趙海樂

（吉林大學(xué) 法學(xué)院，吉林 長春 130012）

一、引 言

當(dāng)前，“車聯(lián)網(wǎng)”已成為汽車產(chǎn)業(yè)與智慧城市建設(shè)的重要連結(jié)點，也成為數(shù)字經(jīng)濟的重要一環(huán)。車載終端設(shè)備將車輛與互聯(lián)網(wǎng)相連，實現(xiàn)對車輛實時工作情況的采集、存儲、發(fā)送，對車主駕駛偏好和操作安全進行實時記錄，并對路況、交通情況進行拍攝與匯集。這一技術(shù)不僅能夠為用戶創(chuàng)造個性化體驗、保證駕駛安全，其生成與匯總的大數(shù)據(jù)也能夠有效服務(wù)于汽車生產(chǎn)商改進產(chǎn)品、防范城市擁堵等一系列商業(yè)與社會目標(biāo)。

然而，正如任何新興事物的產(chǎn)生均會映射法律規(guī)制的滯后，“車聯(lián)網(wǎng)”的出現(xiàn)，同樣引發(fā)了諸如個人隱私保護、非個人信息歸屬、數(shù)據(jù)安全與國家安全等一系列問題。2021年對此最突出的體現(xiàn)，就是特斯拉、滴滴出行、滿幫集團先后引發(fā)的法律風(fēng)波①中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室：《市場監(jiān)管總局與中央網(wǎng)信辦等五部門約談特斯拉公司》，http://www.cac.gov.cn/2021-02/08/c_1614355732930891.htm，最后訪問時間：2021年8月31日。中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室：《網(wǎng)絡(luò)安全審查辦公室關(guān)于對“滴滴出行”啟動網(wǎng)絡(luò)安全審查的公告》，http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm，最后訪問時間：2021年8月31日。中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室：《網(wǎng)絡(luò)安全審查辦公室關(guān)于對“運滿滿”“貨車幫”“BOSS直聘”啟動網(wǎng)絡(luò)安全審查的公告》，http://www.cac.gov.cn/2021-07/05/c_1627071328950274.htm，最后訪問時間：2021年8月31日。。一方面，企業(yè)在“車聯(lián)網(wǎng)”背景下主張其數(shù)據(jù)權(quán)利，就不可避免地會與車主個人信息保護產(chǎn)生沖突。在特斯拉事件當(dāng)中，車企曾數(shù)次拒絕向車主提供行車數(shù)據(jù)；其后雖同意提供但又將全部數(shù)據(jù)在互聯(lián)網(wǎng)上公開①新華網(wǎng)：《“失控”的特斯拉！智能汽車的新維權(quán)之路該何去何從？》http://www.xinhuanet.com/fortune/2021-04/25/c_1127371141.htm，最后訪問時間：2021年8月31日。。這兩種反應(yīng)顯然均非處理行車數(shù)據(jù)的科學(xué)方式。另一方面，即便“車聯(lián)網(wǎng)”背景下產(chǎn)生的行車信息被匿名化而不屬于個人信息，車企對數(shù)據(jù)的掌握、利用與跨境傳輸也完全可能產(chǎn)生對國家安全的侵害?！败嚶?lián)網(wǎng)”完全可能對重要軍事設(shè)施進行高精度測繪，對于人流、車流的大數(shù)據(jù)記錄也可能形成對關(guān)鍵基礎(chǔ)設(shè)施的變相定位。掌握上述信息的不僅是傳統(tǒng)車企，還可能是網(wǎng)約車平臺企業(yè)和貨運平臺企業(yè)。滴滴出行與滿幫集團網(wǎng)絡(luò)安全審查事件就是又一例證。

“車聯(lián)網(wǎng)”數(shù)據(jù)治理，同時反映了個人信息、數(shù)字經(jīng)濟與國家安全三者之間的關(guān)系之爭，也進而提出了我國智能汽車產(chǎn)業(yè)發(fā)展亟需解決的一系列問題：“車聯(lián)網(wǎng)”數(shù)據(jù)究竟歸屬于誰？如何在堅持個人信息保護的同時實現(xiàn)數(shù)字市場蓬勃有序的發(fā)展？企業(yè)對數(shù)據(jù)的支配權(quán)怎樣行使，才不至于對國家安全產(chǎn)生負面影響？

對于上述問題，我國立法雖進行了一系列回應(yīng)，但總體而言仍不足以提供完美的解決方案。首先，我國目前并沒有對“車聯(lián)網(wǎng)”數(shù)據(jù)進行確權(quán)，因而依靠明確的所有權(quán)規(guī)則消弭爭議并不現(xiàn)實。根據(jù)《民法典》第111條，“自然人的個人信息受法律保護”。然而，“車聯(lián)網(wǎng)”產(chǎn)生的數(shù)據(jù)是否屬于個人信息尚有疑問。這主要是由于，《民法典》第1 034條對個人信息的界定，是“能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”。鑒于車主與駕駛?cè)丝赡芡耆灰恢拢败嚶?lián)網(wǎng)”究竟能否有效識別出特定自然人的身份尚有疑問。即便除去“車聯(lián)網(wǎng)”產(chǎn)生信息的個人與非個人信息之爭，僅僅將其作為“數(shù)據(jù)”加以看待，我國《民法典》同樣未從物權(quán)或財產(chǎn)權(quán)角度對其權(quán)屬進行規(guī)制，僅抽象性承認數(shù)據(jù)可能構(gòu)成財產(chǎn)權(quán)客體：“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”。在數(shù)據(jù)確權(quán)規(guī)則仍然缺位的今天，“車聯(lián)網(wǎng)”產(chǎn)生的數(shù)據(jù)勢必?zé)o法進一步確權(quán)。②南方都市報：《特斯拉公開事故前一分鐘行車數(shù)據(jù)，是侵犯隱私還是行使權(quán)利？》，2021年4月23日，https://www.163.com/dy/article/G8A7P9PA05129QAF.html. 最后訪問時間：2021年7月10日。

其次，對于可能被認定為個人信息的“車聯(lián)網(wǎng)”行車數(shù)據(jù)，我國法律同樣欠缺對其的保護性規(guī)定。我國目前雖然具有對自然人隱私權(quán)保護的規(guī)定，但“車聯(lián)網(wǎng)”數(shù)據(jù)并不總是與隱私相掛鉤。2021年4月的特斯拉事件當(dāng)中所涉的行車信息僅僅包括速度、剎車等技術(shù)性信息，這些并不與駕駛?cè)恕八矫芸臻g”“私密活動”相關(guān)，因而很難構(gòu)成《民法典》第1 032條第二款當(dāng)中所界定的“隱私”。而對于不屬于隱私的“個人信息”，理論上對此的處理和公開需經(jīng)自然人同意（《民法典》第1 035條），但此種“同意”很可能隨車輛購買的隱私條款而被動授予。舉例來講，在特斯拉（中國）的官方隱私政策當(dāng)中就明確提及，“我們可能會收集來自或關(guān)于您Tesla車輛的各種信息”，其中包括遠程信息處理日志數(shù)據(jù)、遠程分析數(shù)據(jù)、安全分析數(shù)據(jù)等；且，至少依據(jù)該隱私政策的表述，消費者無法自行在其車輛上拒絕對上述信息的收集。雖然消費者理論上可能通過聯(lián)系特斯拉公司實現(xiàn)這一目標(biāo)，但隱私政策當(dāng)中同時表明，拒絕信息收集將導(dǎo)致無法獲得軟件和固件定期更新等一系列功能，甚至導(dǎo)致“車輛的功能降低、嚴重損壞或無法操作”。③特斯拉中國：《隱私》，https://www.tesla.cn/about/legal#choice-transparency，最后訪問時間：2021年7月10日。與此類似，滴滴出行APP同樣具有車內(nèi)錄音錄像功能。錄音功能的開啟是使用滴滴服務(wù)的前提條件，且錄音完成后將直接上傳至平臺云端。④滴滴：《個人信息保護及隱私政策》，https://www.didiglobal.com/law，最后訪問時間：2021年8月1日。此功能雖有助于維護乘客人身安全，但同樣屬于強制獲取乘客同意。

