21世纪经济报道 记者钟雨欣 实习生刘爽 北京报道
近日,比亚迪集团发布数据合规服务项目供应商招募公告,招募对象为中国境内外合法注册的综合性律师事务所或能够提供对应服务的咨询机构,需提供数据合规专项服务。此外,长城汽车发布了数据合规管理平台项目的招标计划,以期通过建设应用数据风险及跨境治理系统、数据库审计系统实现对数据立体防护能力。
相关车企在数据合规方面动作频频,反映出怎样的市场现状?受访专家表示,汽车行业是数据密集型行业,企业的相关合规需求愈发强烈,对外招募数据合规服务项目供应商就是表现之一,这样的招募方式有可能会成为未来的趋势。
车企招募数据合规服务供应商
在供应商基本资质方面,比亚迪提出了一系列具体要求,包括注册资金200万元(人民币)及以上、企业注册年限2年以上等等,100人以上大型综合性律师事务所或咨询机构优先。
在法律业务领域,供应商需提供数据合规专项服务,包括个人数据、汽车数据、金融数据、地图数据等方面的合规工作。具体来看,供应商应在近三年为至少2家(包含)世界500强或知名企业(所在行业TOP10)提供过欧盟国家个人数据合规项目案例。在对应国家有为企业产品经销及经营管理方面提供过数据合规专项评估服务,有相应专项经验,如汽车产品数据合规(包括产品本身功能,经销售后,运营管理,网站等);或电池经销售后及运营管理合规,或地图数据合规等。相应专项经验(包括合规义务识别,差异化分析,风险评估,数据合规设计逻辑检测验证,上线测试等),有数据合规检查服务成功案例。此外,在数据合规领域上知名榜单者优先(如LEGALBAND)。
北京大成律师事务所高级合伙人邓志松表示,之所以强调个人数据、汽车数据、金融数据和地图数据,是因为这些数据需要满足特殊的监管要求,且是车企在日常经营过程中所涉及的,是行业数据合规的重点和难点。
海问律师事务所合伙人傅鹏也认为,这些方向是汽车行业业务本身处理数据的重点场景或环节。“地图数据合规是汽车行业数据合规中很具特色的领域。个人信息则是汽车行业一定会处理到的。而金融数据伴随着汽车企业几乎‘标配’的汽车金融公司。”
傅鹏还提到,比亚迪需要在欧盟具有数据合规落地经验的法律供应商,反映出这一项目可能也包含为了在欧盟的汽车销售和业务拓展做准备。“这体现出我国头部新能源车企出海的实力与决心。当前汽车行业的出海企业,在遵从当地法律、提升合规水准的意愿方面,拥有一个很好的起点。”
21世纪经济报道记者了解到,最近在数据合规方面有新动作的车企不止比亚迪一家。例如,长城汽车就在近期发布了数据合规管理平台项目的招标计划。
“通过建设应用数据风险及跨境治理系统、数据库审计系统实现对数据立体防护能力,从管理层面实现数据主体权利响应和数据风险评估流程全覆盖,从技术层面实现数据发现、数据流转地图、数据资产管理及数据分类分级,从而实现数据全流程合规和监管规则体系建立。应用数据风险及跨境治理系统、数据库审计系统,包括产品部署、升级、调试、培训、技术支持、售后服务等的全部内容,投标方对所提供的所有软件、硬件设备质量及服务负最终责任。”长城汽车在项目概况中介绍道。
邓志松表示,车企对外招募数据合规服务项目供应商反映出当前市场现状中数据合规的重要性和紧迫性。“汽车行业作为一个数据密集型行业,尤其需要关注数据的安全性和处理的合规性。这种招募方式可能会成为未来的趋势,因为专业的数据合规服务供应商可以提供专业知识和经验,帮助企业应对日益严格的法律法规和监管要求。”
驶向汽车智能化下半场
近年来,众多车企涌入自动驾驶赛道,驶向汽车智能化下半场,而众多种类的数据正是自动驾驶发展的关键。相应地,车企对于数据合规的需求更加迫切。
即使比亚迪董事长王传福曾公开表达自动驾驶是“虚头巴脑的东西”,但种种迹象表明,比亚迪没逃过“真香定律”,已在智能化道路上布局发力。据媒体报道,近期比亚迪执行副总裁李柯在内部投资者沟通会议上表示,目前比亚迪已经在自动驾驶上招到四、五千人规模的软件团队。她直言,“我们并不领先于其他人,但我们将在两到三年内提出各种类型的创新。”
