Chinas neue Richtlinien für den Export von Fahrzeugdaten: Wie sich Automobilhersteller vorbereiten sollten
Das Ministerium für Industrie und Informationstechnologie (MIIT) hat zusammen mit mehreren anderen Regierungsabteilungen neue Leitlinien, die die Regeln und Anforderungen für Unternehmen in der Automobilindustrie, um wichtige Daten und persönliche Informationen (PI) außerhalb Chinas zu exportieren.
Während die Datenexportvorschriften für Unternehmen in der Automobilindustrie die gleichen sind wie für Unternehmen in anderen Industriesektoren, sind die Leitlinien, offiziell die Leitlinien für die Sicherheit des grenzüberschreitenden Transfers von Fahrzeugdaten (Ausgabe 2026) bieten spezifische Definitionen und Szenarien im Zusammenhang mit der Automobilindustrie, die Unternehmen helfen, besser zu erkennen, ob sie den Daten- und PI-Exportvorschriften Chinas unterliegen und wie sie erkennen können, welche Daten ohne Durchführung bestimmter Compliance-Verfahren nicht exportiert werden dürfen.
Wichtige Erkenntnisse für ausländische Autounternehmen
- Hohe Wahrscheinlichkeit der Verarbeitung „wichtiger Daten“: Aufgrund der Natur der heutigen Automobil-F&E und Fertigung sowie in Bereichen wie vernetzte Fahrzeugsysteme und autonome Fahrtechnologien ist es sehr wahrscheinlich, dass ausländische Autounternehmen „wichtige Daten“ verarbeiten, was die strengsten Datenexportverfahren auslöst, die eine Datensicherheitsbewertung für den Export umfassen.exportverfahren, die eine Datensicherheitsbewertung für den Export umfassen.
- Umständliche und kostspielige Compliance: Grenzüberschreitende Datenübertragungen erfordern mehrere Schritte, Datenidentifikation, interne Bewertungen und behördliche Prüfungen, was den Prozess ressourcenintensiv macht, insbesondere für Unternehmen mit einem breiten Tätigkeitsbereich über mehrere Tochtergesellschaften hinweg.
- Frühzeitige Vorbereitung ist entscheidend: Unternehmen sollten frühzeitig mit den Compliance-Vorbereitungen beginnen und spezialisierte externe Unterstützung in Betracht ziehen, um eine reibungslose Umsetzung sicherzustellen und kostspielige Verzögerungen oder Konsequenzen bei Nichteinhaltung zu vermeiden.
- Automobilindustrie unter genauerer Beobachtung: Obwohl die Leitlinien wenig grundlegend Neues einführen, signalisieren sie, dass die Automobilindustrie ein vorrangiger Sektor für die Regulierungsbehörden bleibt und Verstöße in diesem Bereich eher Aufmerksamkeit erregen.
- Weitere Sektoren werden voraussichtlich folgen: Es wird erwartet, dass die Automobilindustrie nur die erste von mehreren kritischen Branchen ist, die detaillierte Leitlinien erhalten. Zusätzliche Vorschriften und Richtlinien werden für 2026 erwartet, was bedeutet, dass Unternehmen in anderen Sektoren ebenfalls die Datenverwaltung stärken und sich auf erhöhte Compliance-Erwartungen vorbereiten sollten.
Auf wen beziehen sich die Datenexportregeln?
Die Leitlinien klären, dass die Regeln für alle „Fahrzeugdatenverarbeiter“ gelten, die „Fahrzeugdaten“ exportieren.
Fahrzeugdaten werden definiert als entweder PI oder wichtige Daten, die in Prozessen wie dem Design, der Produktion, dem Verkauf, der Nutzung und der Wartung von Fahrzeugen involviert sind.
Fahrzeugdatenverarbeiter sind unterdessen Organisationen und Einzelpersonen, die unabhängig die Methode und den Zweck der Datenverarbeitung im Rahmen der Durchführung von Fahrzeugdatenverarbeitungsaktivitäten bestimmen. Dazu gehören Hersteller, Komponenten- und Softwarelieferanten, Telekommunikationsanbieter, Anbieter von autonomen Fahrdiensten, Plattformbetreiber, Händler, Wartungsorganisationen und Mobilitätsdienstleister. Im Folgenden werden sie als „Autounternehmen“ oder „Unternehmen“ bezeichnet.
