數據是數字經濟時代的“石油”和第四種生產資料，也成為各個國家、企業的重要戰略資源，但數字資源在使用過程中常常出現濫用、泄露的情況。

　　以智能網聯汽車為例，在智能硬件和軟件所織的這張網下，用戶的身份信息、家庭住址、工作場所信息、行蹤軌跡、車內談話信息等大量信息，都可能被濫用。

　　上海市信息安全行業協會名譽會長談劍鋒對第一財經記者表示，隨著數字經濟的不斷發展，智能汽車成為智能手機之后又一個即將融入人們生活的智能設備，相較于智能手機而言，智能汽車的數據安全將產生更為重大的社會影響。

　　為應對數據安全的挑戰，于6月10日全國人大常委會通過、9月1日起施行的《數據安全法》是我國第一部有關數據安全的專門法律，將與《網絡安全法》及正在立法進程中的《個人信息保護法》一起，全面構筑中國信息及數據安全領域的法律框架。而《數據安全法》在汽車領域的下位法《汽車數據安全管理若干規定》也在6月11日征求意見正式結束。

　　“智能汽車產業的發展現況和趨勢，非常類似移動互聯網產業的快速發展期，如果不能吸取過往教訓，過度寬容，‘先發展，再治理’，將可能帶來嚴重的社會安全和國家安全問題。”談劍鋒說。

　　確立國家核心數據

　　自2020年6月28日以來，《數據安全法》已經歷三次審議與修改。正式出臺的《數據安全法》在法律責任章節中，新增了違反國家核心數據管理制度及違法向境外提供重要數據的處罰。

　　上海交大數據法律研究中心執行主任何淵認為，《數據安全法》首次將數據安全全局決策統籌工作升格至中央國家安全領導機構，其上位法應該是《國家安全法》，而其最重要的制度是分類分級制度，確立了“國家核心數據”的概念，與“重要數據”“其他數據”形成責任界定，并且優化了數據出境的規則，隱含數據主權的概念。

　　“按照法律要求國家必須制定核心數據、重要數據目錄，主要按照行業劃分，比如醫療健康數據、金融數據、公共數據、消費者數據等，針對不同的數據將制定特殊的規則。”何淵表示。

　　何淵認為《數據安全法》凸顯了“數據主權”的概念，表現在數據的跨境方面。“對于重要數據，尤其是核心數據的出境要經過國家安全審查，未經批準數據不能向外輸送。”

　　《數據安全法》的另一大特色是注重數據安全和產業發展的平衡。其中第二章為數據安全與發展，堅持保障數據安全與促進數據開發利用并重，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用。

　　“除了保障數據安全外，《數據安全法》也要求提升數據治理和開發的水平，包括強調實施大數據戰略，支持相關的技術研發和商業創新，推進數據交易市場以及培養專業人才等，在安全的基礎上發展數字經濟非常重要。”何淵表示。

　　《數據安全法》不僅強調政府的強力監督，更強調企業的自我規制。

　　“企業要合規地收集使用數據，必然要加強公司的數據治理框架，毫無疑問會增加企業的成本，但企業必須意識到安全問題和隱私保護問題是全球的趨勢，對中國企業走出去意義重大。”何淵對第一財經記者表示。

　　在業內人士看來，要實現數字安全，汽車企業建立數據中心只是一方面的內容，對于數據的治理和服務等軟件方面的投入更為關鍵。

　　談劍鋒對第一財經記者表示：“美國的相關立法規定，信息化安全的投入比例不低于20%，另外在軟件和硬件投入的比例上也有講究，不能重硬件輕軟件，加大在數據安全服務和軟件上的投入更為重要。”

　　在中國建立數據中心

　　隨著智能網聯汽車崛起，智能網聯汽車也成為個人隱私數據泄露的風險敞口。

　　何淵認為，未來的智能網聯汽車本質上不再是一個汽車，而是超大型的智能手機，傳統的汽車關乎更多的是人身安全問題，而智能網聯汽車的重中之重將變成數據安全問題和隱私問題。

