在数字经济时代渐行渐近的背景下，数据资源和数据信息这座“富矿”，正持续释放巨大潜力。中国信息通信研究院发布的信息显示，2021年我国数字经济产业规模为45.5万亿元，达到GDP规模的39.8％。

 

　　数字经济蓬勃发展的同时，守住数据安全底线也成为确保国家安全、产业安全、个人安全和经济社会健康发展的关键。2021年以来，《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全条例（征求意见稿）》等多项数据安全法律法规相继出台，我国数据安全进入强监管时代。

 

　　强监管并不是将数据资源管控成“一潭死水”。数据的安全与流通同等重要，只有高效流通的数据才能真正创造价值。2022年12月19日，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《意见》）对外公布。其中提出20条政策措施，包括建立保障权益、合规使用的数据产权制度，建立合规高效、场内外结合的数据要素流通和交易制度，建立体现效率、促进公平的数据要素收益分配制度，建立安全可控、弹性包容的数据要素治理制度等。在初步搭建数据基础制度体系的基础上，力图充分激活数据要素价值，让高质量数据要素“活起来、动起来、用起来”。

 

　　聚焦数字化、智能化转型中的汽车行业，数据资源在全产业链正发挥着越来越重要的作用和价值。如何在合规的前提下充分盘活数据资源，在数据信息安全监管与高效流通之间找到最佳平衡点，是摆在全行业面前的一道必答题。

 

　　汽车行业必守数据安全底线

 

　　日前，“蔚来汽车数据泄露”事件引发业界热议。随着智能网联技术在汽车产品上的广泛应用，汽车已经逐渐成为产生与连接海量数据的中枢，引发汽车网络与数据安全事故的概率也因此飙升。

 

　　调研显示，一辆L4高级别自动驾驶汽车每天会产生约10TB数据，是传统汽车的5～10倍。2015～2021年间，汽车网络与数据安全事件频发，主要体现在用户隐私泄露、车辆远程非法控制、汽车功能失效等方面。在数据收集层面，则存在车外摄像头滥采环境数据、人脸数据、个人敏感信息采集未经用户授权等现象。在数据存储方面，云端汇集了海量数据，但漏洞和风险相对较大。“一旦智能网联汽车数据遇到攻击、窃取、滥用等安全问题，可能会给国家安全、交通安全和用户隐私安全造成重大影响。所以，对汽车行业来说，随着数字化、智能化转型的持续深入，守住数据安全底线是根本。”车百智库研究院智能网联汽车数据研究中心主任梁嘉琪说。

 

　　为守住数据安全底线，汽车行业也陆续出台了相关政策和细则。2021年8月，《工信部关于加强智能网联汽车生产企业及产品准入管理的意见》发布；2021年10月1日，由国家网信办等五部门联合发布《汽车数据安全管理若干规定（试行）》的正式实施。采访中，中汽中心中国汽车战略与政策研究中心数字汽车研究部副部长葛鹏表示，智能网联汽车与万物互联产生海量数据，成为数字化时代最为活跃的新型生产要素和重要的战略资源。这些数据在全球化处理过程中，如果被泄露和非法利用，可能带来恶意控车、敲诈勒索等风险，严重威胁个人安全、社会安全和国家安全。因此，通过数据安全相关法律法规约束企业数据处理活动，规范行业秩序，对企业高效运营和行业可持续发展发挥着重要作用。

 

　　数据流通无国界。对车企而言，在全球化战略和业务的推进过程中，数据的全球化流通需求也越来越高，但安全依旧是必须守住的底线。《汽车数据安全管理若干规定（试行）》对汽车跨境数据的安全管控提出了明确要求，规定车企重要数据的出境要过一系列“安检关”。采访中，中汽智联技术有限公司信息安全室主任马超表示，全球化数据安全是企业运营和数据高效流通的基础。我国汽车行业经历了由粗放向精细，由低质向高效，由量变向质变的转型升级，部分核心技术已达到世界先进水平，中国车企走出国门、走向世界的全球化脚步也在加快。在这样的背景下，安全、高效的数据流通对于企业整合全球资源、加强跨国产业链合作、促进技术创新都具有重要意义。

 

　　“管放”之间困扰犹存数据分类分级标准待明确细化

 

　　在守住安全底线的前提下，行业如何为数据的全球化流通营造一个更加高效、通畅的环境，企业又如何找准安全合规和有序流通的最佳平衡点？

 

　　采访中，某跨国车企相关负责人坦言，目前对汽车数据安全的监管一定程度上并不能充分满足企业对数据全球化流通的需求。“《汽车数据安全管理若干规定（试行）》中对重要数据做了界定，将涉及个人信息主体超过10万人的个人等数据定义为重要数据。如果按这个标准来衡量的话，目前企业管理的大多数数据都被归为重要数据范畴。按照政策规定，这些重要数据出境要完成审查、检测、评估等一系列流程，不仅增加了企业的数据管理成本，也在相当程度上影响了数据流通效率。”该跨国车企相关负责人坦言。

