擰緊汽車數據“安全閥”

文/ 本刊記者 甄文媛

一系列熱點事件讓汽車數據安全進入公眾視野，汽車數據安全管理已經成為政府監管和產業發展的重要挑戰。《汽車數據安全管理若干規定（試行）》將有力促進數據依法合理有效利用和產業高質量發展。

汽車數據安全治理加碼

日增至少10TB/輛。

智能網聯汽車每日產生、收集和利用的龐大數據量，在讓車輛更懂“你”、更好用的同時，也暗藏一系列從國家到個人的安全風險，亟待政策法規的監管與治理。快速增長的智能汽車保有量還在放大這些問題。預計 2025 年，國內L2、L3 級（在特定環境中實現部分自動駕駛的操作）智能網聯汽車銷量有望占全部汽車銷量的 50%。

從全球看，數據安全治理已經進入立法高峰期，整體數據監管態勢趨嚴。有統計數據顯示，截至今年5個月，全球超過140個國家和地區制定隱私和數據保護相關的法律法規。

在國內，近兩年特別是近期，一系列熱點事件讓智能汽車數據安全問題進入公眾視野。今年4月的特斯拉女車主維權事件暴露數據安全監管問題，7月的滴滴APP被下架事件更是引發各方關注和熱議。

相關立法和監管部門對汽車數據安全的管理也在加嚴，涉及智能網聯汽車數據安全的政策法規密集出臺。《中華人民共和國數據安全法》已審議通過，工信部正式發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》，《網絡安全審查辦法（修訂草案征求意見稿）》、《信息安全技術網聯汽車采集數據的安全要求（草案）》、《關于加強車聯網（智能網聯汽車）網絡安全工作的通知（征求意見稿）》等文件也被陸續推出。

8月20日，又一項重磅法規正式出臺。國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部和交通運輸部聯合發布了《汽車數據安全管理若干規定（試行）》（以下簡稱《規定》），將于2021年10月1日起施行。

國家互聯網信息辦公室有關負責人指出，汽車產業涉及國家經濟、裝備制造、金融、交通運輸、生產生活等諸多領域，汽車數據處理能力日益增強、汽車數據規模龐大，暴露出的汽車數據安全問題和風險隱患也日益突出。比如，汽車數據處理者超越實際需要，過度收集重要數據；未經用戶同意，違規處理個人信息，特別是敏感個人信息；未經安全評估，違規出境重要數據等。因此，亟需《規定》加強汽車數據安全管理，防范化解上述安全問題和風險隱患。

鑒于目前《網絡安全法》、《數據安全法》對數據安全、個人信息保護作了基本規定。在汽車數據安全管理領域出臺有針對性的規章制度，明確汽車數據處理者的責任和義務，規范汽車數據處理活動，有利于促進汽車數據依法合理有效利用和汽車行業健康有序發展。

“智能網聯汽車數據共涉及六個方面的法律法規，分別為國家安全、網絡安全、地理信息安全、核心數據和重要數據安全、個人信息安全、產品責任與事故責任。”作為多部委的智能網聯汽車法律政策專家，ICMA智聯出行研究院執行院長何姍姍指出，《規定》屬于汽車行業數據安全管理的特別規定。

智能網聯汽車數據共涉及六個方面的法律法規，分別為國家安全、網絡安全、地理信息安全、核心數據和重要數據安全、個人信息安全、產品責任與事故責任。

新規力求務實解決行業問題

早在今年5月，《規定》征求意見稿曾由國家網信辦發布，面向社會公開征求意見。正式出臺的《規定》相比征求意見稿，已經由21條變成了19條，包括目的意義、適用范圍、定義、等級保護要求、數據安全原則、告知義務、授權與脫敏要求、采集的前提、報送風險評估報告、數據境內存儲、出境核查、企業年報要求、安全評估、加強平臺建設、建立投訴舉報渠道、違法處理與追責等內容。但《規定》對汽車數據采集與使用的定義更為細化。

《規定》出臺后，汽車全產業鏈上下游都將被納入汽車數據處理者范圍接受監管，汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業等在開展汽車數據處理活動中需堅持“車內處理”“默認不收集”“精度范圍適用”“脫敏處理”等數據處理原則，以減少對汽車數據的無序收集和違規濫用。

