上周三,国家网信办在官网上发了个通知,就《汽车数据安全管理若干规定(征求意见稿)》公开征求意见。 《意见稿》要求运营者在中国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。
文件还倡导运营者处理个人信息和重要数据过程中坚持以下五大原则:
车内处理原则,除非确有必要不向车外提供;
匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
规定是面向“汽车”,但显然不是所有汽车都适用。
五菱、东风,车机系统都没有,即使有块“智能屏幕”,也仅能听听歌曲、收音机之类的,基本上不产生数据传输,更不要说向境外传输数据了。
网信办“针对”的,是集环境感知、规划决策、多等级辅助驾驶甚至自动驾驶等功能于一体的所谓的智能汽车,它集中运用了计算机、现代传感、信息融合、通讯、人工智能及自动控制等技术,是典型的高新技术综合体。
尤其是以国外品牌特斯拉,国内品牌蔚来、小鹏等为代表的智能汽车,车子的智能化程度已经非常高,在使用过程中可以产生大量数据,如车主信息、行驶轨迹、车辆外部环境信息等。
比如特斯拉Model 3,配备了8个摄像头、1个雷达和12个超声波雷达。有用户就曾表示,特斯拉启用辅助自动驾驶功能,行驶一天,共计有3.9GB数据上传。
特斯拉由此获得的信息包括了GPS信号、行车轨迹、驾驶习惯、车辆所有操作,还可能搜集了一些与驾驶无关的信息。
此外,资料显示,特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项。
而最近可谓特斯拉的“多事之秋”,负面事件是一件连着一件。
而此前引爆舆论的,是特斯拉女车主的“维权门”。
事件的最新进展,是特斯拉私自公开女车主维权记录,再次被对方以“侵犯隐私”投诉到了市场监管部门。
于是有人就产生了联想,觉得网信办这个节骨眼出台这样的规定,怕不是专为特斯拉准备的?
而特斯拉也在官方微博上表态称:我们支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展。
事实真是这样吗:网信办为了特斯拉专门立了个法?
1
事实上,特斯拉并不会是第一家因为数据安全而被政府监管的外企,早在数年前,它的美国老乡苹果公司,就已经给在华外企们开了一个好头。
2013年,举世闻名的“斯诺登事件”让全球各国意识到数据安全的重要性,美国的无耻程度突破底线,再不采取点措施无异于在美国面前裸奔。
巴西下议院火速通过反网络间谍法草案,规定国外的通讯网络公司必须把巴西网民的数据和通讯内容储存到巴西境内的服务器上。欧盟也火速跟进,颁布了类似的法律条文,我国政府虽然没有立即明确表态,但立法工作也已经悄然启动了。
比各国政府更着急的是美国各大跨国公司,尤其是苹果、谷歌、Facebook等互联网巨头。母国被曝出如此丑事,让这些巨头在国外的处境变得微妙而尴尬:如果当地政府以数据安全为由禁止自己开展业务,那真是相当致命。
苹果公司立即决定在中国境内建设数据中心,把中国用户的数据储存在中国的数据中心,既可以提高中国用户的体验,也避免了出卖用户数据的嫌疑,一举两得。
2016年11月,全国人大通过《中华人民共和国网络安全法》,法案第 37 条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
第二年,苹果公司就顺应政策引导,和贵州省政府签了数据中心落户的协议。
苹果公司授权国企云上贵州大数据产业发展有限公司(GCBD)作为苹果公司在中国大陆运营 iCloud 服务的唯一合作伙伴;云上贵州公司作为运营主体,在中国大陆境内运营 iCloud 服务;iCloud 服务在中国境内使用 iCloud 和云上贵州公司双品牌向用户提供体验。
苹果西湖店,巨大的红色苹果logo
如果特斯拉作为一个车企实在不知道如何处理海量数据,建议马斯克学学库克,双赢。
当然了,特斯拉不是第一家接受中国政府数据监管的公司,中国也不是唯一一个在数据安全方面“针对”跨国公司的国家。
事实上,监管跨国数据传输、捍卫数据安全现在已经成为国际社会的普遍共识,跨国巨头们的业务所在国普遍提出了安全要求。
比如,韩国政府和谷歌公司。
在很长一段时间内,谷歌地球上无法显示韩国卫星地图。为什么呢?因为韩国政府不允许谷歌把韩国政府提供的地图资料输出至境外数据中心。
韩国交通国土部给出的理由是:在朝韩对峙下,谷歌欲输出地图资料之请,恐升高安全威胁。
而谷歌则认为韩国的国土保安法已经不合时宜,还表示:就算是被西方封锁的朝鲜,谷歌也能提供范围更广的地图服务,例如从平壤前往宁边核设施的行车路线等。
韩国政府一听,更不乐意了:这要是给你权限,真打起仗来,朝鲜军队是不是顺着谷歌导航就打过来了?