Exportunternehmen
Autounternehmen, die Fahrzeugdaten außerhalb Chinas exportieren und eines der folgenden Kriterien erfüllen, gelten als Exportunternehmen:
- Fahrzeugdaten, die während des Betriebs in China gesammelt oder generiert wurden, ins Ausland übertragen;
- Wo Fahrzeugdaten, die von Auto-Prozessoren gesammelt und generiert werden, im Ausland gespeichert werden und ausländische Institutionen, Organisationen oder Einzelpersonen diese Daten im technischen Sinne durchsuchen, abrufen, herunterladen und exportieren können.
- Andere Datenverarbeitungsaktivitäten wie die Verarbeitung der PI natürlicher Personen in China von außerhalb Chinas zum Zweck der Bereitstellung von Produkten oder Dienstleistungen für Personen in China oder zur Analyse oder Bewertung des Verhaltens natürlicher Personen in China.
Schwellenwerte für die Auslösung von Compliance-Verfahren
Unter Chinas Gesetz zum Schutz persönlicher Informationen (PIPL) und seine Durchführungsbestimmungen erfordern, dass Unternehmen, die die PI einer großen Anzahl von Personen verarbeiten, entweder eine PI-Exportunterbewertung, eine höhere Compliance-Hürde, durchlaufen oder sich entscheiden, entweder einen Standard-PI-Exportvertrag mit dem ausländischen Empfänger abzuschließen oder eine PI-Exportunterzertifizierung durch eine akkreditierte Drittinstitution durchzuführen.
Die Schwellenwerte für die Auslösung einer der beiden Compliance-Stufen für Automobilunternehmen sind die gleichen wie für Unternehmen in anderen Branchen, wie in der folgenden Tabelle zusammengefasst.
Compliance-Anforderungen für den Export von Fahrzeugdaten | |
|---|---|
| Müssen eine Datensicherheitsbewertung für den Export durchführen | Müssen einen Standardvertrag unterzeichnen oder eine Datensicherheitszertifizierung für den Export durchlaufen |
| Unternehmen, die wichtige Daten* ins Ausland bereitstellen | Unternehmen, die seit dem 1. Januar des laufenden Jahres die PI von zwischen 100.000 und bis zu (nicht einschließlich) 1 Million Menschen exportiert haben**, ohne sensible PI |
| Unternehmen, die seit dem 1. Januar des laufenden Jahres die PI von einer Million Menschen oder mehr exportiert haben**, ohne sensible PI | Unternehmen, die seit dem 1. Januar des laufenden Jahres die sensiblen personenbezogenen Daten von weniger als 10.000 Personen exportiert haben |
Unternehmen, die seit dem 1. Januar des laufenden Jahres die sensiblen personenbezogenen Daten von 10.000 oder mehr Personen exportiert haben | |
Betreiber kritischer Informationsinfrastrukturen |
|
Andere in nationalen Vorschriften festgelegte Umstände |
|
| * Wo die Erhebung und Kartierung geografischer Informationsdaten räumliche Koordinaten, Bilder, Punktwolken und deren Attributinformationen umfasst, müssen die Einheiten rechtmäßig die Genehmigung einholen oder die Kartenüberprüfungsprozesse erfüllen, bevor sie den Datensicherheitsbewertungsprozess für den Export einreichen. ** Deduplizierte Daten basierend auf der Anzahl natürlicher Personen. | |
Ausnahmen
Unternehmen, die unter die oben genannten Schwellenwerte fallen – das heißt, jede Einheit, die keine CIIOs sind und die personenbezogenen Daten von weniger als 100.000 Personen seit dem 1. Januar des laufenden Jahres exportiert haben – müssen keine zusätzlichen Compliance-Verfahren durchlaufen, um die Daten außerhalb Chinas exportieren zu können.
