保障中国信息与数据安全 法律体系正在构建

数据是数字经济时代的“石油”和第四种生产资料，也成为各个国家、企业的重要战略资源，但数字资源在使用过程中常常出现滥用、泄露的情况。

以智能网联汽车为例，在智能硬件和软件所织的这张网下，用户的身份信息、家庭住址、工作场所信息、行踪轨迹、车内谈话信息等大量信息，都可能被滥用。

上海市信息安全行业协会名誉会长谈剑锋对第一财经记者表示，随着数字经济的不断发展，智能汽车成为智能手机之后又一个即将融入人们生活的智能设备，相较于智能手机而言，智能汽车的数据安全将产生更为重大的社会影响。

为应对数据安全的挑战，于6月10日全国人大常委会通过、9月1日起施行的《数据安全法》是我国第一部有关数据安全的专门法律，将与《网络安全法》及正在立法进程中的《个人信息保护法》一起，全面构筑中国信息及数据安全领域的法律框架。而《数据安全法》在汽车领域的下位法《汽车数据安全管理若干规定》也在6月11日征求意见正式结束。

“智能汽车产业的发展现况和趋势，非常类似移动互联网产业的快速发展期，如果不能吸取过往教训，过度宽容，‘先发展，再治理’，将可能带来严重的社会安全和国家安全问题。”谈剑锋说。

确立国家核心数据

自2020年6月28日以来，《数据安全法》已经历三次审议与修改。正式出台的《数据安全法》在法律责任章节中，新增了违反国家核心数据管理制度及违法向境外提供重要数据的处罚。

上海交大数据法律研究中心执行主任何渊认为，《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，其上位法应该是《国家安全法》，而其最重要的制度是分类分级制度，确立了“国家核心数据”的概念，与“重要数据”“其他数据”形成责任界定，并且优化了数据出境的规则，隐含数据主权的概念。

“按照法律要求国家必须制定核心数据、重要数据目录，主要按照行业划分，比如医疗健康数据、金融数据、公共数据、消费者数据等，针对不同的数据将制定特殊的规则。”何渊表示。

何渊认为《数据安全法》凸显了“数据主权”的概念，表现在数据的跨境方面。“对于重要数据，尤其是核心数据的出境要经过国家安全审查，未经批准数据不能向外输送。”

《数据安全法》的另一大特色是注重数据安全和产业发展的平衡。其中第二章为数据安全与发展，坚持保障数据安全与促进数据开发利用并重，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。

“除了保障数据安全外，《数据安全法》也要求提升数据治理和开发的水平，包括强调实施大数据战略，支持相关的技术研发和商业创新，推进数据交易市场以及培养专业人才等，在安全的基础上发展数字经济非常重要。”何渊表示。

《数据安全法》不仅强调政府的强力监督，更强调企业的自我规制。

“企业要合规地收集使用数据，必然要加强公司的数据治理框架，毫无疑问会增加企业的成本，但企业必须意识到安全问题和隐私保护问题是全球的趋势，对中国企业走出去意义重大。”何渊对第一财经记者表示。

在业内人士看来，要实现数字安全，汽车企业建立数据中心只是一方面的内容，对于数据的治理和服务等软件方面的投入更为关键。

谈剑锋对第一财经记者表示：“美国的相关立法规定，信息化安全的投入比例不低于20%，另外在软件和硬件投入的比例上也有讲究，不能重硬件轻软件，加大在数据安全服务和软件上的投入更为重要。”

在中国建立数据中心

随着智能网联汽车崛起，智能网联汽车也成为个人隐私数据泄露的风险敞口。

何渊认为，未来的智能网联汽车本质上不再是一个汽车，而是超大型的智能手机，传统的汽车关乎更多的是人身安全问题，而智能网联汽车的重中之重将变成数据安全问题和隐私问题。

