闖入中國市場之初，特斯拉作為首個獨資外資車企，被寄予成為中國新能源汽車市場“鯰魚”的期許，上海建廠一路收獲“綠燈”。然而，隨著今年上海車展河南車主“剎車失靈”維權事件的發酵，特斯拉因一系列爭議表現，在中國市場陷入輿論漩渦。

近日，國家互聯網信息辦公室發布《汽車數據安全管理若干規定(征求意見稿)》(下稱《規定(征求意見稿)》)，并向社會公開征求意見。這是國內首份針對“汽車數據”的垂直監管細則。業界普遍認為，“特斯拉事件”是推動這份監管規定加速入場的“導火索”。

特斯拉在官方微博對上述征求意見稿回應稱，“我們支持并響應行業發展進一步走向規范，共同助力技術創新。歡迎大家積極向有關部門建言獻策，推動汽車行業健康有序發展。”

汽車數據監管規定登場，雖仍有不少亟待修訂的條款，但意味著行業的野蠻生長告一段落，車企、用戶等市場主體的權利與義務進入再平衡階段。

軟件定義汽車，汽車數據監管入場

圍繞“特斯拉事件”涉及到的“數據權責”問題，業界在過去一個月展開了廣泛熱議——特斯拉是否有權拒絕向車主提供行駛數據;未征得車主允許的情況下，特斯拉向媒體披露具有車主個人標識的信息是否屬侵犯隱私;如何確保車企提供數據的真實性、可驗證性;自動駕駛算法邏輯不透明下出現安全風險，如何進行事故責任認定等。

智能網聯汽車普及度日漸提升，車企通過安裝大量車載攝像頭、傳感器(雷達、GPS等)以及超聲波，對道路場景、車輛、天氣、用戶行駛軌跡等“人、車、路”數據進行多維度、高精度采集。智能網聯汽車儼然一個“移動數據終端”，數據采集面遠超手機。

基于數據驅動孵化出的車載智能應用正在迅速迭代，伴生而來諸多數據治理新命題。自動駕駛是智能網聯汽車的代表性功能，與人身安全緊密關聯，行車數據的回溯、復盤以及真實性與事故責任認定直接掛鉤。與此同時，在互聯網平臺之外，車企采集的個人數據隱私安全等問題長期被忽略，汽車數據跨境流動中的數據主權等問題也有待探討。這都需要在法律法規層面明確汽車數據采集的權利與責任邊界。

全國人大常委會已于4月29日審議公布《數據安全法(草案二審稿)》《個人信息保護法(草案二審稿)》，相關法律條款仍在密集討論、修訂之中。而在此之前，國內對于“汽車數據”的垂直監管，幾乎處于無法可依的局面。

從上海車展維權事件的出現，到市場監管總局的介入，再到特斯拉處理事件的態度扭轉，不難看出汽車數據監管體系到了亟待構建的關鍵時刻。

事實上，另一份關于智能網聯汽車的地方性法規已公開征集意見。3月23日，深圳人大常委會起草并在官網發布《深圳經濟特區智能網聯汽車管理條例(征求意見稿)》。上述文件對網絡安全與數據保護、交通事故及違章處理等方面進行了框架性規定。

上述條例第三十四條要求，“智能網聯汽車相關企業應當依照國家相關規定，采取措施防止用戶個人信息的泄露、丟失、損毀，并制定數據安全及隱私保護方案。”不過，盡管對于汽車數據監管內容有所提及，但依然缺乏明確細則作為監管依據。

5月中旬發布的《規定(征求意見稿)》，正在一定程度開啟車企的數據權責規范意識。

“監管開始進場了。”一位車企工程師表示，智能網聯汽車本身相當于一個“數據采集車”，需要通過用戶在公開道路行駛采集海量數據才能進行建圖，理論上可以做到“能采盡采”。相關監管規定的出臺，將對智能網聯車企的數據采集行為規范產生很大約束力。

圈定監管對象，關鍵概念待進一步明確

《規定(征求意見稿)》首次明確界定了監管對象(運營者)、監管內容(個人信息與重要數據)，并對數據采集與處理方式、用戶的數據權利、數據存儲與出境等方面進行了詳細規定。

“運營者”即該規定面向的監管對象，包括汽車設計、制造、服務企業或者機構，包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。

除駕駛或乘車時產生的大量數據為車企掌握之外，用戶在辦理二手車交易、打車服務、車險辦理等服務的過程中，同樣會涉及不同維度汽車數據的流轉，因而能直接或間接掌握汽車數據的“運營者”涉及面頗為廣泛。

對于汽車數據的具體監管內容，《規定(征求意見稿)》做了進一步的圈定，即“個人信息”與“重要數據”，在此之外的汽車數據不在本監管規則約束范疇。其中，“個人信息”包括車主、駕駛人、乘車人、行人等個人信息，以及能推斷個人身份、描述個人行為等的各種信息。

