汽車業數據分類分級短板待補 違法處罰是數據保護的最后防線

近日，包括滴滴、運滿滿、貨車幫在內的多家出行平臺，陷入一輪嚴重的網絡安全審查之中，這是監管部門首次就數據安全問題開出“罰單”。上述企業因網絡安全問題受到監管部門的嚴厲警告，標志著該領域內的一系列立法終于進入實施階段，數據安全問題再次引發行業高度關注。

事實上，不僅出行領域，這場風暴制造出的余波已經輻射到了更遠的范圍，影響也在繼續。智能化浪潮下，自動駕駛、AI技術的推廣應用，意味著需要海量數據的使用和共享，背后的數據安全問題也成為下一個行業焦點?？梢灶A見的是，隨著《數據安全法》的頒布，數據安全在未來的幾年里一定是一個執法熱點。

法律法規的出臺對數據安全的構建起到怎樣的推動作用，還有哪些細節問題亟待規范，該如何遏制汽車行業數據安全違法行為?針對上述問題，《中國汽車報》記者對上海數策軟件股份有限公司合伙人、智能營銷事業部總監王海進行了專訪。

法律法規應強調操作性和系統性

2020年，數據作為生產要素之一，被正式納入到國家所定義的要素市場化配置中，王海認為這意義重大。數據作為政府認定的生產要素，也推動了法律的快速出臺，隨著各項數據相關的法律出臺，車企更加了解法律邊界在哪里，就可以從不規范的有較高風險的數據活動，轉向更為可控的低風險的數據活動里去。

在過去，車企都是摸著石頭過河，深一腳淺一腳地試探。而《數據安全法》從法律層面表達了對數據流動、交易、應用等方面的肯定和支持，體現了國家在大數據時代下對數據資源利用、開發、保護的重視，車企可以依據法律來建立合規管控，這既為汽車行業的數據流通提供了可能，也為車企提供了一定程度上的保障。

但現有的規定和標準仍較簡單，缺乏可操作性和系統性。具體到實踐中，哪些數據可以流通，在什么條件下可以流通，企業如何在保障合法合規的前提下最大程度地應用數據，這些細節問題，還需要進一步的明確，僅一部《數據安全法》不足以解決全部問題，有待配套規定、措施等的出臺。

數據的流通、應用在深層次上，涉及數據的權屬、數據處理的合法性基礎等問題。比如，車企收集到的客戶個人信息等數據，到底屬于誰?是屬于客戶、車企還是經銷商?這些數據如進行流通、應用，怎樣才是合法合規?這些問題，《數據安全法》并沒有正面回應，車企也存在一些疑惑，還需要結合其他法律法規進行體系化考量，并建立有效的數據合規制度體系來加以應對。

地方政府和業界已經在數據流通上進行了一些探索，比如上海地標《數據去標識化共享指南》，還有一些企業和機構探索了隱私計算技術，如聯邦學習等隱私計算方式，但目前仍缺乏專業的評審機構對其進行認證。

汽車業數據分類分級短板待補

《數據安全法》明確提出，國家建立數據分類分級保護制度。王海認為數據分級是很有必要的，事實上，目前汽車行業的數據分級能力還很薄弱。

車企業務模式復雜，營銷場景豐富，數據無處不在。對汽車數據進行分級要有頂層思維，有一個頂層部門或者管理者站出來，規劃和管理數據分級，才能從車企整體角度完成數據分級管理，不然對于車企單一部門來說很難推進。比如，車企CDO(首席數據官)就可以擔任這個職責，從頂層對企業內的各類數據進行分析，各部門涉及到對數據的使用時，都需要經過CDO分級認證，才可以用于實際業務中。

數據的分級分類保護是保障數據安全的基礎和前提，只有首先對數據進行分類分級，才能針對不同數據的重要性、敏感程度采取不同的保護措施，使得數據保護工作有條理、有針對性地展開。

《數據安全法》提出了“核心數據”、“重要數據”等概念：核心數據是關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據;重要數據由各地區、各部門按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。但整體上看，《數據安全法》的規定還停留在原則意義上，缺乏具體指引方法。

