我们今天特别邀请到了另外一位嘉宾，前面都是圈内的，我们想从另外一个角度探讨一下，我们请到了瑞栢律师事务所的合伙人王景先生，从另外一个角度探讨各方如何维护数据。

王景：大家中午好，很高兴作为最后一个发言者跟大家探讨一下智能网联背景下的信息安全的问题，我是非技术专业的背景，一直做律师，所以我的角度更多的是从法律的角度，而不是从技术和专业的角度。

先介绍一下我们的平台，大家可以看到，这是普华永道全球法律服务网络，普华永道也能提供法律服务，它在全球法律服务网络，将近3000名律师，从规模上应该是全球最大的服务法律方之一。在国内，我们是有两家专门的律师事务所。

这两天有的演讲嘉宾提到了关于智能网联汽车相关的法律法规的一些变化，我更多的是从网络安全法的角度提的，为什么要提网络安全法？首先，这是一个在我国的立法史上是特殊的一个五法律，因为它出台的速度非常快，2015年6月份，人大常委会第一次审议这个稿，一年之后，第二次2016年6月份第二次审议，把这个草案发布出来供社会评议，4个月之后发布了第二稿，再过4个月，2016年11月份，网络安全法就出来了，所以说它的程序在段短一年内就走完，表决通过率非常高，154票赞成，0票反对，1票弃权。高的通过率和过程的起伏形成了很有意思的对比，在立法的过程中，征求一见钟，有40多个国外的商会联名给李克强总理写信抗议网络安全法里面若干 重要的内容，也说明了网络安全法对我们的企业来讲，都是有非常重要的影响。

对于我们今天的话题来说，从一个法律工作者的角度来简述一下我对车联网的理解，首先车联网的参与主体，我这儿列了几个跨国、国内汽车制造厂商，不管是传统的汽车制造厂商还是互联网汽车，都把智能网联汽车作为发展的目标，参与到其中来。其中最不容忽视的就是互联网公司，他们利用自己在互联网方面的一些优势，进入到汽车领域，和传统的汽车厂商合作，构成了车联网重要的一个当事方。

车联网的对象，也是从自车为中心，和道路上其他的车辆，和道路状况，包括昨天德国专家提到了基础设施，包括它和网络互联网、局域网、智能家居、物联网、人，车内的驾驶员、乘客，还有道路上其他的交通参与者，都发生了大量的信息的交换，依托于网络。

在这个过程中产生了大量的信息，包括个人方面的信息，地理方面的信息，产品信息、技术信息，关于某些机构的敏感信息、公共交通的信息，大量的信息，通过网络采集传输、使用，分享，其实会产生很多的法律问题，刚才我们很多专家都提到了，如果发生黑客攻击的话，汽车有可能会变成一个非常危险的攻击的武器。

从这个角度讲，我们的网络安全法作为网络安全领域里面一个根本性的大法，对于我们所有参与智能网联汽车和车联网的企业来说，都是非常重要的意义，因为这个法律规定了很多基础性的制度。其中最主要的就是网络运营者，网络运营者在这个法里面的定义非常宽泛，就是网络的所有者管理者和网络服务提供者。什么意思呢？就是说如果您这个公司，在国内有自己的网站，或者是说您在业务经营过程中，和你的总部或者是和你的境外的业务伙伴，有这种跨境的信息交流，或者说你的一部分或者部分的业务，或者交易，通过网络来产生，或者是说你在中国收集一些信息，但是收集信息，如果只是线下的，是不适用的，但是现在已经很少有这样的事情了，既使在线下收集的信息，也是有可能通过网络的形式进行传播，所以一旦发生这样的情况，其实就会被视为网络运营者，网络运营者在网络安全法上有非常繁重的法律义务。

还有一类特殊的主体，叫关键信息基础设施运营者，是指一旦发生攻击、泄露或者失能的时候会给国家安全社会公共利益造成重大损失的，这些设施的运营者，这个在等级保护的基础上受到特别的监管，承担更多的义务。刚才有嘉宾提到很多跨国的汽车公司对网络安全法非常紧张，很大的原因就是他们怕自己被归为关键信息基础设施运营者这一类当中。

这张片子，大概列了一下网络运营者和关键信息基础设施运营者主要在网络安全方面的义务，一个普通的网络运营者，制定内部的制度，采取基础设施防范硬度攻击，监测网络运行的状态，保存网络日志至少6个月，我提醒一下，网络安全法制定过程中，经过了很多的博弈，发生了很多的变化，有用词是有很深的含义，规定相关信息留存不少于6个月，…网络数据的备份加密，使用的一些产品和设备，需要满足国家强制性的标准和要求，它在采集用户信息的时候，必须要实名制。如果是国家公安机关，因为追查犯罪的需要，要求你提供技术协助，你是有这个义务来提供的。也就是说大家如果还记得，苹果拒绝美国FBI解锁苹果手机的事情，在中国是不可能发生的。

