你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
引言
一、《网络安全法》对组织架构的要求
(一)规定
工信部2021年6月22日发布的《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(“网络安全征求意见稿”)的第一条(一)中规定:“保护车联网网络设施和系统安全。落实企业网络安全主体责任,建立车联网网络安全管理制度和操作规程,确定网络安全负责人……”,不难看出,确定网络安全负责人是智能网联汽车企业的重要义务之一。
(二)分析
从上述规定可看出,《网络安全法》和网络安全征求意见稿均未对网络安全负责人的任职条件和岗位职责作出具体规定,仅笼统规定网络运营者应确定网络安全负责人。《网络安全法》第三十四条对关键信息基础设施的运营者做出了特别规定:关键信息基础设施的运营者还应当履行对网络安全负责人和关键岗位的人员进行安全背景审查的义务。根据自2021年9月1日起施行的《关键信息基础设施安全保护条例》(“安保条例”)第二条之规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
对照上述规定,汽车企业应不属于安保条例所定义的关键信息基础设施的运营者,因此安保条例关于关键信息基础设施的运营者对网络安全负责人和关键岗位人员的安全背景审查义务的规定以及职责设定并不必然适用于汽车企业,但汽车企业按照《网络安全法》和安保条例对关键信息基础设施的运营者的要求确定其内部的网络安全负责人的岗位和职责应是比较稳妥的做法,也更易为监管部门接受。
(三)小结
因此,为确保网络安全,汽车类的网络运营者可委任具有网络安全专业知识的IT负责人(或称首席信息官)担任网络安全负责人,并建立专门的网络安全责任部门(主要为IT部门的技术人员加上部分研发、市场、法务及其他部门的专业人员),同时参照安保条例第十四条之规定,对该等专门负责网络安全的负责人及网络安全责任部门中从事网络安全管理的人员进行安全背景审查,并对网络安全负责人和常设安全管理机构履行的职责作如下规定:
(1)建立健全网络安全管理、评价考核制度,拟订本单位的信息设施和网络安全保护计划;
(2)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(3)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(4)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(5)组织网络安全教育、培训;
(6)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(7)对本单位的信息设施设计、建设、运行、维护等服务实施安全管理;
(8)按照规定报告网络安全事件和重要事项。
二、《数据安全法》对组织架构的要求
《数据安全法》第二十七条第二款规定:“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
国家互联网信息办公室2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》第二十八条规定,重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。
与《网络安全法》的规定类似,《数据安全法》也仅笼统规定重要数据的处理者应当明确数据安全负责人和管理机构,但未对重要数据的处理者的安全负责人和管理机构的任职条件和岗位职责作出具体规定。相比《数据安全法》,《数据安全管理办法》更进一步,其不仅要求工业和信息化领域重要数据和核心数据处理者应明确数据安全负责人和管理机构,建立常态化沟通与协作机制,且笼统规定了数据安全管理人员的岗位职责:统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作,但对于数据安全负责人和管理机构的任职资格和具体职责语焉不详,仅规定工业和信息化领域重要数据和核心数据处理者还应当:明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容,即数据安全负责人和管理机构的任职条件和岗位职责有待工业和信息化领域重要数据和核心数据处理者根据具体情况补充和完善。
(2)制定实施数据安全保护计划和数据安全事件应急预案;
(3)开展数据安全风险监测,及时处置数据安全风险和事件;
(4)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(5)受理、处置数据安全投诉、举报;
(6)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
三、《个人信息保护法》对组织机构的要求
根据《个人信息保护法》第五十二条的规定,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”,但到目前为止国家互联网信息办公室尚未正式公布具体的“数量”标准,在这种情况下,参考适用《信息安全技术个人信息安全规范》项下的数量标准应是比较可行的解决方案,即在数据处理者处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息或处理超过10万人的个人敏感信息的,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
另外,需要注意的是,第五十二条并未区分适用对像是境内还是境外的个人信息处理者,因此,只要处理个人信息达到国家网信部门规定数量的个人信息处理者就负有指定个人信息保护负责人的义务,这就导致境外个人信息处理者不仅应当在中国境内设立专门机构或者指定代表,而且在其处理的个人信息达到国家网信部门规定数量时还需另行设置个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《儿童个人信息网络保护规定》并未对网络运营者指定负责儿童个人信息保护的专人(即儿童数据保护的专门人员)的任职条件和岗位职责做出具体规定,鉴于该规定属于个人信息保护的特别规定,在汽车企业由负责数据保护的负责人和个人信息保护工作机构兼任应是可行的解决方案,但应在其职责中增加对儿童个人信息保护的专项内容。
在此基础上,汽车企业可参考该安全规范设定个人信息保护(含儿童个人信息保护)负责人和个人信息保护工作机构的职责包括但不限于如下内容(如无特别说明,下述各项职责凡提及个人信息均包括儿童个人信息):
(1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
(2)组织制定个人信息保护工作计划并督促落实;
(5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
(6)处理儿童个人信息时以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意;
(7)组织开展个人信息安全培训;
(8)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
(9)公布投诉、举报方式等信息并及时受理投诉举报;
