红线已定！智驾时代的信息安全将有法可依！

以往，安全性能向来是消费者购买汽车最看重的指标之一，刹车性能、安全气囊、倒车影像、并道辅助等都是车辆安全的基本保障和加分项。但在智能汽车时代，数据安全日益成为一柄高悬于车主头顶的利剑。

那位在上海车展高喊“特斯拉刹车失灵”的女车主一定没有想到，自己的极端维权行为不仅让特斯拉名誉大损，更是引发了一场关于智能网联汽车数据安全的全民大讨论。数据真实性、数据归属、车主隐私等问题成为近期网络热点话题。

将有法可依

就在5月12日，国家网信办就《汽车数据安全管理若干规定（征求意见稿）》公开征求意见。这是继4月29日全国信息安全标准化技术委员会发布关于征求《信息安全技术网联汽车采集数据的安全要求》标准草案意见的通知后，又一部门出台对汽车数据安全的管理办法。

当天，特斯拉官方微博转发“国家网信办就汽车数据安全管理征求意见”消息称：“我们支持并响应行业发展进一步走向规范，共同助力技术创新。欢迎大家积极向有关部门建言献策，推动汽车行业健康有序发展。”

5月25日晚间，特斯拉在官方微博上宣布已在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。接下来，所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。同时，特斯拉还将向车主开放车辆信息查询平台，目前此项工作正在紧锣密鼓地进行中，详情及进展将陆续向大家汇报。

特斯拉的举动，让人联想到此前苹果在中国建立的数据存储平台“云上贵州”，这是境外公司在中国实现数据存储本地化的一个典型案例。

随着智能汽车、大数据产业以及互联网的高速发展，各行各业都需要一套关于数据的相关法律，无论是企业还是个人，都应该在法律法规的框架内活动。

《规定》明确规定了个人信息或重要数据，应当遵守相关法律法规和本规定的要求。据了解，其中《规定》所称运营者包括：汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。

个人信息包括：车主、驾驶人、乘车人、行人等的个人信息，以及能够推断个人身份、描述个人行为等的各种信息。

重要数据包括六部分，一是军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据，二是高于国家公开发布地图精度的测绘数据，三是汽车充电网的运行数据，四是道路上车辆类型、车辆流量等数据，五是包含人脸、声音、车牌等的车外音视频数据，六是国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外。实践上难以实现的（如通过摄像头收集车外音视频信息），且确需提供的，应当进行匿名化或脱敏处理，包括删除含有能够识别自然人的画面，或对这些画面中的人脸等进行局部轮廓化处理等。仅为了方便用户使用、增加车辆电子和信息系统安全性等目的，方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据，同时应当提供生物特征的替代方式。

《规定》对智能汽车产生的数据进行了界定，并明确了责任主体、数据范围、收集方式、隐私保护、数据出境等问题。这是我国首次针对“汽车数据安全”制定专项法规，不仅是对国家网络数据安全的有力保证，也是对个人数据隐私的有效保护。

百姓评车认为其前瞻性和针对性是比较强的。在智能汽车产业发展的初期就对相关的数据问题进行理清，让行业的利益相关者有指引，对消费者权益也是很好的保护，将促进智能汽车产业的发展。

透明人觉醒

值得注意的是，《规定》对隐私保护尤为看重，其中第六条指出，倡导运营者处理个人信息和重要数据过程中坚持默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。此外还提及，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。

说到隐私，这就是涉及到了信息安全的核心问题，包括特斯拉在内，几乎所有智能汽车由于需要实现高速联网、道路感知、车路协同、车机互联、人机互动、电子导航等功能，在车身内外使用越来越多的摄像头、毫米波雷达、激光雷达、卫星定位等感知设备，而这些智能感知设备犹如一柄‘双刃剑’。

智能汽车上采集了车主大量的个人隐私信息，储存量远高于手机等日常使用的智能终端设备。车辆和车企都能收集到这些个人隐私信息，如何保护好这些个人隐私信息，不被窃取用于非法的目的，车企也有一定的责任。

与用户关系最为密切的当属车内数据，顾名思义，车内数据是智能汽车内部产生的数据，主要涉及用户隐私，包括车辆的行驶数据、驾乘人员图像、声音数据等，特斯拉的网传视频中所采集的正是驾乘人员的图像数据，另外，用户在车内交谈的信息也会被车辆存储。

实际上车主是否变成“透明人”，取决于对车内数据是否享有自主处理权。如今，随着用户的数据意识觉醒，越来越多的人开始意识到，自己产生的数据正在为科技公司持续创造价值。继而用户是否应该拥有对数据的绝对支配权也被提出来讨论。

比如，我们在入住酒店时，提交自己的身份证、联系方式，是为了证明我们是可信赖的。我们在车内，允许摄像头识别我们的面部表情，是为了方便车辆为我们提供个性化服务，最简单的一个使用案例，即在疲劳的时候提醒我们一番。但这些数据是我们“让渡”出去的，产权仍然归于个人。

既然个人拥有所有权，那么如果运营者收集和向车外提供了敏感的个人信息，驾驶人要求删除时，企业必须要做到无条件配合。《规定》中提到了一个期限，那就是“2周内”。

考虑到智能汽车的发展，未来的车企可能会有几十万辆、几百万辆甚至有上千万辆汽车的数据，存储在云端的大数据库里，这种分布式的存储，管理起来非常复杂。找到相应用户的数据，然后删除，删除后再确认，到底需要多长的时间，两周时间内完成是否最合适目前还不好说。不过，删除过程的时间长短不是最关键的，最关键的是我们有法律了规定，法规的保护，让个人用户数据、个人隐私不再受到侵犯，这才是最关键的。

当然更重要的一点是用户拥有是否向企业提供个人数据的权利，在签订购车合同的时候，用户应该被详细告知该权利，而不是默认企业拥有车主个人信息的采集权。这方面，《规定》提到“收集驾驶人指纹、声纹、人脸、心率等生物特征数据，同时应当提供生物特征的替代方式”。这种替代方式究竟是什么，还需要上级主管部门、企业、消费者三者之间进行积极协商。

百姓评车

《规定》最重要的原则是定下红线，明确了什么能做什么不能做，智能汽车行业才能健康发展。在《规定》中，个人权益保护和数据安全保障是给运营者划定红线的依据，确保安全的前提下，给予行业发展空间，在大的框架下允许企业有更大的创新空间。

只有通过立法，合理规范了不同参与者对用户信息的使用方式，构建用户与运营方之间的信任关系，才能对实现资源合理配置，共同促进智能网联汽车发展，产生深远的影响。