电动汽车、智能汽车无疑是今年市场最热的品类之一,围绕汽车无论是消费者端还是供给侧的事件不断,尤其是围绕智能汽车厂商与消费者数据之间的纷争,更是此起彼伏。近日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》(以下简称:《规定》),并向社会公开征求意见。《规定》出台之前,行业各方对于汽车数据究竟如何处理莫衷一是,也有人认为该《规定》出台与最近沸沸扬扬的“特斯拉事件”有关。《规定》对于智能网联汽车的未来发展将起到什么样的作用?又有哪些重点需要特别关注?接下来,还有哪些维度需要完善?
《规定》确立边界,非常及时
数据预计,到2025年,中国的智能汽车渗透率达80%,数量将达到2800万辆。预计到2030年,渗透率将达到95%,约为3800万辆。随着汽车智能化、网联化发展深入,汽车已经成为一个重要的出行数据载体。
盖世汽车总裁周晓莺在接受《中国电子报》记者采访时表示,“随着各类网联技术的快速叠加发展,汽车已经变成了移动的数据采集器,既可以采集驾乘人员的各类私人信息和驾乘偏好,也可以采集行驶路况信息和周边环境信息,行驶时间越长,采集的数据量越大,准确度越高。”
但在《规定》出台之前,行业各方对于汽车数据究竟如何收集、如何处理其边界并不明晰。周晓莺认为,之前这个领域一直都有很大争议,尤其是在数据采集的合法合规性,是否侵犯隐私,数据归属以及使用权限,数据安全等方面,并没有特别明确的清晰界定和规范。本次《汽车数据安全管理若干规定(征求意见稿)》的出台,体现了国家对于汽车数据安全的重视程度和监管决心,对于汽车行业的发展具有重大意义。欧美国家对于个人隐私数据的保护一直非常坚决,对于数据安全的监管也是相对成熟,比如欧洲的GDPR法案,就限制一切个人数据出境。在数据安全和使用方面,近几年也做了较多的工作。2017年欧盟数据工作组成立,目的就是联合成员国政府、车企和科技公司一起,在欧盟现行法律条件下实现汽车和基础设施数据的安全共享。
中科院战略咨询院汽车行业特聘研究员鹿文亮向《中国电子报》记者透露,《规定》征求意见稿发出来的当天,他便与一些汽车主机厂进行了讨论。鹿文亮认为,这个汽车数据安全管理的规定,是未来发展智能网联汽车底层的数据隐私安全基础,为后面智能网联汽车的发展设立了基本规则,在有法可依的基础上,企业才能充分探索未来的发展模式。从内容上来看,这个法规实际上就是《中华人民共和国网络安全法》在汽车领域的细化规定,把《网络安全法》里已有的规定具体落实到了汽车的领域。这样的规定国外也有,比如欧盟主导的GDPR,美国主导的CPBRs,都是用来保护个人的隐私数据的。
全国乘用车市场信息联席会秘书长崔东树在接受《中国电子报》记者采访时表示,该管理办法主要是规范和管理汽车数据对于国家、对于消费者的安全性,是智能网联汽车发展的体系化的规范文件,对于未来智能网联汽车发展起着重要的作用。
凸显的关键点
《规定》约束了什么,又定下了哪些边界,其中的关键点在哪里?崔东树认为,《规定》的关键点其一是数据要留在中国,其二是消费者的数据采集只能采集一些必要的不包含隐私的数据,防止数据滥用的风险。
“事实上,这里面内容都很重要。”鹿文亮表示,其中最关键的内容有三点:一是数据的境内存储,这对一些跨国公司的研发模式和运营模式将产生一定的影响。这里并没有禁止数据的跨境传输,而是和其他国家的数据跨境流动一样,通过国家的数据处境安全评估后,也可以向境外流动。二是数据的匿名化和最小化的采集原则,这可能会直接影响部分车联网企业的商业模式,现在部分车联网企业数据采集种类和数量很多,主要为后续逐步探索商业模式积累数据,如果遵循这个原则,这些企业就需要提前想好商业模式,然后优化数据采集方案。三是对于数据的授权和提示,这部分一直是国内个人隐私管理的短板,很多应用都是在用户不知情的情况下进行数据采集,这类的企业及应用未来将受到很多挑战。
周晓莺认为,《规定》首次提出了“默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。”并且明确了“两周的敏感个人信息删除周期”,这对于车企或者运营方都提出了很强的约束性,也强调了个人授权数据的自主性。另外,规定当中明确了对个人信息进行匿名化和脱敏处理,也凸显了对于个人隐私的保护。对于“个人信息或重要数据应当依法在境内存储”的要求,也是对于国家安全和公关利益的保护。
操作层面仍需优化
智能网联汽车正在加速发展,其中很多规则仍在探索,《规定》目前出台的是征求意见稿,所有一些细节需要进一步完善。
鹿文亮表示,征求意见稿的出发点是最大化保护用户,可能到具体的实际落地层面仍有一些优化的空间。比如,规定的默认不收集,每次驾驶的授权仅对本次驾驶有效,这种规定虽然可以最大限度保障用户的隐私权,但在实际操作过程中可能带来很多不方便,不易执行。类似的条款应在其后进一步优化,进行定期的修补,针对执行的具体情况进行不断的优化。
最近,特斯拉女车主在上海车展维权的事件在网络世界不断发酵,成为一个引起广泛关注的社会公共议题,特斯拉事件也折射了很多数据治理问题,所以业界不少人认为此次《规定》出台与“特斯拉事件”有关。
崔东树认为,这个政策出台与特斯拉事件应该说没有必然联系,目前特斯拉事件尚无结论而且特斯拉事件这个事件的影响也并不是说靠一个数据就能够解决,它还是智能网联汽车发展过程中的一个事件。
鹿文亮表达了与崔东树类似的观点:“数据隐私问题,是行业共性的问题,不是针对特斯拉的。”鹿文亮认为,数据的管理和隐私保护也不矛盾,如何处理这些矛盾互联网行业有很多经验可以借鉴。《规定》明确了数据保护的原则和边界,未来可以通过引入新的技术和运营模式等方式来优化数据管理,比如区块链技术、联邦学习技术等,都可以用来助力上述问题的解决。
