文/ 本刊記者 甄文媛

一系列熱點事件讓汽車數(shù)據(jù)安全進(jìn)入公眾視野，汽車數(shù)據(jù)安全管理已經(jīng)成為政府監(jiān)管和產(chǎn)業(yè)發(fā)展的重要挑戰(zhàn)?！镀嚁?shù)據(jù)安全管理若干規(guī)定（試行）》將有力促進(jìn)數(shù)據(jù)依法合理有效利用和產(chǎn)業(yè)高質(zhì)量發(fā)展。

汽車數(shù)據(jù)安全治理加碼

日增至少10TB/輛。

智能網(wǎng)聯(lián)汽車每日產(chǎn)生、收集和利用的龐大數(shù)據(jù)量，在讓車輛更懂“你”、更好用的同時，也暗藏一系列從國家到個人的安全風(fēng)險，亟待政策法規(guī)的監(jiān)管與治理?？焖僭鲩L的智能汽車保有量還在放大這些問題。預(yù)計 2025 年，國內(nèi)L2、L3 級（在特定環(huán)境中實現(xiàn)部分自動駕駛的操作）智能網(wǎng)聯(lián)汽車銷量有望占全部汽車銷量的 50%。

從全球看，數(shù)據(jù)安全治理已經(jīng)進(jìn)入立法高峰期，整體數(shù)據(jù)監(jiān)管態(tài)勢趨嚴(yán)。有統(tǒng)計數(shù)據(jù)顯示，截至今年5個月，全球超過140個國家和地區(qū)制定隱私和數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)。

在國內(nèi)，近兩年特別是近期，一系列熱點事件讓智能汽車數(shù)據(jù)安全問題進(jìn)入公眾視野。今年4月的特斯拉女車主維權(quán)事件暴露數(shù)據(jù)安全監(jiān)管問題，7月的滴滴APP被下架事件更是引發(fā)各方關(guān)注和熱議。

相關(guān)立法和監(jiān)管部門對汽車數(shù)據(jù)安全的管理也在加嚴(yán)，涉及智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全的政策法規(guī)密集出臺?！吨腥A人民共和國數(shù)據(jù)安全法》已審議通過，工信部正式發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》，《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》、《信息安全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求（草案）》、《關(guān)于加強(qiáng)車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全工作的通知（征求意見稿）》等文件也被陸續(xù)推出。

8月20日，又一項重磅法規(guī)正式出臺。國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部和交通運輸部聯(lián)合發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱《規(guī)定》），將于2021年10月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人指出，汽車產(chǎn)業(yè)涉及國家經(jīng)濟(jì)、裝備制造、金融、交通運輸、生產(chǎn)生活等諸多領(lǐng)域，汽車數(shù)據(jù)處理能力日益增強(qiáng)、汽車數(shù)據(jù)規(guī)模龐大，暴露出的汽車數(shù)據(jù)安全問題和風(fēng)險隱患也日益突出。比如，汽車數(shù)據(jù)處理者超越實際需要，過度收集重要數(shù)據(jù)；未經(jīng)用戶同意，違規(guī)處理個人信息，特別是敏感個人信息；未經(jīng)安全評估，違規(guī)出境重要數(shù)據(jù)等。因此，亟需《規(guī)定》加強(qiáng)汽車數(shù)據(jù)安全管理，防范化解上述安全問題和風(fēng)險隱患。

鑒于目前《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》對數(shù)據(jù)安全、個人信息保護(hù)作了基本規(guī)定。在汽車數(shù)據(jù)安全管理領(lǐng)域出臺有針對性的規(guī)章制度，明確汽車數(shù)據(jù)處理者的責(zé)任和義務(wù)，規(guī)范汽車數(shù)據(jù)處理活動，有利于促進(jìn)汽車數(shù)據(jù)依法合理有效利用和汽車行業(yè)健康有序發(fā)展。

“智能網(wǎng)聯(lián)汽車數(shù)據(jù)共涉及六個方面的法律法規(guī)，分別為國家安全、網(wǎng)絡(luò)安全、地理信息安全、核心數(shù)據(jù)和重要數(shù)據(jù)安全、個人信息安全、產(chǎn)品責(zé)任與事故責(zé)任?！弊鳛槎嗖课闹悄芫W(wǎng)聯(lián)汽車法律政策專家，ICMA智聯(lián)出行研究院執(zhí)行院長何姍姍指出，《規(guī)定》屬于汽車行業(yè)數(shù)據(jù)安全管理的特別規(guī)定。