最后，不論行車數(shù)據(jù)是否被匿名化、是否構(gòu)成個人信息，企業(yè)對此的商業(yè)開發(fā)均可能引發(fā)國家安全之憂。此種國家安全威脅的產(chǎn)生，首先是由于數(shù)據(jù)完全可能主動或被動流轉(zhuǎn)至境外。例如，根據(jù)特斯拉隱私政策，消費者使用其產(chǎn)品或服務(wù)即代表其同意將個人信息“轉(zhuǎn)移至居住國以外的國家/地區(qū)，包括美國”①特斯拉中國：《隱私》，https://www.tesla.cn/about/legal#choice-transparency，最后訪問時間：2021年7月10日。。滴滴出行引發(fā)國家安全審查，直接原因也在于其赴美上市完全可能因美國證券交易委員會要求披露某些數(shù)據(jù)。隨后的“運滿滿”“貨車幫”引發(fā)國家安全審查也是基于同一事由。而一旦數(shù)據(jù)被轉(zhuǎn)移至境外，就可能被他國政府或組織利用。例如，車載設(shè)備可能完成高精度測繪；大數(shù)據(jù)分析可能揭示我國涉密單位、黨政機關(guān)等重要敏感區(qū)域的人流車流數(shù)，甚至完成對我國關(guān)鍵基礎(chǔ)設(shè)施位置與狀況的推斷。如果考慮到滴滴出行擁有海量乘客個人信息數(shù)據(jù)庫、“運滿滿”“貨車幫”與物流關(guān)鍵基礎(chǔ)設(shè)施信息緊密相關(guān)，這些與行車數(shù)據(jù)結(jié)合會進一步加劇信息出境對我國國家安全的威脅。

對此，我國國家互聯(lián)網(wǎng)信息辦公室于2021年5月12日發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》當(dāng)中，特別提出了“重要數(shù)據(jù)”的概念并要求將此境內(nèi)留存，否則運營者將負有通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估的義務(wù)。不過，這并不是我國首次提出“境內(nèi)留存”與“數(shù)據(jù)出境安全評估”。早在2017年4月11日，國家互聯(lián)網(wǎng)信息辦公室頒布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》就曾提出重要數(shù)據(jù)出境的安全評估；但直至2021年《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》出臺，對于何為重要數(shù)據(jù)仍未形成統(tǒng)一標(biāo)準，且上述征求意見稿也尚未獲得通過。而即便將上述未生效法律文件視為正式法律淵源，此處也仍然留有一個問題：境內(nèi)留存是否能夠完全紓解國家安全之憂？

以上三點分析共同意味著，個人信息保護、數(shù)字經(jīng)濟、國家安全三者的關(guān)系如何處理，是我國“車聯(lián)網(wǎng)”數(shù)據(jù)治理亟需考量的內(nèi)容。目前，對此的國內(nèi)研究主要圍繞大數(shù)據(jù)財產(chǎn)權(quán)、個人信息商業(yè)利用、機器生成數(shù)據(jù)權(quán)益歸屬等議題展開，②參見：龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護的財產(chǎn)權(quán)化路徑》，《東方法學(xué)》2018年第3期；汪曉華：《企業(yè)數(shù)據(jù)財產(chǎn)權(quán)與用戶個人信息權(quán)益之沖突與協(xié)調(diào)》，《西南民族大學(xué)學(xué)報（人文社科版）》2020年第10期；邢會強：《大數(shù)據(jù)交易背景下個人信息財產(chǎn)權(quán)的分配與實現(xiàn)機制》，《法學(xué)評論》2019年第6期；李曉宇：《智能數(shù)字化下機器生成數(shù)據(jù)權(quán)益的法律屬性》，《北方法學(xué)》2021年第2期；郭如愿：《大數(shù)據(jù)時代個人信息商業(yè)利用路徑研究——基于個人信息財產(chǎn)權(quán)的理論檢視》，《科技與法律》2020年第5期。且對數(shù)據(jù)確權(quán)③對此的論述參見：何柯、陳悅之、陳家澤：《數(shù)據(jù)確權(quán)的理論邏輯與路徑設(shè)計》，《財經(jīng)科學(xué)》2021年第3期；許可：《數(shù)據(jù)權(quán)屬：經(jīng)濟學(xué)與法學(xué)的雙重視角》，《電子知識產(chǎn)權(quán)》2018年第11期；安柯穎：《個人數(shù)據(jù)安全的法律保護模式——從數(shù)據(jù)確權(quán)的視角切入》，《法學(xué)論壇》2021年第2期；程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》，《中國社會科學(xué)》2018年第3期；李愛君：《數(shù)據(jù)權(quán)利屬性與法律特征》，《東方法學(xué)》2018年第3期。問題關(guān)注較為集中；但專門針對“車聯(lián)網(wǎng)”數(shù)據(jù)本身的研究數(shù)量較少，相對偏重對歐盟和歐洲國家立法的綜述和對個人信息保護的論述。④近五年來的典型研究成果包括：張韜略、蔣瑤瑤：《智能汽車個人數(shù)據(jù)保護——歐盟與德國的探索及啟示》，《德國研究》2019年第4期；張韜略、蔣瑤瑤：《德國智能汽車立法及<道路交通法>修訂之評介》，《德國研究》2017年第3期；邱遙堃：《行蹤軌跡信息的法律保護意義》，《法律適用》2018年第7期；鄧輝：《論我國智能駕駛汽車中的個人信息保護》，《電子科技大學(xué)學(xué)報（社科版）》 2020年第1期。對于如何實現(xiàn)“車聯(lián)網(wǎng)”數(shù)據(jù)充分利用和防范國家安全風(fēng)險則鮮有論及。相對而言，國外研究對“車聯(lián)網(wǎng)”數(shù)據(jù)本身的關(guān)注更加集中，但研究基礎(chǔ)是美歐既有法律實踐，其國家利益立場天然有別于中國，⑤Wolfgang Kerber，Data Governance in Connected Cars：The Problem of Access to In-Vehicle Data，9（2019）Journal of Intellectual Property，Information Technology and Electronic Commerce Law. Daniel J.Fagnant，Kara Kockelman，Preparing a nation for autonomous vehicles：opportunities，barriers and policy recommendations，77（2015）Transportation Research Part A：Policy and Practice. Kerber，Wolfgang and Frank，Jonas，Data Governance Regimes in the Digital Economy：The Example of Connected Cars（November 3，2017）. Available at SSRN：https://ssrn.com/abstract=3064794.最后訪問日期：2021年8月1日。也無法為我國提供行之有效的法治建設(shè)方案。總之，國內(nèi)研究仍需在一般性數(shù)據(jù)治理規(guī)則研究的基礎(chǔ)之上，進一步聚焦“車聯(lián)網(wǎng)”數(shù)據(jù)治理問題，加強對個人信息保護、數(shù)字經(jīng)濟、國家安全三方關(guān)系的討論；國外研究從美歐立法實踐出發(fā)，其研究相對深入但仍需結(jié)合我國國情進行揚棄。因此，本文的分析，將以本部分已進行回顧的、我國“車聯(lián)網(wǎng)”數(shù)據(jù)治理法律缺陷為基礎(chǔ)，通過對美歐相關(guān)實踐與學(xué)術(shù)研究進行比較法研究，探尋人權(quán)、市場、安全三者的平衡之策。這將有利于實現(xiàn)智能汽車產(chǎn)業(yè)發(fā)展、個人信息保護與國家安全的三方共贏。“車聯(lián)網(wǎng)”數(shù)據(jù)治理的有法可依，同樣將有助于推進數(shù)字經(jīng)濟領(lǐng)域法治現(xiàn)代化進程。

