汽车业数据分类分级短板待补加强顶层设计避免“九龙治水”

来源：中国汽车报网
时间：2021-07-13 17:05:56

近日，包括滴滴、运满满、货车帮在内的多家出行平台，陷入一轮严重的网络安全审查之中，这是监管部门首次就数据安全问题开出“罚单”。上述企业因网络安全问题受到监管部门的严厉警告，标志着该领域内的一系列立法终于进入实施阶段，数据安全问题再次引发行业高度关注。

事实上，不仅出行领域，这场风暴制造出的余波已经辐射到了更远的范围，影响也在继续。智能化浪潮下，自动驾驶、AI技术的推广应用，意味着需要海量数据的使用和共享，背后的数据安全问题也成为下一个行业焦点。可以预见的是，随着《数据安全法》的颁布，数据安全在未来的几年里一定是一个执法热点。

法律法规的出台对数据安全的构建起到怎样的推动作用，还有哪些细节问题亟待规范，该如何遏制汽车行业数据安全违法行为?针对上述问题，《中国汽车报》记者对上海数策软件股份有限公司合伙人、智能营销事业部总监王海进行了专访。

法律法规应强调操作性和系统性

2020年，数据作为生产要素之一，被正式纳入到国家所定义的要素市场化配置中，王海认为这意义重大。数据作为政府认定的生产要素，也推动了法律的快速出台，随着各项数据相关的法律出台，车企更加了解法律边界在哪里，就可以从不规范的有较高风险的数据活动，转向更为可控的低风险的数据活动里去。

在过去，车企都是摸着石头过河，深一脚浅一脚地试探。而《数据安全法》从法律层面表达了对数据流动、交易、应用等方面的肯定和支持，体现了国家在大数据时代下对数据资源利用、开发、保护的重视，车企可以依据法律来建立合规管控，这既为汽车行业的数据流通提供了可能，也为车企提供了一定程度上的保障。

但现有的规定和标准仍较简单，缺乏可操作性和系统性。具体到实践中，哪些数据可以流通，在什么条件下可以流通，企业如何在保障合法合规的前提下最大程度地应用数据，这些细节问题，还需要进一步的明确，仅一部《数据安全法》不足以解决全部问题，有待配套规定、措施等的出台。

数据的流通、应用在深层次上，涉及数据的权属、数据处理的合法性基础等问题。比如，车企收集到的客户个人信息等数据，到底属于谁?是属于客户、车企还是经销商?这些数据如进行流通、应用，怎样才是合法合规?这些问题，《数据安全法》并没有正面回应，车企也存在一些疑惑，还需要结合其他法律法规进行体系化考量，并建立有效的数据合规制度体系来加以应对。

地方政府和业界已经在数据流通上进行了一些探索，比如上海地标《数据去标识化共享指南》，还有一些企业和机构探索了隐私计算技术，如联邦学习等隐私计算方式，但目前仍缺乏专业的评审机构对其进行认证。

汽车业数据分类分级短板待补

《数据安全法》明确提出，国家建立数据分类分级保护制度。王海认为数据分级是很有必要的，事实上，目前汽车行业的数据分级能力还很薄弱。

车企业务模式复杂，营销场景丰富，数据无处不在。对汽车数据进行分级要有顶层思维，有一个顶层部门或者管理者站出来，规划和管理数据分级，才能从车企整体角度完成数据分级管理，不然对于车企单一部门来说很难推进。比如，车企CDO(首席数据官)就可以担任这个职责，从顶层对企业内的各类数据进行分析，各部门涉及到对数据的使用时，都需要经过CDO分级认证，才可以用于实际业务中。

数据的分级分类保护是保障数据安全的基础和前提，只有首先对数据进行分类分级，才能针对不同数据的重要性、敏感程度采取不同的保护措施，使得数据保护工作有条理、有针对性地展开。

《数据安全法》提出了“核心数据”、“重要数据”等概念：核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益等数据;重要数据由各地区、各部门按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。但整体上看，《数据安全法》的规定还停留在原则意义上，缺乏具体指引方法。