智能網(wǎng)聯(lián)汽車數(shù)據(jù)共涉及六個方面的法律法規(guī)，分別為國家安全、網(wǎng)絡(luò)安全、地理信息安全、核心數(shù)據(jù)和重要數(shù)據(jù)安全、個人信息安全、產(chǎn)品責(zé)任與事故責(zé)任。

新規(guī)力求務(wù)實解決行業(yè)問題

早在今年5月，《規(guī)定》征求意見稿曾由國家網(wǎng)信辦發(fā)布，面向社會公開征求意見。正式出臺的《規(guī)定》相比征求意見稿，已經(jīng)由21條變成了19條，包括目的意義、適用范圍、定義、等級保護(hù)要求、數(shù)據(jù)安全原則、告知義務(wù)、授權(quán)與脫敏要求、采集的前提、報送風(fēng)險評估報告、數(shù)據(jù)境內(nèi)存儲、出境核查、企業(yè)年報要求、安全評估、加強(qiáng)平臺建設(shè)、建立投訴舉報渠道、違法處理與追責(zé)等內(nèi)容。但《規(guī)定》對汽車數(shù)據(jù)采集與使用的定義更為細(xì)化。

《規(guī)定》出臺后，汽車全產(chǎn)業(yè)鏈上下游都將被納入汽車數(shù)據(jù)處理者范圍接受監(jiān)管，汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)等在開展汽車數(shù)據(jù)處理活動中需堅持“車內(nèi)處理”“默認(rèn)不收集”“精度范圍適用”“脫敏處理”等數(shù)據(jù)處理原則，以減少對汽車數(shù)據(jù)的無序收集和違規(guī)濫用。

數(shù)據(jù)監(jiān)管工作的一大難點在于區(qū)分需要高強(qiáng)度監(jiān)管手段的數(shù)據(jù)和在市場上流動的數(shù)據(jù)，避免“一管就死”。中國汽車工業(yè)協(xié)會秘書長助理王耀曾在今年6月舉辦的2021中國汽車論壇上指出：“不要指望可以一刀切，哪些數(shù)據(jù)可以用，哪些數(shù)據(jù)不可以用，這個很難，特別是關(guān)系到國家安全和公共安全的時候，還涉及定性和定量的問題，需要辯證看待?！?/p>

此次《規(guī)定》在處理原則中就很注意這一點。何姍姍指出，例如車內(nèi)處理原則，汽車數(shù)據(jù)應(yīng)堅持車內(nèi)處理，這對車端的計算和存儲能力提出了很高要求。但是，該原則并非一刀切地限制數(shù)據(jù)傳到車外，在實際業(yè)務(wù)中，確有必要的，應(yīng)根據(jù)具體場景的需求進(jìn)行必要性分析和風(fēng)險評估，并做好脫敏處理等措施。還有關(guān)于保存期限，汽車數(shù)據(jù)安全新規(guī)刪除“最小保存期限原則”，避免了一刀切的安排，實踐中更具靈活性。

特別值得一提的是，“《規(guī)定》在指導(dǎo)汽車企業(yè)工作中有非常實際的意義，針對汽車新技術(shù)的發(fā)展，平衡了數(shù)據(jù)使用與安全管理。同時，《規(guī)定》的許多條款操作性很強(qiáng)，涉及各個汽車產(chǎn)業(yè)鏈中的各個環(huán)節(jié)，明確各方參與主體責(zé)任與義務(wù)，給出了非常清晰的流程。”何姍姍如是表示。

企業(yè)應(yīng)如何開展落實工作

“《規(guī)定》施行將確立汽車行業(yè)數(shù)據(jù)安全及治理的基本框架，起到規(guī)范企業(yè)數(shù)據(jù)處理活動，加強(qiáng)汽車產(chǎn)業(yè)數(shù)據(jù)安全保障，保護(hù)個人、組織合法權(quán)益，維護(hù)國家安全和利益的重要作用?！敝衅麉f(xié)會大數(shù)據(jù)分會執(zhí)行秘書長滕添益表示，短期內(nèi)企業(yè)需要進(jìn)行相應(yīng)調(diào)整。

