2026年开年,《天津市促进智能网联汽车发展条例》正式落地施行,北京、重庆L3级自动驾驶试点相继落地,我国高级别自动驾驶商业化进程正式迈入关键窗口期。
1月23日,在天津大学法学院、北京科技大学文法学院、北京市物权法学研究会、天津市法学会科技法学分会联合主办,北京科技大学文法学院中国式现代化实践法治研究中心、北京市盛廷律师事务所共同承办的“驶向未来的关键界点:面向高级别自动驾驶落地的法治需求与天津实践”专题研讨会上,北京市盛廷律师事务所管委会副主任、数据资产事业部主任李永卓抛出了行业核心命题:“一辆L3级智能网联汽车日均产生数据量可达30GB,Robotaxi单日数据产出更是突破100GB。这些同时承载着用户隐私信息与巨大商业价值的数据,究竟该如何在合规红线与产业创新之间找到精准的平衡点?”
这一问题,精准戳中了当前智能网联汽车产业发展的核心痛点。中国信通院数据显示,2024年我国智能网联汽车数据规模增速高达29.28%,全球智能网联汽车单日数据生成总量已突破6亿GB。这些海量数据,既是驱动自动驾驶算法迭代升级的核心“燃料”,也是触碰个人隐私红线的高危“雷区”,更是尚未被充分挖掘的数字“金矿”。在数据合规强监管与数据资产化高需求的双重背景下,自动驾驶产业正经历一场关乎发展根基的规则重构与路径探索。
“自动驾驶数据处理的核心矛盾,本质上是技术创新与隐私保护之间的天然张力。”李永卓在研讨会上强调,我国已搭建起以《网络安全法》《数据安全法》《个人信息保护法》三大法律为核心支柱,以《网络数据安全管理条例》《汽车数据安全管理若干规定(试行)》为配套细则,以汽车数据出境专项监管规则为补充的多层次、系统化数据安全与隐私保护法律体系,为自动驾驶全流程数据处理划定了清晰的合规边界。
在这套法律体系中,三大核心法律构建了数据合规的顶层框架,形成了覆盖全流程的刚性约束。
《个人信息保护法》确立的“合法、正当、必要”原则,是自动驾驶数据采集与处理的首要遵循准则。在产业实践中,这一原则被拆解为可落地的操作规范:车企需严格采用“默认不收集”模式,仅在自动驾驶功能激活期间记录相关行车数据,摄像头、雷达等感知设备的采集范围需严格匹配功能需求,严禁采集与行车安全无关的乘客娱乐偏好、私人对话等非必要信息。针对车辆行踪轨迹、驾驶员面部图像、生物识别特征等高敏感个人信息,法律更是设置了“单独告知+明确授权”的高门槛,车企需通过车载显示、语音提示等显著方式,单独向用户告知数据收集的目的、方式与影响,在获得用户单独同意后方可采集,同时必须保障用户随时关闭数据收集功能的权利。一旦发生数据泄露事件,企业需在法定时限内采取补救措施,并履行对用户的告知义务。
《数据安全法》为自动驾驶数据全生命周期管理筑牢了安全根基。法律明确要求数据处理者建立健全全流程数据安全管理制度,采取对应的技术措施保障数据安全。针对汽车领域重要数据,《数据安全法》划定了核心管控规则:企业需对重要数据开展常态化风险评估并报送评估报告,重要数据原则上应当依法在境内存储;确因业务需要向境外提供的,必须通过国家网信部门会同国务院有关部门组织的安全评估。同时,法律赋予监管部门数据安全检查、风险评估等监管职权,为汽车数据分类分级保护、重要数据全流程管控提供了明确的法律依据。
《网络安全法》则从网络基础设施与安全防护层面,为汽车数据安全构建了底层屏障。法律要求,利用互联网开展汽车数据处理活动的主体,必须严格落实网络安全等级保护制度,强化汽车数据保护技术体系建设,依法履行数据安全保护义务,全面防范网络攻击、数据泄露、数据篡改等安全风险,从网络基础设施层面阻断汽车数据被非法获取、篡改、泄露、滥用的可能性。而《网络数据安全管理条例》作为核心配套法规,进一步细化了数据分类分级、风险评估、应急处置等具体操作要求,与《数据安全法》形成制度衔接,为自动驾驶数据的精细化、规范化管理提供了可落地的操作准则。
针对车外公共场景数据采集的特殊合规难题,《汽车数据安全管理若干规定(试行)》设置了专项规则,填补了场景化合规空白。针对车外摄像头采集的路人、车牌等无法履行事前告知义务的敏感信息,规定明确要求必须在车端完成实时匿名化处理,对人脸、车牌等敏感信息进行不可逆模糊化处理,未完成匿名化的数据严禁向车外传输。同时,要求车企在车辆前挡风玻璃、后视镜等显著位置张贴数据采集提示标识,履行对公众的告知义务。这一规定与《网络数据安全管理条例》的数据脱敏处理要求形成呼应,构建了公共场景数据采集的双重合规约束。
