证券时报记者 韩忠楠
(相关资料图)
汽车行业是全球化程度非常高的产业之一,很多车企将研发中心设置在海外,以实现全球研发资源的充分利用。基于产业的特性,汽车数据的跨境流通已成为诸多车企技术迭代、科技创新的必然选择。
对于中国车企而言,随着智能网联汽车产业的快速发展以及汽车出口量的激增,车企对于数据出境的需求也日益增长。
近年来,我国不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布多项法律法规。不久前,国家互联网信息办公室正式发布《数据出境安全评估办法》,为数据出境安全评估工作提供了具体指引。在这样的背景下,车企该如何做好汽车数据出境的合规准备?如何在发挥汽车数据作用的同时做好安全保障?成为了业内关注的焦点问题。
数据出境需过“安检”
全球化背景下,中国的数据出境也呈现常态化趋势,在《个人信息保护法》实施后,数据出境安全的评估制度也正式落地。
9月1日,国家网信办发布的《数据出境安全评估办法》(下称《评估办法》)正式生效。据悉,该《评估办法》是基于《网络安全法》《数据安全法》和《个人信息保护法》等法律法规制定的。与此前的法律法规相比,《评估办法》提出了我国数据出境“安检”的具体要求,标志着我国数据出境规则的基本形成。
业内人士透露,目前我国数据出境主要包括三种路径,分别是官方评估、认证和标准合同路径。《评估办法》出台后,车企需要对其各自的数据出境活动及后续安排做出策略性的调整和规划。
实际上,去年10月1日正式实施的《汽车数据安全管理若干规定(试行)》(下称《汽车数据规定》)也系统地明确了汽车数据出境的准则和要求,即汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。
北京植德律师事务所合伙人陈文昊向证券时报记者表示,在实践中,《评估办法》的位阶更高,主要针对个人信息、重要数据两大类进行规范管理,是一项针对所有行业的法规,而这两大数据均与汽车行业息息相关。
在他看来,研究和解决数据出境问题,必须贴合具体行业特点。汽车行业作为处理数据类型丰富、数据量庞大、数据流转链条长、数据敏感程度高的行业,格外受监管部门关注。《汽车数据规定》提出了处理汽车数据的原则性规定,并针对汽车数据出境提出了一系列合规要求,一定程度上体现了监管机构对于汽车行业特点采取的特殊监管措施。
据悉,目前业内普遍将车辆数据分为四大类,包括车辆数据、用户数据、应用服务和外部环境数据。随着汽车产品网联化的特征越来越明显,对应的汽车数据种类也越来越丰富。
摄像头、激光雷达、电池等关键零部件的运行状态,定位和导航数据,基础设施基本数据、5G-V2X等车路协同信息、环境感知数据等,如需进行数据出境,均可能触发《评估办法》中对于重要数据的合规要求。
上海机动车检测认证技术研究中心有限公司DASA实验室数据合规主管赵剑告诉证券时报记者,汽车行业是一个在设计、研发、生产、销售等方面分工明确的产业,车企的全球化程度普遍很高,出于各个环节配合作业的需要,数据跨境的需求很强烈,也很固定,几乎是车企的刚需。我国陆续出台的一系列围绕着数据出境展开的法律法规,并不会阻碍这些需求,而是为了让车企的数据出境更加有序,更有安全保障。
亟需构建数据管理制度
随着人工智能、5G、大数据、物网联、云计算、区块链等新技术在汽车领域的广泛应用和加速渗透,汽车正成为车轮上的数据中心。
有业内人士表示,对数据的掌握已成为车企核心竞争力的重要体现。四维图新CEO程鹏表示,汽车数据已经是一种新型燃料,和锂矿一样具有极高的价值。
在明确汽车数据价值的同时,产业界也因部分车联网平台遭遇的恶意网络攻击而强化了对汽车数据管理的风险意识。
公开数据显示,在过去5年时间里,智能网联汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。
具体到汽车数据出境领域,国家信息技术安全研究中心副主任兼总工程师、中国信息协会信息安全专委会副主任李京春曾公开做出过风险提示。在他看来,目前汽车数据出境领域的问题依然比较突出,一是个别企业未按国家有关法律法规和部门规章,采集位置数据和周边环境数据,数据违法违规出境;二是数据交易不规范,数据跨境合同不符合国家法规要求,数据跨境未评估、未认证、未备案、未目录申报等问题。
针对上述问题以及相关法规出台后给汽车行业带来的挑战,产业界认为应该从监管层、机制层以及企业层逐一攻克。