二、歐盟進路：個人信息范圍擴張與信息出境限制

對于“車聯(lián)網(wǎng)”數(shù)據(jù)治理的比較法研究將從歐盟進路開始。這不僅僅是由于我國個人信息保護很大程度上與歐盟進路相似，也是由于，就“車聯(lián)網(wǎng)”問題而言，歐盟已具有了專門的規(guī)則。歐盟同樣會面臨個人信息保護——數(shù)字經(jīng)濟——國家安全三重考量，而歐盟處理此問題的思路在于擴大個人信息保護范圍、以數(shù)據(jù)確權(quán)推進數(shù)字經(jīng)濟，以限制數(shù)據(jù)跨境流動維護國家安全。

（一）“車聯(lián)網(wǎng)”語境下的個人信息保護

對歐盟而言，“車聯(lián)網(wǎng)”規(guī)制首先包括技術(shù)標(biāo)準，如歐盟2019年第2019/2 144號條例就是對于車聯(lián)網(wǎng)技術(shù)的強制性規(guī)定，如應(yīng)當(dāng)遵循隱私保護原則，具有強制關(guān)閉智能速度服務(wù)功能，強制安裝行車事件記錄裝置以存儲匿名關(guān)鍵車輛信息等要求；①Regulation（EU）2019/2 144 of The European Parliament and of The Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers，and systems，components and separate technical units intended for such vehicles，as regards their general safety and the protection of vehicle occupants and vulnerable road users，amending Regulation（EU）2018/858 of the European Parliament and of the Council and repealing Regulations（EC）No 78/2009，（EC）No 79/2009 and（EC）No 661/2009 of the European Parliament and of the Council and Commission Regulations（EC）No 631/2009，（EU）No 406/2010，（EU）No 672/2010，（EU）No 1 003/2010，（EU）No 1 005/2010，（EU）No 1 008/2010，（EU）No 1 009/2010，（EU）No 19/2011，（EU）No 109/2011，（EU）No 458/2011，（EU）No 65/2012，（EU）No 130/2012，（EU）No 347/2012，（EU）No 351/2012，（EU）No 1 230/2012 and（EU）2015/166.同時，也會包括對于車聯(lián)網(wǎng)數(shù)據(jù)保護的專門規(guī)定。

歐盟對“車聯(lián)網(wǎng)”信息的規(guī)制，首要特點在于將絕大多數(shù)“車聯(lián)網(wǎng)”信息作為個人信息進行保護。例如，2020–2021年間，歐洲數(shù)據(jù)保護委員會（EDPB）就兩次發(fā)布《車聯(lián)網(wǎng)和移動設(shè)施個人信息處理指南》，②EDPB.（March 2021）. Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications，Version 2.0.（hereinafter referred to as “EDPB Guidelines 2.0”）.在序言中明確表示，車聯(lián)網(wǎng)產(chǎn)生的大部分信息均可歸為個人信息。某些信息盡管并不直接與姓名相連，但至少會與“駕駛?cè)恕被颉俺丝汀毕嚓P(guān)，若進一步信息查詢就可通過車架號獲知車主的真實信息。③Ibid，paras.3.29.《通用數(shù)據(jù)保護條例》與歐盟2002年《電子隱私指令》均會對此適用。后者的適用，甚至并不以“車聯(lián)網(wǎng)”信息能夠聯(lián)結(jié)至特定自然人為前提。任何能夠與外界通訊的終端設(shè)備均有權(quán)獲得隱私保護。④Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector（Directive on privacy and electronic communications）. 需說明的是，此《電子隱私指令》的升級版《電子隱私條例》目前尚未正式通過。本文因而援引《電子隱私指令》的最新版本——2009年版。此處對“終端”的強調(diào)，是由于歐盟全部個人信息保護法律的合法性淵源均來自于《歐洲基本權(quán)利憲章》第7–第8條對于私人生活和通信自由的保護，而終端設(shè)備只要能夠與外界保持通訊，則通訊內(nèi)容必然屬于“通信自由”所保護的范疇。⑤Ibid，Recital，para. 24.“車聯(lián)網(wǎng)”信息也同樣如此。

在確定了“車聯(lián)網(wǎng)”信息除非匿名化則均應(yīng)作為個人信息得到保護之后，對于“車聯(lián)網(wǎng)”信息的具體保護方式，首先要遵循《通用數(shù)據(jù)保護條例》對于個人信息保護的一般性規(guī)定：個人信息與終端信息的流通，如無遵從法律要求、履行合同所必需的法定理由，就必須獲得信息主體的明示同意方可進行。此“同意”必須特定、清晰、合法。不僅如此，對信息的索取還必須符合數(shù)據(jù)最小化原則，即非必要不收集不處理。除此之外，歐盟車聯(lián)網(wǎng)指南特別強調(diào)，三類個人信息應(yīng)當(dāng)進行額外保護，即位置信息、自然人生物識別信息以及能夠反映駕駛?cè)诵淌路缸锘蚱渌`法行為的信息。位置信息是由于其與自然人私生活（如興趣愛好、工作與家庭地址、宗教信仰、性取向）緊密相關(guān)；生物識別信息是由于可以直接識別個人身份；而第三類信息則是由于，對刑事犯罪的起訴與懲罰直接涉及一國司法公正，此過程中的調(diào)查取證直接涉及犯罪嫌疑人的基本權(quán)利。因此，《通用數(shù)據(jù)保護條例》第10條專門對此進行了規(guī)定：對涉及犯罪與非法行為的個人信息處理應(yīng)當(dāng)在政府機關(guān)控制下進行，且應(yīng)當(dāng)保證信息主體的權(quán)利與自由不受侵犯?；诖?，上述三類信息的處理應(yīng)當(dāng)在車內(nèi)進行，盡量不將此數(shù)據(jù)傳輸至車外并避免上傳至云端；對信息的處理必須在信息主體知情的情況下進行，汽車生產(chǎn)商還應(yīng)采取積極措施避免此類信息的非法獲取、修改或刪除。①郭曉燕、李擁軍：《公眾參與立法的功能異化與矯正路徑》，《齊魯學(xué)刊》2021年第2期。同時參見 EDPB Guidelines 2.0，paras.67-68。