2021年5月公布的《汽車數據安全管理若干規定(征求意見稿)》對汽車行業的數據分類進行了嘗試，該規定主要將數據分為“個人信息”和“重要數據”兩大類，并對“重要數據”做了進一步的明確，但該規定并未指出數據如何進行分級。

汽車數據分級，可以參照其他行業已有規定并結合汽車數據的特點進行，比如根據重要性和敏感度的不同，將數據分為不同級別，結合具體的數據類型、數據量、數據應用場景、可能造成的后果等維度，從靜態和動態角度對數據進行分類。

加強頂層設計避免“九龍治水”

數據保護是隨著大數據時代來臨必須考慮的問題，王海指出，目前法律法規、監管都還處于摸索階段，多頭管理、法規層出不窮，是必經階段。

數據管理和數據分類分級一樣，要有頂層思維，由頂層統一部門去分析和研究法律，然后設計落地，才可能最大程度上減少多頭管理。但只是從流程上來約束顯然不夠，還需要落到系統層面，在整個企業外數據如何流通，企業內數據如何流轉，管理層級在哪、責任人是誰、崗位職責是什么、如何審批、如何判定，這些都是問題，而且這件事越早做，成本越小，車企面臨的風險越低。

《數據安全法》對權責的劃分已作出頂層要求，即中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制;各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責，工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責，公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責;國家網信辦負責統籌協調網絡數據安全和相關監管工作。

避免數據安全“九龍治水”現象發生，關鍵在于如何落實《數據安全法》的頂層要求，并且對于如《個人信息保護法(草案)》等這類草案保持持續關注。建議國家后續出臺具體規定，進一步明確不同部門之間的監管權責和交叉問題的處理。在國家層面，制定監管路線圖，確定各標準和技術規則制定的框架，要求各地方、部門等在框架之下行事;同時要落實好網信辦的協調統籌角色。

目前，數策軟件也在聯合天元律師事務所，構建汽車行業的數據管理體系，希望能夠和車企攜手共建標準，并實現企業內部的數據流通既安全又高效。

經濟懲罰比刑事處罰更具震懾力

當然，從監管部門對出行平臺的“強勢出擊”，可以看出國家層面對于數據安全違法問題正在加大處罰力度。王海認為，對于企業來說，相比較管理層的刑事責任，更有震懾力的其實是經濟懲罰，比如，酒店行業的萬豪集團曾經發生數據泄露，就面臨著GDPR(歐洲聯盟《通用數據保護條例》)最高達營業額4%的罰款。據了解，中國也在對此進行法律約束，未來也會出臺相關法律，對于違反數據安全的罰款甚至可能達到營業額的5%，這對很多企業來說是致命的。

事實上，《數據安全法》所規定的違法成本相對而言已經較高，對于非法使用數據的主體具有一定的震懾力，但在適用具體的處罰措施時，何為“情節嚴重”、“造成嚴重后果”，不同的情形，適用不同的罰則，需要在細節上進一步的明確，否則可能對企業的健康發展造成負面影響。

隨著自動駕駛技術的發展，考慮到汽車出口，數據安全就涉及到了更多方面。數據只能本地化，車企需要根據各國法律要求，在當地進行數據布局，比如建立跨國運營團隊，進行有效的數據運營。智能汽車數據安全法規建設如何與國際法規接軌，可以從這幾個方面考慮：立法機構、主管部門、相關企業、學者加強與國外相關部門、企業的交流，對智能汽車的法規、相關制度、技術標準等加深探討;對法規建設起步較早的國家，如美國、德國、英國等法律法規進行充分的研究;不斷加強技術研究，爭取能主導或作為主要制定方，參與到智能汽車相關國際標準的制定工作中。

違法成本的設置，僅是數據保護的最后一道防線。如果不搭建合理的數據流通、應用體系，僅強調嚴苛的處罰措施，會導致企業在進行數據的開發、流通、應用時畏手畏腳，其后果將適得其反，不僅無法促進數據資源的進一步開發利用，反而會扼殺企業的創新和發展。因此，構建數據流通的具體體系規則，建立數據合規制度體系，才能有效地防患于未然。(郝文麗)