汽车数据合规体系构建解析及建议(系列一)——从车企数据合规组织架构视角
作者:杨军 2022-12-21引言
智能网联汽车作为融合现代通信、网络技术、人工智能等多场景和新技术的新一代汽车,其研发、试验、制造、销售到最终落地商用的几乎每个环节都离不开多类主体、多种技术设备间海量数据的收集、交互、处理(统称“处理”)。该等数据的处理是智能网联汽车运行本身的必备要素,但是,海量的数据可产生巨大的经济效益,在巨大的利益驱使下,数据处理者(不限于智能网联汽车企业)可能铤而走险,超出约定的处理范围使用该等数据,或将其挪作他用,并可能导致数据主体的合法利益严重受损。另一方面,即使相关企业并无非法或超约定使用范围利用这些海量数据的恶意,但如果其缺乏完善的数据安全保障制度,一旦发生数据安全事故,可能危及道路交通安全、公民的人身和财产安全,并可能对汽车相关产业甚至国家安全造成严重威胁。
如何确保汽车数据处理行为符合国家法律法规要求,如何在保障汽车数据安全、保护数据主体权益的基础上,促进相关数据的充分利用,已经成为汽车产业健康和持续发展所亟待解决的问题,也是汽车产业参与各方在日常运营之中无法回避的基本要求。为规制汽车企业的数据处理活动,也为平衡汽车企业和数据主体间的权利义务,推动智能网联汽车企业的顺利发展,相关机关先后制订和发布了《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)、《中华人民共和国个人信息保护法》(“《个人信息保护法》”)、《汽车数据安全管理若干规定(试行)》(“若干规定”),同时,相关监管机构和标准委员会出台了一系列的规定和标准,为汽车企业建立数据合规体系指明了方向。
一个完整的合规体系离不开一个完善的组织架构支撑,数据合规体系概莫能外。本文意在从组织架构角度解析一系列与数据合规体系相关的法律法规及标准对汽车企业建立数据合规组织架构的要求,并在此基础上提出汽车建立完整的数据合规体系要素之一的组织架构的建议,供业内同行参考。
一、《网络安全法》对组织架构的要求
(一)规定
《网络安全法》第二十一条规定,“网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”,从法律层面规定了网络运营者应设置网络安全负责人落实与网络安全保护相关的责任,但并未要求网络运营者建立网络安全管理机构。
工信部2021年6月22日发布的《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(“网络安全征求意见稿”)的第一条(一)中规定:“保护车联网网络设施和系统安全。落实企业网络安全主体责任,建立车联网网络安全管理制度和操作规程,确定网络安全负责人……”,不难看出,确定网络安全负责人是智能网联汽车企业的重要义务之一。
(二)分析
从上述规定可看出,《网络安全法》和网络安全征求意见稿均未对网络安全负责人的任职条件和岗位职责作出具体规定,仅笼统规定网络运营者应确定网络安全负责人。《网络安全法》第三十四条对关键信息基础设施的运营者做出了特别规定:关键信息基础设施的运营者还应当履行对网络安全负责人和关键岗位的人员进行安全背景审查的义务。根据自2021年9月1日起施行的《关键信息基础设施安全保护条例》(“安保条例”)第二条之规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
对照上述规定,汽车企业应不属于安保条例所定义的关键信息基础设施的运营者,因此安保条例关于关键信息基础设施的运营者对网络安全负责人和关键岗位人员的安全背景审查义务的规定以及职责设定并不必然适用于汽车企业,但汽车企业按照《网络安全法》和安保条例对关键信息基础设施的运营者的要求确定其内部的网络安全负责人的岗位和职责应是比较稳妥的做法,也更易为监管部门接受。
(三)小结
从网络安全负责人的知识和技能结构来看,网络安全负责人应同时具备网络安全专业知识和网络安全法律知识,应属于跨界型人才。[1]但是,对于不同类型的企业来说,由于其业务模式的差别,对其网络安全负责人的知识结构要求可能存在一定的差异。对于大型或者超大型的企业来说,由于其产品多样,供应商众多,财务系统复杂、企业外包的服务类型也多种多样,数据收集、存储、交换等活动频繁且大量,内部存在不同的IT系统及围绕不同IT系统的技术组织和管理组织。从实践情况来看,可能由公司的首席信息官或首席技术官管理集团IT系统安全及其中的数据安全,首席市场官管理(部分或全部)消费者(或目标用户)相关信息和数据,人力资源官管理公司员工相关信息和数据等。[2]汽车企业的规模普遍较大,且业务形态更为复杂,在其产品的研发阶段就应考虑网络安全和数据安全的因素,为企业满足数据合规的要求提前布局,在这个阶段由企业的首席技术官作为网络安全的负责人可能是合适的;在汽车的销售阶段,涉及经销商系统管理,大量消费者或者潜客信息的处理,由首席市场官负责这个阶段的网络安全也是合适的。但是应当注意的是,在《网络安全法》框架下,一方面汽车企业要承担下述义务:(1)制定和启动网络安全事件应急预案、及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险和按照规定向有关主管部门报告危害网络安全的事件;(2)开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。另一方面,IT部门会从技术层面负责企业所有的系统搭建、网络运营和数据管理,是企业所有部门中最熟悉所有系统运行和网络安全的部门,由其负责人即企业的首席信息官作为网络安全负责人是比较合理和合适的安排。
