國內外汽車數據安全管理體系的對比分析及建議

莫佳雯，朱云堯，楊志成，鮑歡歡

1.中國汽車工程研究院股份有限公司，重慶，404100； 2.中汽院汽車技術有限公司，北京，100000

0 引言

汽車數據內涵和規模在快速躍升。汽車是國民經濟支柱性產業，智能網聯汽車已成為我國汽車產業轉型升級、高質量發展的戰略機遇。當前，智能網聯汽車作為信息采集與數據交互的核心終端，其數據體系打破了傳統汽車數據體系時間和空間維度的限制，使得智能網聯汽車數據內涵和規模體量快速躍升[1]。

汽車數據安全管理是保障行業行穩致遠的關鍵。全球汽車主流國家和地區已將汽車數據作為重點管理和保護對象，陸續頒布出臺了一系列保障汽車數據安全的法律法規、管理政策和行動指南[2]，為我國開展汽車數據安全管理提供參考和借鑒。

汽車數據安全是國家安全的重要組成部分。智能網聯汽車數據不僅包括車輛運行安全相關數據，還包括個人隱私、生物特征及涉及國家安全的地理信息等重要數據。個人信息和重要數據一旦遭到泄露或被非法利用，將對個人和國家安全產生嚴重的威脅。

1 國內外數據安全管理情況

汽車數據安全的管理以數據安全上位法為基礎依據，充分考慮汽車數據的特殊性，制定具體的汽車數據安全管理法規、政策及指南等。目前，歐盟、美國、日本、中國均已頒布相對完善的數據安全法律法規，但汽車數據安全管理體系依然存在管理盲點和難點，各國正在積極推進完善。

1.1 汽車數據安全上位法情況

國外數據安全法律法規更多從個人隱私角度出發，保護隱私數據。美國以個人隱私保護為基礎，建立數據安全政策體系，立法側重于個人信息和隱私保護[3]。在汽車領域明確提出，汽車廠商需要制定詳細的隱私防護方案和計劃、保護用戶隱私和數據等要求。歐盟數據安全政策體系建立在《通用數據保護條例》（下稱“GDPR”）基礎之上，同樣側重個人數據保護。智能網聯汽車在運行期間涉及大量的數據收集與處理，相關產業鏈上的企業也必須符合GDPR要求[4]。日本建立了以《個人信息保護法》為法律基礎的數據安全政策體系，也是側重個人數據保護。在汽車領域將保障數據安全和網絡安全作為自動駕駛車輛應用許可的要求之一[5]。

我國數據安全法律法規將個人隱私與國家安全并重，重視保護重要數據。目前，我國已初步形成以《網絡安全法》《數據安全法》《個人信息保護法》為核心的數據安全法律體系。其中，2016年11月《網絡安全法》首次在法律層面規范了個人信息保護；2021年6月《數據安全法》明確了“重要數據”和“國家核心數據”的有關規定，將數據安全上升到國家安全范疇；2021年8月《個人信息保護法》細化了個人信息處理規則，明確了“敏感個人信息”的有關規定。我國汽車數據安全政策體系建立在上述三大核心法律基礎上，體現出將個人合法權益與國家安全并重的政策特點。

國內外數據安全法律法規相對完善，我國政策嚴苛程度適中。歐美日與中國均具備相對完善的數據安全法律法規體系，涵蓋監管部門設置、監管依據等內容。從政策嚴苛程度看，整體最為嚴苛的是歐盟GDPR。我國《個人信息保護法》在借鑒GDPR的基礎上將部分內容本土化，整體嚴苛程度比歐盟更為寬松一些，比美國《加利福尼亞州消費者隱私法案》《加利福尼亞州隱私法案》（以下統稱“加州隱私法”）更為嚴格一些。

1.2 汽車數據安全管理現狀

國內外汽車數據安全政策體系在不斷更新完善，目前各有領先。我國格外注重汽車數據安全治理問題，接連出臺《汽車數據安全管理若干規定（試行）》《數據出境安全評估辦法（征求意見稿）》《車聯網網絡安全和數據安全標準體系指南》等規定辦法，領先之處在于汽車數據安全政策體系更細更健全，例如對數據出境安全評估有明確要求。歐盟的領先之處在于明確了智能網聯汽車相關數據主體、數據控制者、數據處理者、數據接收方的定義，以及數據在多個控制者和處理者間流轉過程中各方的權責與義務。美國加州隱私法在民事訴訟方面具有領先之處，其從實體上和程序上大大限制了個人信息違法行為的可訴性，由此更傾向于由檢察長行使監管職權，具有更高的執法效率。

2 國內外數據安全管理

本文從適用范圍、影響評估、泄露應急處理、數據保護官、安全監管等方面進行比較，提出當前我國汽車數據跨境傳輸方面的相對優勢與劣勢。

2.1 國內外數據安全管理對比

中國、歐盟和日本數據安全相關法律適用范圍相對廣泛，美國適用范圍相對集中。歐盟GDPR、日本個保法和我國個保法的域外效力基本一致，適用于在域外向域內自然人提供產品/服務或者分析評估域內自然人的活動，適用范圍相對廣泛。美國加州隱私法的適用范圍相對集中，聚焦于達到一定條件的以盈利為目的開展數據處理活動的企業管理，且僅保護屬于加州居民的自然人，不適用于企業商業行為各方面完全在加州境外的企業。