Darüber hinaus gibt es eine Reihe anderer Szenarien, unter denen Unternehmen Daten frei exportieren können, die als Mittel zur Reduzierung der Compliance-Belastung für Unternehmen eingeführt wurden. Diese sind:
- Wo Fahrzeugdaten, die im Ausland gesammelt und generiert wurden, zur Verarbeitung nach China übertragen und dann wieder ins Ausland exportiert werden, ohne dass während der Verarbeitung personenbezogene oder wichtige Daten aus China eingeführt werden;
- Wo es notwendig ist, personenbezogene Daten ins Ausland zu übermitteln, um Verträge abzuschließen und zu erfüllen, bei denen eine Einzelperson Partei ist, wie z.B. grenzüberschreitende Fahrzeugkäufe, Lieferungen, Zahlungen und Kontoanmeldungen;
- Wo es notwendig ist, die personenbezogenen Daten von Mitarbeitern im Rahmen der Umsetzung eines grenzüberschreitenden Personalmanagements gemäß gesetzlich festgelegten Arbeitsvorschriften und kollektiv vereinbarten Verträgen ins Ausland zu übermitteln;
- Notfallsituationen, in denen es notwendig ist, personenbezogene Daten ins Ausland zu übermitteln, um die Sicherheit des Lebens, der Gesundheit und des Eigentums natürlicher Personen zu gewährleisten;
- Einheiten, die in Freihandelszonen registriert sind und die relevanten Anforderungen der FTZ erfüllen, die Daten exportieren, die nicht in derrelevante Negativlisten;
- Aufgrund der Notwendigkeit, Sicherheitslücken zu beheben, hat die Einheit die Sicherheitslückendaten dem Ministerium für Industrie und Informationstechnologie (MIIT) gemäß den relevanten Anforderungen derVorschriften über das Management von Sicherheitslücken in Netzwerkprodukten;
- Wo Einheiten zur Behandlung von Sicherheitsvorfällen Daten über den Sicherheitsvorfall in Bezug auf Automobilprodukte, Fahrzeug-zu-Alles-Plattformen und verwandte Systeme dem MIIT und den relevanten Branchenaufsichtsbehörden gemäß den Notfallplänen für Cybersecurity- und Datensicherheitsvorfälle gemeldet haben; und
- Quellcode, der den OTA-Software-Update-Paketen entspricht, die der Automobildatenverarbeiter bei der Staatlichen Verwaltung für Marktregulierung (SAMR) gemäß den relevanten Anforderungen derVorschriften über das Management von Rückrufen fehlerhafter Automobilprodukte, wo eine solche Einreichung notwendig ist, um Mängel in Automobilprodukten zu beseitigen oder Rückrufe durchzuführen.
Cybersecurity-Vorfälle sollten gemäß demNotfallplan für Cybersecurity-Vorfälle im öffentlichen Internet, während Datensicherheitsvorfälle gemäß demNotfallplan für Datensicherheitsvorfälle im Industrie- und Informationstechnologiesektor (Versuch).
Beachten Sie, dass alle oben genannten personenbezogenen Daten keine wichtigen Daten enthalten.
Bestimmung wichtiger Daten
Der Leitfaden bietet eine umfassende Aufschlüsselung der Szenarien, unter denen verschiedene Arten von Daten in der Automobilindustrie als „wichtig“ eingestuft werden können, sowie eine Beschreibung der Regeln
Wichtig ist, dass dies kein Katalog von „wichtigen Daten“ innerhalb der Automobilindustrie ist; vielmehr ist es ein Katalog der Szenarien und Regeln zur Bestimmung, ob bestimmte Daten als „wichtig“ angesehen werden. Die Szenarien umfassen Situationen, in denen die Daten mit Waren und Technologien in Verbindung stehen, die den Exportkontrollvorschriften unterliegen, sowie Daten, die sensible geografische Bereiche wie militärische oder staatliche Einrichtungen betreffen könnten.