因此,为确保网络安全,汽车类的网络运营者可委任具有网络安全专业知识的IT负责人(或称首席信息官)担任网络安全负责人,并建立专门的网络安全责任部门(主要为IT部门的技术人员加上部分研发、市场、法务及其他部门的专业人员),同时参照安保条例第十四条之规定,对该等专门负责网络安全的负责人及网络安全责任部门中从事网络安全管理的人员进行安全背景审查,并对网络安全负责人和常设安全管理机构履行的职责作如下规定:
(1)建立健全网络安全管理、评价考核制度,拟订本单位的信息设施和网络安全保护计划;
(2)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(3)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(4)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(5)组织网络安全教育、培训;
(6)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(7)对本单位的信息设施设计、建设、运行、维护等服务实施安全管理;
(8)按照规定报告网络安全事件和重要事项。
二、《数据安全法》对组织架构的要求
(一)规定
《数据安全法》第二十七条第二款规定:“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
工信部发布并于2023年1月1日生效的《工业和信息化领域数据安全管理办法(试行)》(“《数据安全管理办法》”)对工业和信息化领域数据处理者应根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;且重要数据和核心数据处理者应建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。[3]
国家互联网信息办公室2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》第二十八条规定,重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。
(二)分析
与《网络安全法》的规定类似,《数据安全法》也仅笼统规定重要数据的处理者应当明确数据安全负责人和管理机构,但未对重要数据的处理者的安全负责人和管理机构的任职条件和岗位职责作出具体规定。相比《数据安全法》,《数据安全管理办法》更进一步,其不仅要求工业和信息化领域重要数据和核心数据处理者应明确数据安全负责人和管理机构,建立常态化沟通与协作机制,且笼统规定了数据安全管理人员的岗位职责:统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作,但对于数据安全负责人和管理机构的任职资格和具体职责语焉不详,仅规定工业和信息化领域重要数据和核心数据处理者还应当:明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容,即数据安全负责人和管理机构的任职条件和岗位职责有待工业和信息化领域重要数据和核心数据处理者根据具体情况补充和完善。
相比《网络安全法》和《数据安全管理办法》,《网络数据安全管理条例(征求意见稿)》不仅规定重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构,而且对数据安全负责人的任职资质进行了如下规定:数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。该征求意见稿还对数据安全管理机构的具体职责进行了列举。鉴于该征求意见稿的相关内容还未以条例的形式正式发布施行,不能排除国家互联网信息办公室后续发布施行的正式条例的相关规定与该征求意见稿的相关内容不一致的可能性,由此导致该征求意见稿对数据安全负责人和安全机构的职责的设定存在一定的变数。
(三)小结
