汽車數(shù)據(jù)跨境的挑戰(zhàn)及合規(guī)分析 2024

汽車生產(chǎn)與銷售屬于典型的全球性產(chǎn)業(yè)，依賴于全球供應(yīng)鏈協(xié)作及跨國(guó)市場(chǎng)體系。汽車智能化發(fā)展加速了數(shù)據(jù)在汽車生產(chǎn)與銷售中的角色，并成為基礎(chǔ)性要素之一。汽車產(chǎn)業(yè)鏈全球運(yùn)作過程中，必然帶來數(shù)據(jù)的交互與融合，且成為汽車產(chǎn)業(yè)發(fā)展不可或缺的部分。無論是中國(guó)汽車企業(yè)出海，還是跨國(guó)企業(yè)運(yùn)營(yíng)中國(guó)市場(chǎng)，都面臨數(shù)據(jù)跨境流動(dòng)的需求。同時(shí)，地緣政治因素又疊加了數(shù)據(jù)博弈的沖突，對(duì)汽車企業(yè)經(jīng)營(yíng)主要國(guó)家和地區(qū)的市場(chǎng)帶來挑戰(zhàn)（詳見前期文章：美國(guó)即將對(duì)中國(guó)網(wǎng)聯(lián)汽車采取禁止交易措施）。汽車行業(yè)作為典型的標(biāo)準(zhǔn)化行業(yè)，需要跨場(chǎng)景、跨平臺(tái)、跨企業(yè)的統(tǒng)一標(biāo)準(zhǔn)，以實(shí)現(xiàn)協(xié)作的有效性。而從數(shù)據(jù)要素本身來看，汽車行業(yè)的數(shù)字化轉(zhuǎn)型程度仍有較大空間，如何發(fā)揮數(shù)據(jù)要素能力，提升新質(zhì)生產(chǎn)力，是諸多汽車企業(yè)面臨的主要問題之一。數(shù)字化轉(zhuǎn)型需要轉(zhuǎn)變數(shù)據(jù)治理思維，確定如何收集和使用數(shù)據(jù)，發(fā)揮要素價(jià)值，這恰恰是數(shù)據(jù)合規(guī)的任務(wù)。從企業(yè)級(jí)數(shù)據(jù)治理體系出發(fā)，數(shù)據(jù)跨境合規(guī)并非孤立的事項(xiàng)，它與數(shù)據(jù)合規(guī)高度關(guān)聯(lián)，對(duì)于汽車這樣的全球行業(yè)來說，甚至應(yīng)該是數(shù)據(jù)合規(guī)的一部分，必須有數(shù)據(jù)的合規(guī)，才有數(shù)據(jù)跨境的合規(guī)。通過本文的梳理，我們希望能夠?yàn)槠嚁?shù)據(jù)跨境合規(guī)梳理清晰底層邏輯、關(guān)鍵要點(diǎn)，提供經(jīng)濟(jì)、有效的合規(guī)應(yīng)對(duì)思路。一、汽車數(shù)據(jù)監(jiān)管法律體系數(shù)據(jù)合規(guī)所依據(jù)的是我國(guó)的數(shù)據(jù)法律體系，數(shù)據(jù)跨境合規(guī)又依據(jù)于我國(guó)的數(shù)據(jù)跨境法律體系。兩個(gè)體系既相互關(guān)聯(lián)又自成系統(tǒng)，涉及法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件、標(biāo)準(zhǔn)、指引以及具體行業(yè)通用實(shí)踐。概括而言，我們可以用兩個(gè)“3+1”來快速掌握法律體系的輪廓。在這兩個(gè)體系之下，我國(guó)也于2021年專門出臺(tái)了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，亦是汽車數(shù)據(jù)合規(guī)的重要法規(guī)。1.數(shù)據(jù)治理“3+1”數(shù)據(jù)治理法律體系包括3部法律：《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，以及1部行政法規(guī)：《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》?！毒W(wǎng)絡(luò)安全法》于2016年出臺(tái)，2017年起實(shí)施，主要從網(wǎng)絡(luò)運(yùn)營(yíng)安全的視角進(jìn)行管理，其中第三十七條涉及數(shù)據(jù)管理，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定，依照其規(guī)定。”《網(wǎng)絡(luò)安全法》把關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的個(gè)人信息和重要數(shù)據(jù)跨境作為切入點(diǎn)，確定了管理思路及模式，形成了我國(guó)數(shù)據(jù)治理及跨境數(shù)據(jù)監(jiān)管的雛形。《數(shù)據(jù)安全法》于2021年出臺(tái)和實(shí)施，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，把數(shù)據(jù)作為一個(gè)獨(dú)立的對(duì)象進(jìn)行治理，不再局限于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)，而是規(guī)范一般意義的數(shù)據(jù)處理者，確定了數(shù)據(jù)安全義務(wù)。同時(shí)，《數(shù)據(jù)安全法》亦堅(jiān)持和延展了《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定?！