（二）便利歐洲數(shù)字市場發(fā)展的非個人信息確權(quán)

以上分析固然體現(xiàn)了歐盟對個人信息保護的嚴格態(tài)度，但這并不意味著汽車生產(chǎn)商、銷售商與保險公司等均無權(quán)獲得“車聯(lián)網(wǎng)”產(chǎn)生的各種信息。從理論上講，任何個人信息均可經(jīng)匿名化形成非個人信息。而在歐盟法項下，區(qū)別于個人信息保護的嚴格權(quán)利導(dǎo)向，非個人信息向來是以充分利用為立法準則。例如，與歐盟《通用數(shù)據(jù)保護條例》幾乎同時生效的非個人信息規(guī)制條例，其全稱為《歐盟非個人信息自由流動框架》（下文簡稱《框架》）。較之于前者名稱當(dāng)中的“保護”二字，后者名稱當(dāng)中的“自由流動”就已很大程度上表明了歐盟的態(tài)度。此《框架》序言第3段當(dāng)中進一步表明，對于數(shù)據(jù)的本地化要求，是對歐盟“四大自由”當(dāng)中的資本與服務(wù)自由流動的侵犯。②Regulation（EU）2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union（Text with EEA relevance）.因此，《框架》核心立法目標(biāo)在于，確保非個人信息在歐盟境內(nèi)自由流動，禁止歐盟各成員國無故施加信息本地化要求。

此處需注意的是，歐盟對非個人信息自由流動的要求，僅為“歐盟境內(nèi)”的自由流動而非真正意義上的“數(shù)據(jù)跨境流動”——全球自由傳輸。這是由于，歐盟的利益訴求一方面在于發(fā)展歐洲數(shù)字市場，但另一方面在于保證數(shù)字市場中的利益為歐洲企業(yè)而非美國互聯(lián)網(wǎng)巨頭享有。因此，歐盟在2017年歐洲數(shù)字經(jīng)濟動議③Communication From The Commission To The European Parliament，The Council，The European Economic And Social Committee And The Committee of The Regions，“Building A European Data Economy”，{SWD（2017）2 final}.當(dāng)中，尤其強調(diào)如下三方面內(nèi)容：其一，歐盟數(shù)字市場的蓬勃發(fā)展需要減少數(shù)字本地化壁壘，加強數(shù)據(jù)流動。但此種流動僅限于歐盟境內(nèi)流動。對于非個人信息傳輸至歐盟以外的國家，歐盟允許對此進行限制。其二，歐盟通過對于“機器生成數(shù)據(jù)”的保護以實現(xiàn)價值最大化為基本目標(biāo)，且堅決反對數(shù)據(jù)生成者對此主張排他性財產(chǎn)權(quán)利。從知識產(chǎn)權(quán)角度來講，歐盟并不承認匿名化機器生成數(shù)據(jù)具有任何知識產(chǎn)權(quán)屬性，僅在數(shù)據(jù)庫編纂者對數(shù)據(jù)獲取、證實和內(nèi)容編排具有實質(zhì)性貢獻的情況下方授予其特別權(quán)利。④Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases OJ L 77，27.3.1996.而對于匿名化的機器生成數(shù)據(jù)，歐盟同樣反對其構(gòu)成《商業(yè)秘密保護指令》當(dāng)中的商業(yè)秘密，原因在于商業(yè)秘密的核心在于“保密”，而數(shù)據(jù)庫顯然需要訪問以獲利。①Communication From The Commission To The European Parliament，The Council，The European Economic And Social Committee And The Committee of The Regions，“Building A European Data Economy”，{SWD（2017）2 final}，Part. 3.3.第三，歐盟建議通過設(shè)定數(shù)據(jù)生產(chǎn)者權(quán)利打擊數(shù)據(jù)壟斷。所謂“數(shù)據(jù)生產(chǎn)者權(quán)利”是指終端設(shè)備所有人或者長期使用人對非個人信息的權(quán)利。②ibid，Part 3.5.數(shù)據(jù)生產(chǎn)者有權(quán)決定其數(shù)據(jù)如何使用，這將有效避免機器生成數(shù)據(jù)被大型企業(yè)提前“鎖定”進而形成事實上的數(shù)據(jù)壟斷。歐盟2018年《歐盟非個人信息自由流動框架》序言當(dāng)中也曾論及，數(shù)字價值鏈需建立在各種數(shù)據(jù)活動基礎(chǔ)之上，而數(shù)據(jù)處理的高效運作又是數(shù)字價值鏈的基石。數(shù)據(jù)持有者對數(shù)據(jù)的鎖定將阻礙歐盟內(nèi)部市場的發(fā)展。③Regulation（EU）2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union（Text with EEA relevance）.Recital，para. 2.

歐盟上述對非個人信息的法律與政策規(guī)定，雖未明確論及“車聯(lián)網(wǎng)”，但其與“車聯(lián)網(wǎng)”的關(guān)聯(lián)在于，上述2017年歐洲數(shù)字經(jīng)濟動議的主要推進者包括德國政府與其境內(nèi)大型車企。④Peter K. Yu，Data Producer's Right and the Protection of Machine-Generated Data. Tulane Law Review，93（2019）.這意味著，上述動議符合歐洲數(shù)字經(jīng)濟發(fā)展的需求，也同樣符合歐洲車企的利益訴求。

（三）“車聯(lián)網(wǎng)”數(shù)據(jù)治理與國家安全

或許是由于歐盟本身并不干預(yù)其成員國的國防與安全問題，歐盟對于“車聯(lián)網(wǎng)”信息與國家安全關(guān)系的處理主要是通過對數(shù)據(jù)跨境流動的干預(yù)實現(xiàn)的：

其一，如果“車聯(lián)網(wǎng)”信息被認定為個人信息，則此部分信息的跨境傳輸應(yīng)當(dāng)遵循與《通用數(shù)據(jù)保護條例》完全一致的跨境流動標(biāo)準，即對方國家與歐盟之間已經(jīng)達成了信息保護“充分性”審查共識，或者對方企業(yè)與歐盟企業(yè)之間存在標(biāo)準合同條款和集團公司規(guī)則，否則，信息將原則上被禁止流入非歐盟國家。根據(jù)歐洲法院此前對“安全港”“隱私盾”兩份協(xié)議的審查，美國政府個人信息保護的“充分性”認定兩次被否決，均是因為美國政府為其國家安全目的對歐盟信息的監(jiān)控不符合歐盟法的標(biāo)準。而即便標(biāo)準合同條款和集團公司規(guī)則僅僅是針對非歐盟企業(yè)個人信息保護的規(guī)則，其中也同樣要求，在他國政府可能侵犯歐盟個人信息時，非歐盟企業(yè)有義務(wù)中止個人信息傳輸。

