数据强监管时代的交通行业数据合规|中国社会科学院 何晶晶

第三届 国际汽车智能共享出行大会（SMC 2021）于2021年12月15-16日和12月30日分别以线上和线下形式在广州市花都区举办，中国社会科学院 国际法研究所副研究员 何晶晶女士，分享了题为“数据强监管时代的交通行业数据合规”的演讲报告。

以下为演讲实录：

各位好，我是中国社会科学院国际法研究所的副研究院何晶晶，今天非常有幸能够接受到会议方的邀请，给大家分享一下我的学术心得就是数据强监管时代的交通行业数据合规，也非常遗憾，特别不好意思，由于疫情的原因没能到现场，只能在线上录制这样的视频，特别期待有机会能够在线上线下向各位领导、同道请教交流。

最近出台了两部非常厉害的法律，一部叫做《数据安全法》一部叫做《个人信息保护法》。《数据安全法》是在9月1号正式实施，《个人信息保护法》是10月1号实施。这两部法律再加上以前的，《网络安全法》和网信办最近出台的，一系列的管理办法和征求意见稿共同构建了我国最近在这段时间密集出台的关于数据安全合规的一系列法律法规系统。我觉得非常负责任地说，我们国家也正式进入了数据的强监管时代，这对交通行业是有非常重的影响的。

大家都知道，在今年早些时候出了滴滴的事件，这也可以说是数据安全法前夕一个非常大的事件，对交通行业有很大的震慑作用，我正好也有幸在滴滴下架的背景下，接受了央视CGTN的采访，当时谈的题目就是“关于APP下架与个人信息保护”，这个新闻在国际上得到特别多的关注。

我在《数据安全法》实施以后，也接受了CGTN的采访，专门讲《数据安全法》实施的意义。在这个背景下，正好我也非常关注数据安全合规的问题。

其实在交通行业，数据安全合规的风险还是很高的，这是我刚刚提到的滴滴事件一个小的PPT，大家都知道，在滴滴事件之后，国家互联网信息办公室的七部门进驻了滴滴出行，并且开始网络安全的审查，这个事件直接导致滴滴退市以及市值蒸发将近200亿美元，这个事情一直到现在应该是慢慢梳理好了，但是这个对于滴滴的打击是非常重的。

我刚才提到，交通行业是数据安全的重灾区，因为涉及到几乎全部的敏感信息都跟交通行业是有一些关系的，有生物识别、人脸识别、录音录像、面部识别特征、声纹信息等。还有身份信息，像乘车人、司机身份证、驾驶证等等。还有财产信息，金融账户、交易信息、包括绑定的银行卡号，手机号等等。还有位置信息，包括行踪轨迹，精准定位信息，住宿信息等等，还有一块也是我们国家对于不满十四周岁的未成年人的个人信息也被纳入到敏感信息，要加强保护。这些都跟交通行业，特别是出行行业息息相关的。因为我们国家深刻理解到，敏感信息一旦泄漏或者被非法使用，对于自然人或者是企业，主要是自然人的权益会带来非常大的伤害，所以在敏感信息领域，我们国家有一个非常严格的法律的规定，对敏感信息要单独授权来提高这样的门槛，也给交通行业提出了非常高的要求。

这个图是我国在数据安全合规的相关立法的历程，最早从刑法就开始有个人信息保护的形式的情节嵌入，然后有《网络安全法》，刚才提到的，也是为了构建我国网络个人信息保护的行政监管体系，再下来值得一提的就是我们在之前包括《数据安全法》，刚刚提到的还有《个人信息保护法》，这两个法规专门围绕如何促进数据安全保障和个人信息保护的专门立法。还有一个值得一提的是去年的民法典，这个是确定了保护隐私权和个人信息的基本原则，因为大家知道民法跟我们的生活息息相关，个人隐私保护纳入进来也体现了我们国家是一个整体立法和系统立法的特点。

