左晓栋教授：对“智能网联汽车数据管理如何平衡安全与创新”的思考

　　中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋

　　7月24日，中国电动汽车百人会、中国信息化百人会在北京联合召开2022年度第19期高端研讨会，主题为“智能网联汽车数据管理如何平衡安全与创新”。中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋受邀出席，并发表演讲。以下为左晓栋发言整理。

　　【核心观点】：当前，我国政策并未明确强调要实施数据本地化存储。对数据出境施加一些条件要求甚至是条件限制，并不等于不让数据出境，也不等于数据必须存在境内。在数据管理方面，我国正在建立重要数据出境安全监管制度，相关政策仍处于动态调整阶段。特别是，对重要数据的定义存在不一致是该阶段的特定现象，未来将逐步达成共识。

　　01、如何理解我国当前的数据出境安全管理制度

　　理解我国当前的数据出境安全管理制度，主要有以下几个要点：

　　一是当前我国政策并未明确强调要实施数据本地化存储。数据本地化存储的概念最早来自于2017年6月1日起正式实施的《网络安全法》第37条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

　　即，《网络安全法》第37条同时提及两个制度：一个是本地化存储制度;另一个是数据的出境评估制度。很多人认为，既然要对数据出境设定规矩，那就是最好不要出去，也就是本地化存储。但其实这是两个概念。

　　对数据出境施加一些条件要求，甚至有时候是条件限制，并不等于不让数据出境，也不等于数据必须存在境内。必须看到，除了《网络安全法》外，后续出台的法律法规的确没有再强调数据本地化存储的概念。在个别场合下，可能数据还是要坚持本地化存储，但这一定是某种特定的数据，而不是针对所有的数据。

　　二是对数据出境安全管理政策的认定，不是所有的数据出境都按现在的数据出境条件来实施。《网络安全法》和《数据安全法》明确了重要数据的出境条件，即必须经过网信部门组织的安全评估，《个人信息保护法》与《网络安全法》也明确了个人信息出境的条件。

　　个人信息出境有四条不同的途径：第一，经过网信部门组织的安全评估，主要是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者，或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。第二，如果不属于以上情况的个人信息出境，可以通过安全认证，就是由国家网信部门牵头组织的个人信息保护认证，进行数据出境。第三，通过标准合同，这个标准合同由国家网信部门确定，数据发送方和数据接收方签订。第四，法律法规或者网信部门规定的其他条件。

　　那么，不属于上面的情况，按照目前法律法规规定，这是可以自由出的(涉密信息或行业有特殊要求的除外)。大家的注意力都被前一阶段国家政策的数据出境安全要求吸引过去了，误以为数据必须这么出境。实际上还有相当多的数据是不必通过以上路径就可以出境，即，既非重要数据也非个人信息。目前的法律没有规定所有的数据出境都必须经过评估、标准合同或者认证。当企业进行数据出境时，可以对数据进行梳理，将重要数据、个人信息与其他出境数据分类处理。

　　02、重要数据定义存在冲突是政策调整的结果

　　重要数据是出境管理的一个重要管理对象，我国正在建立重要数据的安全监管制度，重要数据识别国家标准已经进入送审稿阶段，后续标准制定的进程也会加快。

　　除了国家标准外，2021年，我国出台了首部针对汽车数据安全制定的法规——《汽车数据安全若干管理规定》，其中也对汽车重要数据进行了定义，包括“涉及个人信息主体超过10万人的个人信息”。这与其他法规中对于重要数据的定义不完全一致。从事物发展的客观规律来看，《汽车数据安全若干管理规定》是在智能汽车发展迅速、数据安全风险隐患急剧增加的背景下出台的试行规定，当时对重要数据的认识并没有现在这样深刻。随着时间的发展、政策的不断调整，未来将逐步达成共识。

　　03、我国加强数据安全工作可借鉴美国对TIKTOK的管理方式

　　近期美国对TikTok的管理方式，对我国加强数据安全工作具有借鉴意义。经常有人提出，我国的数据管理对象范围太大、太细，例如一些人认为有些数据不应该作为重要数据和敏感信息。还有人提出，对一些数据的本地存储要求也没有必要，且不应该对达到一定量的数据进行严格监管。比如，在国外收集100万人的数据并不容易，但在我国一个车企掌握的数据量就能轻松达到100万人。所以有人提出，这个100万是不是应该提高一下门槛呢?100万人的数据有那么敏感吗?

　　要回答上述问题，可以看看美国是如何做的。特别是近期美国对TIKTOK的管理。TIKTOK作为短视频类娱乐企业，按理说没那么多敏感数据，但美国认定其有可能会使中国政府、情报机关获取美国的“受保护数据”。而且这个“受保护数据”的范围是由CFIUS(美国外国投资审查安全委员会)认定，认定重点是哪些数据会影响美国国家安全。美国有人提出，前段时间CFIUS给的范围太窄，大量应该受保护的数据都没有被纳入其中。反观我们国内，我国曾要求特斯拉数据在国内存储，这相比以前是个巨大进步，但跟美国一比还弱的多。美国提出，TIKTOK的数据只是存在美国境内也不行，其还提出了一些限制条件，包括不能由中国背景员工访问、运营由美国人来负责、数据必须存在甲骨文的德克萨斯州计算中心，这是要构建一种数据的管、用分离制度。目前，我国尚未建立该类制度，世界其他国家也少有涉及。

　　美国在数据安全管理上的举措值得高度关注，也警示我们对数据安全的认识要有更多的国家安全考量。特别是在数据安全博弈日趋激烈的情况下，其背后的意图以及将对全球数据安全管理制度有何影响，需要持续跟踪观察。这对我国的数据安全管理政策有很大的借鉴意义。