 

　　据了解，上述跨国车企相关负责人谈及的困扰，在车企间普遍存在。另一位不愿透露姓名的车企负责人也向记者表示，中国汽车市场的增长潜力大，对智能化技术的创新热情、接受度都很高，目前中国不仅是全球汽车产销大国，也逐渐成为全球汽车数字化技术创新的高地，因此企业对在研发、生产、物流、制造、销售、售后等各环节相关数据的全球化流通需求十分旺盛。在确保安全的前提下，让覆盖全产业链的数据实现高效、有序的全球化流通确实是亟待解决的问题。“在实际操作过程中，由于对智能网联汽车数据类型尚未有更明确、更细化的分级分类标准，企业面临数据存储分散、重要数据和一般数据无法有效区分、数据格式不统一、管理标准不一致等诸多问题。一定程度上导致目前的数据安全监管并不能与企业的全球化数据流通需求相匹配。”这位不愿透露姓名的车企负责人说。

 

　　“目前，超过10万人的个人信息数据在汽车行业较为普遍，主要集中于大型自主品牌企业和大型跨国车企。按照我国法律要求，这类重要数据如因业务需求确需跨境传输的，应通过国家网信部门组织的数据出境安全评估。由于数据出境安全评估工作刚刚启动，企业在实操申报及流程推进方面仍需学习，而一些跨国车企向境外回传车辆维保数据的业务需求一直存在，企业在满足合规时限和业务推进的平衡上确实遇到一定困难。汽车行业的数据分类分级应当更加细化，方便企业根据不同数据类型、不同应用场景、不同监管级别，采取相应的技术和管理措施，确保数据持续处于有效保护和合法利用的状态。”葛鹏说。

 

　　车百智库的调研显示，按照目前的相关政策界定，粗略统计，企业管理的近80％～90％汽车数据都可能被纳入重要数据范围。“这既增加监管机构和企业管理数据的成本，也影响汽车数据价值的合理释放。”梁嘉琪直言，“智能网联汽车数据体量庞大、类型复杂且存在交叉，很难短期内定义统一、清晰的分类分级标准。但统一的汽车数据分类分级标准是数据分级保护、数据确权、数据共享、数据有效利用的基础，可以优先推出一版标准，再动态进行调整。针对汽车重要数据范围，可以加快推出更细化的重要数据目录，将更有助于释放汽车数据的要素价值。”

 

　　多方协同营造汽车数据安全高效流通环境

 

　　在促进汽车数据科学分类分级、实现安全高效流通的过程中，地方政府、相关机构、企业正多方协同，从细化政策、明确标准、实践创新等维度进行积极探索。

 

　　据了解，上海自贸区临港新片区积极试点探索数据跨境流动，目前已完成了全国首家外资车企数据跨境流动安全评估，探索建立数据跨境流动正面清单、分类分级和存证传输管理制度。依托国际数据港建设，已经促成了集成电路、人工智能、工业互联网、智能制造等近400家实体企业和功能性平台落地，链接全球的数据网络能力也初步建成。

 

　　“数据分类分级越详细，越有利于企业对自身数据资产进行梳理，进一步明确数据的重要性和价值。去年12月，工信部最新印发的《工业和信息化领域数据安全管理办法（试行）》中明确了数据分类分级管理制度，企业重要数据和核心数据目录备案要求，并对三级数据安全监测预警和应急处置职责划分做了规定，一定程度上明确了‘谁来管、管什么、怎么管’的问题。”马超说。据悉，在智能网联汽车数据分类分级细化层面，相关部门也在进行探索和尝试。目前国家推荐性标准《智能网联汽车数据通用要求》已公开征求意见，其中给出了数据分类分级原则和具体的分类参考。智能网联汽车数据分类分级主要从科学性、实用性、扩展性、合法合规性、可执行性、实效性、稳定性、显著性等方面考虑。

 

　　除了对数据的分级分类有待细化和明确之外，多重监管的现状也一定程度上阻碍了数据价值的充分释放。按照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定，智能网联汽车涉及不同维度的数据需要向不同监管部门申报、评估、报告，多部门的重复交叉监管不仅增加了企业合规成本，也制约了政府层面对数据安全监管效率的提升和数据的有序流通。

 

　　对此，梁嘉琪建议，统筹建立汽车数据科学、系统的监管体系，进一步明确各管理部门的职责分工，推进不同部门的审查、检验结果互认。

 

　　脱敏处理何以实现数据和技术安全兼顾

 

