本文字数:3982,阅读时长大约7分钟
没有数据安全,车联网的健康发展就没有保障。这里的安全不仅包括用户隐私安全,还涉及用户、企业、国家等参与主体的系统安全与整体安全。为此,构建多方主体共建、共商、共治、共享的数据治理法律体系,在安全中发展,以发展促安全,是车联网健康运行的基础法治保障。
文 | 陈兵
作为中国“十四五”期间大力发展的重要新型基础设施,车联网是极富创新与融合的产业形态,集成了汽车、电子、信息通信、交通、大数据、云计算、人工智能等技术与产业,具有显著的跨行业、跨市场特征。
车联网还呈现出明显的数字化、网联化、智能化的发展趋势,其产业价值链、供应链及由此形成的系统生态链,相较其他产业和领域都具有划时代的颠覆性创新属性,已成为未来汽车业乃至国家工业产业转型升级的新方向。
与此同时,车联网数据安全的重要性也愈发凸显,受到了工信部、中央网信办等相关部门高度重视。
近期,工信部印发了《车联网网络安全和数据安全标准体系建设指南》(下称《指南》),明确提出到2025年形成较为完善的车联网网络安全和数据安全标准体系,完成100项以上标准的研制,支撑车联网产业安全健康发展。
《指南》的出台,进一步增强了安全标准制定的紧迫性,有利于优化安全标准体系制定的进度结构,高质量推进安全指标体系建设。同时,明确了安全标准体系的重点领域及方向,详细提出了安全标准体系框架,具有很强的实操性,能够给车联网数据控制者及处理者提供参考,达到更好的合规效果。
车联网网络安全和数据安全标准体系框架图
来源:《车联网网络安全和数据安全标准体系建设指南》
《指南》将对与数据联系较为紧密的企业和用户产生较为深远的影响,能够进一步缓解用户隐私保护与企业数据获取的冲突。但是,汽车企业后台对海量数据的收集行为给个人隐私带来的潜在风险依旧持续存在。为此,应当正确看待用户隐私保护与企业数据获取之间的辩证关系,协同推进隐私保护与数据获取,结合《指南》与域外先进做法,构建多方主体协同治理的车联网安全治理法治体系。
01
数据安全隐忧引发用户信任危机
随着车联网的应用场景越来越多,用户的需求不断提高。为有效确保智能网联汽车能够适应不同的场景、路况,以提供便利、安全的服务,汽车厂商、智能汽车制造商、服务提供商等会对各类数据进行采集和使用。在数据采集类型、范围,以及数据使用、共享等管理要求和标准规范不够明确的情况下,很容易造成车联网相关数据被过度采集和滥用,带来个人信息和重要数据泄露的安全风险。
目前,消费者对现阶段智能汽车厂商妥善保护个人敏感信息的整体信心不足,但同时又处于对智能汽车服务需求较为旺盛而不得不让渡个人信息,甚至是个人敏感信息的矛盾境地。隐私信息“安全感”的缺失,一方面源于消费者个人隐私信息的被迫让渡,另一方面源于智能汽车厂商乃至现行法律体系对个人隐私信息保护力度不足。而且,随着数据的规模效应和可挖掘价值的增加,个人信息所面临的泄露与滥用的风险也在加大。
02
隐私保护与数据开发的协同化、法治化是趋势
其实,让渡隐私与获得便利性之间并不矛盾,二者一体两面,安全是联通二者的桥梁。企业当然可以通过挖掘利用数据“金矿”来改善产品功能,提升用户体验,进而谋取自身利益最大化,这对企业和消费者来讲是双赢的选择。但要实现双赢,则存在一个前提:企业在获取或利用消费者数据时需要确保数据不被泄露和滥用。如果企业所提供的数据安全保障能力和数据获取的必要性能够完全赢得消费者的信任,消费者完全可以共享个人敏感信息。
具体来讲,需要一系规则机制来实现上述前提,即“明确的个人数据信息安全保护规则”+“具体可行的产业数据安全监管与协调机制”+“合理的多元主体间利益分享机制”。换言之,亟需建立健全科学性、规范性、系统性的车联网领域数据信息全价值、全周期、全场景、全空域、全过程的数据采集、使用与管理制度与实施机制,确保安全与发展的统合,在规范中发展,在发展中规范。
因此,《指南》在现有法律法规基础上,为车联网领域规则标准的进一步细化指明了方向。但是,要实现个人敏感信息的安全共享,还需要完善车联网产业数据安全的监管与数据共享协调机制,以保障各项政策、制度的落实落地。
因此,建议相关监管部门可通过加快车联网数据安全风险监测与综合管理平台建设、引入车联网基础设施区块链安全存证技术、提高对数据安全违规相关企业的处罚力度,以及尽快规范车联网领域数据分类分级与市场交易机制等多个方面,推动车企提高对数据安全技术创新投资力度,特别是加强对数据合规软科学制度措施的研究。车企需要在充分理解《指南》文本的基础上,结合自身发展特点,推动《指南》文本的转化适用,并积极加入到行业规范的设计、调整、更新、优化之中,定期主动发布用户数据安全评级报告,鼓励和支持用户一并参与车联网产业数据安全治理。
此外,用户敏感信息共享应当同时满足以下条件:当数据采集、使用与管理的相关制度健全及运行规范有保障之际;在满足现行相关法律法规,譬如《数据安全法》《个人信息保护法》《互联网信息服务算法推荐管理规定》以及将发布的《网络数据安全管理条例》等条件下;结合具体场景譬如涉及国家安全、社会公共安全以及用户自身紧急求助需求等法定情形下,或者在明确告知用户且征得用户同意的约定情形下;以数据最小化为原则实现用户敏感数据的共享。