其实值得一提的是，如果大家把我们的个人信息保护法跟美国的比如说Hipa或者是欧洲的GTPR，也就是欧洲版的《个信法》做一个比较，可以发现我们国家的《个人信息保护法》力度可以说在世界上都是非常强的，甚至比一些法则等等更重的，因为《数据安全法》也好，还是《个人信息保护法》也好，都是有刑责在里面的，大家都知道，一旦入刑这个责任是非常重的，所以不但对企业非常重的罚款，更重要的是对平台处理者，或者是对企业的负责人都会有刑事责任的巨大风险。这个也是为什么现在在交通行业，特别希望大家能够关注这两个法规的实施和细则的落地。

《数据安全法》具有里程碑的意义，明确了数据活动的红线，而且刚刚提到刑事责任。《数据安全法》非常重要的特点，要求数据的分类分级，像刚才提的数据分为一般的信息，有重要的数据，还有刚刚提的敏感的信息，这个在法律的保护的程度上，是不太一样的。其实数据安全是关乎国家安全，因为滴滴事件主要担心的问题是关乎到国家的安全，所以数据安全法可以说纳入到安全的系统的法律。这也不是只有我们国家独有，美国欧洲都非常关注数据安全。

这是《数据安全法》的整体架构，就像刚刚说的，其实会有一个特点，就是分类分级，同时也会要求风险评估，报告信息共享，监测预警等等。另外，《数据安全法》的法律责任有很多，有刑事责任等等。

数据的安全与发展，虽然我们一直在讲数据的安全，要加强合规，但是我们国家有一个非常强烈的信息就是要促进数据的安全与促进数据开发利用并重，所以从这个角度，这个信号非常明显，我们不是希望数据就管死了不能用，数据的资产在全球的数据经济时代已经是一个共识，所以我们国家也是希望大家能够把大数据利用好，不要出现信息的孤岛，而且在数字经济时代，如果数据能够合规使用，其实是能够更好地服务于整个社会的。

然后在这个数据安全法里面，也有类此检测评估、认证、培训等要求，它是希望建立全流程的数据安全的管理制度，我们要知道从信息流的角度，从数据的收集到存储，到管理到使用全流程的法律上，每个环节都有非常高的要求。

这个是《数安法》，接下来重点讲一下《个信法》，《个信法》就是对于个人信息保护更为细的法律，这跟交通行业是息息相关的，大家可以看到这个法条非常多，也非常细，规定得很详尽，我也想强调《数安法》和《个信法》，这两个立法特点还是用这种发条，还是比较以原则为主的。所以需要在不同的行业有具体的落地规则，比如说在交通行业，我们就需要交通的主管部门，信息中心等等，来落地适合交通行业发展的数据的如何监管的细则，包括像金融领域，央行，卫生领域的卫健委等等都在出不同的细则，其实这个也是立法的科学性的体现，之前跟人大法工委交流过，为什么法律建得这么粗，包括我们单位了参与了两个法的直接的起草，我们单位很多专家都是参与到这个法律的起草里面。其实这个也是我们国家的智慧和科学性的表现，就是把行业的很多监管的责任由行业的主管部门来定，所以交通行业是需要主管部门牵头来把两个法则做一个更细的落地。

《个人信息保护法》的特点是围绕，首先定义是识别和不可识别，一旦信息是可识别的，然后你就是在我们的《个信法》的管理范围内，然后我们会讲敏感信息，刚才提到的很多的交通行业涉及到的生物识别信息，人脸的信息，声音的信息等等，包括像刚刚说的位置的信息，轨迹等等，这些其实都是涉及到敏感信息，根据个性法，如果是敏感信息，我们是要求它要单独授权或者是基于合同，基于法定目的，从这个角度也可以给大家提个醒，对于交通很多数据，因为很多都是敏感信息，所以法律的要求非常严格。