智能网联汽车本身是需要依靠各类数据来保证车辆正常使用的。但是，信息采集不能超过车辆正常使用所必需的信息，否则就涉嫌侵犯信息和隐私。

《数据安全法》规定任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。同时要求，在中国境内运营中收集和产生的重要数据的出境安全管理办法由网信部门会同国务院有关部门制定。

跨国汽车厂商中也不乏将国外数据传送到总部所在地用于开发新技术的情况。何渊认为，这就涉及“数据主权”的问题。

为应对法律对数据主权的规定，特斯拉近日宣布已在中国建立数据中心，实现数据存储的本地化，并将陆续增加更多本地数据中心。特斯拉表示，所有在中国市场销售车辆产生的数据都将存储在境内。

“随着越来越多的数据对优化移动出行，尤其是建立中国本土的生态系统的重要性日益凸显，从业务发展的角度来看，汽车企业应该在本土建立数据中心。”一位跨国汽车企业高管对第一财经记者表示。

特斯拉在中国建立数据中心并不是特例，伴随着中国这个全球最大的汽车市场的发展，越来越多与汽车相关的数据正在产生，如何处理来自汽车信息方面的监管挑战成为汽车厂商积极应对的任务。更多汽车厂商将会跟进，将其汽车产生的数据存储在本地。

目前包括大众、福特在内的跨国汽车厂商都已经在中国建立了数据中心，一些尚未建立数据中心的汽车厂商也开始酝酿相关的计划。福特中国方面发言人对第一财经记者表示：“我们在国内有数据中心，并且在中国市场的数据都是存储在本地的。福特汽车严格按照业务所在市场的法律法规来管理车辆和用户数据。”

上海大邦律师事务所高级合伙人、律师游云庭认为保护数据安全非常重要的一个做法是“脱敏”。

“在智能汽车产业发展的早期收集信息是必需的，不然无法通过大数据研究出整体的自动汽车驾驶方案。关键是这些数据不能逆向被识别出来。个人信息保护方面要脱敏。另一个是国家安全方面，收集的数据的存储传输应当符合等级保护规范，数据如果要出境的话，要通过数据出境安全评估。”游云庭说。

游云庭认为，《汽车数据安全管理若干规定》有两部分立法依据，一是《数据安全法》，侧重于数据不泄露以及数据的国家安全保护，二是《个人信息保护法草案》，侧重于消费者个人数据权益的保护。

“《数据安全法》和《数据安全管理规定》对汽车从设计到生产以及消费领域各个环节的运营商数据处理进行规范。”游云庭表示。

构筑信息与数据安全法律体系

从法律体系来看，《数据安全法》和《网络安全法》及正在立法进程中的《个人信息保护法》是我国数据和网络安全的三部基础法律，全面构筑起中国信息及数据安全领域的法律框架。

“《网络安全法》主要立法目的是保障网络安全，维护网络空间主权和国家安全、社会公共利益，重点关注‘网络自身的安全’。而数据安全和个人信息安全并不属于‘网络自身的安全’，在《网络安全法》中处于从属地位。”游云庭表示。

上海段和段律师事务所律师刘春泉认为，《数据安全法》与《网络安全法》配合使用，弥补《网络安全法》不能涵盖的部分，两部法律有交叉和类似的地方，比如《网络安全法》有网络安全等级保护制度，《数据安全法》有数据分类分级保护制度，《网络安全法》规定了重要数据，相关细则还没有正式颁布生效，《数据安全法》在此基础上又规定了核心数据进一步严格加强保护。

“《个人信息保护法》更侧重于私人权益，是为了维护公民个人的隐私、人格、财产等利益。目前个人信息保护法还在草案阶段，个人信息保护法正式稿通过后，基础法律才算齐全。”游云庭表示。

除了三部数据保护的基础性法律，我国的《著作权法》、《专利法》等知识产权法中也保护了以一定载体形式记录的包含商业秘密在内的信息权利，随着《民法典》的出台，人格权在其中以专编做出规定后，对数据权利的保护便有了明确具体的法条规定了。