汽车数据治理深入企业后台,合规“左移”回应现实关切

科技知识 2023-12-09 clz123 67615

21世纪经济报道 记者郑雪 实习生刘悦行 北京报道

一段时间以来,智能网联汽车快速发展,其市场渗透率也不断提高。作为信息终端和储能终端的智能网联汽车,数据处理能力日益增强,但伴随而生的数据风险隐患也逐渐显露。汽车的行驶轨迹可能被泄露,车内聊天可能被窃听,如何在保持智能的同时摆脱被“监视”的疑虑,成为众多消费者的关注点。与此同时,随着数据要素、技术的能力凸显,又该如何回应合规问题?

近日,由北京理工大学法学院、北京理工大学网络空间国际治理研究基地主办,北京嘉观律师事务所协办的“新时代数据创新发展与法治保障”研讨会在京召开。研讨会上,针对汽车数据带来的安全利用和隐私保护的问题,汽车业内从业者予以回应。 

相关专家、业内人士表示,以传统IT思路作数据规划难以适应时代发展,需要关注数据流动带来的管理问题。具体在智能网联汽车数据处理方面,部门规章已确认车内处理、默认不收集等原则。在相关合规实践中,合规左移、隐私保护与业务结合等有助于智能网联汽车数据安全。

数据、技术、合规的三方平衡

数据作为一种新型生产要素,在数字经济发展中发挥重要作用。与此同时,数据治理也已提上日程。北京理工大学法学院教授韩秀桃表示,数据要素市场的治理,关键是探索构建多样态的应用场景、协调不同主体间的差异化利益诉求。“数据要素治理的最终目的,就是要实现数据要素公共利益的最大化,平衡数据产业发展,与安全、可靠、负责任地发展要求保持一致。”

需要注意的是,数据治理、相关边界的划分是一个动态调整的过程。北京理工大学网络空间国际治理研究基地研究员王磊表示,如何既保证安全又保证发展是个难题。以数据分级分类为例,其边界的划分是一个动态调整的过程,这种情况下“适时而动”非常必要。数据治理何以形成机制?通过行业间的相互交流推动行业共识、最佳实践出现,再继续向前推动发展。

当前不可否认的是,数据已然作为一种新型生产要素,但数据要素如何发展、如何与行业结合,仍有待实践回应。

抖音集团数据及隐私法务负责人田申提示,用传统做IT的思路做大数据规划可能带来一些问题。比如,像保护实体资产一样去保护数据资产,一定会去做一些盘库清点的基础工作,这些工作大多在基础层,但并不是基础层做好,数据便能流动起来。“数据难以互动,很重要的一个原因可能是把合规的卡点放在上一个时代,现在看可能更强调数据仓库、资产损益表、防泄漏抗篡改,但实际上这个时代很重要的问题在于,数据流动起来之后如何管理。

“我们现在只是将传统生活数字化地映射到网络、系统之上,当下所拥有的基本权利并不会被颠覆。我们既要懂得‘三法一条例’与传统法律相衔接、发挥基础法的衔接规则,更要了解数字化运营当中去解决什么样的问题。”田申说道。

随着数据、技术的进一步发展,亦对合规工作带来挑战。

北京理工大学网络空间国际治理研究基地主任洪延青教授指出,“数据层面,汽车是我们特别关注的垂直领域。车内录音录像的数据如何保护,车企收集车外数据的情况又该如何应对。从前端的APP到数据出境,再具体到汽车的垂直领域,我们数据安全的监管重点从前端到后端,逐渐演变为需要到企业后台去发现、检查问题,这对于监管来说是个难题,对企业合规来讲更为困难。”

汽车数据治理深入企业后台,合规“左移”回应现实关切

“技术的发展可以帮助把法律层面的要求落地,但是我觉得更需要关注技术发展对法律本身带来的挑战。技术发展下,对法律规则的底层原理也是挑战。随着行业发展,合规体系可能有所变化,公司不同阶段的发展匹配的合规体系也是不同的。”小米集团法务部隐私合规团队负责人张向拓说道。

汽车数据收集以优化服务为目的

以汽车数据开发和利用为例,梅赛德斯―奔驰中国投资有限公司数据安全与合规治理部高级经理吴惠庶表示,从研发角度来看,汽车数据种类多样,数据维度不同,每个企业数据标准又是不一致的,因此,汽车行业可能会面临多种问题。“通过规制,从企业内部数据规制推动外部统一共识的形成,数据才能更好流通。”

身处万物联网的“智能化时代”,处处都是“眼睛”的汽车逐渐引起人们对汽车数据处理和安全问题的担忧。汽车行业面临的数据及个人信息保护处理场景更为复杂,所涉数据数量庞大,且包含大量重要数据、敏感个人信息,需要采取更高合规要求的内容。

“隐私保护和数据安全是车企、互联网平台等个人信息处理者共同面临的问题,需要共同遵守相关法律规定。” 理想汽车法律研究运营负责人田喜清表示,“不同的是,在汽车领域有比较详细的规章,即《汽车数据安全管理若干规定(试行)》(以下简称《规定》),针对汽车数据有更具体的要求。

《规定》自2021年10月1日起已经开始施行,要求汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。其中,汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等开展汽车处理活动的组织,都需承担相应的责任和义务。

此外,中国汽车工业协会制定的《智能网联汽车数据格式与定义》、中国汽车工程学会制定的《智能网联汽车场景数据图像标注要求与方法》和《智能网联汽车激光雷达点云数据标注要求及方法》等都已发布,为智能网联汽车数据链条上的各企业提供了参考。

吴惠庶表示,关于汽车数据,一是有相关法律法规做强力规制。根据《规定》,车企需定期向主管部门报送汽车数据安全管理情况。二是从成本角度出发,汽车数据收集的初衷是以优化产品服务为目的,汽车相关数据,如座舱数据的收集、处理,需要投入大量资金,成本过高对于企业而言并不合算。“作为合规人员,会把相应要求‘左移’,即在相关标准正式实施之前,将其融入生产、研发和设计,而不是在上线后或临近上线时才开展。

张向拓指出,从另一个角度阐述,“在强调隐私安全的背景下,我们考虑的是如何将其和业务结合,化为积极主动的策略。小米内部曾有案例,比如小米‘照明弹’功能的研发,便是产品经理根据用户痛点、通过技术进行解决。”