多位专家谈网信办出拳汽车数据安全：四个层面诠释新规出台的重要性

见习记者 牛小欧 华夏时报（www.chinatimes.net.cn）记者 翟亚男 北京报道

智能汽车浪潮风起云涌，越来越多的高新技术被运用于汽车之上，但在这背后汽车数据安全问题也再次被推向公众视野，特斯拉女车主维权事件引出一场关于汽车数据的讨论，愈加折射出如何保护汽车数据安全、完善现有的安全监管体系的重要性。

在5月12日，国家网信办就《汽车数据安全管理若干规定（征求意见稿）》（以下简称征求意见稿）公开征求意见。征求意见稿对运营者能不能收集车辆信息、如何收集信息、信息如何使用等问题作出了规定。

《华夏时报》记者采访了多位领域的相关专家学者，对如何理解汽车数据安全新规出台、以及保护汽车数据安全的重要性做出了详细解读。

法律位阶并不低

首先应该在搞清楚数据安全到底应该如何监管前要了解政府部门、企业、还有用户之间应该各自扮演着怎样的角色。

宁人律师事务所金融与科技委员会副主任马军指出：“政府，企业，用户三者之间的关系是企业是数据合规者，用户属于被保护者，政府是监管者。”

此次征求意见稿明确提出，运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外；运营者处理重要数据，应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式，以及是否向第三方提供等。在法律界人士看来，征求意见稿的提出是对促进国家网信管理部门进行日后的监管的重要抓手，对于日后汽车数据安全管理也具有重大意义。

马军告诉记者：“本次征求意见稿实际上已经指出了监管方向，针对底线数据例如重要数据确立了原则上不收取的原则，针对其他数据也需要严格遵循授权的原则。针对汽车数据采取了不同情形，例如车内车外区分监管等。”

也有业内舆论认为，此次提出的征求意见稿法律位阶较低，但马军表示，征求意见稿法律位阶不低，这个规定的上位法有网络安全法个人信息保护法和数据安全法，汽车行业有其特殊性，仅作为行业特殊性进行特殊规定，其位阶并不低。

北京高勤律师事务所合伙人王源也持相同观点：“在数据保护领域此次征求意见稿的位阶是比较高的。征求意见稿实际上比在数据保护领域经常使用到的这个非强制性的国家标准位阶是要高很多的且具有强制性。”

是完善国家相关立法的正常步骤

我国高度重视对网络和信息数据安全方面的立法，为了规范行业发展，此类政策正在密集出台。内蒙古大学法学院教授、中国国际私法协会理事牛文军认为：“针对自动驾驶数据安全相关的采集及监管方式要求，各国仍在研讨当中。而此次提出的征求意见稿，是以《网络安全法》为依据起草的，《网络安全法》是我国维护网络信息安全的基础性法律，而以此为龙头，我国正在制定形成一个比较完备的立法体系。”

日前特斯拉车主维权事件暴露出来很多问题，至于是否此次事件是否助推了新规的出台，牛文军表示：“该事件引发了社会对汽车数据安全的普遍关注，但此次征求意见稿的出台与特斯拉车主维权事件并无直接关联，是完善国家相关立法的正常步骤。 ”

他坦言：“具体到智能汽车行业的法律规制，2020年2月国家发改委、中央网信办等11部门联合发布《智能汽车创新发展战略》，明确提出要确保用户信息、车辆信息、测绘地理信息等数据安全可控。完善数据安全管理制度,，加强监督检查，开展数据风险、数据出境安全等评估。2020年4月，工业和信息化部、国家标准化管理委员会三部门联合印发针对汽车智能管理的《国家车联网产业标准体系建设指南》，提出分阶段建立车辆智能管理标准体系。在这一背景下起草的征求意见稿是针对智能汽车数据安全管理的专项规章，对汽车运营者在我国境内设计、生产、销售、运维、管理汽车过程中，收集、分析、存储、传输、查询、利用、删除以及向境外提供个人信息或重要数据等行为进行法律规制，涉及汽车数据的收集、利用、跨境传输流动的全部环节，是对网络和数据安全法律法规的重要补充。”

更加看重用户隐私保护

数据显示，2020年，我国L2级智能网联汽车的市场渗透率达到15%，预计到2035年，中国的这些高等级的自动驾驶车辆将大规模地被使用，这也意味着汽车数据将大规模地被收集使用，智能汽车面临数据安全挑战。

因此，在本次征求意见稿中，对隐私保护尤为看重，其中第六条指出，倡导运营者处理个人信息和重要数据过程中坚持默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

