- 首页
-
关于我们
-
重要活动
-
会员服务
-
政策法规
-
党的建设
-
行业动态
-
品牌工作
-
专家委员会
会员风采 
当前位置:按
发展电动汽车是落实国家能源战略,大气污染防治计划和节能减排政策的重大战略举措。我国新能源汽车产业已进入规模化快速发展新阶段,作为其产业发展基础的充电基础设施行业也发展迅猛;随之而来的充电基础设施“互联互通”问题也称为行业发展的突出矛盾。部分省市为便于统一管理,便民服务,设置了统一的管理平台,各运营商通过互联互通方式接入该管理平台。
发展平台,合规先行。作为管理平台,要高度注意资质、个人信息保护以及数据合规等方面的管理。
一、经营充电基础设施运营管理平台的资质要求
(一)增值电信业务经营许可证
电信业务分为基础电信业务和增值电信业务,基础电信业务是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务。增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。根据《电信条例》第七条、第八条、《互联网信息服务管理办法》第七条及《电信业务经营许可管理办法》第四条之规定,未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。
充电基础设施运营管理平台属于经营性网站,应依法办理增值电信业务经营许可证,同时应当在其网站主页的显著位置标明其经营许可证编号。
(二)信息系统安全等级保护备案证明
我国对信息系统安全实行等级保护制度,根据《信息安全等级保护管理办法》第七条、第十条规定,信息系统的安全保护等级共分为五级,不同等级的信息系统,保护力度不同。
企业应根据《信息系统安全等级保护定级指南》(有主管部门的,需经主管部门审核批准)确定保护等级,确定保护等级后,需根据等级认定依法履行相关法定职责,如第三级以上的信息系统需定期对信息系统安全等级状况开展等级测评与自查、第二级以上的信息系统应当向市级以上公安机关办理备案手续等。
(三)公安机关备案
根据《计算机信息网络国际联网安全保护管理办法》第十二条规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
任何主体均可通过全国互联网安全管理服务平台查询其是否办理了联网备案。
(四)工商亮照
根据《网络商品交易及有关服务行为管理暂行办法》第十条规定,已经工商行政管理部门登记注册并领取营业执照的法人、其他经济组织或者个体工商户,通过网络从事商品交易及有关服务行为的,应当在其网站主页面或者从事经营活动的网页醒目位置公开营业执照登载的信息或者其营业执照的电子链接标识。
运营充电基础设施管理平台的企业系通过网络提供有关经营性业务,属于上述应当进行工商亮照的范围。
(五)支付业务许可证
根据《非金融机构支付服务管理办法》第三条规定,非金融机构提供支付服务,应当依法取得支付业务许可证。非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务,包括网络支付、预付卡的发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。
企业需根据其运营模式判断是否需办理支付业务许可证,例如:管理平台收到用户支付的费用后,再将该费用支付至运营商账户,运营商向管理平台支付佣金,此时,需分析管理平台向运营商支付该费用是通过何种方式?委托第三方主体支付?还是直接支付?如是直接支付,则属于非金融机构在收付款人之间作为中介机构提供货币资金转移服务,需依法办理支付业务许可证。
公司资质是其持续运营之基础,建议公司梳理其具体的业务类型,依法办理所需资质。
二、数据合规管理
(一)数据收集
结合充电基础设施运营管理平台的业务模式,其收集的数据主要集中在汽车充电过程中涉及的个人信息和汽车数据,不同类型的数据,公司需履行的义务也不同,根据《个人信息保护法》《汽车数据安全管理若干规定(试行)》,个人信息分为一般个人信息及敏感个人信息,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。收集的汽车数据主要集中于汽车充电过程中涉及的数据,其中汽车充电网的运行数据、涉及个人信息主体超过10万人的个人信息等属于重要数据。
根据《个人信息保护法》规定,任何组织、个人收集个人信息应经过个人同意,并告知处理个人信息的种类、方式、途径、保存等;对于敏感个人信息需取得个人的单独同意,且除上述告知事项外,还需告知处理该信息的必要性及对个人权益的影响;根据《网络交易监督管理办法》规定,收集生物特征、个人行踪等敏感信息的,应当逐项取得消费者同意。由此可见,在收集敏感个人信息时,对于每一项敏感信息都应当经过个人单独同意。
实践中,充电基础设施运营管理平台往往会在用户使用该平台前提供用户协议或隐私政策,用户点击同意条款后才能使用,因此,企业在设置用户协议或隐私政策的相关条款时,需披露收集的种类、方式、途径、保存期限等基本事项,且对于需获取用户同意的相关事项,通过加粗加黑等显眼的方式引起用户注意,避免因条款设置不合理存在被认定无效的风险,对于敏感个人信息,避免通过一揽子的方式授权同意,需取得用户的单独同意,如单独设置同意界面或同一用户同意界面设置多个勾选等方式。另外,基于用户同意处理的个人信息,用户有权撤回同意,公司应设置便捷的撤回同意方式,便于用户随时撤回其同意。