虽然《网络数据安全管理条例(征求意见稿)》草案尚未正式发布施行,但其规定代表了国家互联网信息办公室的立法导向,在其他法律法规对相关机构的设定和职责规定缺位的情况下,该征求意见稿关于数据安全管理机构及其数据安全负责人的职责的规定对汽车企业具有参考意义。汽车企业可以参考该征求意见稿设定其数据安全管理机构和负责人的职责如下:
(1)研究提出数据安全相关重大决策建议;
(2)制定实施数据安全保护计划和数据安全事件应急预案;
(3)开展数据安全风险监测,及时处置数据安全风险和事件;
(4)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(5)受理、处置数据安全投诉、举报;
(6)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
汽车企业亦可参考该征求意见稿的规定设定数据安全负责人的任职资格:数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。
三、《个人信息保护法》对组织机构的要求
(一)规定
《个人信息保护法》并未要求所有的个人信息处理者需指定个人信息保护负责人,只是规定处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督[4]。该法对在中国境外处理中国境内自然人个人信息的活动的数据处理者做出了特别规定,要求其应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务[5]。
网络实践中,涉及儿童个人信息的产业发展很快,一再降低孩子“触网”年龄段。同时,针对孩子的儿童色情、电信诈骗、不良信息推荐、游戏沉迷等违法行为也日益增多,客观上需要加强对未成年人网络权益的全面立法保护。其中,儿童的个人信息保护是网络权益的基础,也是大数据精准营销、数据合理使用、防沉迷系统、家长监护体系、网络实名制的核心,因此,对孩子专门的个人信息保护就成为重中之重。[6]为更好地保护儿童的个人信息权益,体现儿童个人信息保护的特殊性,《儿童个人信息网络保护规定》规定网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。[7]
根据《信息安全技术个人信息安全规范》(“安全规范”),个人信息控制者应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;3)处理超过10万人的个人敏感信息的。
(二)分析
根据《个人信息保护法》第五十二条的规定,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”,但到目前为止国家互联网信息办公室尚未正式公布具体的“数量”标准,在这种情况下,参考适用《信息安全技术个人信息安全规范》项下的数量标准应是比较可行的解决方案,即在数据处理者处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息或处理超过10万人的个人敏感信息的,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
依据第五十三条,在中国境外处理中国境内自然人个人信息者,无论其处理的个人信息的数量如何,都必须适用本法,且境外处理者应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
另外,需要注意的是,第五十二条并未区分适用对像是境内还是境外的个人信息处理者,因此,只要处理个人信息达到国家网信部门规定数量的个人信息处理者就负有指定个人信息保护负责人的义务,这就导致境外个人信息处理者不仅应当在中国境内设立专门机构或者指定代表,而且在其处理的个人信息达到国家网信部门规定数量时还需另行设置个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《儿童个人信息网络保护规定》并未对网络运营者指定负责儿童个人信息保护的专人(即儿童数据保护的专门人员)的任职条件和岗位职责做出具体规定,鉴于该规定属于个人信息保护的特别规定,在汽车企业由负责数据保护的负责人和个人信息保护工作机构兼任应是可行的解决方案,但应在其职责中增加对儿童个人信息保护的专项内容。
(三)小结
汽车企业作为个人数据处理者,通常要处理海量的个人数据,很容易就达到《信息安全技术个人信息安全规范》项下的数量标准,建议按照该安全规范设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。负责个人信息保护的负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;鉴于信息安全与个人信息保护的专业领域相近,对管理人员的专业知识和管理职能要求大同小异,且儿童个人信息的保护属个人信息保护的特别领域,建议由企业负责数据安全的负责人兼任个人信息保护和儿童个人信息保护的负责人,以保证政策制度的一致和管理口径的统一。