因此,谷歌地图上韩国长期是一片空白,谷歌再强势,技术再厉害,在韩国政府的数据禁令下也是一点儿辙都没有。
直到2018年,谷歌终于服软,与韩国电信公司LG U+在首尔成立谷歌在韩国的第一个数据中心,韩国才出现在了谷歌地图上。
但不是所有国家都“讲理”。有的公司,服软、认怂、姿态低到不能再低,业务所在国政府也分毫不让,摆明了就是要借“数据安全”搞死你。
因为你碰上了灯塔国。而这家公司,就是TikTok。
自2019年起,美国监管机构加大了对 TikTok的审查力度,审查主要涉及“威胁国家安全”和“违反数据隐私”两方面。
2019年2月,TikTok曾被美国联邦贸易委员会(FTC)起诉,FTC认为,TikTok未经父母同意非法收集了13岁以下儿童的个人信息。FTC给TikTok开出570万美元罚单。
同年12月,TikTok在美国加利福尼亚州被提起集体诉讼,理由是TikTok将用户个人身份信息转移至中国的服务器。
2019年11月,特朗普以国家安全为由,对字节跳动收购Musical.ly一案展开调查。美国政府认为,字节跳动在收购Musical.ly时,没有向审查机构美国外资投资委员会(CFIUS)寻求许可和批准。
2020年8月2日,懂王不装了,摊牌了,直接让TikTok在40天内将自己打包出售,否则将在美国被封禁。至于卖给谁,懂王阁下“好心”地推荐了微软等美国公司,竞争不过就强行收购,吃相非常优雅。
至于TikTok,那可真是太冤了,千古奇冤,美国公司都没有几家能做到像它那样遵守美国法律的。
TikTok的数据中心位于中国境外,并不与母公司共享,这些数据也不受中国法律管辖。TikTok美国用户的数据均储存在美国境内,同时在新加坡存有备份。
针对美国政府的指控,TikTok还尝试从多方面树立维护数据隐私的形象,包括设立透明中心、分离国内外市场、聘请本土高管等。
2020年3月,TikTok在洛杉矶设立了透明中心,向外界展示如何审核平台内容、保护用户数据隐私。
2019年开始,TikTok的母公司字节跳动将TikTok和抖音完全分割,除了中国用户无法使用TikTok外,字节跳动在内部的技术团队也设置了防火墙。对于工作地点在中国、工作内容为面向大陆市场的员工,则无法获得访问TikTok关键数据的权限。
而在聘请本土高管方面,2020年3月初,TikTok聘请了曾为美国空军和国防部工作效力的网络安全专家克鲁蒂(Roland Cloutie),担任该公司首席信息安全官。
2020年5月19日,字节跳动又任命迪士尼前高级副总裁梅耶尔(Kevin Mayer)为字节跳动首席运营官兼TikTok全球首席执行官。
总之,TikTok在最大程度上做到了本土化和去中国化,然而真心并没有换来真心,差一点就被号称最民主自由开放的灯塔国赶尽杀绝,虽然后来睡王上台暂停了对TikTok的禁令,但以美国反复无常的尿性,未来如何发展仍未可知。
和TikTok形成鲜明对比的,是美国社交巨头Facebook,存储了全球海量用户隐私信息的Facebook在数据主权浪潮中也是麻烦不断。
但Facebook选择了一条截然不同的道路——硬刚到底:谁不让我偷数据我起诉谁,要么让我继续偷数据,要么我走人,爷不玩了。
去年,欧盟法院做出判决,认定美国的数据保护未达到欧盟标准,并将美国国家利益置于公民个人利益之上。
法院还裁定,欧洲数据保护当局必须停止对像Facebook这样的公司根据标准合同条款进行的个人数据的传输,并应进行全面监控。
同志们,扎克伯格为什么一口咬定TikTok把数据传回中国啊?因为他自己一直就这么干的,贼看谁都像贼。
面对欧盟的集体维权,扎克伯格一点都不怂,欧盟要对Facebook罚款,扎克伯格就扬言退出欧洲市场,偷人家东西还这么理直气壮,这很美利坚。
自家企业肆无忌惮地在全球各地传输数据回美国的服务器,中国企业把服务器建在美国本土都不行,喊它一声双标狗不过分吧?