边@就重申了《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的管理，同時(shí)把其他數(shù)據(jù)處理者納入管理范圍，并將個(gè)人信息的部分交給《個(gè)人信息保護(hù)法》規(guī)范?！秱€(gè)人信息保護(hù)法》于2021年出臺(tái)和實(shí)施，其中對(duì)個(gè)人信息跨境專門用了一章來規(guī)定?！秱€(gè)人信息保護(hù)法》以個(gè)人信息為對(duì)象，確立了出境的三種方式：安全評(píng)估、保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同，同時(shí)也堅(jiān)持了《網(wǎng)絡(luò)安全法》第三十七條的跨境管理制度（見《個(gè)人信息保護(hù)法》第四十條）?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》于2024年9月出臺(tái)，并將于2025年1月1日起實(shí)施。這部《條例》是國(guó)務(wù)院的行政法規(guī)，定位于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的配套法規(guī)，在數(shù)據(jù)治理體系中無疑具有非常重要的地位?！稐l例》也用了專門一章對(duì)數(shù)據(jù)跨境進(jìn)行規(guī)定，其中對(duì)重要數(shù)據(jù)識(shí)別的實(shí)踐問題首次作出了明確2.數(shù)據(jù)跨境“3+1”《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》從整體上構(gòu)建并明確了我國(guó)數(shù)據(jù)治理的體系，其中正如前文所述，亦搭建完成我國(guó)的跨境數(shù)據(jù)管理體系。從數(shù)據(jù)類型上來說，涉及重要數(shù)據(jù)和個(gè)人信息；從出境方式上來說，涉及安全評(píng)估、保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同，以及增加的豁免情形。據(jù)此，我國(guó)通過部門規(guī)章和規(guī)范性文件的形式，確定了數(shù)據(jù)跨境“3+1”體系，包括《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》?！稊?shù)據(jù)出境安全評(píng)估辦法》于2022年出臺(tái)和實(shí)施，并留出6個(gè)月的寬恕期，即2023年3月1日起完成整改。這部《辦法》明確了通過安全評(píng)估方式進(jìn)行數(shù)據(jù)出境的適用情形以及申報(bào)流程，其中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和向境外提供重要數(shù)據(jù)的數(shù)據(jù)處理者需注意此項(xiàng)義務(wù)，而涉及一定數(shù)量以上的個(gè)人信息也需要申報(bào)安全評(píng)估出境。《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》于2023年出臺(tái)和實(shí)施，也留出6個(gè)月寬恕期，即2024年1月1日起完成整改。訂立標(biāo)準(zhǔn)合同的方式僅適用于個(gè)人信息出境活動(dòng)，涉及重要數(shù)據(jù)以及出境主體為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的，不能使用標(biāo)準(zhǔn)合同的方式?！蛾P(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》于2022年公布，附有《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》。個(gè)人信息保護(hù)認(rèn)證區(qū)分為“不含跨境處理活動(dòng)的”和“包含跨境處理活動(dòng)的”。申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)當(dāng)符合GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》的要求，而對(duì)于開展跨境處理活動(dòng)的個(gè)人信息處理者，還應(yīng)當(dāng)符合TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求。據(jù)公開信息，2023年12月，五家企業(yè)獲發(fā)首批個(gè)人信息保護(hù)認(rèn)證證書，但應(yīng)不涉及跨境事宜?！洞龠M(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》于2024年公布實(shí)施。這部《規(guī)定》因給出了明確的豁免情形而備受關(guān)注，亦對(duì)跨境數(shù)據(jù)流動(dòng)管理做出了很大的調(diào)整和完善。這部《規(guī)定》對(duì)免予申報(bào)安全評(píng)估的情形和免予所有申報(bào)手續(xù)的情形予以明確，有效促進(jìn)數(shù)據(jù)依法有序自由流動(dòng)。同時(shí)，在此后公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》亦將豁免情形進(jìn)一步上升為行政法規(guī)層級(jí)，可以說我國(guó)整體的數(shù)據(jù)跨境政策得以固化，未來將在實(shí)踐中逐步厘清操作性二、汽車數(shù)據(jù)、數(shù)據(jù)跨境1.