其二，即便“車聯(lián)網(wǎng)”信息屬于非個人信息，歐盟促進其境內(nèi)數(shù)字經(jīng)濟發(fā)展的舉措也未必會允許非個人信息自由流動。上文分析曾經(jīng)提及，歐盟2018年《框架》原則上禁止對非個人信息的本地化要求。然而，此規(guī)則唯一的例外就是公共安全。該框架當(dāng)中指出，此處的“公共安全”一詞包括內(nèi)部與外部安全，也包括為調(diào)查和懲處犯罪的公共安全目的而采取的措施。因此，歐盟成員國可以為了維護社會基本利益而要求數(shù)據(jù)本地化。對基本利益的威脅可以包括對公共設(shè)施運作的威脅、對人民生存的威脅、對國家外交與國家間和平相處的威脅以及對軍事利益的威脅。不僅如此，為滿足公共安全而施加的數(shù)據(jù)本地化要求必須符合比例原則，即便是出于公共安全目的限制數(shù)據(jù)自由流動，也應(yīng)當(dāng)手段與目標(biāo)相適應(yīng)，且不應(yīng)超出實現(xiàn)該目標(biāo)所必需的限度。⑤Regulation（EU）2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union（Text with EEA relevance）.Recital，paras.18-19，Article 4.

此處需說明的是，此處的例外是“公共安全”例外而非“公共利益”例外。二者區(qū)別在于，環(huán)境保護、文化多樣性、公共道德等均屬于后者但不屬于前者。如果將此例外的設(shè)計與GATT“一般例外”與“安全例外”相對比可知，上述公共安全例外的適用條件相當(dāng)嚴苛。歐盟理論上并不干預(yù)其成員國對于何為“安全”的判斷，但對“安全”的列舉顯然并不包括國家經(jīng)濟利益與社會利益在內(nèi)。不僅如此，歐洲法院理論上保有了對公共安全措施本身合法性的審查權(quán)，且有權(quán)宣告一項明顯不適當(dāng)?shù)拇胧┻`法。因而這意味著，歐盟維護歐洲共同市場的決心是毋庸置疑的，其對于數(shù)字經(jīng)濟的開放態(tài)度僅限于歐洲市場。

綜上，對歐盟而言，“車聯(lián)網(wǎng)”數(shù)據(jù)治理共涉及三方利益：駕駛?cè)?、乘客或車主的個人信息保護，歐洲數(shù)字市場利益，國家安全利益。對于這三方面利益安排，歐盟的基本思路，是在堅持權(quán)利保護為導(dǎo)向的同時，推進歐盟內(nèi)部的非個人信息自由流動，國家安全問題則是唯一的例外。但對于信息能否流轉(zhuǎn)至歐盟境外，個人信息須受到《通用數(shù)據(jù)保護條例》項下的各項審查；而對于非個人信息的跨境流動，歐盟則并未給出任何承諾。

三、美國：行業(yè)自律與隱私保護并行的立法進路

與歐盟不同的是，對于美國“車聯(lián)網(wǎng)”數(shù)據(jù)治理，很難從立法層面進行完整的回顧。這是因為，美國不論是數(shù)字經(jīng)濟領(lǐng)域還是個人信息保護領(lǐng)域，很大程度上均遵循著“行業(yè)自律”路徑。因此，對“車聯(lián)網(wǎng)”的美國規(guī)制進路的分析，將體現(xiàn)為各領(lǐng)域規(guī)則的匯總研究。

（一）美國“車聯(lián)網(wǎng)”個人信息保護規(guī)則

與歐盟類似，在美國法項下，受到保護的“車聯(lián)網(wǎng)”信息同樣包括消費者信息與終端信息。這是因為，美國個人信息保護法律通常會將“個人信息”界定為“可直接或間接識別消費者或家庭”的信息。①典型立法為：The California Consumer Privacy Act of 2018，Section 1798.140. 此規(guī)定部分來源于美國憲法第四修正案對于“人民的人身、住宅、文件和財產(chǎn)不受無理搜查和扣押”的要求。因此，至少對于非營運車輛而言，“車聯(lián)網(wǎng)”所產(chǎn)生的絕大多數(shù)非匿名信息均屬于個人信息。不過，如果僅從個人信息保護范圍角度分析，美國“車聯(lián)網(wǎng)”語境下的個人信息保護范圍明顯小于歐盟。這是因為，美國并不存在聯(lián)邦統(tǒng)一的個人信息保護立法，且目前僅有少數(shù)州具有個人信息保護立法。而即便是美國州法中影響力最大的《加利福尼亞州消費者隱私法（CCPA）》，其規(guī)制范圍也僅限于超過一定規(guī)模的營利組織，且僅有收集加州居民信息的行為才會受到規(guī)制。因此，從聯(lián)網(wǎng)車輛處獲得信息的企業(yè)如不滿足該法案對規(guī)模下限的要求，則完全不需受到個人信息保護法律的規(guī)制。這就將相當(dāng)一部分汽車經(jīng)銷商、服務(wù)提供商排除在法律規(guī)制范圍之外。而即便一個企業(yè)規(guī)模達到該法案要求，美國法意義上的個人信息處理前提——“告知同意”也并非歐盟式的“明示同意”，而是“默示同意、告知退出（opt-out）”。不僅如此，在《加利福尼亞州消費者隱私法》項下，消費者雖理論上有權(quán)起訴企業(yè)方并要求其承擔(dān)對個人信息的侵權(quán)責(zé)任、加州總檢察長也同樣有此權(quán)力，但信息控制者僅需在30天內(nèi)加以改正并保證未來不重犯，就很可能無需承擔(dān)賠償責(zé)任。

美國相當(dāng)一部分“車聯(lián)網(wǎng)”個人信息保護規(guī)則的義務(wù)方是美國政府而非車企或保險公司。例如，美國聯(lián)邦《1994年駕駛?cè)穗[私保護法》原則上禁止政府機關(guān)公示機動車照片、車牌號、車主地址、電話、駕駛證號等信息，以防駕駛?cè)吮粡V告推銷滋擾；《電子通訊隱私法》禁止第三方非法截獲車載通訊工具的通訊信息；2015年《駕駛?cè)穗[私法》更是專門對行車事件記錄進行了規(guī)制，其中將行車事件記錄設(shè)備中存儲的信息均認定為車輛所有人或者承租人的財產(chǎn)。任何第三人除非獲得了司法或行政機關(guān)的明確授權(quán)，否則不得訪問其中的信息。政府或行政機關(guān)對行車事件記錄設(shè)備中信息的獲取，必須符合相關(guān)證據(jù)法的要求。②Driver Privacy Act of 2015，Sec 2.除此之外，對于“車聯(lián)網(wǎng)”生成的位置信息，美國早已通過判例明確認定，政府對此的長期監(jiān)控構(gòu)成美國憲法第四修正案當(dāng)中的“搜查”，因而會違反憲法當(dāng)中對隱私權(quán)保護的規(guī)定。①United States v. JONES，Certiorari To The United States Court of Appeals For The District of Columbia Circuit No. 10–1259.Argued November 8，2011——Decided January 23，2012.