　　智能網聯汽車本身是需要依靠各類數據來保證車輛正常使用的。但是，信息采集不能超過車輛正常使用所必需的信息，否則就涉嫌侵犯信息和隱私。

　　《數據安全法》規定任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。同時要求，在中國境內運營中收集和產生的重要數據的出境安全管理辦法由網信部門會同國務院有關部門制定。

　　跨國汽車廠商中也不乏將國外數據傳送到總部所在地用于開發新技術的情況。何淵認為，這就涉及“數據主權”的問題。

　　為應對法律對數據主權的規定，特斯拉近日宣布已在中國建立數據中心，實現數據存儲的本地化，并將陸續增加更多本地數據中心。特斯拉表示，所有在中國市場銷售車輛產生的數據都將存儲在境內。

　　“隨著越來越多的數據對優化移動出行，尤其是建立中國本土的生態系統的重要性日益凸顯，從業務發展的角度來看，汽車企業應該在本土建立數據中心。”一位跨國汽車企業高管對第一財經記者表示。

　　特斯拉在中國建立數據中心并不是特例，伴隨著中國這個全球最大的汽車市場的發展，越來越多與汽車相關的數據正在產生，如何處理來自汽車信息方面的監管挑戰成為汽車廠商積極應對的任務。更多汽車廠商將會跟進，將其汽車產生的數據存儲在本地。

　　目前包括大眾、福特在內的跨國汽車廠商都已經在中國建立了數據中心，一些尚未建立數據中心的汽車廠商也開始醞釀相關的計劃。福特中國方面發言人對第一財經記者表示：“我們在國內有數據中心，并且在中國市場的數據都是存儲在本地的。福特汽車嚴格按照業務所在市場的法律法規來管理車輛和用戶數據。”

　　上海大邦律師事務所高級合伙人、律師游云庭認為保護數據安全非常重要的一個做法是“脫敏”。

　　“在智能汽車產業發展的早期收集信息是必需的，不然無法通過大數據研究出整體的自動汽車駕駛方案。關鍵是這些數據不能逆向被識別出來。個人信息保護方面要脫敏。另一個是國家安全方面，收集的數據的存儲傳輸應當符合等級保護規范，數據如果要出境的話，要通過數據出境安全評估。”游云庭說。

　　游云庭認為，《汽車數據安全管理若干規定》有兩部分立法依據，一是《數據安全法》，側重于數據不泄露以及數據的國家安全保護，二是《個人信息保護法草案》，側重于消費者個人數據權益的保護。

　　“《數據安全法》和《數據安全管理規定》對汽車從設計到生產以及消費領域各個環節的運營商數據處理進行規范。”游云庭表示。

　　構筑信息與數據安全法律體系

　　從法律體系來看，《數據安全法》和《網絡安全法》及正在立法進程中的《個人信息保護法》是我國數據和網絡安全的三部基礎法律，全面構筑起中國信息及數據安全領域的法律框架。

　　“《網絡安全法》主要立法目的是保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，重點關注‘網絡自身的安全’。而數據安全和個人信息安全并不屬于‘網絡自身的安全’，在《網絡安全法》中處于從屬地位。”游云庭表示。

　　上海段和段律師事務所律師劉春泉認為，《數據安全法》與《網絡安全法》配合使用，彌補《網絡安全法》不能涵蓋的部分，兩部法律有交叉和類似的地方，比如《網絡安全法》有網絡安全等級保護制度，《數據安全法》有數據分類分級保護制度，《網絡安全法》規定了重要數據，相關細則還沒有正式頒布生效，《數據安全法》在此基礎上又規定了核心數據進一步嚴格加強保護。

　　“《個人信息保護法》更側重于私人權益，是為了維護公民個人的隱私、人格、財產等利益。目前個人信息保護法還在草案階段，個人信息保護法正式稿通過后，基礎法律才算齊全。”游云庭表示。

　　除了三部數據保護的基礎性法律，我國的《著作權法》、《專利法》等知識產權法中也保護了以一定載體形式記錄的包含商業秘密在內的信息權利，隨著《民法典》的出臺，人格權在其中以專編做出規定后，對數據權利的保護便有了明確具體的法條規定了。

　　 轉自：第一財經日報