值得关注的是,工业和信息化部等八部门联合发布的《汽车数据出境安全指引(2026版)》,为自动驾驶数据跨境流动搭建了专项合规框架,成为我国汽车数据安全体系的重要补充。该指引紧扣汽车行业研发设计、驾驶自动化、软件OTA升级等典型场景,明确了申报安全评估、订立标准合同、通过出境认证三种数据出境合规路径的适用条件,同时划定了安全漏洞修补、安全事件处置、OTA升级等九类免于申报安全评估的情形。指引要求企业建立事前保护、事中监测、事后处置的全流程出境安全保护体系,同时优化了申报流程,明确企业在申报环节仅需提供数据类型、规模等特征信息,无需提交原始数据,在严守数据安全底线的同时,大幅提升了汽车数据跨境流动的便利化水平。
这套合规体系绝非纸面规则,法律层面设置了极具威慑力的违法成本。《个人信息保护法》第六十六条明确规定,违法处理个人信息情节严重的,可处5000万元以下或者上一年度营业额5%以下罚款,对直接负责的主管人员和其他直接责任人员最高可处100万元罚款;《数据安全法》《网络安全法》也分别针对数据安全违法行为、网络安全防护不到位等情形,设置了罚款、责令停业整顿、吊销相关许可证等严厉处罚措施。“合规成本远低于违法成本,这是企业必须牢牢守住的发展底线。”李永卓强调。
严守合规底线,并非限制数据价值的释放。恰恰相反,完善的合规体系,为自动驾驶数据的资产化转化筑牢了制度根基。在法定框架内,自动驾驶数据的商业价值与资产属性正被逐步激活,多地立法与产业实践已开启了多元化的价值探索。
制度层面率先为数据价值释放扫清障碍。新施行的《天津市促进智能网联汽车发展条例》第十八条明确规定,支持智能网联汽车产业主体建立数据开发利用合作机制,依法合规开发数据服务产品,从地方立法层面为自动驾驶数据的合法利用与价值转化提供了明确支撑。
数据要素市场成为数据价值转化的核心载体。当前,国内主流数据交易所已纷纷上线自动驾驶相关数据产品,形成了合规的数据流通与价值变现通道。其中,北京国际大数据交易所正式挂牌自动驾驶危险工况及事故场景库数据产品;上海数据交易所已推出9个自动驾驶相关数据集,覆盖环球自动驾驶产业图谱、无人驾驶算法模型训练路侧数据等多个核心领域。这些经过严格脱敏、合规处理的数据产品,已成为自动驾驶企业算法训练、场景仿真验证的核心资源,实现了数据价值的场内合规流转。
金融领域的创新突破,让自动驾驶数据完成了从“数字资源”到“企业资产”的关键跨越。天津智算数字产业发展有限公司依托车路云一体化示范系统产生的30余项数据资产,经天津数据资产登记评估中心专业评估后,获得天津市首张“智能车联网示范应用数据资产登记证书”,并以该数据资产为质押,成功获批银行授信,完整落地了数据资产质押融资的全流程。这一标杆案例,印证了合规处理的自动驾驶数据,可成为企业具备融资价值的“数字硬通货”,为数据资产的金融化探索开辟了可行路径。
深圳广联科技打造的“智能体RWA生态”,则为自动驾驶数据资产化开辟了国际化探索路径。该项目通过区块链技术,将汽车全生命周期数据上链存证与权属确认,结合车辆实体资产转化为合规可交易的数字通证,应用场景覆盖汽车租赁、二手车出口、电池回收等汽车全产业链环节,未来还将向智能机器人、低空经济等领域延伸。目前,该项目已完成10亿港元首轮融资,实现了自动驾驶数据价值的合规跨境流动,为数据资产化的全球化探索提供了全新样本。
与此同时,地方层面的政策激励机制也在加速形成,为企业合规挖掘数据价值提供了正向引导。北京经济技术开发区出台专项政策,对通过合规渠道获取并有效利用流通数据的企业,按实际支付数据交易额的30%给予资金支持,单家企业每年最高可获150万元补贴。这类“真金白银”的政策激励,进一步推动企业在严守合规底线的前提下,主动探索自动驾驶数据的价值释放路径。
“隐私保护与数据价值释放并非非此即彼的零和博弈,而是需要持续优化、动态适配的共生关系。”李永卓指出,这种平衡的实现,绝非单一主体的责任,而是需要政府、企业、行业多方协同发力,以完善的法律体系为根基,以先进的技术手段为支撑,最终实现数据在安全可控的前提下,充分释放商业价值与产业价值。
企业作为数据处理的核心责任主体,需将合规思维嵌入产品全生命周期,构建全流程、体系化的数据合规管理体系。在数据采集环节,需严格坚守“最小必要”原则,全面落实《个人信息保护法》的知情同意与单独授权要求;在数据存储环节,需严格执行《数据安全法》《网络数据安全管理条例》的分类分级保护要求,对重要数据、核心数据采取专项安全防护措施;在数据使用环节,需通过脱敏、去标识化等技术手段,确保数据处理符合《汽车数据安全管理若干规定(试行)》的相关要求;在数据传输环节,尤其是跨境传输场景,需严格按照《汽车数据出境安全指引(2026版)》选择合规路径,强化全流程安全防护。同时,企业需建立常态化的数据安全风险评估机制,定期开展合规审计,全面防范数据泄露、滥用等安全风险。
