吴沈括 北京师范大学网络法治国际中心执行主任、教授


5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》(下称“规定”),旨在“加强个人信息和重要数据保护,规范汽车数据处理活动”。


此前特斯拉车主维权事件,引发了社会各界关于智能车辆数据到底该谁拥有、发生交通事故后当事方如何获取记录事故数据等问题的广泛讨论。就此,新京智库采访了北京师范大学网络法治国际中心执行主任吴沈括教授,广东工业大学计算机学院教授刘文印和上海交通大学数据法律研究中心执行主任何渊。


对车辆数据安全问题的回应


新京智库:怎么看《规定》的发布,这传递了一个什么信号?


吴沈括:首先,这与当下我国有关数据治理的战略有关。目前《数据安全法》、《个人信息保护法》即将出台,相关法律法规的完善进入了一个快车道。这是一个大的背景。


其次,从产业发展角度来说,现在汽车行业,包括智能驾驶行业所涉及的以数据为驱动的业务,已经不再是少数。因此,对于这些新兴业态有必要进行合理规制。这也是民众所期待的。


最后,也是对近期一系列热点事件的回应。这是特斯拉车主维权事件对车辆数据治理的预警:不能在大面积事故出现后再来谈治理。所以,《规定》的出台也是有紧迫性的。


何渊:最主要的是传递了这样一个观念,除了个人信息保护以外,数据的国家安全也很重要。这正好集中在智能网联汽车领域。因此,对数据安全的管理规范需要最先落地。这也体现了我国对数据主权的重视:一是对外的自主性,即强调中国境内的数据应该由中国政府说了算;二是对内有最终的决定权。


新京智库:《规定》的亮点是什么?


何渊:首先,虽然《规定》中没有出现“智能汽车”或“网联汽车”字样,但是其对象还是指向未来在5G时代的智能汽车。这体现了《规定》的前瞻性。从立法的角度来说,欧盟、美国和日本此前出台了相关智能网联汽车的法规,我国也需要跟上时代,顺应历史发展潮流。出台这样一部《规定》正当其时。


何渊 上海交通大学数据法律研究中心执行主任


同时,《规定》没有“一刀切”,即重要数据的确需跨境的,经过批准还是可以进行。也就是说,对于一些必要的数据还是允许外资企业或机构收集,但用完了以后必须删除。


除了国家安全、数据安全以外,也要保证智能车辆不被远程控制。在互联网公司的介入下,智能网联车未来是个“大号的手机”:把智能车辆作为一个终端去获得用户和流量。因此,这个“大号的手机”一旦被黑客控制,影响的可能就不是“手机”自身的安全,还有行人、交通甚至其他相关领域的安全。


《规定》强调对个人信息的保护


新京智库:特斯拉女车主维权事件发生后,引发了公众对智能车辆数据权属的反思。《规定》的出台是否可以有效解决这些问题?


吴沈括:这个事情本身的解决,并不取决于或依赖于数据权属的确定。不过,即使这样,现有的法律规则其实能够解决类似特斯拉车主维权事件所引发的问题,并不是一定要等到数据权属立法才能有效解决。所以《规定》也没有对数据权属做相应规定。


刘文印:《规定》的出台确实很及时,反映出政府部门的管理效率,可以约束、提醒商家对个人信息和数据进行规范收集和使用。但从当下的现实看,在商家不公开数据时,管理者对其很多行为是难以察觉的,所以还是必须从立法立规+技术监管两个层面双向并用,这样才能有效地降低个人信息与数据的违规收集和使用。


刘文印 广东工业大学计算机学院教授


新京智库:《规定》第六条第五款规定,“默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效”。怎么看这个规定?


吴沈括:因为自动驾驶是一个可以反复重现的场景,按照现有规则,驾驶员有一次授权即可。《规定》提出了“默认不收集原则”,这是在现有风险态势下法律规范往前迈了一步,从而起到保护智能车辆数据安全的作用。需要注意的是,这只是一个倡导式的要求。


何渊:私家车内具有一定的私密性,甚至被认为是家庭场景的部分延伸。因此,如果私家车内的相关信息未经驾驶员或者所有权人同意,车企或相关方擅自收集了,这就会带来很大安全隐患。“默认不收集原则”强调的就是对个人信息的依法保护。


刘文印:个人认为,可以默认收集,但必须提供选项,让用户选择记忆时限,或到期删除或随时删除。系统应保留用户的使用记录用于审计。因此,可以针对每辆车设计类似“黑匣子”的存储功能,并且在云端设置用户自己可管理的同步备份机制,这个备份机制可以从政府监管层设计同步备份,无授权无法查看。


保护个人信息也需兼顾产业发展


新京智库:特斯拉车主维权事件发生后,特斯拉公开了部分“黑匣子”中的数据,但引起了很大的质疑。事实上,智能汽车“黑匣子”的数据一般公众也无法拷贝出来,即便拷贝出来也解码不了,识别不了。这是否意味着智能车辆的数据对驾驶员“无用”?


吴沈括:这个是正常现象。车企也享有商业秘密和知识产权的权利。而且我国也是保护知识产权的,保护个人信息也要考虑与其他法律制度的衔接。


但这不代表车企可以“守口如瓶”,一旦发生事故,进入到司法程序,车企也有配合调查、举证的责任和义务。同时,车企也有权利保护自己的知识产权和商业秘密,而不是都必须向公众开放。公众维权是依法享有的权利,但要在现有的制度框架之内。


所以,公众看不懂智能车辆黑匣子的数据很正常,因为其不是专业人士。有国家监管机构、第三方测评机构看得懂就可以了。


新京智库:《规定》出台后,汽车厂商或者说相关运营方该如何与智能车辆权利人(或驾驶员)实现数据“共享”?


何渊:其实,《规定》也留有数据共享的“口子”。当然,如果涉及敏感数据,车企就不要收集,除非有必要。如果触发了国家安全问题,那肯定要受到相应法律惩罚。那么,个人信息怎么办?根据《个人信息保护法》精神,并不是不能收集,而是说要经过车主的同意。


所以,车企和相关运营方需要对智能车辆系统进行优化,通过技术设计实现保护驾驶员的隐私或信息的安全。同时,又便于自身对相关数据的收集。


这是一个工程学问题,这需要车企的设计更人性化,要以更优的方式对车主进行说明,车企或者相关运营方为什么要收集相关数据,收集什么样的数据。


强调个人信息保护、数据安全的同时,也需要做到平衡。即产业发展、安全和个人信息保护之间的平衡。如果对个人信息保护过于严格,而扼杀了一个新兴产业的发展,这也不是一个好现象。


新京报记者:肖隆平   校对:贾宁   编辑:柯锐、张笑缘