1月12日,工信部发布消息称,2021年中国汽车整车出口201.5万辆,同比增长1倍,创历史新高。在汽车市场全球化背景下,产品、数据双跨境将成为车企未来常态。
然而,2021年出行巨头滴滴上市引发监管对数据跨境的空前警惕,也正蔓延到掌握着大量用户隐私数据、业务与关键信息基础设施关联的智能网联汽车行业,数据跨境或将成为新一年智能网联汽车的监管重点之一。
尽管目前我国数据出境安全管理制度尚未确立,但受访专家表示,智能网联汽车领域已率先进行了重要数据识别,为汽车数据出境评估提供参考。随着全球个人信息保护和数据治理的浪潮掀起,跨国车企有必要建立多法域数据合规体系。
从国家层面而言,制定低风险数据跨境白名单,参与国际数据标准制定以获得话语权,逐步建立以我国为主导的多边贸易规则,形成符合国家安全和产业利益的全球数据流动圈等,将助力我国车企参与跨国产业合作,平衡数据跨境安全与行业技术创新。
汽车数据跨境或成2022年监管重点
2021年底滴滴发布首份财报,由它点燃的对数据跨境空前关注却烧到了新一年。
1月4日,滴滴事件后紧急修订的《网络安全审查办法》通过,与上位法《网络安全法》《数据安全法》《个人信息保护法》,连同《关键信息基础设施安全保护条例》《数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)等行政法规,及《信息安全技术 数据出境安全评估指南(草案)》等国家标准,共同构建了我国数据跨境传输安全管理制度的初步框架。
被置于聚光灯下的,还有掌握着大量用户隐私数据,业务与关键信息基础设施关联的智能网联汽车。
研究表明,一辆自动驾驶测试车辆每天能产生高达10TB的数据。同济大学法学院互联网与人工智能法律研究中心主任张韬略向21世纪经济报道记者介绍,智能网联汽车收集的数据庞杂,个人信息、企业技术数据、重要数据等类型间存在交叠,边界并不清晰。
然而,这些复杂的数据却可能频繁漂洋过海。CNCERT曾联合智联出行研究院(ICMA)对15类主流车型2021年8月至11月的数据出境情况进行分析。结果显示,分析期间境内与境外汽车数据通联732万余次,其中汽车数据出境262万余次,相比同年5月至8月增加145.3%,单日最大出境次数超17万次。部分汽车数据出境同时涉及身份证号(行驶证号)、驾驶证档案编号、手机号/固话、经纬度等个人信息和地理位置信息。
智能网联汽车的数据跨境或将成为新一年的监管重点之一。
回望2021年,智能网联汽车数据安全保护元年开启。据21世纪经济报道记者不完全统计,去年国家层面有近20份涉及智能网联汽车信息安全的政策文件发布或出台。其中,《关于加强智能网联汽车生产企业及产品准入管理的意见》《汽车数据安全管理若干规定(试行)》(以下简称《若干规定》)等均对汽车产生的个人信息和重要数据等出境做出规制。
但无论是全领域还是聚焦汽车行业的数据出境安全体系,许多配套规章及国家标准仅为“征求意见稿”或“试行”。张韬略认为,立法者释放出来的信号对市场起到了部分指引作用。
“目前数据出境安全评估及其他管理制度还在紧锣密鼓地建立中。”北京德恒律师事务所合伙人王一楠介绍,采取何种评估手段取决于出境数据类型,也有赖于数据分类分级制度。
他表示,《数据安全法》明确国家建立数据分类分级保护制度,其中识别重要数据是关键。关于此,目前仅有相关国家标准作为指导,其中《信息安全技术 重要数据识别指南》尚在征求意见,部门规章仍未出台。
“智能网联汽车作为监管重点且数据安全问题提前爆发,监管部门首先对该领域的重要数据进行识别。”王一楠举例,去年8月发布的《若干规定》就已列举了重要敏感区域地理信息、人脸图像数据等作为汽车领域的重要数据。
“在各行业数据分类分级制度推动缓慢的背景下,《若干规定》的及时出台,为汽车数据出境评估提供了参考。”王一楠说,由于后续国家可能有重要数据识别的统一要求,目前《若干规定》仍处“试行”阶段,内容会继续调整完善。
跨国车企迎合规挑战
“对跨国车企而言,短期内数据出境完全合规将是一个极大的挑战。”某年营收额超千亿的外资跨国车企业内人士向21世纪经济报道记者透露。一方面,由于相关法规尚未落地,对数据跨境等的定义和规制还不明晰,给车企带来了不确定性;另一方面,车联网的发展以大量数据为基础,若分布于各国的数据只能本地存储而无法出境交互,将限制技术研发,车企的成本也将大幅增加。
该业内人士表示,近年来,全球卷起个人信息保护和数据治理的浪潮,已有多家车企着手个人信息本地存储。但涉及技术的数据却免不了出境或远程跨国访问。
