南方财经全媒体 见习记者吴立洋 郑植文 广州、上海报道
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。
早在5月12日,国家网信办就发布了《汽车数据安全管理若干规定(征求意见稿)》,明确了汽车数据处理活动场景中的个人信息和重要数据概念,提出汽车数据的车内处理、匿名化处理、默认不收集等采集处理原则。
而本次五部门联合发布的试行稿,除了对原有的征求意见稿的部分表述进行了修改完善,还增添了国家加强智能(网联)汽车网络平台建设,汽车数据处理者应建立投诉举报渠道等规定。
多位专家在接受采访时表示,目前各国对汽车行业信息数据的监管都还在摸索阶段,其合规制度设计也各有侧重,中国的监管思路可以被视为一种以安全为底线,兼顾数字经济发展的逻辑思路。
个人隐私与国家安全保障今年4月19日,上海车展特斯拉车主站上车顶维权的事件将人们的目光汇聚到汽车数据的处理问题上。当事车主称,其购买的Model3汽车发生刹车失灵事故后,特斯拉方面在沟通中多次推诿,其不得已采取此方式维权。
在本次事件中,双方分歧的焦点集中于对行车数据的处理鉴定方式。4月20日,郑州市场监管局称已分别于3月15日、18日、24日组织投诉人和特斯拉方面进行调解,投诉人不同意第三方进行技术鉴定,要求“提供车辆发生事故前半小时完整行车数据”;特斯拉则因担心数据被当事人用来炒作宣传造成不良影响,拒绝提供相关数据。
“汽车数据的特殊性在于除了汽车运行时产生的数据,其还需要搜集周边环境的测绘数据,是一个既包含个人信息,也包含地理交通重要数据的集中应用场景,因此在管理与规制中需要特别注意。”上海交通大学数据法律研究中心执行主任何渊在接受21世纪经济报道记者采访时表示,汽车数据的管理对我国的国家安全、公共安全和社会稳定都意义重大。
汽车分析师张翔也认为,汽车数据在处理过程中出现的典型问题是个人隐私泄露和涉及国家安全保密信息的采集,《规定》对其进行制约与管理的方式,一是要求数据处理者的服务器必须建在中国境内,二是要求其定期向政府主管部门报告数据的采集方法和用途,三是要求数据尽量在车内使用。“先前车企的数据大都没有向政府报备,导致发生交通事故后有关部门缺乏核实数据的途径,也没有相应的第三方机构能够进行权威的数据溯源。”
而本次公布的《规定》则增添了对数据处理者处理相关投诉举报的要求,其第七条添加了“汽车数据处理者应告知个人用户权益事务联系人的姓名和联系方式”要求,新增的第十七条规定:“汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。”
本次添加设置投诉机制,可以视为新版《规定》对社会愈发关注的行车数据安全的回应,但多位受访专家均表示,通过关联相关法律法规明确相关企业的责任以及违规代价,是保障汽车数据安全与消费者权益更为关键的部分。
艾媒咨询创始人兼CEO张毅认为,目前大部分汽车生产厂商和相关汽车数据处理者和消费者沟通的渠道应该是畅通的,关键在于有配套的法律法规督促相关的数据处理者解决问题,以及明确相关的追责机制。
何渊表示,注重个人信息保护是近年来社会发展的普遍趋势,虽然本次发布的《规定》没有直接标明违规的处罚细则,但完全可以通过借用《网络安全法》《数据安全法》和《个人信息保护法》的方式来进行处罚,相关的救济路径和维权工具已经通过这些法律被赋予了消费者:“从处罚范围看,除了传统的车厂和汽车维修服务机构,智能汽车软件提供商、打车服务商等涉及汽车出行的互联网公司也都被包含在内;从处罚力度看,无论是年度营业额百分之五的罚金还是吊销营业执照等处罚,都是相关企业难以承受的。”
新增网络平台建设要求值得注意的是,本次公布的《规定》新增了关于汽车网络平台相关的建设规划,其第十六条指出:“国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。”
平台可视为数据汇总、管理与运用的终端,平台的建设对于汽车行业又有何意义?
“智能网联汽车网络平台的建设,可以视为加强监管的一种表现。”何渊认为,建立平台背后是监管逻辑的转变,与过去运动式执法或选择式执法的思路不同,通过相关规章制度的落地与平台等前置设施建设,监管部门将安全保障等义务落实到汽车行业每一个运营主体,促使企业主动参照标准指标采取合规措施。
8月17日,国务院公布了《关键信息基础设施安全保护条例》,对关键基础设施的范围认定提出具体要求。其中,交通即被视为关键信息基础设施所涉及的重要行业和领域的一种,其重要网络设施和信息系统将被纳入监管部门职责与运营者责任义务的要求设定框架。
何渊表示,目前很多车企及汽车相关企业的信息数据系统很多都符合关键信息基础设施的认定标准,企业需要履行上述保护条例所规定的义务,而本次《规定》中建立网络平台的形式则是对这些义务整合落实的一种体现,也反映了国家以协同的方式从后台进行治理的监管角度。
“其实信息数据平台在汽车行业已经有成功案例。”张翔指出,目前已经有一部分地方政府建立了新能源汽车、充电桩的大数据平台,既可以利用数据反哺优化智能汽车的制造工艺和协调机制,也便于政府对过去分布于不同企业服务器的数据进行统一管理,集中解决个人数据隐私、数据涉密和数据安全问题。
中外都在摸着石头过河今年以来,国家各部门接连发出一系列汽车数据处理的监管政策。5月12日,国家网信办为加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益制定了《汽车数据安全管理若干规定(征求意见稿)》并公开征求意见。7月30日,国家工信部为加强智能网联汽车生产企业及产品准入管理,维护公民生命、财产安全和公共安全,促进智能网联汽车产业健康可持续发展,提出关于加强智能网联汽车生产企业及产品准入管理的意见。8月,《汽车数据安全管理若干规定(试行)》经由国家网信办通过,国家发改委、工信部、公安部、交通运输部同意后正式出台,以规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
这一系列的政策举措被专家认为是汽车行业发展的大势所趋。张毅表示,从国家整体策略来看,往智能网联汽车的发展应该说是我们国家在赶超西方汽车行业的发展水平的一条捷径,但是这条路并不轻松,所以整个运行环境和立法环境都必须要做相应的调整和升级。
而关于打造智能网联汽车监管的框架,何渊认为这是一种以安全为底线的,兼顾数字经济发展的逻辑思维。国家安全是红线,哪家公司都不能突破,汽车行业表现最明显的就在于大量重要的个人信息以及涉及到重要数据、核心数据的跨境会涉及到国家安全的很多领域,所以这个底线必须要清楚。同时在这个底线上面,也强调要素市场或者数字经济的发展与合理利用。
但智能网联汽车的监管在国内乃至国外仍有很长的路要走,“我们国家之前根本没有出台过任何汽车数据管理文件,这次出台的文件只是个指导意见稿,第一步还没有完全迈出来。政府也逐步在摸索,不仅中国政府没有经验,国外政府也没有经验,也是在摸着石头过河”,张翔认为当下首要先把基本的一些功能管理好,然后走一步看一步。
更多内容请下载21财经APP