关键信息基础设施运营者还有更多的义务，比如说设置了专门的管理人员必须要进行背景调查，必须要定期对专业人员进行教育培训和考核，它要对重要系统和数据库备份，要有应急预案，定期演练，采用的一些设备，涉及到国家安全的，要经过国家安全的审查。

除了这个网络安全义务之外，在数据保护方面，网络运营者和关键信息基础设施运营者，也有承担不同的义务。作为网络运营者而言，他在收集信息的时候，要遵循合法、正当 、必要的原则，收集的信息，必须合法，必须要符合正当的商业目的，不能收集过度，比如说一个导航的服务提供者，收集信息的时候，是不是一定要收集他的性别、工作、工作单位、宗教信仰，有没有必要，其实是可以研究的，收集信息要遵循必要的原则。收集的方式，使用的规则都要明示，征得被收集对象的同意，这个同意，到底是用什么方式做出的，是一个明示的，还是默示的，还是要专门的签名还是在电脑上点击，还是在手机上订阅就视为同意，在法律上都有不确定性。

信息收集完之后，还有保密的业务，不能随意篡改或者毁损。除了特别的情况，它是不能够，并且征得信息的主体的同意，是不能把信息转让给其他人的。当然为了满足大数据的发展的要求，如果这个信息经过处理，不能够识别到具体的个人，而且不能够复原的，这个信息是可以来传输的。但是个人在涉及到自己的信息的时候，如果发现运营者掌握的信息不对，或者说已经过期了，有权要求把这个信息更正或者删除，如果我不用你这个APP，我是不是有权要求你把我的信息从你的数据库里删除，从法律角度个人是有这个权利的。

如果是关键信息基础设施运营者，你的个人信息和运营数据必须保留在境内。网络运营者和关键信息基础设施运营者有不同的义务，到底谁是关键信息基础设施运营者？我列了一些不同的来源，网络安全法里面列了7大行业，包括信息服务、能源交通、水利、金融、电子政务等，可以和大家说的是，既使从政府的角度，它也不会认为只是这7类，因为在网络安全法出台之后，2016年12月份另外两个重要的文件，就是信息通讯行业发展十三五规划里面，又增加了其他的行业，国家网络空间发展战略这个文件里面也提到了其他的关键基础设施，2016年6月份，也就是网络安全法第一稿征求意见的时候，网信办发布了一份很重要的文件，就是网络安全检查操作指南，这里面列了10几个行业，这里面和大家相关的，第四类，就是交通，无论从哪个文件来讲，它都是关键信息基础设施所在的行业，谈到智能网联汽车，所涉及到的行业，可能不只是交通，作为一个服务提供商，有可能你是可以归在信息服务领域或者电子政务领域都有可能。

如何来识别关键信息基础设施运营者？应该这样讲，网络安全法出台之后，有更多的实施的法规和细则在制定过程中，有的已经出台，有的还没有，关键信息基础设施的识别的规定还在制定过程中，据我们了解正在制定的实施细则和2016年的指南从结构上非常像，这个指南里面，列明了三步走的办法，第一个就是确定一下你所在的行业和关键业务，可以跟大家说的是，交通是操作指南里面的四大行业之一，里面特别提到了公路交通，公路 交通也提到了交通管控和智能网络。第二步，交通管控的网络相关的系统，第三步，套用不具体的标准，网站类、平台类、生产业务类，具体的标准我就不一一列举，但是可以跟大家提示一下的是，里面的标准有的是非常细，比如说网站类，只要有每天100万的点击就是关键信息基础设施，平台类，有1000万的活跃用户，每个月登陆一次的活跃用户，有100万也是关键信息基础设施，生产业务类的，如果发生事故造成地级市30%的人口生活受到影响，供水供电交通出行受到影响，你的设施也要被视为关键信息基础设施。 关键信息基础设施运营者和我们理解的运营的公司实体不是对应的。

关键信息基础设施运营者，在普通的网络运营者的基础上，更多的义务，主要有两点，一个就是网络安全审查，如果你是一个关键信息基础设施运营者，你采购了一些设备和网络服务的话，如果这些设备和服务涉及到国家安全，这些设备和服务必须要经过网络安全审查。这个规定已经出来了，今年5月份出来，在今年6月1号和网络安全法一起生效，这里面就提到，为了实现安全性和可控性，审查的指标，主要是从4个角度，一个就是说你的产品和服务本身，第二就是你的供应链，第三个是你的产品和服务提供者，利用这个产品和服务，非法收集用户信息的风险，第四，如果你的产品和服务市场占有率非常高，你如果利用客户的依赖从事一些其他的损害用户利益的，这也是安全审查的重要的角度。

