第二十一屆中國汽車產業發展（泰達）國際論壇（以下稱“泰達汽車論壇”）于9月11日至9月14日在天津市濱海新區舉辦。在9月12日“數智化生態專場：數據驅動汽車產業場景變革”中，中國汽車技術研究中心有限公司首席專家、中汽智能科技（天津）有限公司副總經理張亞楠發表題為“智能網聯汽車數據發展與安全風險協同治理路徑”的演講。

　　張亞楠表示，數據已成為驅動汽車智能化和網聯化轉型的核心動力。但在數據應用過程中，數據風險問題不容忽視。目前中汽中心大概聚焦三類問題和四個場景：一是合規收集，二是合理使用，三是使用主體是否管理盡責。四個場景包括：第一，數據安全，尤其是大規模數據聚合后可能導致的重要信息泄露；第二，數據跨境傳輸中的安全問題；第三，地理信息數據的合法采集；最后是關乎每個人的個人隱私安全問題。

　　面對數據安全風險的挑戰，張亞楠提出以下建議：首先，國家對數據安全的需求大于單個企業。對企業而言，需關注兩類因素：一是監管層面，企業應做到基本合規；二是從自身業務需求出發，理性審視數據價值。

　　在合規層面，以往多個部委（如網信辦、自然資源部、工信部等）都參與汽車數據安全管理。由于國家的基本監管原則是“誰管業務，誰管數據安全”，導致多頭監管。經過去年的協調，目前已基本明確由工信部牽頭、其他部委協同配合，共同治理汽車行業數據安全問題。工信部網安局目前重點關注三個層面：重要數據、重大風險和重點企業，并正陸續出臺相關政策，包括即將發布的數據跨境安全指引。

　　此外，相關部委也在持續發布數據安全方面的要求和政策，有的以部令形式，有的以指引文件形式。這些政策最終將通過四個維度落地：一是納入工信部裝備一司的公告準入管理，通過行政許可規范數據安全；二是納入“雙隨機、一公開”檢查，近期將啟動對汽車行業非敏涉密數據的安全檢查；三是數據出境的審查評估；四是OTA和召回管理過程中的數據安全監管。

　　在業務層面，經過這些年的發展，中汽中心發現主機廠的數據安全意識普遍較強，但訴求存在差異：對經營管理類數據，主機廠希望“我的是我的，別人的也是我的”；對消費者用戶數據，希望“我的是我的，別人的我能用就行”；對地理信息數據，則希望“可以不是我的，但我需要能用”。這三種不同訴求，反映出國家數據局所主張的“三權”——持有權、加工使用權、經營權——在主機廠實踐中并未統一。不同數據主張不同權限，將導致責任認定不一致。

　　張亞楠強調，車是主機廠的，無論主張什么權利，只要數據是從車上出去的，主機廠就須承擔第一責任。下一步將通過規范文件進一步明確如何落實該責任。

　　張亞楠對主機廠也提出了具體建議：第一，盤清數據家底。以往企業更多盤點自身擁有哪些數據（如用戶數據、研發數據），卻往往忽略供應商從車輛中獲取了哪些數據、何時獲取、獲取多少。這也應納入主機廠的數據資產盤點范圍。

　　第二，在管理制度層面，應建章立制，實現“技管結合”。重點包括明確數據責任主體，以及認清某些責任（尤其是涉及國家重要數據和核心數據的管控權）無法通過合同完全轉移。

　　第三，在技術層面，需強化技術能力，落實數據安全設計。應遵循最小化采集原則，并對個人信息和國家重要數據進行脫敏。目前很多企業并未清晰定義何為“最小化”，例如有企業為支持高精度地圖，從車輛采集了600多個參數，包括路燈高度等非必要數據。企業應自行明確最小化范圍，而非僅用這三個字約束供應商。

　　在價值層面，張亞楠呼吁合理利用數據，挖掘增量價值。對主機廠而言，如果數據不用或用不好，就成了負擔（需承擔存儲成本與安全責任）；對國家而言，有些數據希望使用后即銷毀，無需長期存儲。如何合理利用數據、挖掘增量價值，將是企業下一步面臨的重要挑戰。

　　張亞楠表示，數據安全治理需協同出擊，構建從應用層制度到設計、再到技術工具開發的鏈式治理體系。在應用層，應在合法、合規、有效、可控的基礎上，將業務場景與數據處理相結合，并映射到汽車產品的全生命周期——而不僅僅是數據的全生命周期。