除上述規(guī)定之外，美國再無對于“車聯(lián)網(wǎng)”數(shù)據(jù)治理的法律規(guī)制。不過，或許是由于在此領(lǐng)域的消費者隱私保護問題會嚴重影響消費者使用“車聯(lián)網(wǎng)”的意愿，美國汽車生產(chǎn)者聯(lián)合會于2014年發(fā)布了《車輛技術(shù)與服務(wù)隱私原則》，并于2018年進行了修訂。其參與方包括美國本田、阿斯頓馬丁、寶馬（北美）、法拉利（北美）、福特、通用汽車、現(xiàn)代汽車（美國）、起亞汽車（美國）等19家車企。參與該自律性倡議的企業(yè)一旦違反該原則，理論上將會受到美國聯(lián)邦貿(mào)易委員會的處罰。②美國《聯(lián)邦貿(mào)易委員會法》第5條規(guī)定，“不公平、具有欺騙性的行為”如果“影響了貿(mào)易”，則聯(lián)邦貿(mào)易委員會有權(quán)對此進行處罰。此條款也是美國聯(lián)邦貿(mào)易委員會處罰企業(yè)不遵循其隱私政策行為的主要法律淵源。參見：FTC，Privacy and Security Enforcement，https://www.ftc.gov/news-events/media-resources/protecting-consumer-privacy/privacy-security-enforcement，最后訪問日期：2021年7月11日。此隱私原則表面上與歐盟車聯(lián)網(wǎng)指南大同小異，但在關(guān)鍵規(guī)則設(shè)計上均存在明顯差異。此種差異體現(xiàn)在收集駕駛?cè)诵畔⒌耐夥绞?。此自律?guī)則同樣要求，對于地理位置信息、生物識別信息與駕駛?cè)诵袨樾畔⒌氖占氝m用不同于“默示同意”的規(guī)則，但這僅僅包括車企須提供清晰、顯著的通知，告知駕駛?cè)诵畔⑹占哪康暮臀磥砜赡芊窒硇畔⒌膶嶓w類別。車企僅僅在使用上述三類信息進行市場營銷和與非關(guān)聯(lián)第三方分享信息時才需獲得駕駛?cè)嗣魇就?，且此種明示同意無需在每次駕駛之前單獨給予，在車輛購買、租賃時概括性給予亦可。在特定情形下，該自律規(guī)則甚至僅要求車企獲取駕駛?cè)四就饧纯?。這些情形包括車企保護其自身、車輛所有人、使用人或駕駛?cè)说陌踩?、財產(chǎn)或權(quán)利，車企進行并購或產(chǎn)品研發(fā)，車企為遵從政府法律或要求而采取某些行動，以及車企協(xié)助尋找被盜車輛時提供位置服務(wù)?！皟H有少數(shù)州存在為企業(yè)設(shè)定義務(wù)的個人信息保護法律”③Alliance Of Automobile Manufacturers，Inc. Association of Global Automakers，Inc. Consumer Privacy Protection Principles，Privacy Principles For Vehicle Technologies And Services. Established：November 12，2014，Reviewed：May 2018.

綜上，美國“車聯(lián)網(wǎng)”個人信息保護立法更傾向于對政府行為而非企業(yè)行為的規(guī)制，僅有少數(shù)州存在為企業(yè)設(shè)定義務(wù)的個人信息保護法律，且不論是現(xiàn)行法律還是美國汽車產(chǎn)業(yè)自律性規(guī)范，均強調(diào)車輛所有人或駕駛?cè)说哪就馀c個別情況下的明示同意。其個人信息保護范圍明顯小于歐盟。

（二）美國相關(guān)法律對于數(shù)字市場的促進

上文分析表明，歐盟促進歐洲數(shù)字市場發(fā)展的主要手段，是促進非個人信息在歐盟境內(nèi)自由流動，同時擬通過設(shè)定數(shù)據(jù)生產(chǎn)者權(quán)利打擊美國互聯(lián)網(wǎng)巨頭對歐洲數(shù)據(jù)的“掠奪”。與歐盟相比，美國法律對數(shù)字市場的扶持明顯更為激進。

一方面，美國對于數(shù)據(jù)自由流動的偏好，已不只是要求非個人信息在某一區(qū)域內(nèi)自由流動，而是擴展至對個人信息與非個人信息全球自由流動的鼓吹。美國從未以維護境內(nèi)數(shù)據(jù)市場為目標(biāo)頒布過禁止本地化存儲要求的法律。恰恰相反，美國在國際上向來主張應(yīng)當(dāng)廢除數(shù)據(jù)跨境流動的任何壁壘，進而為美國互聯(lián)網(wǎng)企業(yè)順利進入全球市場創(chuàng)造有利的法律環(huán)境。這就意味著，在美國看來，“車聯(lián)網(wǎng)”數(shù)據(jù)應(yīng)當(dāng)不受限制地流轉(zhuǎn)至美國。

另一方面，美國個人信息保護規(guī)則與行業(yè)自律規(guī)范，均給予了車企更大的數(shù)據(jù)收集權(quán)力。此種權(quán)力源自于美國法與行業(yè)自律規(guī)范當(dāng)中的個人信息收集“默示同意”規(guī)則。車企不需獲得消費者明示同意即可獲得其相當(dāng)數(shù)量的個人信息，此信息無論隨后是否匿名化均將處于車企控制之下。不僅如此，美國車聯(lián)網(wǎng)自律規(guī)則在要求成員方應(yīng)當(dāng)對個人信息進行合理、負責(zé)任地使用的同時，強調(diào)將信息用于研發(fā)是一種合理與負責(zé)任的使用方式。在要求車企遵循“數(shù)據(jù)最小化”要求和數(shù)據(jù)留存限制的同時，卻將“數(shù)據(jù)最小化”要求界定為“僅為合法商業(yè)目的收集”，而非歐盟式的“非必要不收集”；數(shù)據(jù)留存限制也僅為“留存數(shù)據(jù)時間不長于合法商業(yè)目的所必須”。不論是美國現(xiàn)行立法還是上述自律規(guī)則，均未規(guī)定匿名化的個人信息的權(quán)屬問題。美國法中亦不存在數(shù)據(jù)生產(chǎn)者權(quán)利這一概念。這就意味著，在法律無相反規(guī)定的情況下，實際掌控數(shù)據(jù)的車企，將毫無爭議地享有對其掌控下數(shù)據(jù)的所有權(quán)。

（三）美國“車聯(lián)網(wǎng)”數(shù)據(jù)治理與國家安全的協(xié)調(diào)