在此基础上,汽车企业可参考该安全规范设定个人信息保护(含儿童个人信息保护)负责人和个人信息保护工作机构的职责包括但不限于如下内容(如无特别说明,下述各项职责凡提及个人信息均包括儿童个人信息):
(1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
(2) 组织制定个人信息保护工作计划并督促落实;
(3) 制定、签发、实施、定期更新个人信息保护政策和相关规程;
(4) 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
(5) 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
(6) 处理儿童个人信息时以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意;
(7) 组织开展个人信息安全培训;
(8) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
(9) 公布投诉、举报方式等信息并及时受理投诉举报;
(10) 进行安全审计;
(11) 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
四、《汽车数据安全管理若干规定(试行)》对组织架构的要求
(一)规定
若干规定并未对汽车数据处理者需指定数据安全保护负责人及数据安全管理机构做出明确规定,这并不意味着汽车数据处理者没有义务指定数据安全保护负责人和数据安全管理个机构。根据其第十三条的规定[8],汽车数据处理者每年报送年度报告时,汽车数据安全管理负责人的姓名和联系方式是必备项。
《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》(“管理意见”)规定,智能网联汽车生产企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。[9]
(二)分析
虽然若干规定没有关于汽车数据处理者需指定数据安全负责人的规定,如前所述,第十三条关于汽车数据安全管理负责人信息作为汽车数据处理者报送年度报告的必选项从另一个侧面说明汽车数据处理者有义务指定数据安全负责人。另外,根据若干规定的第一条之规定[10],若干规定为国家互联网信息办公室经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意后发布,其根据《网络安全法》和《数据安全法》的规定制定,除非若干规定特别规定(即使做特别规定亦不可与其上位法《网络安全法》和《数据安全法》的规定相冲突),《网络安全法》关于网络运营者应“设置网络安全负责人落实与网络安全保护相关的责任”的规定,《数据安全法》关于“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任”应当然适用于汽车企业。
根据管理意见之规定,汽车企业应明确数据安全保护的责任部门和负责人,为汽车企业设立专门负责数据安全的责任部门并指定数据安全负责人提供了依据。鉴于工业和信息化部为汽车企业对口的行业监管部门,其参与制定和发布的管理意见的相关规定特别是关于数据安全责任部门和负责人的规定将是其监管的要素之一,这与若干规定关于汽车数据安全管理负责人信息作为汽车数据处理者报送年度报告的必选项的规定形成了呼应。
(三)小结
根据上述分析,汽车企业应切实按照管理意见和若干规定的要求设立负责数据安全的责任部门并指定数据安全负责人,既满足监管的要求,也为完善企业的数据合规体系和提升企业的数据安全保护水平。关于汽车企业数据安全负责人的任职资质以及负责人和责任部门的职责,企业可参照本文第二和第三部分关于数据安全和个人信息保护负责人和责任部门的职责设定,或者在一个职能部门和一个负责人兼任数据安全、个人信息保护和车联网数据安全职位/职能的情况下将相关职责整合。
五、GDPR对组织架构的规定
(一)GDPR简介
GDPR(General Data Protection Regulation,通用数据保护条例)于2016年4月27日获得欧盟议会与欧盟理事会的通过,并于2018年5月25日执行。GDPR堪称史上最严格的数据保护法案,任何违反GDPR的行为,将会遭致1000万到2000万欧元的罚款,或企业全球年营业额的2%到4%的罚款,以两者中数额最大的为准。
GDPR适用于:1)数据控制者或处理者在欧盟境内的机构所进行的个人数据处理活动,而无论该处理是否发生在欧盟境内;2)非欧盟境内设立的控制者或处理者处理欧盟境内数据主体的个人数据,如果处理活动涉及:向欧盟境内的数据主体提供商品或服务(无论是否发生支付行为),或对数据主体在欧盟内的行为进行监控;和3)设立于欧盟境外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
