文/ 本刊記者 甄文媛

一系列熱點事件讓汽車數(shù)據(jù)安全進入公眾視野，汽車數(shù)據(jù)安全管理已經(jīng)成為政府監(jiān)管和產(chǎn)業(yè)發(fā)展的重要挑戰(zhàn)?！镀嚁?shù)據(jù)安全管理若干規(guī)定（試行）》將有力促進數(shù)據(jù)依法合理有效利用和產(chǎn)業(yè)高質(zhì)量發(fā)展。

汽車數(shù)據(jù)安全治理加碼

日增至少10TB/輛。

智能網(wǎng)聯(lián)汽車每日產(chǎn)生、收集和利用的龐大數(shù)據(jù)量，在讓車輛更懂“你”、更好用的同時，也暗藏一系列從國家到個人的安全風險，亟待政策法規(guī)的監(jiān)管與治理?？焖僭鲩L的智能汽車保有量還在放大這些問題。預計 2025 年，國內(nèi)L2、L3 級（在特定環(huán)境中實現(xiàn)部分自動駕駛的操作）智能網(wǎng)聯(lián)汽車銷量有望占全部汽車銷量的 50%。

從全球看，數(shù)據(jù)安全治理已經(jīng)進入立法高峰期，整體數(shù)據(jù)監(jiān)管態(tài)勢趨嚴。有統(tǒng)計數(shù)據(jù)顯示，截至今年5個月，全球超過140個國家和地區(qū)制定隱私和數(shù)據(jù)保護相關的法律法規(guī)。

在國內(nèi)，近兩年特別是近期，一系列熱點事件讓智能汽車數(shù)據(jù)安全問題進入公眾視野。今年4月的特斯拉女車主維權(quán)事件暴露數(shù)據(jù)安全監(jiān)管問題，7月的滴滴APP被下架事件更是引發(fā)各方關注和熱議。

相關立法和監(jiān)管部門對汽車數(shù)據(jù)安全的管理也在加嚴，涉及智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全的政策法規(guī)密集出臺。《中華人民共和國數(shù)據(jù)安全法》已審議通過，工信部正式發(fā)布《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》，《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》、《信息安全技術網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求（草案）》、《關于加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全工作的通知（征求意見稿）》等文件也被陸續(xù)推出。

8月20日，又一項重磅法規(guī)正式出臺。國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部和交通運輸部聯(lián)合發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱《規(guī)定》），將于2021年10月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關負責人指出，汽車產(chǎn)業(yè)涉及國家經(jīng)濟、裝備制造、金融、交通運輸、生產(chǎn)生活等諸多領域，汽車數(shù)據(jù)處理能力日益增強、汽車數(shù)據(jù)規(guī)模龐大，暴露出的汽車數(shù)據(jù)安全問題和風險隱患也日益突出。比如，汽車數(shù)據(jù)處理者超越實際需要，過度收集重要數(shù)據(jù)；未經(jīng)用戶同意，違規(guī)處理個人信息，特別是敏感個人信息；未經(jīng)安全評估，違規(guī)出境重要數(shù)據(jù)等。因此，亟需《規(guī)定》加強汽車數(shù)據(jù)安全管理，防范化解上述安全問題和風險隱患。

鑒于目前《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》對數(shù)據(jù)安全、個人信息保護作了基本規(guī)定。在汽車數(shù)據(jù)安全管理領域出臺有針對性的規(guī)章制度，明確汽車數(shù)據(jù)處理者的責任和義務，規(guī)范汽車數(shù)據(jù)處理活動，有利于促進汽車數(shù)據(jù)依法合理有效利用和汽車行業(yè)健康有序發(fā)展。

“智能網(wǎng)聯(lián)汽車數(shù)據(jù)共涉及六個方面的法律法規(guī)，分別為國家安全、網(wǎng)絡安全、地理信息安全、核心數(shù)據(jù)和重要數(shù)據(jù)安全、個人信息安全、產(chǎn)品責任與事故責任?！弊鳛槎嗖课闹悄芫W(wǎng)聯(lián)汽車法律政策專家，ICMA智聯(lián)出行研究院執(zhí)行院長何姍姍指出，《規(guī)定》屬于汽車行業(yè)數(shù)據(jù)安全管理的特別規(guī)定。