Der Katalog ist in sechs verschiedene Bereiche entlang der Wertschöpfungskette der Automobilindustrie unterteilt:
- F&E und Design
- Produktion und Fertigung
- Fahrautomatisierung
- Software-Upgrade-Dienste
- Netzbetrieb
- Andere Szenarien
Nachfolgend ein Beispiel der Tabellen zur Bestimmung, ob Automobildaten als wichtig angesehen werden.
| Feld | Datentyp | Anwendbare Regeln |
|---|---|---|
| Produktion F&E(Einheiten, die Stücklisten, F&E-Design-Dokumente und Entwicklungs-Quellcodedaten während des Prozesses der Integration globaler F&E-Ressourcen und der kollaborativen Produktentwicklung und -gestaltung sammeln und generieren.) | Konstruktionsstückliste (BOM): Liste der Rohmaterialien, Komponenten oder Baugruppen, die in der Entwurfsphase benötigt werden, einschließlich Materialangaben, Mengen, hierarchischer Beziehungen usw.; Formulierungsschemata, chemische Formeln und Materialmengen für Schlüsselmaterialien wie positive und negative Elektrodenaktivmaterialien, Elektrolyt, Separator und Binder in Batterien. | Relevante Daten, die erfüllen jede der folgenden Bedingungen erfüllen: 1. Werden von nationalen Großprojekten oder nationalen Schlüssel-Forschungs- und Entwicklungsprogrammen unterstützt; 2. Erfüllen Sie relevante technische „Schlüsselkontrollpunkte“ in den Katalog der in China verbotenen und eingeschränkten Technologien für den Export; oder 3. Beziehen sich auf Elemente, die in den Exportkontrollliste für Dual-Use-Güter der Volksrepublik China. |
Herstellung (Einheiten, die Stücklisten und Quellcode für Produktionssteuerungsprogramme während des Automobilherstellungsprozesses sammeln und generieren.) | Stückliste für Automobilprodukte, Teile oder Komponenten; F&E-technische Lösungen für Antriebsbatterien, einschließlich Prozessparametern und Prozessfensterbereichen für Kernprozesse wie Elektrodenvorbereitung, Montage, Elektrolyteinjektion, Formierung und Kapazitätstests. | |
Automobilfahren (Einheiten, die algorithmische, Trainings- und Merkmalsdaten während der Entwicklung, Bereitstellung und Anwendung von kombinierten Fahrerassistenz- oder autonomen Fahrfunktionen sammeln und generieren) | Fahrerentscheidungsdatensätze, die verwendet werden, um kombinierte Fahrerassistenz- oder autonome Fahralgorithmusmodelle zu trainieren und zu validieren, einschließlich Getriebepositionsinformationen, Gaspedalöffnung, Bremspedalöffnung, Lenkradwinkel usw. | Wenn sie mit externen Echtzeit-Bild- und Radardaten integriert sind, Daten, die erfüllen jede eines der folgenden Kriterien:
|
Software-Upgrade-Dienste (Quellcode für ein Softwarepaket, das es Einheiten ermöglicht, Fahrzeugsicherheits- und Batteriemanagementfunktionen aufzurüsten) | Quellcode, der dem Softwarepaket für die Aufrüstung von sicheren Fahr- und Batteriemanagementfunktionen entspricht | Daten, die erfüllen alle der folgenden Bedingungen:
|
Netzbetrieb (Einheiten, die während des Betriebs von vernetzten Fahrzeugen die folgenden Daten sammeln und generieren: Fahrzeug-Identifikationsnummern, Telematik-Kartenkennungen, Fahrzeugschlüssel, Fahrzeugdigitale Zertifikate und Steuerbefehle) | Originale Fahrzeug-Identifikationsnummer (VIN), de-identifizierte und reversible VIN | Daten, die die folgenden Kriterien erfüllen: Einheiten, die seit dem 1. Januar des laufenden Jahres Informationen an ausländische Einheiten bereitgestellt haben, die in Kombination mit anderen exportierten Daten die persönlichen Identitäten von insgesamt 1 Million Menschen oder mehr identifizieren können. |
Prozess für den Datenexport
Der Prozess für Auto-Unternehmen, Daten aus China zu exportieren, ist derselbe wie für Unternehmen in anderen Branchen.