除了大规模招贤纳才,比亚迪在外部合作方面也动作频频。去年2月,比亚迪选择百度为其智能驾驶供应商,百度向比亚迪提供行泊一体的ANP智驾产品与人机共驾地图。次月,比亚迪宣布与英伟达在智能驾驶技术方面达成合作。紧接着,去年4月比亚迪牵手芯片公司地平线,将在其部分车型上搭载地平线高性能、大算力自动驾驶芯片征程5,从而实现高等级自动驾驶功能。
另一边,长城汽车不断加码自动驾驶落地。长城汽车5月在投资者互动平台披露,其联营公司毫末智行在国内引领了自动驾驶技术大数据、大算力、大模型的发展方向,推出了中国首个数据智能体系“雪湖”、中国自动驾驶行业最大的智算中心“雪湖绿洲”以及全球首个自动驾驶认知大模型Drive GPT。目前,自动驾驶数据智能体系的学习时长,已超过56万小时虚拟驾龄,相当于人类驾驶6.8万年,推动智能驾驶产品快速迭代并向全场景迈进。
数据是破局关键
“自动驾驶的发展依托于对大数据的处理,能否采集更多的数据、有效地利用好所采集到的数据直接影响自动驾驶的效果。”邓志松指出,自动驾驶系统依赖于大量的道路数据、行车数据、驾驶数据的采集、处理、分析来训练和优化算法,通过道路测试和仿真测试积累的海量数据提升自动驾驶性能。在道路测试阶段,测试数据能优化自动驾驶性能;在落地应用的过程中,驾驶决策依赖于高精度地图数据、实时交通环境数据,同时产生车辆运行数据、控制数据以及个人数据等。
“汽车行业本身就是数据合规监管最为严格的行业之一,除《网络安全法》《数据安全法》《个人信息保护法》外,工信部等部门出台了多项针对汽车数据的专项规定,如《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》《车联网网络安全和数据安全标准体系建设指南》等,涉足自动驾驶的企业应当在着手技术研发的同时构建起完整的数据合规体系。”邓志松说。
具体而言,自动驾驶相关企业应当注重数据采集、存储、使用、加工、传输、删除等全流程的数据合规。邓志松举例,在采集阶段,如涉及个人信息的收集,应当以显著方式告知并获得个人的同意,对于涉及敏感个人信息的还应当获取个人的单独同意;针对个人生物识别特征信息,只有具有增强行车安全的目的和充分的必要性时方可收集。同时,《汽车数据安全管理若干规定(试行)》明确默认不收集原则,要求“除非驾驶人自主设定,每次驾驶时默认设定为不收集状态”。
此外,在存储上,应当确保企业建立起完整的数据安全管理体系,避免发生数据泄露等数据安全事故。在使用过程中,对于个人信息,应当严格在用户授权范围内使用;遵循“车内处理原则”,除非确有必要,未经匿名化处理的数据不得向车外提供。如果涉及数据跨境传输,则应遵守数据安全法的相关规定,如有重要数据以及达到一定规模的个人信息出境需进行数据出境安全评估,获得批准后方可出境。
傅鹏则提示,测绘地理信息需要相关企业特别关注。“我国法律规定,收集、处理、存储测绘地理信息的活动构成测绘活动,需要持牌才能进行,相应的测绘牌照的准入门槛相对高,目前国内发放的数量也并不多。所以自动驾驶企业视具体业务形态,往往需要申请测绘牌照,或者与有测绘资质的图商合作。”
“另外,在个人信息保护方面,纯粹的自动驾驶研发阶段涉及的个人信息很有限,但是目前越来越多的自动驾驶项目进入到商业化试运营,特别是自动驾驶出租车(Robotaxi)项目,可能收集到相对数量更多的乘客信息。实践中,企业需要特别注意遵守必要原则,避免收集与业务场景没有任何关系的个人信息,从而降低风险。”傅鹏说。
邓志松建议,企业应当全面梳理自动驾驶过程中所收集的数据的种类,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,区分一般数据与重要数据、个人信息与敏感个人信息。
“数据分类分级是数据保护管理的基础。应优先遵循国家和行业的数据分类要求,如果所在行业没有具体数据分类规则,也可从组织经营维度进行数据分类。明确不同类别数据的访问权限、使用规则、存储期限等,按照数据的种类、安全等级,制定数据全生命周期的安全管理措施。”邓志松表示。