　　为了保证数据的安全性，相关政策倡导敏感数据采取脱敏处理。《汽车数据安全管理若干规定（试行）》中提出因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。《智能网联汽车数据通用要求》标准中对面部匿名化处理及检出率、漏检率等技术参数也做出具体要求。

 

　　对智能网联汽车而言，脱敏处理后的相关数据能否确保技术安全的话题，也在业内引起讨论。“由于各家自动驾驶技术路线不同，数据脱敏后是否产生影响也存在差异。若是自动驾驶算法训练时采用的是脱敏后的数据，而自动驾驶算法应用时采用的是未脱敏的数据，某种程度上会降低算法运行的精确度。另外，更高等级的自动驾驶技术落地需要辅以车内外感知硬件采集的大量真实数据进行算法训练和决策规划；按照‘车内处理原则’，以目前车端的计算能力和存储能力，在车端执行数据脱敏处理，必然大幅增加算力负荷，企业也很难实现在车端进行技术算法迭代。不过这几点原则在2022年推出的‘41871国标’中已进行了优化。”梁嘉琪说。他还建议，根据汽车数据处理的目的，可适当允许部分数据不进行脱敏处理或是在云端辅助进行脱敏处理。比如座舱内原始数据在不经人工接触、仅供机器训练使用的情况下，可允许汽车数据处理者使用部分原始数据以优化算法，并在训练后及时删除；另外，在半开放或者封闭性的网络上允许部分数据出车，在云端进行数据脱敏处理，以降低车端对算力的要求。

 

　　马超认为，自动驾驶场景中，更多关注于包括行人、物体等目标整体特征的识别，具体面部特征并不影响自动驾驶算法精度，但相关数据发生泄漏等情况会造成对个人隐私的侵犯。“针对数据脱敏处理，目前已有团体标准和国家推荐性标准作了初步指引，在图像检出率、误检率、匿名化效果等方面提出性能要求。后期，如不断完善并合理设计性能要求，应该可以满足自动驾驶算法精度要求。根据目前行业企业对脱敏处理原则的应对情况，一些走的较快的企业已经将匿名化算法应用到车端，一些企业正在开展匿名化测试，还有部分企业考虑到技术及车辆成本原因仍处于解决方案探索期。”葛鹏说。

 

　　弹性动态管理模式促进监管与创新协同

 

　　在安全的前提下，数据的监管和流通不是矛盾的，而是相互促进的。让安全的数据在合规、高效流通中发挥更大的价值，也是行业和企业共同探索的方向。

 

　　“由于目前对数据安全的监管政策不够明确和细化，企业对创新技术是否‘踩了安全红线’判断不准，这也导致不少车企的创新功能和技术不敢轻易‘上车’，因为担心违规而在一定城市上会阻碍数字化技术创新落地。”某业内人士直言。

 

　　从行业管理角度而言，确保数据安全的核心是根据行业、企业发展的实际情况和需求，实现多方协同的“动态监管”、“动态维护”、“动态管理”，为数据的合规、高效流通营造科学、可持续的监管氛围。

 

　　“我国加强汽车数据安全管理时，的确要注意不能忽视技术创新和企业发展，采用‘明晰底线，包容创新’的基本原则，保障底线安全基础上也要保护和激发企业的创新积极性，调动数据价值充分发挥。汽车数据安全管理不是一蹴而就的，需要随着产业发展动态调整，建议沿用技术适度超前的理念，分阶段、分周期落实实施细则。如何更好平衡汽车数据安全管理和产业创新发展，对政府和行业、企业来说都是一个持续探索的过程。”梁嘉琪说。

 

　　马超也建议，希望未来能够结合汽车领域特点和发展趋势，出台更多弹性、灵活的法律法规、行业标准、指导办法，持续推动数据安全管理体系健全完善，以更加具体可操作的细则指导和规范汽车企业数据管理，在提升数据安全防护能力的同时充分激发数据价值和潜力释放。

 

　　建立安全可控、弹性包容的数据要素治理制度，在保证安全的情况下提高数据利用效率和水平，已经成为未来汽车行业数据安全监管的方向和趋势，这对政府数据治理机制的创新和企业压实数据治理责任也提出了更高的要求。对此，葛鹏认为，应尽快推动汽车行业出台数据分类分级技术标准和相关管理规范；制定我国汽车数据跨境名单（包括黑白名单），并对属于不同名单范畴的数据进行弹性、区别管理。比如属于白名单的可以无需评估即可出境；属于黑名单的严禁出境；不属于黑白名单的可根据评估决定是否可以出境，从而提升企业在全球范围内数据交流的效率，以更弹性、灵活的方式在政府、行业、企业多方协同中寻找未来汽车数据在安全合规与有序流通中的最佳平衡点。