Bevor der Prozess beginnt, sollten Unternehmen einen wichtigen Datenkatalog erstellen und ihn bei der lokalen Industrieaufsichtsbehörde einreichen, wie in den Maßnahmen für das Datenmanagement in der Industrie- und Informationstechnologiebranche (Versuch). Der Katalog kann im Einklang mit den Richtlinien zur Klassifizierung wichtiger Daten in diesen Maßnahmen sowie den offiziellen Standards [GB/T 43697-2024] mit dem Titel Regeln für die Datenklassifizierung und -einstufung.
Schritt 1: Datenidentifikation
Auf der Grundlage des wichtigen Datenkatalogs müssen Unternehmen identifizieren, welche Daten sie verarbeiten, die ein strengeres Compliance-Verfahren einer Exportsicherheitsbewertung erfordern, und welche das Unternehmen einen Standardvertrag unterzeichnen oder eine PI-Exportzertifizierung durchlaufen müssen. Erst nach Abschluss dieses Schrittes können sie zu Schritt 2 oder 3 übergehen.
Schritt 2: Durchführung einer Exportsicherheitsbewertung von Daten (falls zutreffend)
Für alle identifizierten Daten, die eine Sicherheitsbewertung erfordern, muss das Unternehmen die Bewertung über seine inländische Rechtsperson durchführen und einreichen. Die Anforderungen für die Durchführung der Bewertung sind in den Maßnahmen zur Exportsicherheitsbewertung von Daten.
Unternehmen müssen auch eine Selbstbewertung der Risiken des Datenexports durchführen und alle identifizierten Risiken gemäß den Maßnahmen zur Exportsicherheitsbewertung von Daten, die Vorschriften zur Förderung und Standardisierung grenzüberschreitender Datenflüsse, und die Richtlinien für die Anwendung der Exportsicherheitsbewertung von Daten (Dritte Ausgabe), und die Materialien an die CAC einreichen.
Wenn die Datenausfuhrsicherheitsbewertung bestanden wird, kann das Unternehmen dann die Datenausfuhrtätigkeiten durchführen. Wenn jedoch eine Situation auftritt, die die Sicherheit der exportierten Daten beeinträchtigen könnte, muss eine neue Bewertung eingereicht werden.
Schritt 3: Unterzeichnung eines Standardvertrags oder Durchführung einer Datenausfuhrsicherheitszertifizierung (falls zutreffend)
Für Daten, die unterhalb der Schwelle für eine vollständige Sicherheitsbewertung liegen, aber dennoch nicht von den Compliance-Verfahren ausgenommen sind, können Unternehmen entweder einen Standardvertrag unterzeichnen oder eine Drittanbieter-Datenausfuhrsicherheitszertifizierung durchführen lassen.
Standardvertragsweg
Um einen Standardvertrag zu unterzeichnen, müssen Unternehmen zunächst eine Datenschutz-Folgenabschätzung (PIPIA) im Einklang mit den Maßnahmen für Standardverträge für den grenzüberschreitenden Transfer personenbezogener Daten (die Standardvertragsmaßnahmen) und die Richtlinien für die Einreichung von Standardverträgen für den grenzüberschreitenden Transfer personenbezogener Daten (Zweite Ausgabe). Das Unternehmen kann dann einen Standardvertrag für den grenzüberschreitenden Transfer personenbezogener Daten mit dem ausländischen Empfänger der Daten unterzeichnen, der mit den Inhalten der offiziellen Vorlage der Standardvertragsmaßnahmen übereinstimmen muss.
Unternehmen können die Datenausfuhrtätigkeit erst aufnehmen, nachdem der Standardvertrag in Kraft getreten ist. Innerhalb von 10 Tagen nach Inkrafttreten des Vertrags muss das Unternehmen auch die erforderlichen Materialien beim lokalen provinziellen Cybersicherheitsbüro einreichen, einschließlich des Standardvertrags, der PIPIA, und Dokumente in Bezug auf das Unternehmen und seine gesetzlichen Vertreter.