數據監管工作的一大難點在于區分需要高強度監管手段的數據和在市場上流動的數據，避免“一管就死”。中國汽車工業協會秘書長助理王耀曾在今年6月舉辦的2021中國汽車論壇上指出：“不要指望可以一刀切，哪些數據可以用，哪些數據不可以用，這個很難，特別是關系到國家安全和公共安全的時候，還涉及定性和定量的問題，需要辯證看待。”

此次《規定》在處理原則中就很注意這一點。何姍姍指出，例如車內處理原則，汽車數據應堅持車內處理，這對車端的計算和存儲能力提出了很高要求。但是，該原則并非一刀切地限制數據傳到車外，在實際業務中，確有必要的，應根據具體場景的需求進行必要性分析和風險評估，并做好脫敏處理等措施。還有關于保存期限，汽車數據安全新規刪除“最小保存期限原則”，避免了一刀切的安排，實踐中更具靈活性。

特別值得一提的是，“《規定》在指導汽車企業工作中有非常實際的意義，針對汽車新技術的發展，平衡了數據使用與安全管理。同時，《規定》的許多條款操作性很強，涉及各個汽車產業鏈中的各個環節，明確各方參與主體責任與義務，給出了非常清晰的流程。”何姍姍如是表示。

企業應如何開展落實工作

“《規定》施行將確立汽車行業數據安全及治理的基本框架，起到規范企業數據處理活動，加強汽車產業數據安全保障，保護個人、組織合法權益，維護國家安全和利益的重要作用。”中汽協會大數據分會執行秘書長滕添益表示，短期內企業需要進行相應調整。

他撰文指出，企業后續的數據安全工作主要針對8個方面開展：建立等保制度，開展等保工作；調整數據采集授權方式；細化告知內容，車上增加正在采集的狀態標識；建立采集數據的車內匿名化與輪廓化處理能力；增加用戶進行數據查詢、復制、申請刪除的途徑，并且十日內完成刪除，需要為同意進行數據采集的用戶提供申請刪除數據的渠道，并且相應地為用戶增加查詢、復制其個人信息的途徑；每年12月25日前向有關部門報送數據安全年報；從事數據處理的企業要積極應對數據安全評估審查；有數據跨境傳輸行為的企業需要接受有關部門的核查以及在數據安全年報中增加數據出境活動的相關報告。

企業在應對合規中注意哪些問題

作為汽車數據處理者，汽車行業相關企業不僅要了解智能網聯汽車數據相應法律、法規，還要盡快建立起健全的汽車數據安全合規制度，積極防范數據安全風險。

何姍姍指出，在落實數據安全合規義務時，企業應注意3點：一是智能網聯汽車全產業鏈的企業都應當遵守數據安全、數據跨境流動的監管規則；二是由于法律對于不同角色的主體規定了不同的義務，并且不同的數據類型對應的風險不同，企業內部對數據應進行分級分類管理；三是企業應當重視對供應鏈數據安全風險的管控。

關于如何應對未來法規監管，何姍姍表示：“企業面對監管要保持開放和建設性的心態，早做應對。”她建議可以從4方面提前做好準備工作：

所有的汽車數據處理者，應當盡早自行組織或者委托專業機構對本企業數據處理活動的合規性開展自查，識別風險，并進行合規差距分析；建議企業針對供應鏈開展全鏈條風險管理工作，包括針對研發、生產、銷售、售后、車聯網服務、供應商管理、經銷商管理及其他第三方管理等環節的數據風險排查；企業應建立符合監管要求的數據分級分類體系，開展數據盤點工作，識別個人信息、重要數據、測繪地理信息等受到嚴格監管的數據類型，建立符合監管要求的數據分級分類體系；建議企業建立健全數據安全管理制度，從組織機構搭建、制度流程建設、系統完善、意識增強等方面建立和健全數據安全管理制度，落實數據安全保護義務。

汽車數據安全管理需要政府、汽車數據處理者、個人等多方主體共同參與。一系列政策法規的出臺將進一步推動企業加快數據安全布局進程，在安全防護手段、技術能力上不斷升級。新一代的信息技術，包括云計算、區塊鏈、流量檢測、國密等正在提升數據安全綜合防護能力，加強基礎技術研發與數據安全技術應用、提升核心基礎技術和安全可控能力、構建完善的數據安全管理體系將成為產業鏈上各企業的重點發力方向。