中國、歐盟和日本規定的需要進行數據影響評估的場景存在明顯差異，美國無明確規定。目前我國已明確個人信息保護影響評估制度[6]、重要數據處理風險評估制度、重要數據出境安全評估制度，歐盟和日本也制定了數據影響評估相關規定。就個人信息而言，我國數據影響評估場景主要涉及敏感個人信息處理、自動化決策、委托處理/向其他處理者提供/公開信息、信息出境、個人權益等；歐盟的數據影響評估場景主要涉及個人因素評價、特定類型數據大規模處理、定罪與非法相關數據處理[7-8]；日本的數據影響評估場景主要涉及行政機關擬留存檔案、特定文件的重要更改。

歐美日與中國對數據泄露事件采取應急措施的時限要求不同，中國時限要求最高。為加強對數據泄露的管理，各國通過在立法中確立“數據泄露通知制度”[9]，以便及時采取有效措施和控制損害范圍來有效保障數據主體權益。總體來看，中國對數據泄露應急措施的時限要求最高，要求“立即”采取措施、“及時”告知用戶并報告主管部門；歐盟要求“72小時內”報告監管機構可能產生較高風險的“立即”通知數據主體；美國要求在“最合適的時間內”進行通知；日本一般要求不得拖延。

中國與歐盟將特定場景下的數據保護官任命納入法定要求，美日兩國未明確任命場景。數據保護官是企業中承擔數據安全保護職能的重要角色，在企業中開展數據合規工作。中國與歐盟均從法律層面規定了必須任命數據保護官的場景，國內《數據安全法》規定重要數據的處理者應當明確安全負責人和管理機構，《個人信息保護法》規定處理個人信息達到規定數量的處理者應當指定個人信息保護負責人，相比之下美國和日本對數據保護官任命場景未進行明確規定。

歐美日在數據安全領域均有單獨的數據保護監管機構，中國則是多部門協調監管。其中，美國的數據保護監管機構是聯邦貿易委員會（FTC），歐盟為歐洲數據保護監管局（EDPS）和歐洲數據保護委員會（EDPB），日本為個人信息保護委員會（PPC），機構獨立有利于統一集中管理，而我國數據安全由網信辦、工信部、公安部等多部門協調監管。

2.2 我國數據安全政策的相對優勢與劣勢

出于國家安全考慮，我國對于數據跨境傳輸要求嚴格，在多邊數據跨境傳輸機制與歐美日存在一定差距。數據跨境傳輸方面，美國在數據流入方面主張“數據自由流動”，數據流出方面主張限制高科技、軍民兩用技術的數據出境；歐盟則采用“歐盟境內松，歐盟境外緊”的數據跨境管理模式[10]；我國對于數據跨境傳輸采用“嚴管”模式，要求個人信息、關鍵信息基礎設施等相關重要數據實現數據本地化存儲，數據出境的，需要通過安全評估。數據跨境流動規則方面，2019年日本與歐盟達成數據跨境流動決議，2022年歐盟與美國就個人數據跨大西洋傳輸達成第三版數據安全流動協議——《跨大西洋數據隱私框架》。2020年11月，我國簽署RCEP（區域全面經濟伙伴關系協定），首次在自貿協定中納入數據流動、信息存儲等規定，次年9月申請加入全面與進步跨太平洋伙伴關系協定（CPTTP），主動迎接更高水平的數據跨境傳輸挑戰[11]。

2.3 小結

綜上，歐美的數據安全政策法規制定領先全球，尤其是在數據跨境傳輸國際規則制定、長臂管轄權、數據安全政府監管等方面已有較多的實踐經驗，對我國具有借鑒和參考意義。因此，我國應當借鑒歐美數據安全監管“長處”，結合我國實際，積極推動完善汽車數據安全立法，提升汽車數據安全法規成熟度，妥善推進汽車數據安全監管、政策實施，積極參與國際規則制定合作，推動汽車數據跨境傳輸安全評估與落地。

3 我國汽車數據安全監管的難點、痛點問題

相較于歐美日，我國汽車數據安全立法與標準體系仍相對滯后，呈現多部門協同監管、實施細則不明確等特點，數據跨境傳輸國際規則參與度較低更是制約未來我國汽車數據安全產業參與國際競爭的關鍵因素。

3.1 政府監管方式與效率有待進一步提升

隨著智能化、網聯化發展，汽車承載數據量激增，對數據安全監管形成極大挑戰。一是汽車數據安全監管部門涉及網信、工信和公安等主管部門，有效的聯合監管工作機制有待建立[12]。二是以事中、事后監管為主，其中事中監控以數據處理者開展的風險自評估為主，約束性不強[13-14]。

