證券時報記者 韓忠楠
汽車行業(yè)是全球化程度非常高的產(chǎn)業(yè)之一,很多車企將研發(fā)中心設置在海外,以實現(xiàn)全球研發(fā)資源的充分利用;诋a(chǎn)業(yè)的特性,汽車數(shù)據(jù)的跨境流通已成為諸多車企技術迭代、科技創(chuàng)新的必然選擇。
對于中國車企而言,隨著智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的快速發(fā)展以及汽車出口量的激增,車企對于數(shù)據(jù)出境的需求也日益增長。
近年來,我國不斷加強對網(wǎng)絡安全、數(shù)據(jù)安全、個人信息的保護力度,先后頒布多項法律法規(guī)。不久前,國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《數(shù)據(jù)出境安全評估辦法》,為數(shù)據(jù)出境安全評估工作提供了具體指引。在這樣的背景下,車企該如何做好汽車數(shù)據(jù)出境的合規(guī)準備?如何在發(fā)揮汽車數(shù)據(jù)作用的同時做好安全保障?成為了業(yè)內(nèi)關注的焦點問題。
數(shù)據(jù)出境需過“安檢”
全球化背景下,中國的數(shù)據(jù)出境也呈現(xiàn)常態(tài)化趨勢,在《個人信息保護法》實施后,數(shù)據(jù)出境安全的評估制度也正式落地。
9月1日,國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法》(下稱《評估辦法》)正式生效。據(jù)悉,該《評估辦法》是基于《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)制定的。與此前的法律法規(guī)相比,《評估辦法》提出了我國數(shù)據(jù)出境“安檢”的具體要求,標志著我國數(shù)據(jù)出境規(guī)則的基本形成。
業(yè)內(nèi)人士透露,目前我國數(shù)據(jù)出境主要包括三種路徑,分別是官方評估、認證和標準合同路徑。《評估辦法》出臺后,車企需要對其各自的數(shù)據(jù)出境活動及后續(xù)安排做出策略性的調(diào)整和規(guī)劃。
實際上,去年10月1日正式實施的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(下稱《汽車數(shù)據(jù)規(guī)定》)也系統(tǒng)地明確了汽車數(shù)據(jù)出境的準則和要求,即汽車數(shù)據(jù)處理者向境外提供重要數(shù)據(jù),不得超出出境安全評估時明確的目的、范圍、方式和數(shù)據(jù)種類、規(guī)模等。
北京植德律師事務所合伙人陳文昊向證券時報記者表示,在實踐中,《評估辦法》的位階更高,主要針對個人信息、重要數(shù)據(jù)兩大類進行規(guī)范管理,是一項針對所有行業(yè)的法規(guī),而這兩大數(shù)據(jù)均與汽車行業(yè)息息相關。
在他看來,研究和解決數(shù)據(jù)出境問題,必須貼合具體行業(yè)特點。汽車行業(yè)作為處理數(shù)據(jù)類型豐富、數(shù)據(jù)量龐大、數(shù)據(jù)流轉(zhuǎn)鏈條長、數(shù)據(jù)敏感程度高的行業(yè),格外受監(jiān)管部門關注!镀嚁(shù)據(jù)規(guī)定》提出了處理汽車數(shù)據(jù)的原則性規(guī)定,并針對汽車數(shù)據(jù)出境提出了一系列合規(guī)要求,一定程度上體現(xiàn)了監(jiān)管機構對于汽車行業(yè)特點采取的特殊監(jiān)管措施。
據(jù)悉,目前業(yè)內(nèi)普遍將車輛數(shù)據(jù)分為四大類,包括車輛數(shù)據(jù)、用戶數(shù)據(jù)、應用服務和外部環(huán)境數(shù)據(jù)。隨著汽車產(chǎn)品網(wǎng)聯(lián)化的特征越來越明顯,對應的汽車數(shù)據(jù)種類也越來越豐富。
攝像頭、激光雷達、電池等關鍵零部件的運行狀態(tài),定位和導航數(shù)據(jù),基礎設施基本數(shù)據(jù)、5G-V2X等車路協(xié)同信息、環(huán)境感知數(shù)據(jù)等,如需進行數(shù)據(jù)出境,均可能觸發(fā)《評估辦法》中對于重要數(shù)據(jù)的合規(guī)要求。