美国的数据关乎国家安全,我们的数据被美国的企业随便传回美国,我们难道就不需要安全了?
2
为什么数据主权概念在全球得到广泛认可?
说起来,还要感谢一直提倡“数据自由”的美利坚,正是美利坚的骚操作让大家认清了数据的宝贵。
美国一直提倡数据在全球范围内自由流动,但怎么个流通法?美国非常双标,一言以蔽之就是:可以流进来,不能流出去。
根据2001年颁布的《美国爱国者法案(USA PATRIOT ACT)》,美国的远程电子服务和信息通讯服务提供商可以直接获取国内外的通讯记录,包括语言和文字,并将其披露给美国政府。
而对于外国的信息搜集机构,则以“防范恐怖主义”为由设置了种种限制。
2018年美国国会通过了《澄清境外合法使用数据法》,对从国外调取美国数据的情况做了十分严苛的规定,要求外国政府在国内法的基础上,对调取数据的行为作出合理解释,同时要经过美国法院的审查,才能以最小化原则处理数据,之后还要定期审查。
而对于美国政府调取境外数据的规定则宽松许多,允许美国在境外的通信服务供应商按照该法案披露电子通讯数据。
该法案同时还赋予了美国法院巨大的裁量权,其中明确提出,若收到外国政府的起诉,法院也要保护本国的通信服务商,不能向国外政府提供相关的信息。但对于本国的国防部,则要求法院在“善意信任”的基础上行事。
说白了就是,鹰酱可以天天偷看别人洗澡,但是别人偶尔看见鹰酱换衣服,鹰酱就要把他暴打一顿还要告他流氓罪,所谓“数据自由”说到底是单方面的数据自由。
这当然引起了其他国家包括美国盟友的普遍不满和抗议,哪有这么欺负人的?你美国国内法还真想管全世界?为了对抗这种数据霸权,各国纷纷开始了自己的数据立法。
俄罗斯强烈推行数据主权“本地化”,典型表现就是对于跨境数据做出了严格的本地化存储规制。
自2006年,俄罗斯就着手建立数据保护制度,颁布了《关于信息、信息技术和信息保护法》和《联邦个人数据法》两部重要的法律,要求其公民的数据存储、更新和使用只能在俄境内的数据资源中心进行。
2013年“棱镜门”披露后,俄罗斯开始进一步加强对跨境数据流动的治理。
2014年,俄罗斯修改了《关于信息、信息技术和信息保护法》,要求互联网信息传播运营者需要在产生、传播和处理的数据6个月内,将相关数据和主体信息存储到俄境内,包括文字、语音、图像等信息。
同年还出台了《个人信息保护法》,规定本国或外国公司在处理有关俄公民个人信息相关的数据时,其收集、处理存储过程必须在俄境内的服务器上进行。
美国的欧洲小伙伴们,同样显示出“本地化”管制倾向。
早在1980年9月,经济合作与发展组织(OECD)就出台了《经济合作与发展组织关于隐私保护与个人数据跨境流动的指导方针》,是全球范围内第一个关于隐私规制和数据流动的国际性框架。
目前欧盟在数据管辖方面主要以2018年颁布的《通用数据保护条例(General Data Protection Regulation, 简称GDPR)》为基准。
该法案将个人信息保护看作一项基本权利,以合法性、公平性、透明性处理个人数据,同时要征得数据主体同意,赋予数据主体访问权、更正权、被遗忘权、限制处理权、反对权、拒绝权等权利。
并不富裕的巴铁,也早在2016年就在首都伊斯兰堡建成了首个国家数据中心,到今天为止,巴基斯坦境内已经建成了17个数据中心,在数据主权方面走到了世界前列。
感谢美国,用自己的行动证明了“数据自由”是个多么扯淡的概念,现在,在美国的言传身教下,世界各国普遍有了自己的数据主权意识并采取各种行动捍卫数据主权。
还是那句话,千万别听美国说什么,要看它做什么。
3
中国的数据主权建设,在特斯拉进入中国前就已开始布局。