(二)GDPR关于信息保护的组织架构规定
GDPR确立了数据保护官(DPO)的概念,任命数据保护官的法律义务的决定性因素不是公司的规模,而是被定义为对实现公司目标至关重要的核心处理活动。如果核心活动包括大规模处理敏感的个人数据或对数据主体的权利影响特别深远的数据处理形式,公司就必须任命DPO。[11]关于DPO的任职条件,GDPR第37条也做了相应规定,DPO的任命应基于专业资质,特别是数据保护法律和实践方面的专业知识以及完成GDPR第39条所述任务的能力。DPO可以是数据控制者或处理者的工作人员,或基于其服务合同履行任务。[12] 由此可见,DPO既可由内部人员担任,亦可委托外部人员担任。企业集团可以任命一名DPO,但条件是集团的每个成员均能方便联系到DPO[13]。DPO获任之时,其主管必须公布其联系信息,并向监管机构进报告。[14]
DPO的职责包括:遵守所有相关的数据保护法、监督具体的过程,如数据保护影响评估或对员工对数据保护的认识提升和培训,以及与监管机构合作等。[15]DPO不能因为完成其任务而被数据控制者或处理者解雇,其可以直接向控制者或处理者的最高管理层汇报。尽管有DPO行使监督职能,但公司本身仍然有义务遵守数据保护的法律。因此,公司应当确保,在所有与个人数据保护相关的事项中,DPO都应当以一种恰当和及时的方式参与。DPO可以履行其他任务和职责,但数据控制者或处理者应确保任何此类任务和职责不会导致利益冲突。[16]
(三)小结
GDPR的第37、38和39条对DPO的委任、职位和任务进行了详细规定,特别是关于DPO的任职条件、具体职责及其履行职责的独立性等规定与国内对数据安全责任人的规定具有一定的相似性,对于国内法律法规缺损但可由企业自主决定的数据安全管理负责人的选任条件、职责等方面的内容,国内汽车企业可以借鉴和参考引用。
六、构建完善的汽车企业数据合规组织架构的建议
(一)概述
完善的数据合规管理架构是数据合规工作顺利开展的必要保障。汽车企业在其数据合规体系建设中的一个重要工作内容就是搭建完善的数据合规管理架构,协调管理职能和资源配置,强化数据合规职责及其组织领导。数据合规组织架构搭建的核心是解决数据合规管理工作的权力配置问题,其根本目的是保证企业最高层能够准确了解企业的数据合规情况,及时发现、纠正企业内部的数据合规风险和违规现象。另一方面,建立数据合规组织架构也是法律的明确规定或者是企业为满足监管机构对企业数据合规监管的需要。只有建立完善的数据合规管理组织架构,才能够使与数据合规相关的法务、风控、审计、业务等部门充分发挥优势,形成管理合力,将数据合规管理相关的工作落实到位。
(二)数据合规体系的组织架构设计
在汽车企业,其全部机构和全体成员都或多或少地承载着数据合规职责,因此,从管理流程角度而言,构建自上而下的贯穿企业全部机构、人员、流程的管理组织架构对于企业提升和完善数据合规管理流程体系至关重要。汽车企业可以参考国家质检总局和标准委联合发布的《合规管理体系指南(GB/T 35770)》(“标准委合规指南”)的相关规定设定汽车企业的合规组织框架。标准委合规指南采用组织决策的分析框架,将合规管理机构分为治理机构(指公司的股东会、董事会和监事会)和最高管理者(指以公司总经理为代表的核心管理团队)、合规团队、管理层(指公司核心管理层以外的中层管理人员)、员工。结合标准委合规指南和汽车行业的特征,我们建议从如下几个方面构建数据合规的组织架构:
1.高层承诺和领导负责制
有效的合规体系要求治理机构和最高管理者的积极承诺,并贯穿于整个组织。为上述目的,企业的治理机构和最高管理者应发布数据合规声明,以此向员工、社会公众和监管机构传递和彰显企业建立、制定、实施、评价、维护和改进一个有效和及时响应的包括数据合规在内的合规管理体系的承诺。
为体现企业对数据合规工作的重视,建议在董事会中设立合规委员会,并把数据合规作为合规委员会的重要工作内容之一。合规委员会由部分董事会成员及监事会成员构成,加上企业的总经理、分管数据合规的副总经理和数据合规负责人,企业亦可考虑邀请在数据合规领域有一定影响力的外部专家作为委员会成员,以保证数据合规管理委员会对数据合规相关的决策的专业性。合规委员会作为企业合规管理体系的最高负责机构,应以保证企业合规经营为目的,通过原则性顶层设计解决合规管理工作中的权力配置问题并进行重大事项决策。企业的总经理应作为数据合规管理的第一责任人并应当承担以下职责:分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系;确保战略和运营目标与履行数据合规义务之间的一致性;确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。
2. 一体化原则
