第二十一屆中國汽車產(chǎn)業(yè)發(fā)展（泰達）國際論壇（以下稱“泰達汽車論壇”）于9月11日至9月14日在天津市濱海新區(qū)舉辦。在9月12日“數(shù)智化生態(tài)專場：數(shù)據(jù)驅(qū)動汽車產(chǎn)業(yè)場景變革”中，中國汽車技術(shù)研究中心有限公司首席專家、中汽智能科技（天津）有限公司副總經(jīng)理張亞楠發(fā)表題為“智能網(wǎng)聯(lián)汽車數(shù)據(jù)發(fā)展與安全風(fēng)險協(xié)同治理路徑”的演講。

　　張亞楠表示，數(shù)據(jù)已成為驅(qū)動汽車智能化和網(wǎng)聯(lián)化轉(zhuǎn)型的核心動力。但在數(shù)據(jù)應(yīng)用過程中，數(shù)據(jù)風(fēng)險問題不容忽視。目前中汽中心大概聚焦三類問題和四個場景：一是合規(guī)收集，二是合理使用，三是使用主體是否管理盡責(zé)。四個場景包括：第一，數(shù)據(jù)安全，尤其是大規(guī)模數(shù)據(jù)聚合后可能導(dǎo)致的重要信息泄露；第二，數(shù)據(jù)跨境傳輸中的安全問題；第三，地理信息數(shù)據(jù)的合法采集；最后是關(guān)乎每個人的個人隱私安全問題。

　　面對數(shù)據(jù)安全風(fēng)險的挑戰(zhàn)，張亞楠提出以下建議：首先，國家對數(shù)據(jù)安全的需求大于單個企業(yè)。對企業(yè)而言，需關(guān)注兩類因素：一是監(jiān)管層面，企業(yè)應(yīng)做到基本合規(guī)；二是從自身業(yè)務(wù)需求出發(fā)，理性審視數(shù)據(jù)價值。

　　在合規(guī)層面，以往多個部委（如網(wǎng)信辦、自然資源部、工信部等）都參與汽車數(shù)據(jù)安全管理。由于國家的基本監(jiān)管原則是“誰管業(yè)務(wù)，誰管數(shù)據(jù)安全”，導(dǎo)致多頭監(jiān)管。經(jīng)過去年的協(xié)調(diào)，目前已基本明確由工信部牽頭、其他部委協(xié)同配合，共同治理汽車行業(yè)數(shù)據(jù)安全問題。工信部網(wǎng)安局目前重點關(guān)注三個層面：重要數(shù)據(jù)、重大風(fēng)險和重點企業(yè)，并正陸續(xù)出臺相關(guān)政策，包括即將發(fā)布的數(shù)據(jù)跨境安全指引。

　　此外，相關(guān)部委也在持續(xù)發(fā)布數(shù)據(jù)安全方面的要求和政策，有的以部令形式，有的以指引文件形式。這些政策最終將通過四個維度落地：一是納入工信部裝備一司的公告準(zhǔn)入管理，通過行政許可規(guī)范數(shù)據(jù)安全；二是納入“雙隨機、一公開”檢查，近期將啟動對汽車行業(yè)非敏涉密數(shù)據(jù)的安全檢查；三是數(shù)據(jù)出境的審查評估；四是OTA和召回管理過程中的數(shù)據(jù)安全監(jiān)管。

　　在業(yè)務(wù)層面，經(jīng)過這些年的發(fā)展，中汽中心發(fā)現(xiàn)主機廠的數(shù)據(jù)安全意識普遍較強，但訴求存在差異：對經(jīng)營管理類數(shù)據(jù)，主機廠希望“我的是我的，別人的也是我的”；對消費者用戶數(shù)據(jù)，希望“我的是我的，別人的我能用就行”；對地理信息數(shù)據(jù)，則希望“可以不是我的，但我需要能用”。這三種不同訴求，反映出國家數(shù)據(jù)局所主張的“三權(quán)”——持有權(quán)、加工使用權(quán)、經(jīng)營權(quán)——在主機廠實踐中并未統(tǒng)一。不同數(shù)據(jù)主張不同權(quán)限，將導(dǎo)致責(zé)任認定不一致。

　　張亞楠強調(diào)，車是主機廠的，無論主張什么權(quán)利，只要數(shù)據(jù)是從車上出去的，主機廠就須承擔(dān)第一責(zé)任。下一步將通過規(guī)范文件進一步明確如何落實該責(zé)任。

　　張亞楠對主機廠也提出了具體建議：第一，盤清數(shù)據(jù)家底。以往企業(yè)更多盤點自身擁有哪些數(shù)據(jù)（如用戶數(shù)據(jù)、研發(fā)數(shù)據(jù)），卻往往忽略供應(yīng)商從車輛中獲取了哪些數(shù)據(jù)、何時獲取、獲取多少。這也應(yīng)納入主機廠的數(shù)據(jù)資產(chǎn)盤點范圍。

　　第二，在管理制度層面，應(yīng)建章立制，實現(xiàn)“技管結(jié)合”。重點包括明確數(shù)據(jù)責(zé)任主體，以及認清某些責(zé)任（尤其是涉及國家重要數(shù)據(jù)和核心數(shù)據(jù)的管控權(quán)）無法通過合同完全轉(zhuǎn)移。

　　第三，在技術(shù)層面，需強化技術(shù)能力，落實數(shù)據(jù)安全設(shè)計。應(yīng)遵循最小化采集原則，并對個人信息和國家重要數(shù)據(jù)進行脫敏。目前很多企業(yè)并未清晰定義何為“最小化”，例如有企業(yè)為支持高精度地圖，從車輛采集了600多個參數(shù)，包括路燈高度等非必要數(shù)據(jù)。企業(yè)應(yīng)自行明確最小化范圍，而非僅用這三個字約束供應(yīng)商。

　　在價值層面，張亞楠呼吁合理利用數(shù)據(jù)，挖掘增量價值。對主機廠而言，如果數(shù)據(jù)不用或用不好，就成了負擔(dān)（需承擔(dān)存儲成本與安全責(zé)任）；對國家而言，有些數(shù)據(jù)希望使用后即銷毀，無需長期存儲。如何合理利用數(shù)據(jù)、挖掘增量價值，將是企業(yè)下一步面臨的重要挑戰(zhàn)。

　　張亞楠表示，數(shù)據(jù)安全治理需協(xié)同出擊，構(gòu)建從應(yīng)用層制度到設(shè)計、再到技術(shù)工具開發(fā)的鏈?zhǔn)街卫眢w系。在應(yīng)用層，應(yīng)在合法、合規(guī)、有效、可控的基礎(chǔ)上，將業(yè)務(wù)場景與數(shù)據(jù)處理相結(jié)合，并映射到汽車產(chǎn)品的全生命周期——而不僅僅是數(shù)據(jù)的全生命周期。