Wenn alle Materialien die Anforderungen erfüllen, erhält das Unternehmen eine Registrierungsnummer. Wenn jedoch Umstände in den Materialien gefunden werden, die die Rechte der Inhaber personenbezogener Daten beeinträchtigen könnten, muss das Unternehmen eine neue PIPIA durchführen und einen neuen Standardvertrag unterzeichnen und diese erneut einreichen.
Route der Datenausfuhrsicherheitszertifizierung
Wenn das Unternehmen sich für eine Drittanbieter-Datenausfuhrsicherheitszertifizierung entscheidet, muss es zunächst eine PIPIA durchführen und Risiken gemäß den Maßnahmen zur Zertifizierung des grenzüberschreitenden Transfers personenbezogener Daten. Das Unternehmen kann dann die Zertifizierung von einer qualifizierten professionellen Zertifizierungsstelle beantragen, mit der es während des gesamten Zertifizierungsprozesses zusammenarbeiten muss. Erst nach Bestehen der Zertifizierung kann das Unternehmen mit dem Export der betreffenden Daten beginnen. Wenn die Exporttätigkeit zu irgendeinem Zeitpunkt die Zertifizierungsanforderungen nicht mehr erfüllt, muss das Unternehmen eine neue PIPIA durchführen und erneut die Zertifizierung beantragen.
Beachten Sie, dass die Zertifizierung von professionellen Institutionen durchgeführt werden muss, die offizielle Qualifikationen für die Zertifizierung des Schutzes personenbezogener Daten erhalten haben. Derzeit haben nur drei Institutionen genehmigt um die Datenausfuhrzertifizierung durchzuführen: China Cybersecurity Review, Authentication and Market Supervision Big Data Center, Cyberspace Administration of China (CAC) Data and Technology Support Center und Beijing CESI Certification Co., Ltd.
Sicherheitsanforderungen für den Datenausfuhr
Zusätzlich zu den spezifischen Compliance-Verfahren für den Export von Fahrzeugdaten und verwandten personenbezogenen Daten müssen Autohersteller auch eine Reihe von zusätzlichen administrativen, systemischen, technischen und prozeduralen Anforderungen erfüllen, um die Sicherheit der Daten während des gesamten Exportprozesses zu gewährleisten.
Managementanforderungen
Management und Personal
Autohersteller sind verpflichtet, eine Abteilung für das Management der Fahrzeugdatenausfuhr einzurichten, um das Sicherheitsmanagement der Datenausfuhr zu koordinieren und zu fördern sowie die Umsetzung der relevanten Managementanforderungen für die Datenausfuhr zu überwachen und zu inspizieren. Sie müssen auch eine Person benennen, die für die Sicherheit der Fahrzeugdatenausfuhr verantwortlich ist, um die Datenausfuhrtätigkeiten und die ergriffenen Schutzmaßnahmen zu überwachen und für die Sicherheit der Datenausfuhrtätigkeiten verantwortlich zu sein.
System und Genehmigung
Unternehmen müssen Systemanforderungen für Cybersicherheit, Datensicherheit und den Schutz personenbezogener Daten festlegen und spezifische Anforderungen für das Sicherheitsmanagement der Fahrzeugdatenausfuhr spezifizieren.
Sie müssen auch einen internen Registrierungs- und Genehmigungsmechanismus für den Fahrzeugdatenausfuhr einrichten, Genehmigungsbefugnisse und -prozesse festlegen und Genehmigungsmaterialien organisieren und archivieren.
Technische Anforderungen
Sicherheit für grenzüberschreitende Datenübertragung
Unternehmen müssen die folgenden Schutzmaßnahmen umsetzen:
- Verifikationstechniken, kryptografische Technologien, sichere Übertragungskanäle oder sichere Übertragungsprotokolle einsetzen, um die Vertraulichkeit und Integrität von Fahrzeugdaten während der grenzüberschreitenden Übertragung sicherzustellen.