何為汽車數(shù)據(jù)？根據(jù)2021年公布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，汽車數(shù)據(jù)包括汽車設(shè)計(jì)、生產(chǎn)、銷售、適用、運(yùn)維等過程中的涉及個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)。汽車數(shù)據(jù)處理者是指開展汽車數(shù)據(jù)處理活動(dòng)的組織，包括汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)等。具體判定過程中，還需要進(jìn)一步參考有關(guān)行業(yè)標(biāo)準(zhǔn)，如GB/T41871-2022《汽車采集數(shù)據(jù)處理安全指南》、YD/T3751-2020《車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》等。表：汽車數(shù)據(jù)類型和范圍。金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理*參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——敏感個(gè)人信息識(shí)別指南》今年5月，上海自貿(mào)區(qū)臨港片區(qū)發(fā)布了《中國(guó)（上海）自由貿(mào)易試驗(yàn)區(qū)臨港新片區(qū)智能網(wǎng)聯(lián)汽車領(lǐng)域數(shù)據(jù)跨境場(chǎng)景化一般數(shù)據(jù)清單（試行）》，以正面清單的方式明確了可以出境的汽車數(shù)據(jù)，覆蓋了跨國(guó)生產(chǎn)制造、全球研發(fā)測(cè)試、全球售后服務(wù)、二手車全球貿(mào)易等四個(gè)場(chǎng)景[1]。8月，北京自貿(mào)區(qū)發(fā)布數(shù)據(jù)出境負(fù)面清單，其中對(duì)汽車行業(yè)的重要數(shù)據(jù)和個(gè)人信息進(jìn)行了明確，達(dá)到了字段級(jí)標(biāo)準(zhǔn)，對(duì)識(shí)別汽車數(shù)據(jù)中的重要數(shù)據(jù)極具參考意義（見表：北京自貿(mào)區(qū)數(shù)據(jù)出境負(fù)面清單汽車領(lǐng)域。金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理2.何為數(shù)據(jù)出境？數(shù)據(jù)出境包括三種情形：①數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外；②數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出；③國(guó)家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。實(shí)踐中，基于汽車領(lǐng)域的場(chǎng)景復(fù)雜性，判斷是否構(gòu)成數(shù)據(jù)出境還需要結(jié)合具體情形。比如，全球的IT運(yùn)維中心設(shè)在印度，而汽車數(shù)據(jù)存儲(chǔ)于中國(guó)境內(nèi)，印度員工遠(yuǎn)程訪問境內(nèi)的數(shù)據(jù)，即構(gòu)成數(shù)據(jù)出境。值得注意的是，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》亦對(duì)“數(shù)據(jù)過境”作出了明確的規(guī)定，“數(shù)據(jù)處理者在境外收集和產(chǎn)生的個(gè)人信息傳輸至境內(nèi)處理后向境外提供，處理過程中沒有引入境內(nèi)個(gè)人信息或者重要數(shù)據(jù)的，免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證”。對(duì)于汽車行業(yè)而言，在遠(yuǎn)程運(yùn)維、全球研發(fā)等場(chǎng)景中，都可能適用這一條的豁免規(guī)定。如研發(fā)中心位于中國(guó)境內(nèi)，將境外的碰撞數(shù)據(jù)傳回境內(nèi)分析，再將結(jié)果作為解決方案?jìng)鬏斨辆惩?，只要其中沒有引入境內(nèi)個(gè)人信息或者重要數(shù)據(jù)的，就可以得到豁免。但是，這一條的豁免僅以個(gè)人信息為對(duì)象，而不涉及重要數(shù)據(jù)——理論來說在境外收集和產(chǎn)生數(shù)據(jù)也很難符合重要數(shù)據(jù)的構(gòu)成要件。三、汽車數(shù)據(jù)出境的義務(wù)及豁免來源：金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理汽車企業(yè)涉及數(shù)據(jù)跨境需求的，需要?jiǎng)澐謭?chǎng)景并對(duì)需求進(jìn)行預(yù)估，從而確定底層策略——進(jìn)行申報(bào)或者本地化部署。采取本地化部署的，則需要與境外主體（海外global或者境外branch）進(jìn)行治理架構(gòu)和數(shù)據(jù)本身的隔離。如果采取申報(bào)路徑，則應(yīng)根據(jù)出境場(chǎng)景確定具體出境的方式。