规范汽车数据安全

近日，国家网信办、国家发改委、工信部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”），自2021年10月1日起施行。

“自从三个月前开始征求意见以来，很多新势力造车企业一直很紧张，因为这次的紧箍咒实在太紧了，甚至直接影响到它们未来的盈利模式。现在发布的实行《规定》，和征求意见稿相比，有些条例一点都没有松口。”有业内从事信息安全工作几十年的专家告诉记者。

政策密集出台

“不要仅仅把它当作一个规定来看，要完全吃透它，至少要先看明白三个法规，包括最新发布的《个人信息保护法》《数据安全法》，以及稍早公布的《网络安全法》，这背后甚至还涉及《国家安全法》的相关条款。”该名专家告诉记者。

据了解，几乎同时，工业和信息化部还在8月12日发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》（以下简称“《意见》”），要求加强汽车的数据安全、网络安全、软件升级、功能安全和预期功能安全管理，保证产品质量和生产的一致性，推动智能网联汽车产业高质量发展。

而在不久前的6月份，工信部还公布了《车联网（智能网联汽车）网络安全标准体系建设指南（征求意见稿）》（以下简称“《指南》”），一旦其试行版本公告出炉，很有可能被视为车联网（智能网联汽车）网络安全标准化工作的顶层设计指南。

如果说，《规定》是紧箍咒，那么《意见》就是安全底线，“不管是《规定》还是《意见》，抑或是《指南》，都要结合起来看。”专家表示。

数据不再俯首可得

回想一下，以下这些话语是不是很熟悉？

“依托互联网和大数据，能帮零售经营者精准地筛选目标群体，洞察消费者的真实需求。”翻译过来就是，无差别收集你留下的各种数据痕迹，后台进行匹配之后，给你推荐相关商品。

“以人工智能算法为核心，通过智能车载硬件及智能手机实时获取线上、线下数据，并通过大数据建模分析，还原用户的用车场景和生活场景，深度挖掘用户的需求特征和偏好特征。”换句话说就是，光收集还不够，我们要在虚拟世界里重塑一个数字模型，你做什么、喜欢什么，都能预测。

但从今往后，这些数据不再俯首可得了。

《规定》提出，汽车数据处理者在开展汽车数据处理活动中应坚持如下原则，包括坚持安全和发展并重，坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则，鼓励汽车数据依法合理、有效利用，促进汽车行业健康有序发展。

“车内处理”指除非确有必要不向车外提供车内数据；“默认不收集”指除非驾驶人自主设定，驾驶时默认设定为不收集行驶状态；“精度范围适用”指根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；“脱敏处理”指尽可能对数据进行匿名化、去标识化等处理。

《规定》还强调，要求汽车重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

把数据关进“规则”笼子里

“其实，相关新政的密集出台，对传统汽车行业的影响也一样大。以前，汽车销售经常用到的一个办法，即购买LEADS（销售线索），以后这样做可能就涉嫌违法了。”专家告诉记者，“嗅觉敏锐的车企，早就在经营私域流量了。”

《中国互联网发展报告（2021）》显示，2020年，我国智能网联汽车销量为303.2万辆，同比增长107%。预计到2025年，我国L2、L3级（在特定环境下实现部分自动驾驶的操作）智能网联汽车销量将占全部汽车销量的50%。

那么，智能汽车到底采集了多少用户数据？“一辆智能网联汽车，每天至少收集10TB的数据。”有专家表示。这些数据不仅包含驾乘人员的面部表情、动作习惯、视频、音频等数据，甚至还包括车辆地理位置、出行轨迹、车内外环境数据等。

汽车数据处理能力日益增强、汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。即使有人想反对数据滥用，也无从反对起。《规定》出台后，这种过度、无序搜集数据，甚至违规滥用数据的行为，终将会因为数据被关进了“规则”笼子。

未来，数据安全评估、个人隐私保护也将逐渐融入我们的汽车生活之中，汽车行业的“江湖”，将会变得既熟悉又陌生。