2021年5月公布的《汽车数据安全管理若干规定(征求意见稿)》对汽车行业的数据分类进行了尝试，该规定主要将数据分为“个人信息”和“重要数据”两大类，并对“重要数据”做了进一步的明确，但该规定并未指出数据如何进行分级。

汽车数据分级，可以参照其他行业已有规定并结合汽车数据的特点进行，比如根据重要性和敏感度的不同，将数据分为不同级别，结合具体的数据类型、数据量、数据应用场景、可能造成的后果等维度，从静态和动态角度对数据进行分类。

加强顶层设计避免“九龙治水”

数据保护是随着大数据时代来临必须考虑的问题，王海指出，目前法律法规、监管都还处于摸索阶段，多头管理、法规层出不穷，是必经阶段。

数据管理和数据分类分级一样，要有顶层思维，由顶层统一部门去分析和研究法律，然后设计落地，才可能最大程度上减少多头管理。但只是从流程上来约束显然不够，还需要落到系统层面，在整个企业外数据如何流通，企业内数据如何流转，管理层级在哪、责任人是谁、岗位职责是什么、如何审批、如何判定，这些都是问题，而且这件事越早做，成本越小，车企面临的风险越低。

《数据安全法》对权责的划分已作出顶层要求，即中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制;各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责，公安机关、国家安全机关在各自职责范围内承担数据安全监管职责;国家网信办负责统筹协调网络数据安全和相关监管工作。

避免数据安全“九龙治水”现象发生，关键在于如何落实《数据安全法》的顶层要求，并且对于如《个人信息保护法(草案)》等这类草案保持持续关注。建议国家后续出台具体规定，进一步明确不同部门之间的监管权责和交叉问题的处理。在国家层面，制定监管路线图，确定各标准和技术规则制定的框架，要求各地方、部门等在框架之下行事;同时要落实好网信办的协调统筹角色。

目前，数策软件也在联合天元律师事务所，构建汽车行业的数据管理体系，希望能够和车企携手共建标准，并实现企业内部的数据流通既安全又高效。

经济惩罚比刑事处罚更具震慑力

当然，从监管部门对出行平台的“强势出击”，可以看出国家层面对于数据安全违法问题正在加大处罚力度。王海认为，对于企业来说，相比较管理层的刑事责任，更有震慑力的其实是经济惩罚，比如，酒店行业的万豪集团曾经发生数据泄露，就面临着GDPR(欧洲联盟《通用数据保护条例》)最高达营业额4%的罚款。据了解，中国也在对此进行法律约束，未来也会出台相关法律，对于违反数据安全的罚款甚至可能达到营业额的5%，这对很多企业来说是致命的。

事实上，《数据安全法》所规定的违法成本相对而言已经较高，对于非法使用数据的主体具有一定的震慑力，但在适用具体的处罚措施时，何为“情节严重”、“造成严重后果”，不同的情形，适用不同的罚则，需要在细节上进一步的明确，否则可能对企业的健康发展造成负面影响。

随着自动驾驶技术的发展，考虑到汽车出口，数据安全就涉及到了更多方面。数据只能本地化，车企需要根据各国法律要求，在当地进行数据布局，比如建立跨国运营团队，进行有效的数据运营。智能汽车数据安全法规建设如何与国际法规接轨，可以从这几个方面考虑：立法机构、主管部门、相关企业、学者加强与国外相关部门、企业的交流，对智能汽车的法规、相关制度、技术标准等加深探讨;对法规建设起步较早的国家，如美国、德国、英国等法律法规进行充分的研究;不断加强技术研究，争取能主导或作为主要制定方，参与到智能汽车相关国际标准的制定工作中。

违法成本的设置，仅是数据保护的最后一道防线。如果不搭建合理的数据流通、应用体系，仅强调严苛的处罚措施，会导致企业在进行数据的开发、流通、应用时畏手畏脚，其后果将适得其反，不仅无法促进数据资源的进一步开发利用，反而会扼杀企业的创新和发展。因此，构建数据流通的具体体系规则，建立数据合规制度体系，才能有效地防患于未然。(郝文丽)

关键词：汽车业数据分类分级短板待补顶层设计