智能網(wǎng)聯(lián)汽車數(shù)據(jù)共涉及六個方面的法律法規(guī)，分別為國家安全、網(wǎng)絡安全、地理信息安全、核心數(shù)據(jù)和重要數(shù)據(jù)安全、個人信息安全、產(chǎn)品責任與事故責任。

新規(guī)力求務實解決行業(yè)問題

早在今年5月，《規(guī)定》征求意見稿曾由國家網(wǎng)信辦發(fā)布，面向社會公開征求意見。正式出臺的《規(guī)定》相比征求意見稿，已經(jīng)由21條變成了19條，包括目的意義、適用范圍、定義、等級保護要求、數(shù)據(jù)安全原則、告知義務、授權(quán)與脫敏要求、采集的前提、報送風險評估報告、數(shù)據(jù)境內(nèi)存儲、出境核查、企業(yè)年報要求、安全評估、加強平臺建設、建立投訴舉報渠道、違法處理與追責等內(nèi)容。但《規(guī)定》對汽車數(shù)據(jù)采集與使用的定義更為細化。

《規(guī)定》出臺后，汽車全產(chǎn)業(yè)鏈上下游都將被納入汽車數(shù)據(jù)處理者范圍接受監(jiān)管，汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構(gòu)以及出行服務企業(yè)等在開展汽車數(shù)據(jù)處理活動中需堅持“車內(nèi)處理”“默認不收集”“精度范圍適用”“脫敏處理”等數(shù)據(jù)處理原則，以減少對汽車數(shù)據(jù)的無序收集和違規(guī)濫用。

數(shù)據(jù)監(jiān)管工作的一大難點在于區(qū)分需要高強度監(jiān)管手段的數(shù)據(jù)和在市場上流動的數(shù)據(jù)，避免“一管就死”。中國汽車工業(yè)協(xié)會秘書長助理王耀曾在今年6月舉辦的2021中國汽車論壇上指出：“不要指望可以一刀切，哪些數(shù)據(jù)可以用，哪些數(shù)據(jù)不可以用，這個很難，特別是關系到國家安全和公共安全的時候，還涉及定性和定量的問題，需要辯證看待?！?/p>

此次《規(guī)定》在處理原則中就很注意這一點。何姍姍指出，例如車內(nèi)處理原則，汽車數(shù)據(jù)應堅持車內(nèi)處理，這對車端的計算和存儲能力提出了很高要求。但是，該原則并非一刀切地限制數(shù)據(jù)傳到車外，在實際業(yè)務中，確有必要的，應根據(jù)具體場景的需求進行必要性分析和風險評估，并做好脫敏處理等措施。還有關于保存期限，汽車數(shù)據(jù)安全新規(guī)刪除“最小保存期限原則”，避免了一刀切的安排，實踐中更具靈活性。

特別值得一提的是，“《規(guī)定》在指導汽車企業(yè)工作中有非常實際的意義，針對汽車新技術的發(fā)展，平衡了數(shù)據(jù)使用與安全管理。同時，《規(guī)定》的許多條款操作性很強，涉及各個汽車產(chǎn)業(yè)鏈中的各個環(huán)節(jié)，明確各方參與主體責任與義務，給出了非常清晰的流程?！焙螉檴櫲缡潜硎?。

企業(yè)應如何開展落實工作

“《規(guī)定》施行將確立汽車行業(yè)數(shù)據(jù)安全及治理的基本框架，起到規(guī)范企業(yè)數(shù)據(jù)處理活動，加強汽車產(chǎn)業(yè)數(shù)據(jù)安全保障，保護個人、組織合法權(quán)益，維護國家安全和利益的重要作用?！敝衅麉f(xié)會大數(shù)據(jù)分會執(zhí)行秘書長滕添益表示，短期內(nèi)企業(yè)需要進行相應調(diào)整。