另外对于信息处理者也提到非常高的要求，当数据量到一定程度以后，被纳入个人信息的处理者甚至平台也是非常重的，还有一块我想提的是自动化决策，其实在大数据领域，很多用的就是算法，肯定很多交通行业企业都很熟知，内部的核心竞争力，我们《个信法》非常关注个性化决策，主要就是为了打击算法歧视，比如说作为一个消费者来说，因为不同的大数据的情况，可能有的消费者同样打车，打到不同的价格，基于这个，要防止出现歧视的，所以这个算法也是一个双刃剑，一方面是便利使用，另一方面可以造成不必要的歧视，所以国家也专门在这个自动化决策，就是算法的这个方面有比较严格的规定，这也是希望各个企业能够注意这方面的合理利用算法，同时不要触犯法律的红线。

匿名化，我们认为是你要不受《个信法》的管理，但是我理解，在很多领域，其实如果你数据真的被匿名化了，就真的不好用了，而且真的不可识别其实要求非常高，这个《个信法》要求不是匿名化，不是脱敏，而是真正的要求不可识别，不可识别是回不去的，就是做了加密处理，没有办法复原，这个在技术上是非常高的，我们在实操层面，大部分路径还是要依靠取得个人同意作为处理个人信息的规则。

然后这个个人同意就是对于个人同意的要求非常多，最近大家看到一些新闻，有一些企业的APP被点名了，大家觉得冤，我这个也有个人知情同意，我APP都列了，为什么还会被点名呢，这也是《个信法》的特点，《个信法》的同意是真正的知情同意，第一要充分知情，第二这个同意不能像以前一样，为了拿到你的APP的授权，一揽子要你很多的授权，比如说能不能让我访问你的照相机，访问你的位置信息，访问你的通讯录，我理解，在为了便利这个使用，在刚开始的时候确实分享过这些信息，否则我怎么知道我的车开到哪里去了，怎么知道这个叫车的司机找到我，这个是可以的，但是因为之前有一些企业出现过度采集，就是没一会就访问一下你这个位置信息，这个是没必要的，第二点就是一下子就要N多的授权，让你打个勾全部都占了，这也是《个信法》重点关注的问题，就是《个信法》一个重要的原则叫做“最小必要原则”，就是一定是最小量地来，而且是非必要不要使用，这也是《个信法》的特点。

而且在个人信息处理上，现在我们国家要求要有个人的信息权利的尊重，就是说我们是全流程，首先你要用我的数据，要得到我的同意，接下来存储管理使用，如果我希望拿到我这个数据，理论上是可以问企业要的，如果我要我的这些信息，你是要给我的，另外我还有删除权，这个删除权也会造成事实上对一些企业造成成本上，甚至在操作上有难度，但是这个也是我们学习GTPR，这个就是基于可携带权，什么意思，就是我现在给你这个数据，回来我不高兴给你了，我还可以撤回我的同意，而且要把我删得很干净。所以这个角度也是对于很多的出行行业有比较高的要求。

这就是我刚刚提到的，特别是有一些出行行业的企业，甚至是一些平台企业，可能还会出现一些问题，你的信息可能会传给下一手，或者是上一手的信息会传给你，这也会牵扯到《个信法》里关注的不同的信息处理者之间的一个法律责任的问题，就是这个叫做共同处理者，这个什么意思呢，就是我们委托处理的，比如说这是一种关系，还有一种承担连带责任，只要这个信息进来，你们两个共同承担责任，这是更重的，如果是第一手和第二手的关系，第一手的机构是直接面对C端的，那他就需要拿到授权，而且这个授权要像刚才说的，要有明确的同意，要是最小原则的使用，后一手的只要保证形式上拿到知情同意就可以使用数据等等，都会做一个差异化的法律安排。这些也是希望接下来交通行业，包括主管部门能够把这个基于交通的特点落地的方面。