首先是监管层面,中国电动汽车百人会副理事长兼秘书长、首席专家张永伟认为,目前最迫切的是需要进一步完善智能网联汽车发展所需要的汽车数据管理制度,特别是在进度数据爆炸的时代,对数据的监管应该有明确的职能分工,不同的监管部门应该承担哪些职能?各自监管的数据链条在不同的数据链条上应该扮演怎样的角色?这一系列问题还有待明晰。
陈文昊也认为,《评估办法》针对数据的出境监管是面向全行业的,但不同行业的特点存在差异,商业模式也有很大区别,这将给监管层带来一定挑战。对数据出境的监管不仅要覆盖得广,还要有深度。建议监管层多与行业组织及头部企业交流,以破解上述难题。同时,对于汽车数据的监管,工信部会发表对应的意见,提供更加专业的审查建议。
此外,针对数据出境的提前预警以及出现问题后的事后问责,业内人士认为也需要通过监管层建立明确制度。张永伟表示,汽车数据的权责界定是非常复杂的,涉及诸多法律问题,因此监管层有必要建立一定的预警制度和事后管理制度,提高企业在数据使用上的管理预期。
其次是机制层面,多位业内人士表示,汽车数据出境需要率先对数据进行明确的分级、分类,这样可提升数据出境合规的效率。希望行业主管部门或机构制定企业数据分类分级盘点表,并以其指导数据出境安全评估中的数据梳理与识别工作。
国际注册信息系统安全认证专家、律师白宇思告诉证券时报记者,汽车行业及企业应当注重建立包括分级、分类制度在内的完善的数据安全及数据合规管理体系,并按照法律法规规定进行数据出境安全评估,积极主动规范数据出境行为并持续监督。
最后是企业层面,陈文昊告诉证券时报记者,在我国关于数据出境的系列法律法规出台前,部分跨国车企对于数据出境的合规问题关注和认识相对有限。在《汽车数据规定》及《评估办法》等系列法律法规出台后,车企如果没有提前做好合规准备,那么可能会影响到正常的业务开展,如果因为企业的合规不力最终构成信息泄露,那么企业要面临高额的罚款,公司的相关责任人和管理层也要承担相应责任。
赵剑建议,发展车联网相关业务的企业,有必要对数据进行分类工作,并按照国家法律规定建立数据资产台账,以此来保障对重要数据和个人信息的精准识别。
“当企业对某类数据的敏感性判断产生犹疑,又无现有法规可以遵照时,可以按照从严处理的原则,一并上报给监管部门进行筛选。”赵剑告诉证券时报记者,目前产业界已可以预料到智能网联汽车数据出境的规模会越来越庞大,而通过法律法规的明确及完善、出境申报审核实务经验的积累等,今后汽车数据的出境可能会朝着质、量齐升的趋势发展,这对于企业的技术提升也将更有帮助。
同时,由于汽车产业链是个漫长的产业,辐射范围非常广泛,且产业边界也在不断外延,所涉及的数据种类越来越丰富,因此对数据出境合规的重视也应该上升到产业链高度上。
陈文昊认为,汽车产业链的数据出境合规水平,最终会体现在主机厂环节。对于零部件企业而言,是有义务配合整车企业做好数据出境合规工作的,这种合规能力也反映了零部件企业的竞争力。
数据跨境传输存挑战
数据的价值核心在于流通和应用,但数据也牵涉着竞争问题、数据主权问题和信息安全问题。
全球智能网联汽车产业高度融合的背景下,如何保障汽车数据的进一步流通与融合,成为了业内关注的焦点。
在日前举办的2022世界智能网联汽车大会上,欧洲汽车工业协会秘书长西格丽德·弗里斯指出,在智能网联汽车领域,协会与中国的主要主管与科研机构建立了成功的工作机制。建立全球数据经济时,数据的自由流动非常关键。呼吁中国、欧盟、美国和日本等国家和地区的政府,尽快通过双边贸易协定或多边贸易协定,促进汽车数据的跨境传输。
陈文昊告诉证券时报记者,从全球范围来看,中国、美国、欧盟在数据监管上均有较为完善的法律法规体系,三方对于数据的监管很有代表性,且在围绕着数据展开博弈,因此大家对于数据出境是相对谨慎的。汽车数据的链条很长,涉及的种类也很丰富,完全放开汽车数据在全球范围内的流通,可能性较小。
“不排除各主要汽车大国建立有限范围内的双边或多边条约的可能性,大家在具体的数据出境上达成默契”,陈文昊认为,推动汽车数据在全球范围内的跨境流通是存在一定挑战的,但产业界可探索在一些特定范围内设立条约。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋也表达了类似的观点。在他看来,针对智能网联汽车这种特殊场景来建立国际数据跨境的绿色通道,是值得产业界探讨的,法律上也预留了相关的通道和口径。