数据本地化，关键信息基础设施运营者在国内的运营中所收集产生的个人信息和重要的数据，必须在境内存储。什么是个人信息，什么是重要数据，这个是有专门的定义。这个也经过慢慢演变的过程，一审稿二审稿和法律的最审稿里面也不一样，网信办4月份公布的征求意见稿，这个征求意见稿没有正式出台，其中的原因，我个人的理解，它的争议非常大，因为什么争议大？首先，它把数据本地化的义务从关键信息基础设施运营者，扩展到了所有的网络运营者，也就是说把对只有一部分群体施加的义务扩展到更大的范围，这个是和网络法的初衷是有一些不一致的。它设置的标准，也有很大的不确定性，但无论如何，直到实施办法正式出台之前，我们还是要认真研究一下立法者的思路在哪里，这个规定首先强化了每个实体，每个公司本身，要做好评估工作，如果需要有一些数据传到境外的话，提供到境外，包括了信息发送到境外，也包括提供信息让境外的客户浏览，你在自我评估的时候，你要看是不是有必要提供给境外，如果有必要的话，个人信息的情况，数量、类型、敏感程度你要有考虑，涉及到重要数据的话，也是一样，接收方所在国家的关于网络安全保护的水平怎么样，你也要考虑，你提供给德国的母公司，和你提供给一个马来西亚的服务提供方，接收方的不一样，信息处境之后有没有可能接收方采用其他的方式，把这个信息和其他的信息相结合，损害我们国家的安全，这都是你自我评估的时候要考虑的因素。

对信息自我评估并承担责任，这是初始的原则，但是在某些情况下，必须要把信息提交给监管部门和主管机关进行强制性的评估，这个应该是引起争议比较大的地方，因为它列了几个标准，比如说这个信息含有50万元以上的个人信息，它的信息的容量超过1T，如果它包含了一些敏感的数据，比如说比较敏感的地理信息，比如说一些大型的活动，一些设施的数据。如果是要传输的信息里面，包括关键信息基础设施本身的一些信息，比如说交通管控网络的一些漏洞，比如说它的后台的一些bug，它的更新的频率，如果包含在这个信息传输的过程中，也要经过强制性的评估。如果这个信息是由关键信息基础设施运营者提供给境外的话，不管是什么样的，都要进行强制评估。其他可能影响国家安全和社会公共利益的都要强制评估，在这个基础上，这个规定还列了几条禁止出境的情形，比如说个人信息主体没有同意或者是说既使他同意，这个传输本身侵害他个人的利益，这个时候信息是不能提供给境外的，如果这个信息有可能对国家的国防带来风险，损害公共利益的，也是不能提供。另外就是经过网信部门公安部门认定不能提供的，都是不能提供。政府部门就说你不能提供，就说有政治风险，可能影响到国家安全，它就可以把这个路封死，所以对我们企业来说，带来很多的不确定性，对于我们行业的发展是不利的。

违反网络安全法的法律后果，分成三类，民事后果、行政后果、刑事后果，民事后果比较简单，行政后果，违反了网络安全法的规定，网信部门对你的处罚，责令改进、对公司主管个人进行罚款，以及在特定的情况下，比如说数据本地化的要求公司违反了，严重的时候，政府可以要求你暂停相关的业务，把营业执照吊销，许可证吊销，关闭你的网站，这对很多公司来说是非常严重的后果。

刑事责任，很多时候大家都没有意识到自己可能违反刑法，要遭到刑事处罚。5月9号，我们的最高法院最高人民检察院公布了一个法案，最敏感的信息，包括个人的行踪轨迹，信用信息、征信信息等等，只要50条非法提供或者是购买，或者是通过其他方式，侵犯了公民的信息权利，50条就构成犯罪。如果你这个公司是主业就是不断地收集存储个人信息的话，智能网联背景下，50条是很少的，如果是违反法律，把这个信息泄露出去，出售给其他人，50条就要被追求刑事责任，大家对于这个行业内的，无论是公司也好，还是具体的同业人员，都要引起警惕。

网络安全法已经出台，还有其他的实施细则在出台过程中，具体的实施细则决定了大家怎么样做才能做到遵守网络安全法。我的演讲内容就是这些，谢谢大家。

王兆：今天上午我们6位嘉宾的介绍都完成了，今天上午我们请信通院的同事，包括高通、碰安全、东软、腾讯，从不同的角度分别给大家介绍了对智能网联汽车网联化的看法，汽车信息安全如何办证如何去实现，结合我们网络安全法发布实施大背景下，发展智能网联汽车的时候，如何承担相应的法律义务和规避法律风险，进行了深入的探讨。到目前为止，我们的论坛就到这里结束，借这个机会，再次感谢演讲嘉宾和参与者对我们会议的支持，我们也希望今后大家一如既往给我们的支持，我们与汽车信息通信相关的机构进行密切配合，依托在座的各位骨干企业，共同助力汽车网联的发展，每年还是在这个日期举行第四 届智能网联汽车技术及标准法规国际研讨会，希望大家到时参加。谢谢大家。