他撰文指出，企業(yè)后續(xù)的數(shù)據(jù)安全工作主要針對8個方面開展：建立等保制度，開展等保工作；調(diào)整數(shù)據(jù)采集授權(quán)方式；細(xì)化告知內(nèi)容，車上增加正在采集的狀態(tài)標(biāo)識；建立采集數(shù)據(jù)的車內(nèi)匿名化與輪廓化處理能力；增加用戶進(jìn)行數(shù)據(jù)查詢、復(fù)制、申請刪除的途徑，并且十日內(nèi)完成刪除，需要為同意進(jìn)行數(shù)據(jù)采集的用戶提供申請刪除數(shù)據(jù)的渠道，并且相應(yīng)地為用戶增加查詢、復(fù)制其個人信息的途徑；每年12月25日前向有關(guān)部門報送數(shù)據(jù)安全年報；從事數(shù)據(jù)處理的企業(yè)要積極應(yīng)對數(shù)據(jù)安全評估審查；有數(shù)據(jù)跨境傳輸行為的企業(yè)需要接受有關(guān)部門的核查以及在數(shù)據(jù)安全年報中增加數(shù)據(jù)出境活動的相關(guān)報告。

企業(yè)在應(yīng)對合規(guī)中注意哪些問題

作為汽車數(shù)據(jù)處理者，汽車行業(yè)相關(guān)企業(yè)不僅要了解智能網(wǎng)聯(lián)汽車數(shù)據(jù)相應(yīng)法律、法規(guī)，還要盡快建立起健全的汽車數(shù)據(jù)安全合規(guī)制度，積極防范數(shù)據(jù)安全風(fēng)險。

何姍姍指出，在落實數(shù)據(jù)安全合規(guī)義務(wù)時，企業(yè)應(yīng)注意3點：一是智能網(wǎng)聯(lián)汽車全產(chǎn)業(yè)鏈的企業(yè)都應(yīng)當(dāng)遵守數(shù)據(jù)安全、數(shù)據(jù)跨境流動的監(jiān)管規(guī)則；二是由于法律對于不同角色的主體規(guī)定了不同的義務(wù)，并且不同的數(shù)據(jù)類型對應(yīng)的風(fēng)險不同，企業(yè)內(nèi)部對數(shù)據(jù)應(yīng)進(jìn)行分級分類管理；三是企業(yè)應(yīng)當(dāng)重視對供應(yīng)鏈數(shù)據(jù)安全風(fēng)險的管控。

關(guān)于如何應(yīng)對未來法規(guī)監(jiān)管，何姍姍表示：“企業(yè)面對監(jiān)管要保持開放和建設(shè)性的心態(tài)，早做應(yīng)對?！彼ㄗh可以從4方面提前做好準(zhǔn)備工作：

所有的汽車數(shù)據(jù)處理者，應(yīng)當(dāng)盡早自行組織或者委托專業(yè)機(jī)構(gòu)對本企業(yè)數(shù)據(jù)處理活動的合規(guī)性開展自查，識別風(fēng)險，并進(jìn)行合規(guī)差距分析；建議企業(yè)針對供應(yīng)鏈開展全鏈條風(fēng)險管理工作，包括針對研發(fā)、生產(chǎn)、銷售、售后、車聯(lián)網(wǎng)服務(wù)、供應(yīng)商管理、經(jīng)銷商管理及其他第三方管理等環(huán)節(jié)的數(shù)據(jù)風(fēng)險排查；企業(yè)應(yīng)建立符合監(jiān)管要求的數(shù)據(jù)分級分類體系，開展數(shù)據(jù)盤點工作，識別個人信息、重要數(shù)據(jù)、測繪地理信息等受到嚴(yán)格監(jiān)管的數(shù)據(jù)類型，建立符合監(jiān)管要求的數(shù)據(jù)分級分類體系；建議企業(yè)建立健全數(shù)據(jù)安全管理制度，從組織機(jī)構(gòu)搭建、制度流程建設(shè)、系統(tǒng)完善、意識增強(qiáng)等方面建立和健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護(hù)義務(wù)。

汽車數(shù)據(jù)安全管理需要政府、汽車數(shù)據(jù)處理者、個人等多方主體共同參與。一系列政策法規(guī)的出臺將進(jìn)一步推動企業(yè)加快數(shù)據(jù)安全布局進(jìn)程，在安全防護(hù)手段、技術(shù)能力上不斷升級。新一代的信息技術(shù)，包括云計算、區(qū)塊鏈、流量檢測、國密等正在提升數(shù)據(jù)安全綜合防護(hù)能力，加強(qiáng)基礎(chǔ)技術(shù)研發(fā)與數(shù)據(jù)安全技術(shù)應(yīng)用、提升核心基礎(chǔ)技術(shù)和安全可控能力、構(gòu)建完善的數(shù)據(jù)安全管理體系將成為產(chǎn)業(yè)鏈上各企業(yè)的重點發(fā)力方向。