汽车业数据分类分级短板待补 加强顶层设计避免“九龙治水”
- 来源:中国汽车报网
- 时间:2021-07-13 17:05:56
近日,包括滴滴、运满满、货车帮在内的多家出行平台,陷入一轮严重的网络安全审查之中,这是监管部门首次就数据安全问题开出“罚单”。上述企业因网络安全问题受到监管部门的严厉警告,标志着该领域内的一系列立法终于进入实施阶段,数据安全问题再次引发行业高度关注。
事实上,不仅出行领域,这场风暴制造出的余波已经辐射到了更远的范围,影响也在继续。智能化浪潮下,自动驾驶、AI技术的推广应用,意味着需要海量数据的使用和共享,背后的数据安全问题也成为下一个行业焦点。可以预见的是,随着《数据安全法》的颁布,数据安全在未来的几年里一定是一个执法热点。
法律法规的出台对数据安全的构建起到怎样的推动作用,还有哪些细节问题亟待规范,该如何遏制汽车行业数据安全违法行为?针对上述问题,《中国汽车报》记者对上海数策软件股份有限公司合伙人、智能营销事业部总监王海进行了专访。
法律法规应强调操作性和系统性
2020年,数据作为生产要素之一,被正式纳入到国家所定义的要素市场化配置中,王海认为这意义重大。数据作为政府认定的生产要素,也推动了法律的快速出台,随着各项数据相关的法律出台,车企更加了解法律边界在哪里,就可以从不规范的有较高风险的数据活动,转向更为可控的低风险的数据活动里去。
在过去,车企都是摸着石头过河,深一脚浅一脚地试探。而《数据安全法》从法律层面表达了对数据流动、交易、应用等方面的肯定和支持,体现了国家在大数据时代下对数据资源利用、开发、保护的重视,车企可以依据法律来建立合规管控,这既为汽车行业的数据流通提供了可能,也为车企提供了一定程度上的保障。
但现有的规定和标准仍较简单,缺乏可操作性和系统性。具体到实践中,哪些数据可以流通,在什么条件下可以流通,企业如何在保障合法合规的前提下最大程度地应用数据,这些细节问题,还需要进一步的明确,仅一部《数据安全法》不足以解决全部问题,有待配套规定、措施等的出台。
数据的流通、应用在深层次上,涉及数据的权属、数据处理的合法性基础等问题。比如,车企收集到的客户个人信息等数据,到底属于谁?是属于客户、车企还是经销商?这些数据如进行流通、应用,怎样才是合法合规?这些问题,《数据安全法》并没有正面回应,车企也存在一些疑惑,还需要结合其他法律法规进行体系化考量,并建立有效的数据合规制度体系来加以应对。
地方政府和业界已经在数据流通上进行了一些探索,比如上海地标《数据去标识化共享指南》,还有一些企业和机构探索了隐私计算技术,如联邦学习等隐私计算方式,但目前仍缺乏专业的评审机构对其进行认证。
汽车业数据分类分级短板待补
《数据安全法》明确提出,国家建立数据分类分级保护制度。王海认为数据分级是很有必要的,事实上,目前汽车行业的数据分级能力还很薄弱。
车企业务模式复杂,营销场景丰富,数据无处不在。对汽车数据进行分级要有顶层思维,有一个顶层部门或者管理者站出来,规划和管理数据分级,才能从车企整体角度完成数据分级管理,不然对于车企单一部门来说很难推进。比如,车企CDO(首席数据官)就可以担任这个职责,从顶层对企业内的各类数据进行分析,各部门涉及到对数据的使用时,都需要经过CDO分级认证,才可以用于实际业务中。
数据的分级分类保护是保障数据安全的基础和前提,只有首先对数据进行分类分级,才能针对不同数据的重要性、敏感程度采取不同的保护措施,使得数据保护工作有条理、有针对性地展开。
《数据安全法》提出了“核心数据”、“重要数据”等概念:核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益等数据;重要数据由各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。但整体上看,《数据安全法》的规定还停留在原则意义上,缺乏具体指引方法。
