数据安全②汽车数据本地化存储问题多，立法亟待完善

近年来，中国智能网联汽车行业快速发展，汽车采集的个人信息和重要数据不断积累增加，而跨国车企却仍将大量的数据保存在境外的服务器内，导致中国的数据安全面临一定威胁。为维护国家安全和公民利益，数据本地化存储合规提上了日程。但对于数据本地化存储而言，存好数据并非一劳永逸。数据要存好，也要管好。而针对汽车数据本地化存储，中国的相关立法仍处于起步阶段，许多方面亟待完善。本报告以“平衡数据安全和产业发展”为核心思想，分析了汽车数据本地化存储的相关法律法规中存在的若干重要问题，并就法律不完备、数据本地化存储的内生性问题，从法律亟待完善的几个方面，以及法律尚未完善时可以采取的应急策略，提出了相应的对策建议。 

现状

数据本地化存储，指主权国家通过制定法律或规则限制本国数据向境外流动，其基本的规则是任何本国或者外国公司在采集和存储与个人信息和关键领域相关的数据时，必须使用主权国家境内的服务器。随着信息技术的发展，数据控制权逐渐成为数字经济参与者争夺的焦点，而且成为网络治理和国际秩序的重点问题之一。一方面，全球化和自由贸易要求数据的自由流动；另一方面，为维护国家安全、政治稳定和公民个人权利，也需要对数据跨境流动给予适当的控制。于是，数据本地化存储要求便应运而生。

中国的《网络安全法》、《个人信息保护法》和《个人信息和重要数据出境安全评估办法（征求意见稿）》等都对数据本地化存储进行了合规。在中国数据本地化存储的行业立法中，汽车行业走在了前面，这顺应了中国近年来智能网联汽车行业快速发展的潮流。自2020年上半年起，多家在华有经营业务的跨国车企开始进行数据本地化存储，建设数据中心。国家互联网信息办公室分别于2021年4月29日发布了《信息安全技术网联汽车采集数据的安全要求（草案）》，于2021年5月12日发布了《汽车数据安全管理若干规定（征求意见稿）》，皆针对智能网联汽车数据的本地化存储给出了初步规定。

智能网联汽车对个人信息和重要数据的收集庞杂而详细，涉及到敏感数据问题，这些数据应该依法存储在境内，以杜绝境外国家利用法律、行政等手段，合法、秘密地获取传输至其境内的数据，危害中国的国家安全和中国公民的个人权益。目前多家跨国车企正在推进数据本地化存储合规进程，当下应该适时完善数据本地化存储立法，若在企业数据本地化存储模式定型之后再进行调整，则会导致企业合规成本增加，不利于数据安全和产业发展的平衡。 

问题分析

目前中国在数据技术方面与欧美国家仍有一定差距，有关立法也才刚刚起步。对于与数据本地化存储相关的法律规定，如何做到既符合国情，又与国际接轨，是中国面临的一道考验。总体来看，目前相关的法律法规行业化、专题化立法较为缺乏，针对的数据控制者主体比较有限，尤其是在概念内涵和外延、处罚标准界定、监管细则等方面还有所缺失，有待完善和细化。以下是数据本地化存储的相关法律条款中较为突出的若干问题：

法律法规较为笼统，可操作性尚显不足。根据《汽车数据安全管理若干规定（征求意见稿）》第十二条规定，个人信息或者重要数据若通过国家网信部门组织的数据出境安全评估，方可向境外提供。而在国家网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中，数据不得出境的情况包括“可能侵害个人利益”“可能影响国家安全、损害社会公共利益”等情形。这些情况难以定性，更依赖于法官的自由裁量。规定过于广泛或含糊不清，会导致企业在实际操作中面临着不可预测的处罚风险，数字活动和数字发展空间受限，而目前全球服务贸易中有一半依赖对跨境数据流的访问，较为笼统模糊的规定将阻碍中国国际贸易的持续增长，削弱中国的国际竞争力。