美國通過宣揚數(shù)據(jù)跨境自由流動，為其互聯(lián)網(wǎng)企業(yè)進入國際市場創(chuàng)造有利條件。與此同時，美國又通過外資安全審查限制他國互聯(lián)網(wǎng)企業(yè)進入美國市場、掌控美國數(shù)據(jù)，進而同時實現(xiàn)市場保護與國家安全兩重目標(biāo)。美國對國家安全的強調(diào)，關(guān)注的并非數(shù)據(jù)存儲地，而是數(shù)據(jù)持有人的身份。最為典型的例子就是2020年特朗普政府對于Tik Tok與微信的經(jīng)營禁令。①Executive Order 13 942 of August 6，2020. Addressing the Threat Posed by TikTok，and Taking Additional Steps To Address the National Emergency With Respect to the Information and Communications Technology and Services Supply Chain，https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/，最后訪問日期：2021年7月11日。此禁令雖然在拜登政府上臺后被撤銷，但取而代之的2021年6月9日拜登政府新行政命令，在美國白宮網(wǎng)站的官方名稱則是《保護美國人敏感信息免受外國敵對者侵犯的行政命令》。其內(nèi)容同樣是“進一步解決2019年行政命令當(dāng)中所指稱的、對美國信息和通訊產(chǎn)業(yè)供應(yīng)鏈造成的國家安全威脅”，以及，防范外國敵對者持有美國人敏感信息對于美國關(guān)鍵基礎(chǔ)設(shè)施的安全威脅。其中或許并未明確提及“車聯(lián)網(wǎng)”字樣，但鑒于“信息和通訊技術(shù)與服務(wù)”包含任何進行信息或數(shù)據(jù)存儲、處理、交流的軟硬件，聯(lián)網(wǎng)車輛顯然包含在該行政命令規(guī)制范圍之內(nèi)。該行政命令不僅要求在認定存在國家安全威脅的個案當(dāng)中禁止并購交易，還要求盡快樹立標(biāo)準明晰的法律框架，以確保外國敵對者控制或管轄的人不會獲得敏感個人信息。②White House，F(xiàn)act Sheet：Executive Order Protecting Americans’ Sensitive Data from Foreign Adversaries，June 09，2021.這就意味著，該行政命令一旦正式應(yīng)用于“車聯(lián)網(wǎng)”領(lǐng)域，則中國“車聯(lián)網(wǎng)”企業(yè)就可能無法從事在美業(yè)務(wù)。

四、“車聯(lián)網(wǎng)”數(shù)據(jù)治理的關(guān)鍵問題

綜合以上分析可知，美歐“車聯(lián)網(wǎng)”數(shù)據(jù)治理的核心，均意在個人信息保護、數(shù)字市場與國家安全三者之間達成平衡，盡管其具體手段存在差異。美歐制度設(shè)計也將為我國未來的“車聯(lián)網(wǎng)”數(shù)據(jù)治理提供重要啟示。

首先，對美歐實踐綜合分析可知，雖然美歐國情不同，但“車聯(lián)網(wǎng)”數(shù)據(jù)治理均面臨完全相同的三重議題。此種狀況的原因在于“數(shù)據(jù)”天然具有三重屬性：對車主、乘客而言，數(shù)據(jù)意味著個人信息；對車企、車聯(lián)網(wǎng)平臺企業(yè)而言，數(shù)據(jù)是數(shù)字經(jīng)濟的“石油”，具有重要經(jīng)濟利益；對主權(quán)國家而言，“車聯(lián)網(wǎng)”形成的數(shù)據(jù)則代表著對國家安全至關(guān)重要的情報。數(shù)據(jù)的三重屬性并不因所處國家不同而有所差異，也正是這三重屬性決定了“車聯(lián)網(wǎng)”數(shù)據(jù)治理的多面性。因此，我國在設(shè)計“車聯(lián)網(wǎng)”數(shù)據(jù)治理路徑時，固然有必要考量我國國情與利益訴求與美歐的異同，但同時也不可忽視數(shù)據(jù)的任一方面特質(zhì)，以保證“車聯(lián)網(wǎng)”數(shù)據(jù)治理的利益均衡。

其次，個人信息保護制度如何設(shè)計，將直接影響數(shù)字市場發(fā)展與國家安全保護的實現(xiàn)。對于與個人權(quán)利關(guān)系最為密切的信息，如位置信息與行車事件記錄，美歐均給予了最高標(biāo)準保護，且法律淵源均可追溯至憲法性文件。歐盟相對嚴格的個人信息保護制度，本質(zhì)在于對個人信息的確權(quán)，以及通過創(chuàng)設(shè)“數(shù)據(jù)生產(chǎn)者”概念，試圖保護車輛所有人對信息的初始所有權(quán)。此種思路大體遵循了“財產(chǎn)規(guī)則”——預(yù)先界定數(shù)據(jù)權(quán)屬，并在此基礎(chǔ)之上由信息主體與車企協(xié)商確定數(shù)據(jù)后續(xù)權(quán)屬。①此處的“財產(chǎn)規(guī)則”并不等同于“承認個人信息屬于財產(chǎn)權(quán)”，而是采用了卡拉布雷西在其法經(jīng)濟學(xué)經(jīng)典論著《財產(chǎn)規(guī)則、責(zé)任規(guī)則與不可讓渡性：“大教堂”的一幅景觀》中的界定方式。所謂財產(chǎn)規(guī)則，是指由政府出面進行確權(quán)，權(quán)利擁有者可在獲得令其滿意對價的情況下放棄其權(quán)利。參見：Calabresi & A. Douglas Guido. Property Rules，Liability Rules，and Inalienability：One View of the Cathedral. 85 Harvard Law Review，1972，85(6)。其目的不僅在于避免信息被大型企業(yè)強行“鎖定”，進而賦予歐洲數(shù)字市場以活力；“確權(quán)”與數(shù)據(jù)跨境流動限制相互配合，還能夠有效防范數(shù)據(jù)被他國獲得、進而危及歐盟成員國國家安全。相較于歐盟，由于美國互聯(lián)網(wǎng)企業(yè)足夠強大，因此美國“車聯(lián)網(wǎng)”數(shù)據(jù)治理更加偏重于對政府權(quán)力的限制和對自由市場的放任。美國個人信息保護立法與行業(yè)自律性規(guī)則對個人信息保護要求更加寬松，這客觀上允許美國互聯(lián)網(wǎng)企業(yè)低成本獲取“車聯(lián)網(wǎng)”數(shù)據(jù)，進而促進美國數(shù)字經(jīng)濟發(fā)展。其國家安全目標(biāo)更多通過外資審查完成。以上分析意味著，我國如何設(shè)計“車聯(lián)網(wǎng)”個人信息保護規(guī)則，將不僅僅是一個民法問題，而且“牽一發(fā)而動全身”，對數(shù)字市場與國家安全均產(chǎn)生影響。數(shù)據(jù)確權(quán)有助于打破數(shù)據(jù)壟斷、促進數(shù)字市場競爭；對車企獲取個人信息的規(guī)范化，也有助于防范超范圍收集數(shù)據(jù)，從源頭減少數(shù)據(jù)外流帶來的國家安全風(fēng)險。