对于汽车企业而言,网络安全是实现其汽车产品智能网联功能的前提条件,而一套安全运行的网络系统也是汽车企业实现其数据(包括个人数据、敏感数据、重要数据)处理功能的基础,因此,在搭建汽车企业的数据合规体系时,应对网络安全、数据安全、个人信息保护综合考虑而不能人为将其割裂开,即汽车汽车企业的合规体系应是包括网络安全、数据(包括车辆运行数据)安全、个人信息保护的一个完整的合规体系。汽车企业在考虑其数据合规体系的组织架构特别是责任部门并指定对口安全负责人时应综合考量,以构建起科学的数据合规组织架构,更好地明确不同层级部门的管理职责和汇报路径,确保企业数据合规管理体系的高效运行。
3. 独立性原则
数据合规与广义的合规的要求一样,独立性是数据合规管理机构的核心标准。汽车企业应设立独立于业务部门的数据合规部门。首先,应从汇报条线上保证数据合规组织的独立性。操作上可以采用数据合规管理机构直接向合规委员会或者分管领导负责,合规管理委员会则直接向董事会负责的形式。其次,数据合规管理机构应具备充足的权力实施数据合规相关的政策制订、流程执行、数据合规核查、数据违规问责及整改。再其次,数据合规管理机构还应配备或能够调动充足的资源,包括人员、经费、设备等硬件条件,确保其日常工作不受到其他部门的挈肘。
4.专业性原则
汽车企业处在一个蓬勃发展且还在不断演进的行业,其技术和产业形态的持续演进对负责数据合规从业人员的任职条件提出较高的要求。鉴于网络安全负责人与数据安全和个人信息保护负责人的任职条件存在一定的差异,是否由同一负责人同时承担网络安全负责人与数据安全、个人信息保护的负责人的职责应由企业根据自身情况及该负责人的专业背景和业务经验综合评判后决定。即使如此,企业亦应根据法律法规对该等负责人任职条件的要求(如有)任命符合条件的人选担任该等负责人。除负责人的选任外,企业亦应以具备数据安全专业知识和相关经验作为组建数据合规业务团队的基本条件。
如前分析,《网络安全法》未对对网络安全负责人和关键岗位的人员的任职条件做出规定,为确保网络安全,汽车企业可委任具有网络安全专业知识的IT负责人(或称首席信息官)担任网络安全负责人,并建立专门的网络安全责任部门(主要为IT部门的技术人员加上部分研发、市场、法务及其他部门的专业人员)。《数据安全法》也未对数据的处理者的安全负责人和管理机构的任职条件作出具体规定。可资参考的是,《网络数据安全管理条例(征求意见稿)》规定了数据安全负责人的资质条件:应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,这与GDPR关于DPO的任职条件相似:应具备专业资质,特别是数据保护法律和实践方面的专业知识以及完成GDPR所述任务的能力。另外,《信息安全技术个人信息安全规范》(“安全规范”)对个人信息保护负责人的任职条件规定如下:应由具有相关管理工作经历和个人信息保护专业知识的人员担任。[17]
虽然征求意见稿还未正式发布施行,安全规范为推荐标准,但二者对数据安全和个人信息保护负责人的任职资质的规定对于企业设定数据安全/个人信息保护负责人和工作机构人员的任职条件具有参考意义,汽车企业可以参考征求意见稿和安全规范的规定设定企业的数据安全/个人信息保护负责人的任职条件,并加以细化;对于数据安全/个人信息保护保护负责人以外的其他关键岗位的人员的任职条件亦可参考上述条件设定。
5. 适度趋严原则
随着科技的不断进步,发展智能网联汽车的趋势已成为必然。智能网联汽车不仅将带来汽车行业的重大变革,也将会改变人类的驾驶习惯和生活方式。为推动智能网联汽车行业发展,不断推动和完善与智能网联汽车有关的立法是核心要素之一。今后的立法会越来越规范,而监管部门的执法可能会趋严。为应对这种挑战,智能网联企业在设定其数据合规体系时应按目前法律法规、标准中偏严的规定执行。在数据合规组织架构的构建方面,首先,企业应完整设立法律法规要求和标准推荐的所有的数据合规组织机构;其次,在法律法规、标准规定企业的数据业务触碰特定条件才需设定相应组织机构的情况下,企业如果预判未来可能触碰该等条件的,可提前设立相应的数据合规组织机构。这种对数据合规组织架构趋严的设定一方面可以让企业对可能发生的事件未雨绸缪,另一方面也可提前完成自身完整的数据合规组织架构的构建。
6. 数据合规职责设定和人员搭配
如前所述,汽车企业首先应基于专业性原则委任数据合规的负责人和组建数据合规团队。鉴于数据合规(包括网络安全合规)涉及企业诸多部门,在常设数据合规团队成员的基础上,可以由各部门(包括但不限于法务、合规、IT、研发、制造、销售、人事和财务等部门)的代表组成数据合规工作委员会,定期讨论和决定数据合规的日常事务,各部门形成合力,共同推进企业数据合规工作的顺利开展。企业可以区分专业门类分别委任网络安全负责人和数据安全负责人,亦可只委托一名管理人员同时担任网络安全和数据安全的负责人。由于法律法规未禁止企业委任企业外部人员担任数据合规的负责人,企业既可选择由内部人员也可选择由外部人员担任数据合规的负责人。两种选择各有优缺点,内部人员更了解组织与业务情况,能够更快地开展工作并与其他部门间协调工作,但在处理与自己负责的专业门类的数据合规事项时可能存在利益冲突;委外人员可能专业水准更高,对法律法规的认知更准,与监管沟通更顺畅,且与企业内部无利益冲突,但由于其不熟悉业务特征和内部流程,可能影响到数据合规工作的效率和沟通成本。当然,企业可以根据自己的实际情况决定对企业最合适的数据合规负责人来源。