在处罚依据和力度的判定上，不同法律条文存在重合与冲突。根据《汽车数据安全管理若干规定（征求意见稿）》第二十条，违反此规定的处罚依据是《网络安全法》等法律法规。但是，就与数据本地化存储相关的违法行为，《网络安全法》的第六十六条和《数据安全法》的第四十五条、第四十六条在处罚的行为依据上存在较大的相似性，而处罚力度却存在的较大差距。而对于跨国车企的性质来说，这两部法律都是适用的。在《数据安全法》针对“情节严重”的处罚力度很大，能够给企业形成较强的威慑力，但是“违反规定”和“情节严重”之间的划分标准并未明确。这样一来，具体的处罚方式也更依赖于法官的自由裁量，汽车企业开展与数据本地化存储相关的数据活动时也会受到无形的阻力。

行车数据的权属有待明确。根据《民法典》规定，驾驶员是行车数据的创造者，行车数据是其个人信息，另外，行车数据中的部分数据，比如车内摄像头对驾驶员的监控信息，也可以归入隐私。汽车企业是行车数据的控制者和处理者，即《网络安全法》定义的网络运营者。因为行车数据是基于用户的使用产生的，但是车辆相关的软硬件（比如采集和存储行车数据的设备）都是企业提供的。个人信息还涉及到数据主体的信息自决权利和数据控制者等相关方满足个人信息自决权利的义务，而数据本地化存储便更能确保企业在这两个方面遵循国家规定。但是这方面的规定仍有不足：数据权属（分为所有权和使用权）的界定问题尚未解决。如今数据也是一种资产，这些数据掌握在企业手中，但是否可以被企业用来牟利，这在今后出台的法律中需要进一步完善，否则可能会导致公共利益受到侵蚀和损害。

对个人信息的本地化要求过于严苛。按照中国的立法和监管习惯，在技术手段不完备、管理制度不完善的情况下，往往采取更为严格的管理方式，尽快将数据先“堵住”，待研究清楚之后，确实需要出境且不涉密的脱敏数据才能在全球范围内传输和联合研发。在要求跨国汽车企业将所采集的个人信息进行本地化存储的同时，必须考虑中国对境外数据的获取和开拓国际市场问题。个人信息领域在国际上奉行的是同等保护原则，在国际贸易和经济合作中奉行的是互惠互利原则，中国对个人信息出境的过度限制势必将成为中国参与经济全球化、开拓全球服务市场的障碍。因此，个人信息的出境规则不应过度严苛，以便为中国今后的跨境数据贸易谈判留下余地。 

建议

数据本地化存储是数据生命周期的第三个环节，即“数据存储”环节的一种特殊情况。因此，数据本地化存储面临的安全风险和数据存储类似，也主要来自于内部和外部两方面：一方面，数据存储者可能会故意或者因过失而泄露数据；另一方面，外部人员可能通过入侵存储系统，获取、篡改、删除数据。针对上述法律条文中存在的不足，以及数据本地化存储的内生性问题，提出如下建议：

1. 相关法律亟待完善

行业规定和条例先行，为法律出台或完善奠定基础。相对现实，立法具有一定滞后性，在目前数据本地化存储的相关法律还未完善的时候，网信办、工信部等有关部门都应该先尽快出台一些管理办法和部门规章，进行应急式处理，为相关法律的出台或完善奠定基础；若等法律出台之后再去制定法规和具体细则，在时间上可能会失去先机。在已有的法律法规和管理办法的基础上，应该及时发现其中存在的不足、现实中新出现的情况，并对法律进行修改和完善。此外，由于欧美的数据技术和立法都走在前面，中国的数据本地化存储相关立法可以参考国外的立法实践，先快一步把立法补足，避免法律漏洞的出现。

明晰处罚依据和处罚力度标准。在今后出台的法律法规中，希望能够对《网络安全法》和《数据安全法》相应条款中的处罚情形、处罚对象、处罚标准等进行明确划分，或是在《汽车数据安全管理若干规定》的正式文件中更新判罚依据的上位法要求，或是颁布相应的司法解释，以压缩自由裁量的空间，避免企业钻法律空子或受到不公平处罚。