3.2 政策落地性與指導性有待進一步加強

現階段，汽車數據保護政策體系對車企指導性還不夠。一是數據處理者責任劃分不夠明確，其一般由主機廠負主責，但對主機廠輻射范圍外的出行服務企業等責任劃分不明確。二是數據分類分級標準不明確，零部件企業以主機廠的分類分級標準為準，而各主機廠分類分級標準亦不同，對監管統一性和量裁標準造成困難。

3.3 跨境傳輸的國際規則制定與管理細則缺位

汽車產品、數據雙跨境將成為未來常態，但當前我國汽車領域數據跨境傳輸仍存在以下問題，一是歐美積極構建全球數據跨境流動圈，搶占數據跨境傳輸規則高地，中國被“排除在外”。二是汽車領域仍未建立起專門的數據跨境流動規則，《數據出境安全評估辦法（征求意見稿）》對于主體眾多、數據量龐大的汽車領域來說，難免會有不適用的情況[15]。

4 關于加強汽車數據安全監管工作的建議

4.1 強化汽車數據安全頂層設計

強化頂層設計，健全重要數據和個人信息保護、數據審查與出口、共享和交易、評估與防護制度體系。一是倡導數據默認不收集和精度范圍適用原則，合理把控數據收集種類和規模，加快出臺數據分類分級有關標準及重要數據目錄。二是成立由整車企業、檢測機構、高校、國家管理部門等組成的汽車行業專家委員會，基于《數據出境安全評估辦法（征求意見稿）》等框架制定汽車數據出境安全評估準則。三是建議脫敏數據所有權歸屬數據處理者，保留用戶使用權，同時推進地方性數據交易平臺建設，明確交易格式、內容、交易對手要求，促進數據共享和交易。四是明確基于數據泄露影響評估視角以及汽車數據保護要求細則，清晰界定數據保護邊界，從技術、管理多角度出發制定分級防護制度。

4.2 細化數據安全管理實施細則

當前，我國已基本建立起個人信息、數據的法律法規體系，現階段應當注重監管政策的落地實施。一是貫徹落實《國家車聯網產業標準體系建設指南（智能網聯汽車）》，強化多視角多層次國家與行業標準制定，推動分類分級、數據跨境、個人信息保護等團標、行標先行。二是嚴格執行《汽車數據安全管理若干規定（試行）》要求，建議盡快推出數據安全管理實施細則，包括但不限于統一汽車數據安全年度報告模板，并推動建立涵蓋“數據處理者+監管平臺+檢測機構”的國家級數據安全管理試點示范區，總結我國汽車數據安全最佳實踐，提出改善汽車行業數據安全的非約束性指導建議，推動優秀案例示范應用。

4.3 建立健全政府監督管理機制

一是建立多部門協同聯動機制，明確政府監管部門責任劃分與任務分工，鼓勵行業自律與政府外部監管間的協同管理模式。二是打造“主動發現、風險預警、依法處置、監管追責、應急處置”的全流程閉環治理體系，首先強化事前預防、事中監控的數字化手段，推動基于區塊鏈技術[15]的國家級智慧監控預警平臺建設，集成數據質量檢測、安全預警、精準溯源等模塊化功能，地方級監管平臺應按需建立，同時健全地方與國家監管平臺聯動機制；強化汽車安全事件溯源分析，定期完善汽車數據安全事件應急預案，建立起極端情況下的保障數據安全備份預案。

4.4 強化車企數據安全防護管理

一是引導車企加大汽車數據安全投入，重點突破產業的功能安全、網絡安全和數據安全的核心技術研發，支持安全防護、漏洞挖掘、入侵檢測和態勢感知等系列安全產品的研發。二是鼓勵權威第三方機構建立汽車數據安全通用性防護技術體系，推出數據安全防護實施指南，建議由主機廠、數據運營商承擔起主要責任，從制度建設、技術發展等方面強化與其上下游企業間的協同管理義務。三是推動汽車數據安全全生命周期防護能力評價體系建設，尤其是針對重要數據、個人隱私數據的處理，數據跨境傳輸等重點環節評估，通過綜合評價輔助完善車企數據安全防護。

4.5 推動汽車數據跨境有序流動

參考歐美、歐日等數據跨境傳輸協議，在保障國家安全的基礎上，推動上海臨港新片區等試點區域的建設，選擇智能座艙等非重要數據領域，與自貿協定國家共同探索低風險跨境流動數據目錄，以合作共贏為目的建立多邊合作的數據流通協議，推動數據邊界互認，降低數據安全雙重合規難度。

5 結論

綜上所述，國內外汽車數據安全法律法規均較為完善，我國基于個人隱私與國家安全并重的角度形成了以《網絡安全法》《數據安全法》《個人信息保護法》《汽車數據安全若干管理規定（試行）》為主的法律法規體系。與國外相比，我國汽車數據安全立法與標準體系仍相對滯后，呈現多部門協同監管、實施細則不明確等特點，存在數據跨境傳輸國際規則參與度較低等制約因素，因此本文提出汽車數據安全頂層設計、實施細則、政府監管、車企防護以及數據跨境等針對性建議，旨在助推我國汽車產業健康、安全發展。