保护、分等级监管。现行的网络安全等级保护制度是基于《网络安全法》第二十一条规定设置的制度，网络运营者应根据相关规定确定其信息系统安全保护等级，并采取对应的保护措施。

  声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。