中汽中心张亚楠：只要数据是从车上出去的，主机厂就须承担第一责任

　　第二十一届中国汽车产业发展（泰达）国际论坛（以下称“泰达汽车论坛”）于9月11日至9月14日在天津市滨海新区举办。在9月12日“数智化生态专场：数据驱动汽车产业场景变革”中，中国汽车技术研究中心有限公司首席专家、中汽智能科技（天津）有限公司副总经理张亚楠发表题为“智能网联汽车数据发展与安全风险协同治理路径”的演讲。

　　张亚楠表示，数据已成为驱动汽车智能化和网联化转型的核心动力。但在数据应用过程中，数据风险问题不容忽视。目前中汽中心大概聚焦三类问题和四个场景：一是合规收集，二是合理使用，三是使用主体是否管理尽责。四个场景包括：第一，数据安全，尤其是大规模数据聚合后可能导致的重要信息泄露；第二，数据跨境传输中的安全问题；第三，地理信息数据的合法采集；最后是关乎每个人的个人隐私安全问题。

　　面对数据安全风险的挑战，张亚楠提出以下建议：首先，国家对数据安全的需求大于单个企业。对企业而言，需关注两类因素：一是监管层面，企业应做到基本合规；二是从自身业务需求出发，理性审视数据价值。

　　在合规层面，以往多个部委（如网信办、自然资源部、工信部等）都参与汽车数据安全管理。由于国家的基本监管原则是“谁管业务，谁管数据安全”，导致多头监管。经过去年的协调，目前已基本明确由工信部牵头、其他部委协同配合，共同治理汽车行业数据安全问题。工信部网安局目前重点关注三个层面：重要数据、重大风险和重点企业，并正陆续出台相关政策，包括即将发布的数据跨境安全指引。

　　此外，相关部委也在持续发布数据安全方面的要求和政策，有的以部令形式，有的以指引文件形式。这些政策最终将通过四个维度落地：一是纳入工信部装备一司的公告准入管理，通过行政许可规范数据安全；二是纳入“双随机、一公开”检查，近期将启动对汽车行业非敏涉密数据的安全检查；三是数据出境的审查评估；四是OTA和召回管理过程中的数据安全监管。

　　在业务层面，经过这些年的发展，中汽中心发现主机厂的数据安全意识普遍较强，但诉求存在差异：对经营管理类数据，主机厂希望“我的是我的，别人的也是我的”；对消费者用户数据，希望“我的是我的，别人的我能用就行”；对地理信息数据，则希望“可以不是我的，但我需要能用”。这三种不同诉求，反映出国家数据局所主张的“三权”——持有权、加工使用权、经营权——在主机厂实践中并未统一。不同数据主张不同权限，将导致责任认定不一致。

　　张亚楠强调，车是主机厂的，无论主张什么权利，只要数据是从车上出去的，主机厂就须承担第一责任。下一步将通过规范文件进一步明确如何落实该责任。

　　张亚楠对主机厂也提出了具体建议：第一，盘清数据家底。以往企业更多盘点自身拥有哪些数据（如用户数据、研发数据），却往往忽略供应商从车辆中获取了哪些数据、何时获取、获取多少。这也应纳入主机厂的数据资产盘点范围。

　　第二，在管理制度层面，应建章立制，实现“技管结合”。重点包括明确数据责任主体，以及认清某些责任（尤其是涉及国家重要数据和核心数据的管控权）无法通过合同完全转移。

　　第三，在技术层面，需强化技术能力，落实数据安全设计。应遵循最小化采集原则，并对个人信息和国家重要数据进行脱敏。目前很多企业并未清晰定义何为“最小化”，例如有企业为支持高精度地图，从车辆采集了600多个参数，包括路灯高度等非必要数据。企业应自行明确最小化范围，而非仅用这三个字约束供应商。

　　在价值层面，张亚楠呼吁合理利用数据，挖掘增量价值。对主机厂而言，如果数据不用或用不好，就成了负担（需承担存储成本与安全责任）；对国家而言，有些数据希望使用后即销毁，无需长期存储。如何合理利用数据、挖掘增量价值，将是企业下一步面临的重要挑战。

　　张亚楠表示，数据安全治理需协同出击，构建从应用层制度到设计、再到技术工具开发的链式治理体系。在应用层，应在合法、合规、有效、可控的基础上，将业务场景与数据处理相结合，并映射到汽车产品的全生命周期——而不仅仅是数据的全生命周期。