早在2000年9月,国务院就颁布了《互联网信息服务管理办法》,但是这并不是严格意义上的个人信息保护法规,其内容大多是对互联网信息服务主体和内容的规定,这个阶段可以看作是对个人信息保护的萌芽。
真正值得强调的是全国人大常委会在2012年12月发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,在这一年,我国拉开了个人信息保护立法进程的序幕。
次年,特斯拉入华,估计当时的立法者都不会想到,当年那个科技先锋车企,会成为今天疯狂侵犯用户数据隐私的主角。
2016年,第十二届全国人大常务委员会发布《中华人民共和国网络安全法》。该网络安全法对于我国的网络安全和数据保护具有里程碑式意义,从此我国网络安全工作有了基础性的法律框架,有了网络安全的“基本法”, 为政府部门的工作提供了法律依据。
《网络安全法》的出台完善了我国对于互联网管理的制度,填补了对个人信息保护的法律空白,同时也为我国的数据安全法和个人信息保护法的制定积累了经验。
去年,我国又相继发布了《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》,从不同角度出发,围绕个人信息的处理,从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理强调了特别规则。
并且,两部法律明确了国家在保护数据安全方面的职责,并为进一步制定数据保护细则提供了法律依据。
未来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》将共同组成我国的网络安全以及数据保护框架,为我国互联网领域的发展保驾护航。
当然了,法律的生命力在于实施,为了更好的促进个人信息保护以及网络安全法律法规的实施,各部委、办公室也制定了一系列配套行业条例、国家标准等等。
例如与《中华人民共和国网络安全法》相配合的《信息安全技术 数据出境安全评估指南(征求意见稿)》《信息安全技术 个人信息安全规范》《APP违法收集和私用个人信息自评估指南》等等。
网信办此次发布的《汽车数据安全管理若干规定(征求意见稿)》就是面向智能汽车这个细分领域的行业条例,无论特斯拉有没有进入中国,无论它的刹车好使不好使,无论它侵犯不侵犯用户数据隐私,该来的早晚会来,该立的规矩我们早晚要立。
有的外企若想拿着中国人的隐私,赚着中国人的钱,却交着外国政府的税,哪有这种好事?数据安全也有一笔经济账。
不让人家把数据传回美国,得有地方放这些数据啊,总不能都放硬盘里吧?
所以,我国把数据中心建设作为新基建的重中之重,如果特斯拉等外企把海量数据都存储在中国境内,光数据中心就可以发展成一个规模庞大的产业链。
腾讯贵州七星数据中心
2020年3月,中央政治局常务委员会召开会议提出,要加快5G网络、数据中心等新型基础设施建设进度。今年的政府工作报告也明言,要加强新型基础设施建设,发展新一代信息网络,拓展5G应用,建设数据中心。
据研究机构赛迪顾问统计,2019年中国数据中心约有7.4万个,超大型数据中心(10000机架以上)、大型数据中心(3000至10000机架数量)数量占比达12.7%。规划在建数据中心320个,超大型数据中心、大型数据中心数量占比达36.1%。
不难预见,我国有关信息安全的一系列行业法规落地后,来自外企的互联网数据中心(Internet Data Center,简称IDC)需求将在短时间内迎来爆发,这对我国的IDC新基建来说,也是一个重大利好。
所以,网信办此次征求意见并不是针对谁,在座的各位国际巨头人人有份。
这《汽车数据安全管理若干规定》只是个开始,以后各个领域的相关规定会陆续出炉。
毕竟,这事关国家数据主权,也事关我国的新基建。白嫖中国人隐私的时代,一去不复返了。