根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，滿足任一條件的，應(yīng)當(dāng)申報(bào)安全評(píng)估：重要數(shù)據(jù)出境；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者；自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息的；自上年1月1日起累計(jì)向境外提供1萬人敏感個(gè)人信息的。2.標(biāo)準(zhǔn)合同根據(jù)《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，必須同時(shí)滿足條件，才可以采取訂立標(biāo)準(zhǔn)合同的方式出境：非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；處理個(gè)人信息不滿100萬人的；自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的；自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。3.保護(hù)認(rèn)證根據(jù)《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，采取保護(hù)認(rèn)證的方式出境的條件與標(biāo)準(zhǔn)合同相同，不過目前通過保護(hù)認(rèn)證的方式出境的公開信息有限。4.豁免情形根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》，豁免情形包括兩類：免予所有申報(bào)手續(xù)和免予申報(bào)安全評(píng)估的情形。具體可參見下表：表：免予所有申報(bào)手續(xù)的情形。金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理表：免予申報(bào)安全評(píng)估的情形。金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理四、汽車數(shù)據(jù)出境合規(guī)的步驟一般而言，汽車企業(yè)數(shù)據(jù)出境包括三個(gè)主要步驟，盤點(diǎn)數(shù)據(jù)資產(chǎn)、定義業(yè)務(wù)場(chǎng)景和開展出境申報(bào)。對(duì)于數(shù)字化程度比較高的企業(yè)，可以跳過第一步驟，因?yàn)閿?shù)字化轉(zhuǎn)型中必然涉及數(shù)據(jù)資產(chǎn)的梳理。1.盤點(diǎn)數(shù)據(jù)資產(chǎn)盤點(diǎn)數(shù)據(jù)資產(chǎn)的目的包括三個(gè)：①識(shí)別出境事實(shí)。企業(yè)需全面核查業(yè)務(wù)條線，識(shí)別存在的數(shù)據(jù)出境事實(shí)，如信息系統(tǒng)是否設(shè)置在境外，境外是否可以對(duì)境內(nèi)數(shù)據(jù)進(jìn)行訪問等。②判斷數(shù)據(jù)類型。結(jié)合法規(guī)標(biāo)準(zhǔn)。判斷涉及跨境的數(shù)據(jù)類型，確定是否存在個(gè)人信息（個(gè)人敏感信息），以及重要數(shù)據(jù)。③確定出境方式。根據(jù)數(shù)據(jù)類型、規(guī)模等，明確應(yīng)當(dāng)采取何種方式出境，或者考慮進(jìn)行本地化部署。圖：數(shù)據(jù)出境判定流程。金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理2.定義業(yè)務(wù)場(chǎng)景根據(jù)數(shù)據(jù)資產(chǎn)盤點(diǎn)的結(jié)果，企業(yè)可結(jié)合業(yè)務(wù)流程及需求，合理定義需要申報(bào)的數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景。一般來說，根據(jù)汽車業(yè)務(wù)環(huán)節(jié)，可以分為銷售管理場(chǎng)景、售后保修場(chǎng)景、產(chǎn)品質(zhì)量調(diào)研場(chǎng)景、汽車記錄分析場(chǎng)景等；根據(jù)企業(yè)內(nèi)部管理環(huán)節(jié)，可以分為合同管理場(chǎng)景、薪酬管理場(chǎng)景、績(jī)效管理場(chǎng)景等。這里需要注意的是，雖然《促進(jìn)和規(guī)范跨境數(shù)據(jù)流動(dòng)規(guī)定》對(duì)人力資源管理場(chǎng)景作出了豁免，但是僅限于勞動(dòng)法框架下的人力資源管理，涉及派遣、實(shí)習(xí)、員工家屬等情況的跨境，并不必然可以豁免。3.開展出境申報(bào)企業(yè)決定開展數(shù)據(jù)出境申報(bào)的，也要分為兩步。第一步確定出境前置義務(wù)的履行，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第十條要求，數(shù)據(jù)處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知、取得個(gè)人單獨(dú)同意、進(jìn)行個(gè)人信息保護(hù)影響評(píng)估等義務(wù)。