(10)进行安全审计;
(11)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
四、《汽车数据安全管理若干规定(试行)》对组织架构的要求
五、GDPR对组织架构的规定
(一)GDPR简介
GDPR(GeneralDataProtectionRegulation,通用数据保护条例)于2016年4月27日获得欧盟议会与欧盟理事会的通过,并于2018年5月25日执行。GDPR堪称史上最严格的数据保护法案,任何违反GDPR的行为,将会遭致1000万到2000万欧元的罚款,或企业全球年营业额的2%到4%的罚款,以两者中数额最大的为准。
GDPR适用于:1)数据控制者或处理者在欧盟境内的机构所进行的个人数据处理活动,而无论该处理是否发生在欧盟境内;2)非欧盟境内设立的控制者或处理者处理欧盟境内数据主体的个人数据,如果处理活动涉及:向欧盟境内的数据主体提供商品或服务(无论是否发生支付行为),或对数据主体在欧盟内的行为进行监控;和3)设立于欧盟境外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
(二)GDPR关于信息保护的组织架构规定
GDPR的第37、38和39条对DPO的委任、职位和任务进行了详细规定,特别是关于DPO的任职条件、具体职责及其履行职责的独立性等规定与国内对数据安全责任人的规定具有一定的相似性,对于国内法律法规缺损但可由企业自主决定的数据安全管理负责人的选任条件、职责等方面的内容,国内汽车企业可以借鉴和参考引用。
六、构建完善的汽车企业数据合规组织架构的建议
(一)概述
(二)数据合规体系的组织架构设计
1.高层承诺和领导负责制
2.一体化原则
对于汽车企业而言,网络安全是实现其汽车产品智能网联功能的前提条件,而一套安全运行的网络系统也是汽车企业实现其数据(包括个人数据、敏感数据、重要数据)处理功能的基础,因此,在搭建汽车企业的数据合规体系时,应对网络安全、数据安全、个人信息保护综合考虑而不能人为将其割裂开,即汽车汽车企业的合规体系应是包括网络安全、数据(包括车辆运行数据)安全、个人信息保护的一个完整的合规体系。汽车企业在考虑其数据合规体系的组织架构特别是责任部门并指定对口安全负责人时应综合考量,以构建起科学的数据合规组织架构,更好地明确不同层级部门的管理职责和汇报路径,确保企业数据合规管理体系的高效运行。
3.独立性原则
4.专业性原则
虽然征求意见稿还未正式发布施行,安全规范为推荐标准,但二者对数据安全和个人信息保护负责人的任职资质的规定对于企业设定数据安全/个人信息保护负责人和工作机构人员的任职条件具有参考意义,汽车企业可以参考征求意见稿和安全规范的规定设定企业的数据安全/个人信息保护负责人的任职条件,并加以细化;对于数据安全/个人信息保护保护负责人以外的其他关键岗位的人员的任职条件亦可参考上述条件设定。
5.适度趋严原则
随着科技的不断进步,发展智能网联汽车的趋势已成为必然。智能网联汽车不仅将带来汽车行业的重大变革,也将会改变人类的驾驶习惯和生活方式。为推动智能网联汽车行业发展,不断推动和完善与智能网联汽车有关的立法是核心要素之一。今后的立法会越来越规范,而监管部门的执法可能会趋严。为应对这种挑战,智能网联企业在设定其数据合规体系时应按目前法律法规、标准中偏严的规定执行。在数据合规组织架构的构建方面,首先,企业应完整设立法律法规要求和标准推荐的所有的数据合规组织机构;其次,在法律法规、标准规定企业的数据业务触碰特定条件才需设定相应组织机构的情况下,企业如果预判未来可能触碰该等条件的,可提前设立相应的数据合规组织机构。这种对数据合规组织架构趋严的设定一方面可以让企业对可能发生的事件未雨绸缪,另一方面也可提前完成自身完整的数据合规组织架构的构建。
6.数据合规职责设定和人员搭配
(三)其他
第十三条工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;
…………
工业和信息化领域重要数据和核心数据处理者,还应当:
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;
(一)强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。
1.Thecontrollerandtheprocessorshalldesignateadataprotectionofficerinanycasewhere:
(a)theprocessingiscarriedoutbyapublicauthorityorbody,exceptforcourtsactingintheirjudicialcapacity;
(b)thecoreactivitiesofthecontrollerortheprocessorconsistofprocessingoperationswhich,byvirtueoftheirnature,theirscopeand/ortheirpurposes,requireregularandsystematicmonitoringofdatasubjectsonalargescale;or
(c)thecoreactivitiesofthecontrollerortheprocessorconsistofprocessingonalargescaleofspecialcategoriesofdatapursuanttoArticle9orpersonaldatarelatingtocriminalconvictionsandoffencesreferredtoinArticle10.
5.Thedataprotectionofficershallbedesignatedonthebasisofprofessionalqualitiesand,inparticular,expertknowledgeofdataprotectionlawandpracticesandtheabilitytofulfilthetasksreferredtoinArticle39.
6.Thedataprotectionofficermaybeastaffmemberofthecontrollerorprocessor,orfulfilthetasksonthebasisofaservicecontract.
2.Agroupofundertakingsmayappointasingledataprotectionofficerprovidedthatadataprotectionofficeriseasilyaccessiblefromeachestablishment.
7.Thecontrollerortheprocessorshallpublishthecontactdetailsofthedataprotectionofficerandcommunicatethemtothesupervisoryauthority.
6.Thedataprotectionofficermayfulfilothertasksandduties.Thecontrollerorprocessorshallensurethatanysuchtasksanddutiesdonotresultinaconflictofinterests.