还想提一点就是不满十四周岁的未成年人信息，就是刚刚说的，是个人敏感信息，所以以后不满十四周岁的未成年人叫车，怎么样保证他的权益，这一块是希望交通行业能够重点关注的，因为这也是非常大概率的事件。所以整体来说，因为涉及到敏感信息，所以要有特殊目的和充分必要，就是单独同意，授权同意。刚刚说的刷脸这个事情，按司法解释，非必要是不能随便刷脸的，这个在交通行业也是可以关注的一点。

然后接下来还有跨境这一块，我理解因为滴滴事件出现之后，很多企业对于数据跨境做了比较高的防范，因为时间关系，我就不花太多时间，这就是我刚刚想说的，从乘客角度的个人信息主体的权利的角度，有信息分类管理拒绝处理等决定权，复制、转移、删除等等，这些就是刚刚讲到的，特别是被遗忘权，如果撤回同意等等，这是新的命题，在交通行业怎么落地，这也是需要主管部门来进一步研究细则的，我还想强调一点就是刚刚主要讲的一些出行类的企业和行业，其实还有一类比如说现在进入到电动车行业，甚至是自动化驾驶的汽车行业，其实也会涉及到个人信息和数据安全，两头都会有，数据安全就会涉及到像特斯拉前段时间出的事件其实也是因为这个设备采集数据，从这个角度也是希望各位，在布局人工智能的造车行业也能够把这一点做一个很好的关注，比如说跨境一定要做一些安排，因为如果跨境的话，是有专门的规定，网信办的管理办法。这个就是我刚刚讲的责任和罚则，可以看到这个责任和罚则非常重。

除了刚刚讲的《数安法》，《个信法》，交通行业还有一些特别的法规，包括《汽车数据安全管理规定》，网约车的《网络预约出租车经营服务管理办法》等等，还有全国的信安标委也有一些标准，这个是跟汽车行业相关的，比如《网络预约汽车服务安全指南》等等，所以从法律的层级来说，对汽车采集数据的安全要求，刚刚提到的，我们进入电动车行业，或者是自动驾驶的，我们说汽车是一个大型的手机，就会有很多的信息的采集，在这个过程中，如何来保证数据的安全，既是《数安法》的要求也是《《个信法》的要求。

交通行业普遍存在的数据安全问题，包括数据过度收集，刚刚说的违反必要原则，可能是为了简便做法，就是有大量的数据一次性打开个人信息的权限的问题，另外就是敏感个人信息的处理，刚刚说的，敏感个人信息要单一统一，十四周岁以下的未成年人要怎么处理等等，这都有一些特别细的要求。

最后还有重要数据的处理，《数安法》对数据风险做评估，对重要数据，如果一旦公司被认为是重要数据处理者，需要每年向省网信办的相关部门报送风险评估报告的，所以这个也是需要企业把自己做一个评估和自测，如果被认为是数据分类为重要数据处理者还是有一些监管上对报告的责任，就是数据分类的问题。

刚刚说的生物特征问题刚刚有说到，在交通行业是普遍的使用的，所以就会有我们的共性特点，还有用户分析的问题，其实这个大数据，就像我们刚刚聊的，便利乘车，打车，高效性，但是由于两法反对算法歧视，所以对于用户分析的问题，一方面要用好，另一方面不能让自动化决策踩了法律的红线，这还有个人信息主体的响应的问题，就是知情、查询、复制、更正、可携、删除等等，是不是保证好了。

所以这也是我今天跟大家简单汇报的心得，我觉得交通行业，确实是一个在《数安法》和《个信法》这种数据强监管时代会碰到很多挑战的行业，但是我觉得往往挑战和机遇是并存的，真正的主动合规，包括把业务、场景和数据使用能够合规地利用在一起，我觉得反而可能对很多企业来说是一个竞争力，可能在未来的交通行业，我们畅想到的就是合规的企业都有竞争力，所以从这个角度来说，希望行业的主管领导把这个认为是一个机遇的视角，主动制定规则，主动把行业的数据合规，和数据使用两条线并行做好，非常感谢！