政府作为制度供给者与监管者,需持续完善规则体系,平衡好安全监管与产业创新的关系。目前正在征求意见的《交通运输数据安全管理办法》,将交通运输数据划分为一般数据、重要数据、核心数据三个等级,明确了不同级别数据的差异化保护要求,与《数据安全法》的分类分级管理要求形成有效衔接,将为自动驾驶数据的精细化管理提供更具针对性的制度依据。对此,李永卓建议,各地监管部门应加快构建数据安全监管沙盒机制,在严守安全底线的前提下,为企业的合规创新提供容错空间;同时需加强《汽车数据出境安全指引(2026版)》的宣贯与培训,指导企业精准识别重要数据、完成备案申报,推动专项规则的落地见效。
技术创新是破解隐私保护与价值释放矛盾、实现动态平衡的核心支撑。隐私计算、区块链、合成数据等前沿技术的规模化应用,能够实现“数据可用不可见、用途可控可计量”,从技术层面打通隐私保护与价值释放的双向通道。例如,吉利汽车研究院研发的合成数据产品,已成功应用于智能驾驶算法训练与仿真测试,在保障数据安全的同时,有效降低了算法迭代对原始行车数据的依赖;而区块链技术具备的不可篡改、全流程存证、权属确认等能力,既为自动驾驶数据资产的确权、登记、交易提供了底层技术支撑,也为《汽车数据出境安全指引(2026版)》要求的全流程日志管理、数据溯源追踪提供了技术保障。
随着L3级自动驾驶进入规模化落地的关键阶段,自动驾驶数据治理也将迎来更复杂的挑战。李永卓对此提出行业发展建议:企业端应将“合规先行”理念嵌入产品设计的源头,全面遵循《个人信息保护法》《数据安全法》《网络安全法》等法律法规的核心要求,构建全流程合规体系;政府端应加快完善数据确权、价值评估、场内交易等基础规则,持续优化《汽车数据出境安全指引(2026版)》等专项规范,为产业发展提供清晰的制度指引;行业端应建立健全自律规范与标准体系,形成行业共识,共同推动自动驾驶产业在安全合规的轨道上,实现高质量、可持续发展。
这场关乎自动驾驶产业未来的数据博弈,从来没有一劳永逸的标准答案。但行业已然形成清晰的共识:隐私安全是数据价值释放的前提,合规经营是产业创新发展的底线。唯有以完善的法律体系为根基,以多方协同的治理体系为支撑,以技术创新为抓手,才能真正筑牢数据安全与隐私保护的防线,夯实数据资产化的制度与技术基础,最终让自动驾驶产业在合规与创新的动态平衡中,驶向更广阔的商业化未来。
盛廷律所创立于2007年,汇聚了一批来自北京大学、清华大学、中国政法大学等知名高校的高素质专业人才,拥有深厚的专业功底和丰富的办案经验。盛廷律所现办公面积约为5000平方米,在职人员近500人。盛廷律所致力于为土地、数据等生产要素应用与产权保护领域提供高品质法律服务。
为更好地服务前沿科技企业,2024年,盛廷律所设立数据资产团队,旨在为前沿科技企业提供贯穿创新研发、商业转化、风险防控、战略发展的全生命周期法律服务,突破传统法律服务边界,深度介入科技企业的战略决策过程。通过“法律+技术+商业”三维能力融合,不仅为企业降低风险,更直接参与价值创造,成为创新生态构建的关键支撑。
业务简介:
涵盖数据合规、数据跨境、数据资产融资、算法算力、人工智能、机器人、智慧城市(社区)、低空经济、新能源、虚拟现实、元宇宙等高科技行业的各个领域,并提供投融资、并购、股权架构、知识产权布局、企业出海等全方位、体系化法律服务。
阶段性成果:
1、代理了全国首例“涉他人个人信息查阅复制权案”并获得法院实质性支持
2、中国通信标准化协会大数据技术标准推进委员会全权合作伙伴
3、中国国土经济学会数字经济专委会战略合作伙伴
4、全球数据资产理事会理事单位
5、“数据合规50人论坛”发起单位之一
6、北京国际大数据交易所联盟单位
7、上海数据交易所数据合规评估服务商
8、应邀参与制定全国首个数据资源信贷融资团体标准《可入表数据资源信贷融资基础要求》及《数据资产入表指南》等标准;参编中国信通院《数据智能白皮书(2024)》、全球数据资产理事会《数据资产年度运营报告(2023)》,著有《价值跃迁:数据资产化实践》等书
9、联合清华大学、北京大学等多所高校专家学者先后举办了“数据基础制度、数据竞争、数据资产担保法律实务”“个人信息复制权典型案例”“DeepSeek类人工智能发展的法律保障”“算法治理的法律框架与实践路径”“物流数据生态重构的新契机和新机遇”等高质量研讨会,被《法治日报》、“法治网”等权威媒体报道
10个月宝宝每天需要喝多少奶粉?