目前电动汽车的原始数据的控制权归于谁？中国汽车工业协会秘书长助理兼技术部部长王耀告诉记者：“实际控制权现在是在主机厂。当前用户数据和行车数据都会通过车辆的网联模块并通过移动网络传输到车企的数据库进行存储。”

不难发现，运营者是海量汽车数据的持有者，因此他们也是汽车数据安全管理的主要对象，而规定默认不收集用户数据就十分必要。在马军看来，汽车数据不仅涉及用户隐私，还涉及国家安全，一定要坚持两者并重，严格遵守最小必要、合法与正当性原则。

中国并购公会信用管理专委会专家安光勇向记者分析指出：“通过汽车传感器能收集到的数据，远比通过手机收集到的数据要多。理论上这些传感器，能够收集到大量车内人员的个人隐私信息，除了车主(司机)的驾驶习惯、个人偏好外，同行人员的个人隐私、偏好等信息都能收集得到。此外，还能够收集大量的车外地理位置信息。仅以行车记录仪为例，它可以收集到所有路过地区的信息。如果一辆车行驶路过敏感的地区(如军事管制区)就能获取到大量的敏感信息，包括路过周围的各种装备和人员的部署情况等等。如果我们考虑到辆汽车强制报废限制是60万公里，那么，在其生命周期内，能够覆盖的区域可想而知。汽车数据是一把双刃剑，在提供便利的同时，如果这些数据流入其他不授权的领域时，会变成可怕的‘凶器’。不管是从个人隐私层面，还是国家安全层面，汽车数据安全问题非常重要，因此，我们不仅要从数据流通层面进行监管，从数据收集层面也要进行限制，这样才能双管齐下从真正意义上保证数据安全。”

同时，汽车数据一旦被收集，也要考虑一个重要问题，到底应该如何使用和保护汽车数据才能更好的去保障用户的权益？在牛文军看来：“这不仅关系到数据安全，也关系到汽车产业的技术创新。任何一项新技术的运用都是利弊并存，大数据是汽车智能化的技术基础，不能为保护而简单地禁止或限制汽车大数据的应用。这需要政府、汽车运营者和用户个人充分认识汽车数据安全对国家、社会和个人的影响，将汽车数据收集利用控制在合理的限度内。”

严管出境数据规范行业发展

关于数据存储和出境问题，此次征求意见稿也作出了明确规定。第十二条指出，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。第十五条指出，运营者在安全评估时明确的目的、范围、方式和数据类型、规模等，将对接收者的使用情况起限制作用。国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等，运营者应当以明文、可读方式予以展示。

就在意见稿发布仅几小时后，特斯拉官方微博边做出了回应称：支持并响应行业发展进一步走向规范，共同助力技术创新。同时，特斯拉还称，欢迎大家积极向有关部门建言献策，推动汽车行业健康有序发展。

牛文军认为，智能汽车的数据跨境传输不仅在中国存在，世界上很多国家都有同样的问题。跨境数据的传输涉及到的是国家安全问题，数据一旦外传，后果较为严重。不但整治、修补的难度高，也会造成长远的影响。在技术手段不完备、相关的管理制度还不完善的情况下，对跨境传输理应采取严格的管理方式。

马军也持相同观点，出于个人信息安全、国家安全和社会公共利益的考虑，严格监管运营者向境外提供个人信息或重要数据是十分必要的。

王源则指出了征求意见稿的出台对于传统汽车企业、境外云服务商以及像360、百度、OPPO 等入局造车的科技公司都会有一定的影响及规范作用。独立经济学家王赤坤认为，这也促进了企业自律。企业作为市场主体，不仅仅要追求经济效益，也要追求社会效益，在法律法规的基础上，在行业规范的约束下企业应该有更高的治理规范和治理标准，为社会发展树立良好典范。

此次征求意见稿的出台无论是对汽车行业的发展还是对汽车数据安全建立比较完备的立法体系都有着巨大推动作用。在王耀看来，征求意见稿的推出最大价值就是意味着对企业责任和政府安全监管都提出了更高的要求。同时也会加快相关立法，完善现有的安全监管体系；另一个层面则让车企对包括控制策略、软件架构等方面的安全更加注重，进一步提高企业承担公众责任的能力，让消费者更加信赖汽车产品。

责任编辑：于建平 主编：王大勇

查看更多华夏时报文章，参与华夏时报微信互动（微信搜索「华夏时报」或「chinatimes」）