2021年5月公布的《汽车数据安全管理若干规定(征求意见稿)》对汽车行业的数据分类进行了尝试,该规定主要将数据分为“个人信息”和“重要数据”两大类,并对“重要数据”做了进一步的明确,但该规定并未指出数据如何进行分级。
汽车数据分级,可以参照其他行业已有规定并结合汽车数据的特点进行,比如根据重要性和敏感度的不同,将数据分为不同级别,结合具体的数据类型、数据量、数据应用场景、可能造成的后果等维度,从静态和动态角度对数据进行分类。
加强顶层设计避免“九龙治水”
数据保护是随着大数据时代来临必须考虑的问题,王海指出,目前法律法规、监管都还处于摸索阶段,多头管理、法规层出不穷,是必经阶段。
数据管理和数据分类分级一样,要有顶层思维,由顶层统一部门去分析和研究法律,然后设计落地,才可能最大程度上减少多头管理。但只是从流程上来约束显然不够,还需要落到系统层面,在整个企业外数据如何流通,企业内数据如何流转,管理层级在哪、责任人是谁、岗位职责是什么、如何审批、如何判定,这些都是问题,而且这件事越早做,成本越小,车企面临的风险越低。
《数据安全法》对权责的划分已作出顶层要求,即中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责,公安机关、国家安全机关在各自职责范围内承担数据安全监管职责;国家网信办负责统筹协调网络数据安全和相关监管工作。
避免数据安全“九龙治水”现象发生,关键在于如何落实《数据安全法》的顶层要求,并且对于如《个人信息保护法(草案)》等这类草案保持持续关注。建议国家后续出台具体规定,进一步明确不同部门之间的监管权责和交叉问题的处理。在国家层面,制定监管路线图,确定各标准和技术规则制定的框架,要求各地方、部门等在框架之下行事;同时要落实好网信办的协调统筹角色。
目前,数策软件也在联合天元律师事务所,构建汽车行业的数据管理体系,希望能够和车企携手共建标准,并实现企业内部的数据流通既安全又高效。
经济惩罚比刑事处罚更具震慑力
当然,从监管部门对出行平台的“强势出击”,可以看出国家层面对于数据安全违法问题正在加大处罚力度。王海认为,对于企业来说,相比较管理层的刑事责任,更有震慑力的其实是经济惩罚,比如,酒店行业的万豪集团曾经发生数据泄露,就面临着GDPR(欧洲联盟《通用数据保护条例》)最高达营业额4%的罚款。据了解,中国也在对此进行法律约束,未来也会出台相关法律,对于违反数据安全的罚款甚至可能达到营业额的5%,这对很多企业来说是致命的。
事实上,《数据安全法》所规定的违法成本相对而言已经较高,对于非法使用数据的主体具有一定的震慑力,但在适用具体的处罚措施时,何为“情节严重”、“造成严重后果”,不同的情形,适用不同的罚则,需要在细节上进一步的明确,否则可能对企业的健康发展造成负面影响。
随着自动驾驶技术的发展,考虑到汽车出口,数据安全就涉及到了更多方面。数据只能本地化,车企需要根据各国法律要求,在当地进行数据布局,比如建立跨国运营团队,进行有效的数据运营。智能汽车数据安全法规建设如何与国际法规接轨,可以从这几个方面考虑:立法机构、主管部门、相关企业、学者加强与国外相关部门、企业的交流,对智能汽车的法规、相关制度、技术标准等加深探讨;对法规建设起步较早的国家,如美国、德国、英国等法律法规进行充分的研究;不断加强技术研究,争取能主导或作为主要制定方,参与到智能汽车相关国际标准的制定工作中。
违法成本的设置,仅是数据保护的最后一道防线。如果不搭建合理的数据流通、应用体系,仅强调严苛的处罚措施,会导致企业在进行数据的开发、流通、应用时畏手畏脚,其后果将适得其反,不仅无法促进数据资源的进一步开发利用,反而会扼杀企业的创新和发展。因此,构建数据流通的具体体系规则,建立数据合规制度体系,才能有效地防患于未然。(郝文丽)