“重要數據”則包括六大類別：軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;高于國家公開發布地圖精度的測繪數據;汽車充電網的運行數據;道路上車輛類型、車輛流量等數據;包含人臉、聲音、車牌等的車外音視頻數據;國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。

對外經貿大學數字經濟與法律政策研究中心主任許可認為，《規定(征求意見稿)》中存在的最重要的問題是，沒有從基本概念上，將個人信息和重要數據界定清楚。

許可認為，人臉、聲音、車牌等車外音視頻等數據，盡管能構成敏感信息，但納入“重要數據”有待斟酌，而且只有達到一定數量級的個人信息，才能構成重要數據。例如，人臉數據敏感與否，針對的是對個人而言的風險程度，而非于國家安全和公共利益而言的風險;而車牌數據本身公開可查的，也不應當構成重要數據。

對于“個人信息”中行人信息是否能納入其中，許可表示，《個人信息保護法(草案二審稿)》中明確要求個人信息需要識別到特定自然人。“行色匆匆、看不清人臉的行人數據，無法具體到特定自然人的時候，就無法稱之為個人信息。”

對于運營者如何處理(收集、保存、刪除、對外傳遞)個人信息，《規定(征求意見稿)》明確了運營者的多條行為規范與責任，同時還明確了車主可主張的數據權利。

《規定(征求意見稿)》指出，運營者收集個人信息應當取得被收集人同意，法律法規規定不需取得個人同意的除外，實踐上難以實現的且需要提供的，應當進行匿名化或脫敏處理;除非確有必要，每次駕駛時默認為不收集狀態，駕駛人的同意授權只對本次駕駛有效;駕駛人能夠隨時、方便地終止收集;駕駛人要求運營者刪除時，運營者應當在2周內刪除。

5月20日，清華大學互聯網治理研究中心、中國網絡空間安全協會秘書處與伏羲智庫聯合舉行的一場專題研討也提出了對關鍵概念再明確的建議。特斯拉全球副總裁陶琳女士出席了該會議。

與會專家提出，進一步明確個人信息、重要數據、車內車外信息等關鍵概念的定義，區分汽車設計、生產環節涉及的數據，以及運營環節涉及的數據，推動完成汽車領域的數據分類分級管理。

數據跨境安全、可追溯性問題仍待解決

數據跨境流動的安全問題，是一直以來頂層設計給予關注的重要議題。

《規定(征求意見稿)》指出，個人信息或者重要數據應當依法在境內存儲，確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。

同時，處理個人信息涉及個人信息主體超過10萬人、或者處理重要數據的運營者，應當在每年12月15日將年度數據安全管理情況報省級網信部門和有關部門，報送內容之一是與境內第三方共享數據情況。

而許可指出，重要數據需要本地化存儲，但對個人信息沒有境內、本地化存儲的要求。

特斯拉尚未如蘋果公司在市場所在地設立數據中心，導致外界對其潛在跨境數據傳輸風險存有質疑。此前在甘肅蘭州某小區，就有媒體報道說，門衛崗亭通知特斯拉禁止入內。該小區通知中提出的理由是，“經過考察和實際測試，特斯拉品牌汽車裝有全方位攝像頭、超聲波傳感器等一系列能夠暴露目標位置的技術裝置，為確保軍事秘密絕對安全、杜絕隱患問題.....家屬院所屬區域內禁止駛入停放該品牌車輛”。

不過，特斯拉對外事務副總裁陶琳在上海車展期間已經表示，特斯拉位于上海的數據中心將于2021年二季度建成。

今年3月的中國發展高層論壇上，特斯拉首席執行官馬斯克也回應說：“針對任何用戶的隱私信息，我們都有強烈的保密意愿，如果特斯拉公司使用車輛數據竊取包括中國在內的用戶隱私信息，我們將被關閉。”

特斯拉公開表示，正在開發面向車主的車機交互數據查詢平臺，預計將于年內上線。此前，特斯拉已在北美地區上線可供車主查詢行駛數據的事件數據記錄套件(EDR)。本次《規定(征求意見稿)》明確提出，運營商應當允許車主方便查看、結構化查詢被收集的敏感信息。

對于外界擔憂車企提供汽車數據的真實性驗證問題上，區塊鏈技術通常被視作能有效解決數據不可篡改性、可追溯性需求的技術工具。

4月28日，中國汽車工業協會在北京組織了一場“智能網聯汽車數據安全研討會”，議題涉及數據安全監管、私人數據隱私保護、數據可信技術等內容。同時，協會在會上面向行業發布“汽車數據可信存證區塊鏈平臺”。

據了解，該區塊鏈平臺原定于今年6月發布，但特斯拉事件所帶來的行業震動，加快了平臺推出步伐。該數據存證平臺即日可投入使用。一汽、上汽、北汽等傳統車企，蔚來、理想、小鵬等國內造車新勢力，以及特斯拉、大眾、戴姆勒、寶馬等國外車企，均參與了上述研討。