行车数据权属和数据资源垄断，需要同时应对。在跨国车企的数据本地化存储效果评估结果较好的情况下，可以在法律上将行车数据中用户行为信息的所有权归属到企业，而用户始终保有对自身信息的使用权（包括查看、修改、删除自身数据的权利）。因为只有在企业通过汇集特定场景下的海量行为信息并标签化地分析处理之后，用户行为信息才有价值。但同时，也要完善相关的法律法规和监管手段，避免大量的用户行为信息汇集到企业之后，企业因数据垄断而阻止用户对自身信息的使用，或者因企业的大量数据泄露导致严重的社会问题，损害公共利益。

对于重要数据和个人信息，设置不同的出境管制要求。在这方面，中国可以参考国际社会通行的基本原则，即重要数据应当纳入出境管制范围，原则上不允许出境；而个人信息则不纳入数据出境管制范围，若个人信息的进境国对个人信息的保护达到出境国的同等保护水平，或者存在其他机制使出境后的公民个人信息得到保护，那么应当允许公民个人信息遵循一定规则流出境外。

“同意授权”操作便利化。根据《汽车数据安全管理若干规定（征求意见稿）》第八条规定，用户的个人敏感信息“默认为不收集，每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效”。但是这一操作，容易让用户厌烦，也不便于汽车企业收集数据以进行智能化研发。这一条款不仅有些过于严格、复杂，而且其实是不必要的，因为根据该规定的第九条，汽车企业若确需用户提供个人信息，则应当进行匿名化或脱敏处理。因此，关于“同意授权”的规定可以修改为“默认为收集，但同时会在车载显示面板或他处明示‘正在收集用户个人信息’，并向用户提供便于随时终止数据收集的方式”。

2. 在法律尚不完善之时，制度和监管配合发力

对于跨国车企数据中心的内部管理，制定原则性的制度规定。政府可以要求跨国车企在数据中心内部设置较为严格的数据分类、管用分离、人员权限分离的管理机制。按照敏感程度把数据分级分类，按照职位层级赋予数据的接触权限，并对数据相关操作全程留痕。同时鼓励企业申请数据合规的相关专利，弥补企业因不从用户个人信息中获利而带来的损失。

完善针对数据本地化存储问题的追责机制。可以参考欧盟的相关规定，在公司内部强制设置独立的数据保护官职能部门（DPO），负责协助监管机构的工作，确保、监控跨国车企数据本地化存储的合规性，并在数据本地化存储出现问题时担责。政府可以要求中国信息通信研究院制定和颁发“数据保护官”相关职业资格证书，在人力资源和社会保障部内添加“数据保护官”岗位认证，并支持“数据保护官俱乐部”等行业协会制定行业标准等。

行政监管机关各司其职，多管齐下。公安部负责网络安全保卫，根据现有情况不断完善计算机信息系统安全等级保护制度；工信部、网信办做好网络安全风险评估与应急工作机制，如评估跨国车企数据中心信息泄露可能带来的国家安全风险；市场监管总局等有关部门应检查跨国车企的数据本地化存储方式是否安全可靠，并对数据本地化存储效果不佳的跨国车企进行约谈。

行政监管和行业监管形成合力。政府和跨国车企可以共同建立数据平台处理中心，便于政府监督跨国车企，在采集完毕用户的个人信息之后，进行额外加密存储，并放置在相对独立的数据空间内，与其他数据不能相互混淆。此外，还可以支持设立跨国汽车行业监管协会，并向专门运作数据合规的企业购买服务，确立数据安全合规的行业标准。

就数据本地化存储而言，目前中国的立法倾向主要是严格管理跨国车企，以维护个人信息和重要数据安全。但这会带来数据安全和技术进步、产业发展的平衡问题。数据本地化存储相关法律法规的完善，对保护公民隐私权利、避免重要数据泄露带来安全风险等都有裨益，但同时，数据本地化存储要求使得跨国公司面临合规成本增加，比如需要在本地设置数据中心、聘用数据保护官等支出都不可小觑。把握好安全和发展的平衡，要求在立法和监管时也应考虑到数据本地化存储如何更好地推动新兴的智能网联汽车行业发展。

数据的跨地流通、聚合和使用是创造价值的方式，也是发展的趋势，在汽车数据本地化存储的立法上不应“一刀切”，而应适时调整，顺应时代发展的潮流。

[作者王丽婷来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。]