- Sicherstellen, dass Systeme, die an der grenzüberschreitenden Übertragung von Fahrzeugdaten beteiligt sind, die Fähigkeit haben, die Identität der ausländischen Datenempfänger zu authentifizieren und die Echtheit ihrer Anmeldeinformationen zu gewährleisten.
Überwachung und Inspektion der grenzüberschreitenden Datensicherheit
Unternehmen müssen die Sicherheitsüberwachung von Netzwerkkommunikationen, Host- oder Systemoperationen während der grenzüberschreitenden Datenübertragung durchführen und Sicherheitswarnprotokolle generieren und aufbewahren.
Darüber hinaus müssen Plattformen oder Systeme, die die direkte grenzüberschreitende Übertragung von Fahrzeugdaten unterstützen, über die technischen Fähigkeiten zur grenzüberschreitenden Dateninspektion verfügen, den mit der Datenübertragung verbundenen Netzwerkverkehr aufzeichnen und gleichzeitig die Datenmanipulationssicherheit und Inhaltsanalyse unterstützen.
Für die vollständige Aufbewahrung müssen ausgehende Netzwerkkommunikationsverkehrsaufzeichnungen basierend auf Start- und Endzeit für einen Zeitraum von einer Woche aufbewahrt werden. Für die stichprobenartige Aufbewahrung muss das System die Aufbewahrung ausgehender Netzwerkkommunikationsverkehrsaufzeichnungen basierend auf Start- und Endzeit und IP-Adressbereich unterstützen, mit einer Aufbewahrungsfrist von mindestens einem Monat.
Protokollanforderungen
Netzwerkverkehrsprotokolle
Unternehmen müssen Netzwerkkommunikationsaktivitäten aufzeichnen, die die grenzüberschreitende Übertragung von Automobildaten betreffen. Aufzeichnungen müssen mindestens enthalten: Datum, Uhrzeit, Quell-IP-Adresse, Ziel-IP-Adresse, Quellport, Zielport, Transportschichtprotokoll, Anwendungsschichtprotokoll und Datenvolumen. Diese müssen in Netzwerkverkehrsprotokolle zur Aufbewahrung zusammengefasst werden.
Betriebsaktivitätsprotokolle
Automobildatenverarbeiter müssen Betriebsaktivitäten von Hosts aufzeichnen, die Automobildaten direkt ins Ausland übertragen. Dies sollte Benutzerinformationen, Betriebszeit, Betriebsziel, Betriebstyp, Login-IP, Geräteinformationen, Betriebsergebnis und Änderungen der Datenzugriffsberechtigungen umfassen. Betriebsaktivitätsprotokolle müssen erstellt und aufbewahrt werden.
Protokollaufbewahrung
Unternehmen müssen Netzwerkverkehrsprotokolle, Betriebsverhaltensprotokolle und Sicherheitswarnprotokolle auf manipulationssichere Weise für einen Zeitraum von mindestens drei Jahren aufbewahren.
Protokollprüfung
Unternehmen müssen Netzwerkverkehrsprotokolle, Betriebsaktivitätsprotokolle und Sicherheitswarnprotokolle prüfen. Bei der Erkennung von Sicherheitsrisiken wie unbefugten Operationen müssen sie schnell reagieren und das Problem beheben.
Anforderungen an die Notfallreaktion
Unternehmen müssen Fähigkeiten entwickeln, um unbefugte grenzüberschreitende Übertragungen von Automobildaten zu adressieren. Bei der Erkennung von abnormalem Verhalten müssen sie Abhilfemaßnahmen ergreifen und den Vorfall den zuständigen lokalen Industrieaufsichtsbehörden melden, wie erforderlich.
Siehe auch die Vorschriften zur Meldung von Cybersecurity-Vorfällen für Unternehmen in China.