上海機動車檢測認證技術研究中心有限公司DASA實驗室數(shù)據(jù)合規(guī)主管趙劍告訴證券時報記者,汽車行業(yè)是一個在設計、研發(fā)、生產(chǎn)、銷售等方面分工明確的產(chǎn)業(yè),車企的全球化程度普遍很高,出于各個環(huán)節(jié)配合作業(yè)的需要,數(shù)據(jù)跨境的需求很強烈,也很固定,幾乎是車企的剛需。我國陸續(xù)出臺的一系列圍繞著數(shù)據(jù)出境展開的法律法規(guī),并不會阻礙這些需求,而是為了讓車企的數(shù)據(jù)出境更加有序,更有安全保障。
亟需構建數(shù)據(jù)管理制度
隨著人工智能、5G、大數(shù)據(jù)、物網(wǎng)聯(lián)、云計算、區(qū)塊鏈等新技術在汽車領域的廣泛應用和加速滲透,汽車正成為車輪上的數(shù)據(jù)中心。
有業(yè)內(nèi)人士表示,對數(shù)據(jù)的掌握已成為車企核心競爭力的重要體現(xiàn)。四維圖新CEO程鵬表示,汽車數(shù)據(jù)已經(jīng)是一種新型燃料,和鋰礦一樣具有極高的價值。
在明確汽車數(shù)據(jù)價值的同時,產(chǎn)業(yè)界也因部分車聯(lián)網(wǎng)平臺遭遇的惡意網(wǎng)絡攻擊而強化了對汽車數(shù)據(jù)管理的風險意識。
公開數(shù)據(jù)顯示,在過去5年時間里,智能網(wǎng)聯(lián)汽車被黑客攻擊的次數(shù)增長了20倍,其中有27.6%的攻擊涉及車輛控制。
具體到汽車數(shù)據(jù)出境領域,國家信息技術安全研究中心副主任兼總工程師、中國信息協(xié)會信息安全專委會副主任李京春曾公開做出過風險提示。在他看來,目前汽車數(shù)據(jù)出境領域的問題依然比較突出,一是個別企業(yè)未按國家有關法律法規(guī)和部門規(guī)章,采集位置數(shù)據(jù)和周邊環(huán)境數(shù)據(jù),數(shù)據(jù)違法違規(guī)出境;二是數(shù)據(jù)交易不規(guī)范,數(shù)據(jù)跨境合同不符合國家法規(guī)要求,數(shù)據(jù)跨境未評估、未認證、未備案、未目錄申報等問題。
針對上述問題以及相關法規(guī)出臺后給汽車行業(yè)帶來的挑戰(zhàn),產(chǎn)業(yè)界認為應該從監(jiān)管層、機制層以及企業(yè)層逐一攻克。
首先是監(jiān)管層面,中國電動汽車百人會副理事長兼秘書長、首席專家張永偉認為,目前最迫切的是需要進一步完善智能網(wǎng)聯(lián)汽車發(fā)展所需要的汽車數(shù)據(jù)管理制度,特別是在進度數(shù)據(jù)爆炸的時代,對數(shù)據(jù)的監(jiān)管應該有明確的職能分工,不同的監(jiān)管部門應該承擔哪些職能?各自監(jiān)管的數(shù)據(jù)鏈條在不同的數(shù)據(jù)鏈條上應該扮演怎樣的角色?這一系列問題還有待明晰。
陳文昊也認為,《評估辦法》針對數(shù)據(jù)的出境監(jiān)管是面向全行業(yè)的,但不同行業(yè)的特點存在差異,商業(yè)模式也有很大區(qū)別,這將給監(jiān)管層帶來一定挑戰(zhàn)。對數(shù)據(jù)出境的監(jiān)管不僅要覆蓋得廣,還要有深度。建議監(jiān)管層多與行業(yè)組織及頭部企業(yè)交流,以破解上述難題。同時,對于汽車數(shù)據(jù)的監(jiān)管,工信部會發(fā)表對應的意見,提供更加專業(yè)的審查建議。
此外,針對數(shù)據(jù)出境的提前預警以及出現(xiàn)問題后的事后問責,業(yè)內(nèi)人士認為也需要通過監(jiān)管層建立明確制度。張永偉表示,汽車數(shù)據(jù)的權責界定是非常復雜的,涉及諸多法律問題,因此監(jiān)管層有必要建立一定的預警制度和事后管理制度,提高企業(yè)在數(shù)據(jù)使用上的管理預期。
其次是機制層面,多位業(yè)內(nèi)人士表示,汽車數(shù)據(jù)出境需要率先對數(shù)據(jù)進行明確的分級、分類,這樣可提升數(shù)據(jù)出境合規(guī)的效率。希望行業(yè)主管部門或機構制定企業(yè)數(shù)據(jù)分類分級盤點表,并以其指導數(shù)據(jù)出境安全評估中的數(shù)據(jù)梳理與識別工作。
國際注冊信息系統(tǒng)安全認證專家、律師白宇思告訴證券時報記者,汽車行業(yè)及企業(yè)應當注重建立包括分級、分類制度在內(nèi)的完善的數(shù)據(jù)安全及數(shù)據(jù)合規(guī)管理體系,并按照法律法規(guī)規(guī)定進行數(shù)據(jù)出境安全評估,積極主動規(guī)范數(shù)據(jù)出境行為并持續(xù)監(jiān)督。
