第二十一屆中國汽車產業(yè)發(fā)展（泰達）國際論壇（以下稱“泰達汽車論壇”）于9月11日至9月14日在天津市濱海新區(qū)舉辦。在9月12日“數(shù)智化生態(tài)專場：數(shù)據(jù)驅動汽車產業(yè)場景變革”中，中國汽車技術研究中心有限公司首席專家、中汽智能科技（天津）有限公司副總經理張亞楠發(fā)表題為“智能網聯(lián)汽車數(shù)據(jù)發(fā)展與安全風險協(xié)同治理路徑”的演講。

　　張亞楠表示，數(shù)據(jù)已成為驅動汽車智能化和網聯(lián)化轉型的核心動力。但在數(shù)據(jù)應用過程中，數(shù)據(jù)風險問題不容忽視。目前中汽中心大概聚焦三類問題和四個場景：一是合規(guī)收集，二是合理使用，三是使用主體是否管理盡責。四個場景包括：第一，數(shù)據(jù)安全，尤其是大規(guī)模數(shù)據(jù)聚合后可能導致的重要信息泄露；第二，數(shù)據(jù)跨境傳輸中的安全問題；第三，地理信息數(shù)據(jù)的合法采集；最后是關乎每個人的個人隱私安全問題。

　　面對數(shù)據(jù)安全風險的挑戰(zhàn)，張亞楠提出以下建議：首先，國家對數(shù)據(jù)安全的需求大于單個企業(yè)。對企業(yè)而言，需關注兩類因素：一是監(jiān)管層面，企業(yè)應做到基本合規(guī)；二是從自身業(yè)務需求出發(fā)，理性審視數(shù)據(jù)價值。

　　在合規(guī)層面，以往多個部委（如網信辦、自然資源部、工信部等）都參與汽車數(shù)據(jù)安全管理。由于國家的基本監(jiān)管原則是“誰管業(yè)務，誰管數(shù)據(jù)安全”，導致多頭監(jiān)管。經過去年的協(xié)調，目前已基本明確由工信部牽頭、其他部委協(xié)同配合，共同治理汽車行業(yè)數(shù)據(jù)安全問題。工信部網安局目前重點關注三個層面：重要數(shù)據(jù)、重大風險和重點企業(yè)，并正陸續(xù)出臺相關政策，包括即將發(fā)布的數(shù)據(jù)跨境安全指引。

　　此外，相關部委也在持續(xù)發(fā)布數(shù)據(jù)安全方面的要求和政策，有的以部令形式，有的以指引文件形式。這些政策最終將通過四個維度落地：一是納入工信部裝備一司的公告準入管理，通過行政許可規(guī)范數(shù)據(jù)安全；二是納入“雙隨機、一公開”檢查，近期將啟動對汽車行業(yè)非敏涉密數(shù)據(jù)的安全檢查；三是數(shù)據(jù)出境的審查評估；四是OTA和召回管理過程中的數(shù)據(jù)安全監(jiān)管。

　　在業(yè)務層面，經過這些年的發(fā)展，中汽中心發(fā)現(xiàn)主機廠的數(shù)據(jù)安全意識普遍較強，但訴求存在差異：對經營管理類數(shù)據(jù)，主機廠希望“我的是我的，別人的也是我的”；對消費者用戶數(shù)據(jù)，希望“我的是我的，別人的我能用就行”；對地理信息數(shù)據(jù)，則希望“可以不是我的，但我需要能用”。這三種不同訴求，反映出國家數(shù)據(jù)局所主張的“三權”——持有權、加工使用權、經營權——在主機廠實踐中并未統(tǒng)一。不同數(shù)據(jù)主張不同權限，將導致責任認定不一致。

　　張亞楠強調，車是主機廠的，無論主張什么權利，只要數(shù)據(jù)是從車上出去的，主機廠就須承擔第一責任。下一步將通過規(guī)范文件進一步明確如何落實該責任。

　　張亞楠對主機廠也提出了具體建議：第一，盤清數(shù)據(jù)家底。以往企業(yè)更多盤點自身擁有哪些數(shù)據(jù)（如用戶數(shù)據(jù)、研發(fā)數(shù)據(jù)），卻往往忽略供應商從車輛中獲取了哪些數(shù)據(jù)、何時獲取、獲取多少。這也應納入主機廠的數(shù)據(jù)資產盤點范圍。

　　第二，在管理制度層面，應建章立制，實現(xiàn)“技管結合”。重點包括明確數(shù)據(jù)責任主體，以及認清某些責任（尤其是涉及國家重要數(shù)據(jù)和核心數(shù)據(jù)的管控權）無法通過合同完全轉移。

　　第三，在技術層面，需強化技術能力，落實數(shù)據(jù)安全設計。應遵循最小化采集原則，并對個人信息和國家重要數(shù)據(jù)進行脫敏。目前很多企業(yè)并未清晰定義何為“最小化”，例如有企業(yè)為支持高精度地圖，從車輛采集了600多個參數(shù)，包括路燈高度等非必要數(shù)據(jù)。企業(yè)應自行明確最小化范圍，而非僅用這三個字約束供應商。

　　在價值層面，張亞楠呼吁合理利用數(shù)據(jù)，挖掘增量價值。對主機廠而言，如果數(shù)據(jù)不用或用不好，就成了負擔（需承擔存儲成本與安全責任）；對國家而言，有些數(shù)據(jù)希望使用后即銷毀，無需長期存儲。如何合理利用數(shù)據(jù)、挖掘增量價值，將是企業(yè)下一步面臨的重要挑戰(zhàn)。

　　張亞楠表示，數(shù)據(jù)安全治理需協(xié)同出擊，構建從應用層制度到設計、再到技術工具開發(fā)的鏈式治理體系。在應用層，應在合法、合規(guī)、有效、可控的基礎上，將業(yè)務場景與數(shù)據(jù)處理相結合，并映射到汽車產品的全生命周期——而不僅僅是數(shù)據(jù)的全生命周期。