(二)数据存储
在数据处理过程中,公司需注意数据存储的方式及期限。
在存储方式中,首先,根据《网络安全法》《汽车数据安全管理若干规定(试行)》规定,重要数据以及关键信息基础设施的运营者在我国境内收集的个人信息应当在境内存储,确需向境外提供的,需根据法律规定依法进行安全评估;其次,对于重要数据需采取备份等措施予以管理,关键信息基础设施的运营者对重要系统和数据库还应当进行容灾备份;另外,根据《个人信息保护法》规定,个人信息处理者根据处理的个人信息情况可以采取相应的加密、去标识化等安全技术措施,保障信息安全。
在存储时间方面,根据《网络安全法》《个人信息保护法》《网络交易监督管理办法》,个人信息保护影响评估报告和处理情况记录应当至少保存三年(处理敏感个人信息需事前进行个人信息保护影响评估);网络日志保存期限不少于六个月;对充电基础设施供应商信息的保存时间自其退出平台之日起不少于三年;对服务信息及支付记录等交易信息的保存时间为自交易完成之日起不少于三年。另外,各地对充换电和运营数据进行采集和存储的保存期限存在特殊规定,江苏规定不低于5年,上海、福建、重庆规定不低于2年。
不同类型的数据信息,存储方式及期限也存在差异,有法律规定的,企业在设置保存期限时应不低于法律规定的最低期限,没有法律规定且个人信息主体也未明确要求的,企业应结合信息处理活动所必需的最短时间来保存数据信息。
(三)数据的使用
实践中,部分平台在处理个人信息时,可能存在与相关合作方共同处理、委托处理以及基于业务协同需求,向其他方提供个人信息的情形,针对不同的处理方式,公司需注意及履行的义务不同。
根据《个人信息保护法》规定,共同处理是指两个以上的个人信息处理者共同决定个人信息的处理,在该法律关系中,共同处理者之间承担连带责任;委托处理是指公司委托第三方处理个人信息,受托方在委托范围内处理个人信息,双方为委托法律关系,应遵守委托关系的基本规定;向其他方提供个人信息,是指公司基于业务模式将其收集的个人信息提供给其他方,公司在实施该行为前,需取得用户的单独同意,同时向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
结合上述三类行为的具体特征,公司需注意:在共同处理中,应慎重选择合作方,通过书面形式明确双方在各部分应承担的责任及后续的追责问题;在委托处理中,应提前就委托事项予以明确约定,且委托事项结束后应确保受托人对所掌握的个人信息均已完全删除,保证其提供的个人信息不被泄露;公司基于业务模式需向其他方提供个人信息的,需取得用户的单独同意,避免通过一揽子告知同意的方式取得用户同意,同时告知事项应全面、明确。
(四)公司管理制度
除了上述数据处理过程中需注意的要点外,企业在具体运营中还需通过制定相关制度规范企业运营行为,根据《数据安全法》《网络安全法》《个人信息保护法》等规定,企业主要需从以下几方面考虑设置相关制度。
1.网络/个人信息安全事件应急预案
为了更好的防护网络运营,防止病毒攻击,企业应当建立安全事件应急预案,并定期组织员工进行安全应急培训与演练,以备不时之需。
2.制定内部安全管理制度
企业制定内部安全管理制度中,可以考虑将以下几方面内容纳入其中,第一,设置公司安全管理部门及安全管理负责人,并明确其权限与职责;第二,结合实践中存在的风险,设计员工操作规范;第三,规定内部安全教育与培训等。建议企业结合业务运营模式多方位考虑安全管理制度的内容设计。
3.用户信息保护制度
企业收集用户信息后,有义务保证该用户信息不被泄露,因此,企业对所收集的用户信息应进行严格管理,加强防护策略部署,对数据处理的不同阶段提供对应的技术手段予以防护,如匿名化、加密、去标识化等。
4.网络信息安全投诉、举报制度
企业应当公布投诉、举报的相关途径及方式,及时处理相关网络信息安全投诉与举报,并在制度中对处理时限作出规定,保证信息处理的及时性与有效性。
5.分类分级管理制度
无论从合规角度还是企业管理效率方面,企业都有必要对掌握的数据进行分类分级,首先是明确目前所掌握、处理的所有数据,可以先从宏观角度分析收集的哪些数据是非必要的,并去除非必要信息;其次,在分类分级管理中,要着重注意敏感个人信息与重要数据的处理方式,对不同类别的信息,应采取不同的管理模式与保护措施予以管理,企业在设计数据类别时可参照相关国家标准。
6.个人信息收集、使用规则
根据法律规定,企业在收集、使用个人信息、敏感个人信息、重要数据等时,需履行的义务存在一定偏差,公司需根据法律规定设置合法合理的收集、使用规则,如应在规则中明确个人信息处理者的名称或者姓名和联系方式、处理目的、处理方式,处理的个人信息种类、保存期限、个人行使权利的方式和程序等。
结合我国目前关于数据合规领域的法律规定,涉及数据保护的规定相对多而杂,企业需把握数据合规整体脉络,根据法律规定不断完善内部数据合规管理,保障用户权益,严格把握数据处理与保护个人隐私之间的尺度。
文 | 王晓婕
阳光时代
新能源事业部律师