03
车联网数据安全治理法治化的思考
汽车行业转型期间,汽车厂商的角色也逐渐从制造企业转变为科技型企业,参照科技型企业的发展经验,任何产品的网络安全和用户的数据安全都占据着企业经营的首要位置。
车联网市场参与者众多,包括与车联网产业相关的企业或组织,如产业链中上游包括元器件供应商、通信设备提供商、汽车电子系统供应商等,下游包括传统车企与互联网车企。此外,还包括大量服务业角色,如网络运营商、数据服务商、通信服务商、车内软件提供商、负责车联网系统开发流程和上下游开发衔接的车联网供应商,车联网用户以及政府等多方主体。可见,车联网的安全管理问题需要的不仅仅是汽车厂商单方的重视,更需要监管部门、用户等多方主体共同努力,保障车联网健康运行。
具体来看,完善数据安全治理的基本逻辑应从“一条线六个面”展开。
“一条线”即数据全生命周期管理,即从产生或获取到销毁的过程,围绕数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁等几个阶段实现数据安全的全方位治理。
“六个面”即车联网网络安全和数据安全标准体系的六个部分,包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑设定数据安全标准,应依据各部分分别部署相对应的数据安全策略,以保障数据资产全生命周期过程中,数据的保密性、完整性、真实性和可用性。
另外,完善数据安全治理需多主体齐发力。
第一,国家层面的数据安全治理。车联网行业的产业链、价值链比较长,涉及主体多元,全球化程度较高。其中相当一部分汽车厂商是通过中外合资不断发展起来的,有60%的车辆数据为离岸储存。
需要看到,车联网服务数据被传输至域外,可能引发国家数据安全层面的隐患。当前,数据跨境流动已引起世界各国的高度重视,纷纷加强立法保护数据出境安全。如亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR);美国与欧盟签订的《隐私盾协议》;2018年3月美国通过的《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act, CLOUD);2018年5月欧盟出台的《通用数据保护条例》(General Data Protection Regulation,GDPR)等。
中国随着《数据安全法》、《网络安全法》等法律法规的出台,在探索具有中国特色的个人信息出境安全管理上成效明显。故汽车厂商需要积极跟进国内外车联网数据安全、数据出境方面的标准、法律及监管规范的最新要求,在坚决维护国家安全和用户安全的基础上合法合规经营。
第二,用户层面的数据安全治理与服务。车联网的很大一部分数据来源于智能网联汽车用户,其中包括与驾驶者相关的身份信息(数据)、车辆信息(数据)、驾驶行为数据、车辆传感器采集的道路环境等非驾驶行为数据、基于驾驶场景而生成的用户非驾驶性的消费数据,以及在前述数据之上加工而来的合成衍生数据等。为此,必须加快对车联网场景下的数据分类分级管理与服务,特别是基于车联网场景下各类数据的算法分析而产生的算法使用行为。
其中,车载智能系统所记录和留存的车主或乘客的大量个人数据,如语音、影像等直接涉及用户个人隐私的数据信息须严格管理。对此,《民法典》《个人信息保护法》等法律法规已作出明确要求,汽车厂商未经许可不得随意收集上述信息。厂商内部也应建立完善、可靠的数据安全管理机制,以随时接受政府的合法监管与公众的合理质询。
此外,汽车厂商结合地图、交通流量、周边车辆、行人、非机动车位置、道路状况、信号灯相位、道路预警、气象信息、停车场提示等辅助数据,对用户行程轨迹、生活习惯进行“数据画像”的行为也应有所约束。
汽车厂商使用这些数据需获得用户明确授权,且原始数据信息要经过“脱敏处理”,确保不会对特定个体进行反向画像后,方能供企业分析用户需求、调整经营策略、提供增值服务,同时也要谨防头部汽车厂商对车联网场景下各类智联网络数据的垄断和不正当使用。
建立健全数据安全治理体系,是车联网产业健康发展的关键基础环节。没有数据安全,车联网的健康发展就没有保障,这里的安全不仅仅包括用户个人信息安全,还涉及用户、企业、国家等所有参与主体的多维度安全利益,即系统安全与整体安全。
为此,要注重系统与共赢思维在车联网领域数据治理上的适用,鼓励多元主体共同参与车联网数据治理体系的建设与运行,遵循“一条线六个面”的基本逻辑,构建多主体共商、共建、共治、共享的车联网安全治理法治化体系,即在安全中发展,以发展促安全,为车联网安全健康运行提供法治保障。
作者为南开大学竞争法研究中心主任、法学院教授,中国新一代人工智能发展战略研究院特约研究员

 近期话题,点击阅读

继续阅读
阅读原文