[汽车总站网 www.chianautoms.com欢迎你]
2023年3月31日,由中国电动汽车百人会主办,清华大学、中国汽车工程学会、中国汽车工业协会、中国汽车技术研究中心、中国汽车工程研究院共同协办的中国电动汽车百人会论坛(2023)在京开幕。4月2日举办的汽车产业数字化论坛上,中国科学技术大学公共事物学院、网络空间安全学院教授左晓栋发表了主题演讲。
以下为演讲实录。
谢谢新红,谢谢邀请,大家下午好,我向各位领导,各位嘉宾报告一下关于汽车数据安全的个人认识,我的题目是政策研究的几个方向。我认为在汽车数据安全的监管方面有几个问题是值得关注的,仅仅是从研究者的角度谈一下我个人的观点。
第一,关于国标41871-2022的落地实施。这个名称是汽车数据处理安全要求,还有不到一个月就正式实施了,2023年5月1号实施,大家也都关注标准实施以后的情况,需要指出这个标准解决了个人信息保护在智能汽车场景下一些具体的规定落地方式。比如说要做到告知,取得个人同意。这个标准大量的篇幅是在解决个人信息保护具体汽车中的落地场景。汽车数据不仅仅是个人信息,还有很多其他的非个人信息,所以这个标准是一个重要的进展,我们都期待能够取得很好的落地实施效果,但是我认为只是解决了最基本的一个问题。
第二,汽车重要数据的界定与识别。这跟刚才的问题相关,在汽车中,我们关注的数据除了个人信息,还有汽车重要数据,这些都是国家数据安全监管的重点对象。汽车重要数据是什么?怎么理解?首先我们谈到7号令,给了一个界定,还在规范着我们的汽车行业,但是有必要关注一下时间的问题,为什么要强调时间?因为在国家层面,重要数据的识别依然在研究之中,在国家政策层面还在研究。前两年关于汽车重要数据已经出台了规定,按照正常的逻辑,这个时间是反过来的,意味着什么?汽车行业的重要数据需要优先规范,这个历史情况大家都清楚。二是需要在这个领域做一些探索,但是这些探索毕竟是历史发展的过程,有可能还处在初级阶段,甚至有可能需要根据时间的发展不断更新,我认为这个问题必须得关注。我本人做了两个工作,一个是受中央网信办委托,担任国务院新闻法规网络数据安全管理条例的起草专家组组长,另外是牵头国标重要数据识别规则,也都涉及到重要数据的定义和监管要求。在这两个工作做的过程中,总有人跟我讲汽车重要数据已经明确了,后面的这两个文件对汽车数据要一致。我按照《立法法》的规定,这是部门规章,已经讨论通过了。我说不能这么讲,这是历史发展的过程。汽车领域重要数据就是7号令定义的,当然7号令没有更新,我们必须遵循,但是这是发展过程,不是确定死的了,还要继续详细研究。
第三,汽车数据出境方式。政策的规定,《网络安全法》《数据安全法》和《个人信息保护法》,这三部法加起来确定了我们国家数据出境安全的基本管理制度。这个管理制度用以下这张图表示,达到了一定条件,比如有重要的数据,或者达到某种条件的个人信息,要经过安全评估。如果没有达到条件,对于个人信息出境,要么走认证,或者走标准合同,这是法定的。但是我们汽车行业有个特殊情况,最近汽车行业的数据出境安全评估给监管部门送审的时候出现的,相当多的是跟境外的总部之间,比如国际化的车企在中国投资,数据传到总部,谁定义?总部的云计算。按照学术角度讲,是一个全球总部与分支机构之间的数据传输,或者说国内的厂商,也是会涉及总部与分支机构数据的传输。这种全球企业总部和分支机构之间的传输,这是一种特殊情况,欧盟是有专门出境途径的,就是BCR。为什么约束企业规则?都是全球总部一个大企业下面的,企业内部的规则,就要签合同,比认证方便的多。但是很遗憾,我们看一下《个人信息保护法》,刚才讲的三种途径,是排斥这种途径的。那车企应该怎么办?法律规定了三种途径,法律行政法规或者国家网信部门规定的其他条件。什么意思?网信的主管部门如果在明确的BCR作为合法的出境方式之一,法律层面是没有问题的,因为法律已经留口子。问题是BCR的研究能不能立得住脚,能不能作为数据出境的方式?对车企来说影响是很大的。我也做了研究,如果我们要引进BCR,还有几个问题没有解决,比如BCR约束企业规则,适用于全球企业,企业全球的总部与各分支机构,是指适用于总部还是说只适用于国内的分支机构?另外,谁来批准?效率有多大?适用于个人信息传输还是所有的数据处理活动?你的境外总部能否承诺境外总部和分支机构可以接受中国监管部门的检查?这个是要打问号的,这个问题还在研究之中。
最后一个问题,本地化存储的实现方式。我听很多企业说遵守中国的法律法规,数据中心放在中国,大家都认为这是很好的进步,但是不是就够了?我们看一看TikTok,有两个值得我们关注的问题,第一,这个企业提供商业服务,收集的数据有些是影响到国家安全的,这跟我们提供重要数据的背景是一样的,不仅是个人信息,还有些影响国家安全。有很多国家正在提出这方面的关注,我们原来说的本地化存储就是放在境内就可以,这样做当然是进步,但这些考虑实际上还差得远,这是值得我们关注的方向。并不是说一定这么做,而是说国际上都在这么考虑问题。
我今天讲的是数据安全,并不等于否认发展,我的意思是要把安全的几个问题搞清楚,更好的实现数据的开放利用,更好的支持发展,以上是我的报告内容,谢谢大家!
[汽车总站网 www.chianautoms.com欢迎你]