Überlegungen für ausländische Autohersteller
Angesichts des breiten Umfangs von Daten und Verarbeitungsaktivitäten, die unter Chinas Regeln für grenzüberschreitende Datenübertragungen fallen, müssen sich ausländische Autohersteller oder Designer mit Aktivitäten im Land den oft umständlichen Compliance-Verfahren für den Datenexport unterziehen. Darüber hinaus besteht in dieser Branche eine hohe Wahrscheinlichkeit, dass Daten in die Kategorie „wichtig“ fallen und somit das höchste Sicherheitsniveau, die Sicherheitsbewertung für den Datenexport, auslösen. Unternehmen, die Automobil-F&E-Systeme, Softwaredienste und Plattformen für autonomes Fahren einsetzen, sollten die Datenklassifizierungsregeln sorgfältig prüfen, da sie aufgrund der Natur ihrer Aktivitäten höchstwahrscheinlich mit wichtigen Daten umgehen, aber jedes Unternehmen in der Branche könnte sich in dieser Position befinden.
Aufgrund der zahlreichen Schritte – von der Datenidentifikation über interne Datenfolgenabschätzungen bis hin zu Sicherheitsbewertungen – kann der Prozess ziemlich belastend und kostspielig werden, insbesondere für große Unternehmen mit Aktivitäten in einer Vielzahl von Bereichen und Tochtergesellschaften. Unternehmen sollten daher frühzeitig aktiv werden und in Betracht ziehen externe Hilfe in Anspruch nehmen um sicherzustellen, dass Verfahren reibungslos ausgeführt werden.
Obwohl die in den Richtlinien bereitgestellten Informationen nicht strikt neu sind, senden sie ein Signal an Unternehmen, dass die Automobilindustrie ein prioritärer Sektor ist und möglicherweise genau auf Verstöße überwacht wird, was die Bedeutung der Compliance für Unternehmen weiter unterstreicht.
Aus diesem Grund ist es wahrscheinlich, dass die Automobilindustrie nur der erste von mehreren kritischen Sektoren ist, die eine Richtlinienbehandlung erhalten werden. Weitere Entwürfe von Vorschriften und Richtlinien werden voraussichtlich im Laufe des Jahres 2026 veröffentlicht, sodass Unternehmen in anderen Branchen steigende Compliance-Erwartungen antizipieren und Schritte unternehmen sollten, um Compliance-Verfahren in den Betrieb zu integrieren, um den bestehenden Vorschriften zur Datensicherheit und zum Schutz personenbezogener Daten zu entsprechen.
-
Was ist Brandbekämpfung und wie implementiert man effektive Lösungen für Sicherheit und Prävention? -
Verkauf von Agrarprodukten nach China: Strengere Rückverfolgbarkeits- und Compliance-Regeln ab dem 15. Dezember
-
Verwendung von Gesichtserkennung in China – Neuer Leitfaden zur Einreichung bei der lokalen CAC
-
Chinas Solarzellen-Exportboom: Industrielle Einblicke unter neuen globalen Vertriebswegen
-
Analyse der zukünftigen Prognosetrends für Chinas Autoexporte im Jahr 2025
-
Erschwinglicher CNC-Fräser 6090: Ein strategischer Leitfaden für die Bearbeitung von Acryl, Aluminium und MDF
-
Art 3050 5-Achsen-CNC-Fräse: Ein strategischer Leitfaden für Holz- und Schaumstoffhersteller
-
Top 10 globale CNC-Maschinenhersteller: Ein strategischer Leitfaden für B2B-Käufer
-
Der Käuferleitfaden 2026 für tragbare Faserlaser-Reinigungsmaschinen
-
Industrielle CNC-Stoffschneidemaschinen: Ein Einkaufsführer für Präzision und Effizienz
-
Der ultimative Leitfaden zu CNC-Holzbearbeitungsmaschinen: Kosten und Auswahl
-
Leistungsstarker 3040 CNC-Fräser: Eine vielseitige Maschine für die Mehrmaterialfertigung
-
Ist eine Desktop-CNC-Fräsmaschine ihr Geld wert? Vorteile, Nachteile & Entscheidungsleitfaden
-
Präzisions-Räummaschinen für Flansch-Innenringzahnräder: Ein Einkaufsführer
-
Warum mRNA-Impfstoffe die Zukunft der Onkologie vollständig umschreiben werden