(三)其他
需要说明的是,汽车企业合规组织的搭建是一个系统工程,没有统一的标准,尤其是关于组织架构的具体设定和权利分配、汇报条线、职责设定,不同的企业可能各有侧重。另外,由于汽车行业特别是有关智能网联汽车相关的技术仍在不断演进,与之相关的立法也会相应更新和调整,车企应结合自身实际和最新的法律法规规定和监管部门的最新要求实时调整数据合规组织架构,企业亦可寻求在汽车数据合规领域的外部专家资源的帮助,以确保其包括组织架构在内的数据合规体系符合法律法规的规定和监管要求。
[1] 丁原凤《对网络安全负责人岗位的思考》,载于《中国信息安全》杂志2019年第2期。
[2] 丁原凤《对网络安全负责人岗位的思考》,载于《中国信息安全》杂志2019年第2期。
[3] 《工业和信息化领域数据安全管理办法(试行)》
第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;
…………
工业和信息化领域重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
…………
[4] 《个人信息保护法》第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
[5] 《个人信息保护法》第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
[6] 朱巍“《儿童个人信息网络保护规定》解读”,载于《中国信息安全》杂志2019年第10期。
[7] 《儿童个人信息网络保护规定》第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
[8]《汽车数据安全管理若干规定(试行)》第十三条 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:
(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;
…………
[9] 《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》二、加强数据和网络安全管理
(一)强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。
[10] 《汽车数据安全管理若干规定(试行)》第一条 为了规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规,制定本规定。
[11] Art. 37 GDPR Designation of the data protection officer:
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.
[12] Art. 37 GDPR Designation of the data protection officer:
5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.
6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.
[13] Art. 37 GDPR Designation of the data protection officer:
2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.
[14] Art. 37 GDPR Designation of the data protection officer:
7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.
[15] Art. 39 GDPR Tasks of the data protection officer
[16] Art. 38 GDPR Position of the data protection officer
6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.
[17] 《信息安全技术 个人信息安全规范》11.1 明确责任部门与人员
对个人信息控制者的要求包括:
a) ......
b) 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;