“假设某台售往产地国外的汽车出现了问题,一般会首先交由当地的技术团队解决,棘手情况下则需总部核心技术人员参与,此时车辆识别号等信息必须告知境外工程师。”业内人士担忧,若这些数据被严格限制出境或需要经过冗长的评估流程,或将动摇跨国车企一直以来采取的远程支持、维护、集中化管理模式,导致车企需重新对一国市场进行单独资源调配,建立和总部一致的技术团队,成本是不可估量的。
在我国,汽车数据本地化已成趋势。特斯拉、福特、宝马、戴姆勒等车企都宣布已经或计划在中国建立数据中心。“先有本地存储,才可能进行相应出境安全评估、审查,进而合法地出境流动。”张韬略表示。
但王一楠补充,理论上数据本地存储并不意味着限制出境,前者更类似于备份拷贝,监管者可在此基础上允许或限制数据出境。企业数据本地存储后,如特殊情况需调取到境外总部,仍需受数据出境管理制度的规制。
车企如何应对监管趋严的数据跨境?目前,市场上有率先实践者,例如去年中国汽车工程研究院股份有限公司北京分院自主研发完成了国内首个汽车跨境数据传输检测设备;亦不乏观望者。
王一楠认为,《评估办法》及配套文件等尚未出台,相关监管举措仍处于动态之中,车企不妨等尘埃落定后再做具体应对。“现阶段,车企可从设计环节开始,将《若干规定》中提出的数据处理原则纳入考虑。毕竟这些原则的落实在技术上还需要一定的研发周期,并非一蹴而就。”
“数据合规趋严,企业新增成本在所难免。”张韬略建议,将来车企整体合规成本的降低,很大程度依赖于国家法律和政策的清晰和合理,以及产业链条所涉的多方数据处理者的合规程度和制度建设。数据出境只是数据处理的一个环节,必须符合正当、合法、必要的原则。例如,从数据采集最初阶段,就应该注意数据处理的必要性,符合最小化原则,仅处理与所需功能直接关联的数据,在收集、存储、传输、加工等环节都采取必要的安全措施。
平衡安全与创新是重要命题
近年来,我国车企加快布局海外市场。据工信部1月12日消息,2021年中国汽车整车出口201.5万辆,同比增长1倍,创历史新高。而欧洲作为我国新能源车的重要市场,去年以来出口表现亦持续走强。
相比进入我国市场的外资车企,国内车企出海更多需从境外往回调取信息,面临境外法的合规问题。
多位受访者告诉21世纪经济报道记者,在数据跨境流通方面,各国监管的侧重点不同。以欧洲市场为例,欧盟《通用数据保护条例》(GDpR)等法规更加注重个人信息保护,而诸如地理位置等我国定义的重要数据,暂时并非欧盟监管的重点。
“然而,欧盟在个人信息保护领域的法规已较完善,执法也比我国成熟,因此车企出海在这方面的风险更具急迫性。”王一楠说,企业的当务之急是调查、研究并遵守当地的法律法规。
“多个数据合规体系是出海车企不得不面对的。”张韬略提出,企业内部需配备通晓多法域的数据保护官(DpO)。同时,也可以在对多个法域、不同数据合规要求的比较下,寻找共性,明确最低要求和最高标准,灵活地设计自身的数据处理制度。
从国家层面而言,在数据跨境流动上该如何平衡安全与创新、加强与国际的衔接、助力我国车企出海?
事实上,我国在鼓励数据跨境流动上已有探索。例如,今年1月1日起施行的《上海市数据条例》首提制定低风险跨境流动数据目录,也即划定跨境数据白名单,以促进其安全、自由流动。
聚焦于智能网联汽车,早在2020年底,《中国(上海)自由贸易试验区临港新片区智能网联汽车产业专项规划(2020-2025)》发布,就曾提出推动智能网联汽车技术数据的国际跨境流通。目前,临港新片区已建设一批国际互联网数据专用通道,发布全国首个智能网联汽车数据跨境流动操作指引,建成数据跨境流动公共服务管理系统(创新“数据可用不出境”的流动模式)。
张韬略建议,我国在强化车企制度建设和硬件安全的基础上,应当积极参与国际标准的制定,获取在数据标准上的国际话语权。
“如今,全球有些国家或地区都在建立数据出境的‘篱笆’,然而与此同时,各地也基于‘篱笆’不断扩大数据流动的圈子。以欧盟为例,其内部国家间数据可自由流动,外部如日本、新西兰等国亦加入了其数据流动的白名单。”王一楠表示,我国亦可借鉴此种思路,一方面,积极参与国际条约、区域性的贸易协定的谈判,加强国际合作交流;另一方面探索自身数据跨境流动安全管理体系搭建,逐步建立以我国为主导的多边贸易规则,形成符合国家安全和产业利益的全球数据流动圈。
“由此,我认为还应培养一批熟悉国际数据保护和网络安全规则的专业人才,以便更好地协助我国应对类似国际性谈判。”王一楠说。
