为车企划定红线助汽车数据合规应用

法治日报 2024-02-05 09:17:55

  本刊记者 焦艳

  近日,一起与汽车数据安全相关的事件引起广泛关注。某车企回应一位网络博主发布的车辆百公里油耗数据的官方声明,引发了关于汽车数据安全的讨论。声明指出,该博主在高速公路上进行的测试涉及超速驾驶,应警方要求,车企调取了相关车辆运行数据,发现车辆当日存在大量异常驾驶行为。声明中还附上原始驾驶数据图,希望通过对异常驾驶情况的公布,表明该博主所测油耗并不准确。然而对车企这份用于自证的数据,许多网友表达了担忧。他们认为,车企公布用户车辆使用数据,属于涉嫌违规披露行为。车企对数据的掌控程度越来越高,如何保障这些数据的合规使用,成为公众关注的重要问题。

  汽车数据安全规定相继出台

  数字化时代,汽车数据已成为一种宝贵的资源,被广泛应用于自动驾驶、智能出行等领域。我们的驾驶行为、个人信息等越来越多地被记录和处理。这些数据的收集和使用不仅提升了驾驶体验,还为交通管理和汽车制造提供了数据支持。然而,随着汽车智能化水平的进一步提高,给予开发者多少数据权限,才能既保障个人数据安全又不至于掣肘发展,成为数据安全治理中的重要议题。

  近年来,我国在网络安全法、数据安全法、个人信息保护法三大上位法的基础上,相继出台了多项智能网联汽车网络安全政策、法规以及行业标准。

  在汽车数据方面,有国家互联网信息办公室等五部门发布的《汽车数据安全管理若干规定(试行)》以及《关于开展汽车数据安全、网络安全等自查工作的通知》、《关于加强车联网网络安全和数据安全工作的通知》,自然资源部发布的《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,以及全国信息安全标准化技术委员会印发的《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)。上述国标作为我国首个汽车数据安全标准,规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求,对增强我国汽车数据安全,尤其是个人信息和重要数据安全具有重要意义。

  平衡数据安全和有效利用

  汽车行业数据安全问题较为复杂,涉及到国家安全、行业管理和个人隐私。特别是进入智能时代后,汽车运行过程中采集和存储的数据量非常大,涉及到汽车运行、周边环境、司机状态等数据。有业内专家分析指出,一辆智能网联汽车每天采集的数据量超过10TB。

  在智能网联汽车快速发展的过程中,如何平衡好数据安全和有效利用已成为行业关注的焦点。

  从智能汽车制造商、供应商、经销商到出行服务商,整个产业链涉及到大量个人信息和重要数据的收集和处理。一些企业或个人可能会无序收集、违规滥用汽车数据,甚至导致数据泄露。这不仅严重侵害了个人、组织的合法权益,还威胁到国家安全和社会公共利益。这些问题凸显对数据安全和数据利用进行规范的必要性。

  目前我国在汽车数据安全保护方面的政策法规较多,但在汽车企业对数据安全和数据保护合规使用方面仍有待完善。

  在北京理工大学智能科技法律研究中心研究员王磊看来,车企在数据合规实践过程中面临诸多难点、痛点。

  王磊认为,当下智能网联汽车企业面临缺乏明确的合规基线,同时又需要满足更高合规要求的双重难题。一方面,国家对于当前汽车数据安全保护方面的政策法规频出,但许多监管文件在智能网联汽车这一行业中只起到指引作用,尚需更多具有正式效力和可操作性的配套规范予以明确;另一方面,智能网联汽车行业作为数据密集型行业,具有数据体量大、场景多、类型复杂的特点,面临着更为严格的合规要求,这也是行业合规的重点和难点。

  细化数据合规应用规则

  智能网联汽车数据是否安全,会对国家和个人产生不同程度的影响。因此要从整体角度出发,运用多种不同措施,打造完善的数据安全防护体系。

  记者在采访中了解到,为了确保汽车行业数据应用的合规性和安全性,需要针对典型的数据应用场景细化数据合规应用规则。目前《汽车数据安全管理若干规定(试行)》和《信息安全技术 汽车数据处理安全要求》等已有明确要求,包括各类数据的保护要求。但对于企业而言,他们其实并不清楚如何做是合规使用,缺少的是合规使用的规范。

  “当今世界已经进入数字经济时代,数据成为重要的生产要素,我们要让数据流通起来。在数据安全法、数据二十条等政策法规中,提倡安全与发展并重,国家应该围绕数据合规制定相应法律法规。”业内专家建议。

  “车企在遵循数据安全法、个人信息保护法等法律规则、原则之外,还应当遵守汽车数据处理的特别规定。”王磊说,在汽车数据处理时,企业往往以业务视角对场景下涉及的数据资产制定内部数据治理体系,防范数据安全,保护用户隐私。以汽车数据处理的四项原则(“车内处理”“默认不收集”“精度范围适用”“脱敏处理”)贯穿数据全生命周期。建议通过完善配套法律文件明确智能网联汽车合规体系,提升自动驾驶行业数据安全防护能力。通过法律法规划定车企必须遵守的安全“底线”和“红线”,辅之以标准、指南等指引性文件增强合规制度的可操作性。

责任编辑:封晓健