因此，需要注意的是，申報(bào)手續(xù)的豁免，并不意味著其他個(gè)人信息出境義務(wù)的豁免，這也是實(shí)踐中容易產(chǎn)生合規(guī)風(fēng)險(xiǎn)的環(huán)節(jié)。第二步則是根據(jù)選定的出境方式開展相關(guān)申報(bào)五、汽車數(shù)據(jù)出境合規(guī)重點(diǎn)及難點(diǎn)分析結(jié)合實(shí)務(wù)經(jīng)驗(yàn)和法律規(guī)定，汽車行業(yè)數(shù)據(jù)出境需要特別注意幾個(gè)合規(guī)風(fēng)險(xiǎn)，這不僅是實(shí)際數(shù)據(jù)出境過程中會(huì)被重點(diǎn)關(guān)注的部分，也是部分企業(yè)合規(guī)中容易忽視的內(nèi)容。1.有效的“告知-同意”根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，處理個(gè)人信息前，企業(yè)通過制定個(gè)人信息處理規(guī)則的方式依法向個(gè)人告知的，個(gè)人信息處理規(guī)則應(yīng)當(dāng)集中公開展示、易于訪問并置于醒目位置，內(nèi)容明確具體、清晰易懂。通常來說，處理個(gè)人信息需要制定隱私政策（個(gè)人信息處理規(guī)則），其中需要明確的內(nèi)容包括：①網(wǎng)絡(luò)數(shù)據(jù)處理者的名稱或者姓名和聯(lián)系方式；②處理個(gè)人信息的目的、方式、種類，處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響；③個(gè)人信息保存期限和到期后的處理方式；④個(gè)人查閱、復(fù)制、轉(zhuǎn)移、更正、補(bǔ)充、刪除、限制處理個(gè)人信息以及注銷賬號(hào)、撤回同意的方法和途徑的。同時(shí)，處理不滿十四周歲未成年人個(gè)人信息的，還應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。此外，根據(jù)《工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》，企業(yè)在告知時(shí)需提供“雙清單”——已收集個(gè)人信息清單和向第三方共享個(gè)人信息清單。《個(gè)人信息保護(hù)法》第十三條規(guī)定了處理個(gè)人信息的合法性基礎(chǔ)，通常以用戶同意為核心。實(shí)踐中取得用戶同意是最為有效的合法性基礎(chǔ)。對(duì)于基于同意處理個(gè)人信息的場(chǎng)景，對(duì)個(gè)人信息進(jìn)行跨境需要取得用戶的“單獨(dú)同意”，特別需要避免概括同意、強(qiáng)制同意來進(jìn)行個(gè)人信息出境。2.重要數(shù)據(jù)識(shí)別根據(jù)《數(shù)據(jù)安全法》的要求，國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。而最新公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》在此基礎(chǔ)上又規(guī)定了企業(yè)的自識(shí)別義務(wù)，“網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定識(shí)別、申報(bào)重要數(shù)據(jù)”。按照行業(yè)管理要求，工信部出臺(tái)的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全感安全管理辦法（試行）》規(guī)定，“工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位的具體目錄”。工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)，而工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)行維護(hù)、平臺(tái)經(jīng)營(yíng)等過程中產(chǎn)生和收集的數(shù)據(jù)，其中亦會(huì)包含汽車數(shù)據(jù)。因此，汽車數(shù)據(jù)處理者需要按照相關(guān)規(guī)定對(duì)重要數(shù)據(jù)進(jìn)行識(shí)別，并留存相關(guān)記錄或者向主管部門申報(bào)，重要數(shù)據(jù)識(shí)別的結(jié)果應(yīng)作為數(shù)據(jù)出境選擇的參考。3.個(gè)人信息保護(hù)影響評(píng)估根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，向境外提供個(gè)人信息，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。具體而言，汽車企業(yè)進(jìn)行數(shù)據(jù)出境的，無論是否屬于豁免情形，也無論適用何種方式出境，都應(yīng)當(dāng)履行個(gè)人信息保護(hù)影響評(píng)估義務(wù)。具體而言，評(píng)估的內(nèi)容包括：（1）個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；（2）出境個(gè)人信息的規(guī)模、范圍、種類、敏感程度，個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來的風(fēng)險(xiǎn)；（3）境外接