他撰文指出，企業(yè)后續(xù)的數(shù)據(jù)安全工作主要針對8個方面開展：建立等保制度，開展等保工作；調(diào)整數(shù)據(jù)采集授權(quán)方式；細化告知內(nèi)容，車上增加正在采集的狀態(tài)標識；建立采集數(shù)據(jù)的車內(nèi)匿名化與輪廓化處理能力；增加用戶進行數(shù)據(jù)查詢、復制、申請刪除的途徑，并且十日內(nèi)完成刪除，需要為同意進行數(shù)據(jù)采集的用戶提供申請刪除數(shù)據(jù)的渠道，并且相應地為用戶增加查詢、復制其個人信息的途徑；每年12月25日前向有關部門報送數(shù)據(jù)安全年報；從事數(shù)據(jù)處理的企業(yè)要積極應對數(shù)據(jù)安全評估審查；有數(shù)據(jù)跨境傳輸行為的企業(yè)需要接受有關部門的核查以及在數(shù)據(jù)安全年報中增加數(shù)據(jù)出境活動的相關報告。

企業(yè)在應對合規(guī)中注意哪些問題

作為汽車數(shù)據(jù)處理者，汽車行業(yè)相關企業(yè)不僅要了解智能網(wǎng)聯(lián)汽車數(shù)據(jù)相應法律、法規(guī)，還要盡快建立起健全的汽車數(shù)據(jù)安全合規(guī)制度，積極防范數(shù)據(jù)安全風險。

何姍姍指出，在落實數(shù)據(jù)安全合規(guī)義務時，企業(yè)應注意3點：一是智能網(wǎng)聯(lián)汽車全產(chǎn)業(yè)鏈的企業(yè)都應當遵守數(shù)據(jù)安全、數(shù)據(jù)跨境流動的監(jiān)管規(guī)則；二是由于法律對于不同角色的主體規(guī)定了不同的義務，并且不同的數(shù)據(jù)類型對應的風險不同，企業(yè)內(nèi)部對數(shù)據(jù)應進行分級分類管理；三是企業(yè)應當重視對供應鏈數(shù)據(jù)安全風險的管控。

關于如何應對未來法規(guī)監(jiān)管，何姍姍表示：“企業(yè)面對監(jiān)管要保持開放和建設性的心態(tài)，早做應對?！彼ㄗh可以從4方面提前做好準備工作：

所有的汽車數(shù)據(jù)處理者，應當盡早自行組織或者委托專業(yè)機構(gòu)對本企業(yè)數(shù)據(jù)處理活動的合規(guī)性開展自查，識別風險，并進行合規(guī)差距分析；建議企業(yè)針對供應鏈開展全鏈條風險管理工作，包括針對研發(fā)、生產(chǎn)、銷售、售后、車聯(lián)網(wǎng)服務、供應商管理、經(jīng)銷商管理及其他第三方管理等環(huán)節(jié)的數(shù)據(jù)風險排查；企業(yè)應建立符合監(jiān)管要求的數(shù)據(jù)分級分類體系，開展數(shù)據(jù)盤點工作，識別個人信息、重要數(shù)據(jù)、測繪地理信息等受到嚴格監(jiān)管的數(shù)據(jù)類型，建立符合監(jiān)管要求的數(shù)據(jù)分級分類體系；建議企業(yè)建立健全數(shù)據(jù)安全管理制度，從組織機構(gòu)搭建、制度流程建設、系統(tǒng)完善、意識增強等方面建立和健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護義務。

汽車數(shù)據(jù)安全管理需要政府、汽車數(shù)據(jù)處理者、個人等多方主體共同參與。一系列政策法規(guī)的出臺將進一步推動企業(yè)加快數(shù)據(jù)安全布局進程，在安全防護手段、技術能力上不斷升級。新一代的信息技術，包括云計算、區(qū)塊鏈、流量檢測、國密等正在提升數(shù)據(jù)安全綜合防護能力，加強基礎技術研發(fā)與數(shù)據(jù)安全技術應用、提升核心基礎技術和安全可控能力、構(gòu)建完善的數(shù)據(jù)安全管理體系將成為產(chǎn)業(yè)鏈上各企業(yè)的重點發(fā)力方向。