最后是企業(yè)層面,陳文昊告訴證券時報記者,在我國關于數(shù)據(jù)出境的系列法律法規(guī)出臺前,部分跨國車企對于數(shù)據(jù)出境的合規(guī)問題關注和認識相對有限。在《汽車數(shù)據(jù)規(guī)定》及《評估辦法》等系列法律法規(guī)出臺后,車企如果沒有提前做好合規(guī)準備,那么可能會影響到正常的業(yè)務開展,如果因為企業(yè)的合規(guī)不力最終構成信息泄露,那么企業(yè)要面臨高額的罰款,公司的相關責任人和管理層也要承擔相應責任。
趙劍建議,發(fā)展車聯(lián)網(wǎng)相關業(yè)務的企業(yè),有必要對數(shù)據(jù)進行分類工作,并按照國家法律規(guī)定建立數(shù)據(jù)資產(chǎn)臺賬,以此來保障對重要數(shù)據(jù)和個人信息的精準識別。
“當企業(yè)對某類數(shù)據(jù)的敏感性判斷產(chǎn)生猶疑,又無現(xiàn)有法規(guī)可以遵照時,可以按照從嚴處理的原則,一并上報給監(jiān)管部門進行篩選!壁w劍告訴證券時報記者,目前產(chǎn)業(yè)界已可以預料到智能網(wǎng)聯(lián)汽車數(shù)據(jù)出境的規(guī)模會越來越龐大,而通過法律法規(guī)的明確及完善、出境申報審核實務經(jīng)驗的積累等,今后汽車數(shù)據(jù)的出境可能會朝著質(zhì)、量齊升的趨勢發(fā)展,這對于企業(yè)的技術提升也將更有幫助。
同時,由于汽車產(chǎn)業(yè)鏈是個漫長的產(chǎn)業(yè),輻射范圍非常廣泛,且產(chǎn)業(yè)邊界也在不斷外延,所涉及的數(shù)據(jù)種類越來越豐富,因此對數(shù)據(jù)出境合規(guī)的重視也應該上升到產(chǎn)業(yè)鏈高度上。
陳文昊認為,汽車產(chǎn)業(yè)鏈的數(shù)據(jù)出境合規(guī)水平,最終會體現(xiàn)在主機廠環(huán)節(jié)。對于零部件企業(yè)而言,是有義務配合整車企業(yè)做好數(shù)據(jù)出境合規(guī)工作的,這種合規(guī)能力也反映了零部件企業(yè)的競爭力。
數(shù)據(jù)跨境傳輸存挑戰(zhàn)
數(shù)據(jù)的價值核心在于流通和應用,但數(shù)據(jù)也牽涉著競爭問題、數(shù)據(jù)主權問題和信息安全問題。
全球智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高度融合的背景下,如何保障汽車數(shù)據(jù)的進一步流通與融合,成為了業(yè)內(nèi)關注的焦點。
在日前舉辦的2022世界智能網(wǎng)聯(lián)汽車大會上,歐洲汽車工業(yè)協(xié)會秘書長西格麗德·弗里斯指出,在智能網(wǎng)聯(lián)汽車領域,協(xié)會與中國的主要主管與科研機構建立了成功的工作機制。建立全球數(shù)據(jù)經(jīng)濟時,數(shù)據(jù)的自由流動非常關鍵。呼吁中國、歐盟、美國和日本等國家和地區(qū)的政府,盡快通過雙邊貿(mào)易協(xié)定或多邊貿(mào)易協(xié)定,促進汽車數(shù)據(jù)的跨境傳輸。
陳文昊告訴證券時報記者,從全球范圍來看,中國、美國、歐盟在數(shù)據(jù)監(jiān)管上均有較為完善的法律法規(guī)體系,三方對于數(shù)據(jù)的監(jiān)管很有代表性,且在圍繞著數(shù)據(jù)展開博弈,因此大家對于數(shù)據(jù)出境是相對謹慎的。汽車數(shù)據(jù)的鏈條很長,涉及的種類也很豐富,完全放開汽車數(shù)據(jù)在全球范圍內(nèi)的流通,可能性較小。
“不排除各主要汽車大國建立有限范圍內(nèi)的雙邊或多邊條約的可能性,大家在具體的數(shù)據(jù)出境上達成默契”,陳文昊認為,推動汽車數(shù)據(jù)在全球范圍內(nèi)的跨境流通是存在一定挑戰(zhàn)的,但產(chǎn)業(yè)界可探索在一些特定范圍內(nèi)設立條約。
中國科學技術大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟也表達了類似的觀點。在他看來,針對智能網(wǎng)聯(lián)汽車這種特殊場景來建立國際數(shù)據(jù)跨境的綠色通道,是值得產(chǎn)業(yè)界探討的,法律上也預留了相關的通道和口徑。