最后，數(shù)字市場的發(fā)展與國家安全保護并不矛盾，二者完全可以同時實現(xiàn)。問題的關(guān)鍵在于如何識別數(shù)字市場的驅(qū)動力與國家安全威脅的來源。在歐盟看來，促進歐洲數(shù)字市場發(fā)展的是數(shù)據(jù)跨境流動，但危及歐盟成員國國家安全的同樣是數(shù)據(jù)跨境流動。正是基于此，歐盟促進歐洲數(shù)字市場發(fā)展的重要手段是保證個人信息與非個人信息在歐盟內(nèi)部自由流動；而對于信息向歐盟境外自由流動，歐盟一方面在“充分性”審查當(dāng)中防范他國的監(jiān)聽行為，另一方面明確為其成員國保留了基于國家安全原因限制數(shù)據(jù)跨境流動的權(quán)力。在美國看來，數(shù)據(jù)為“外國敵對者”持有而非數(shù)據(jù)自由流動才是對其國家安全的威脅。美國因而在鼓吹數(shù)據(jù)跨境自由流動以促進數(shù)字市場發(fā)展的同時，通過外資審查限制外國企業(yè)獲取美國數(shù)據(jù)以保證其國家安全。以上分析表明，對我國而言，數(shù)據(jù)自由流動或許同樣是數(shù)字市場的有效驅(qū)動力；但是，仍有必要思考的是，究竟什么才會構(gòu)成對我國國家安全的威脅？對數(shù)據(jù)跨境流動的規(guī)制，能否有效消減國家安全威脅？除此之外，是否還有其他手段用以化解國家安全威脅？只有對此進行識別，方可精準定位我國未來法治設(shè)計的指向，以最小的成本保障國家安全。

五、我國“車聯(lián)網(wǎng)”數(shù)據(jù)治理的三重進路

上文分析足以表明，數(shù)據(jù)作為信息、生產(chǎn)要素與情報的三重屬性，分別對應(yīng)“車聯(lián)網(wǎng)”數(shù)據(jù)治理中個人信息保護、數(shù)字市場與國家安全的三重面向。因此，對我國“車聯(lián)網(wǎng)”數(shù)據(jù)治理模式的設(shè)計，同樣不能將民法、商法、國家安全法相互割裂，而是需要跨越部門法通盤考量制度設(shè)計，方可實現(xiàn)三方利益共贏。

（一）對敏感信息設(shè)置最高保護標(biāo)準

首先，應(yīng)當(dāng)堅持對“車聯(lián)網(wǎng)”數(shù)據(jù)的分層保護，且對于最為核心的敏感信息設(shè)定最高保護標(biāo)準，如明示許可、數(shù)據(jù)最小化、存儲本地化等。此部分敏感信息可包括足以識別自然人身份的信息（包括生物識別信息在內(nèi)）、位置信息、行車事件記錄信息。行車事件記錄信息無論是否屬于個人信息，均應(yīng)考慮其可能涉及駕駛?cè)诵袨榈暮戏ㄐ栽u判，因而應(yīng)當(dāng)從犯罪嫌疑人正當(dāng)權(quán)利保護角度嚴格規(guī)制，如類比或延伸適用我國《憲法》第40條對于通信自由的保障方式：除因國家安全或者追査刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)按照法律規(guī)定的程序?qū)π熊囀录涗涍M行檢查，或因當(dāng)事人主動提出申請，則任何組織與個人不得對此進行公示?！耙匀嗣駷橹行摹笔且婪ㄖ螄暮诵睦砟?，因而對于人民基本權(quán)利的保護絕不可讓位于數(shù)字市場利益。如有可能，還應(yīng)擴展“車聯(lián)網(wǎng)”數(shù)據(jù)的法律保護范圍，在法律未明確將“車聯(lián)網(wǎng)”數(shù)據(jù)定性為物權(quán)或財產(chǎn)權(quán)之前，將此部分信息作為類似于歐盟立法中的“終端信息”或美國立法中的“家庭信息”提供保護。

（二）實現(xiàn)非敏感信息的分層保護與利用

對于非敏感信息，我國應(yīng)當(dāng)采用與大數(shù)據(jù)商業(yè)價值、社會價值相平衡的個人信息保護方式。我國學(xué)者通常認為，單個數(shù)據(jù)價值密度低且難以量化，有時甚至毫無經(jīng)濟價值；①任穎：《數(shù)據(jù)立法轉(zhuǎn)向：從數(shù)據(jù)權(quán)利入法到數(shù)據(jù)法益保護》，《政治與法律》2020年第6期。因此，考慮到數(shù)據(jù)在數(shù)字經(jīng)濟當(dāng)中的基石性作用，應(yīng)當(dāng)充分發(fā)揮數(shù)據(jù)的公共屬性，②韓旭至：《數(shù)據(jù)確權(quán)的困境及破解之道》，《東方法學(xué)》2020年第1期。促進個人信息的自由共享。③吳偉光：《大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判》，《政治與法律》2016年第7期。而實現(xiàn)數(shù)字經(jīng)濟與個人信息保護平衡的關(guān)鍵，則在于對數(shù)據(jù)的分層保護，④陳兵、顧丹丹：《數(shù)字經(jīng)濟下數(shù)據(jù)共享理路的反思與再造——以數(shù)據(jù)類型化考察為視角》，《上海財經(jīng)大學(xué)學(xué)報》2020年第2期。在應(yīng)受不同程度保護的個人信息與可被信息產(chǎn)業(yè)不同程度利用的個人信息之間實現(xiàn)規(guī)范銜接。⑤郭如愿：《大數(shù)據(jù)時代個人信息商業(yè)利用路徑研究——基于個人信息財產(chǎn)權(quán)的理論檢視》，《科技與法律》2020年第5期。事實上，這在《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》當(dāng)中已有體現(xiàn)。其中第四條強調(diào)運營者處理個人信息目的應(yīng)當(dāng)合法、具體、明確，“與汽車的設(shè)計、制造、服務(wù)直接相關(guān)”。這也客觀上表明，該征求意見稿默認了運營者出于商業(yè)目的收集、處理個人信息的合法性，且“個人信息”較之于“敏感個人信息”的獲取與使用法律門檻更低。因此，如車企能夠滿足我國個人信息保護“知情同意、合法、正當(dāng)、必要”的要求，則完全可以對“車聯(lián)網(wǎng)”信息進行商業(yè)利用。除此之外，對于純機器生成數(shù)據(jù)，我國目前尚不具備通過知識產(chǎn)權(quán)法或財產(chǎn)法進行確權(quán)的基礎(chǔ)。歐盟式的個人信息確權(quán)，目前已經(jīng)引發(fā)了“反公地危機”的擔(dān)憂。⑥蔣林君：《歐盟數(shù)據(jù)生產(chǎn)者權(quán)及其對我國的啟示》，《湖南科技大學(xué)學(xué)報（社會科學(xué)版）》2021年第2期。我國在《民法典》尚未做好對數(shù)據(jù)本身進行確權(quán)的準備的情況下，如果已經(jīng)能夠針對“車聯(lián)網(wǎng)”生成的非匿名數(shù)據(jù)給予類似于個人信息的保護，則無需重復(fù)通過財產(chǎn)權(quán)方式為數(shù)據(jù)主體設(shè)定更多權(quán)利類型。

（三）對國家安全威脅的識別與分階段化解

對我國國家安全的全方位保護，首先需要對我國國家安全威脅的種類加以識別。上文分析已經(jīng)表明，“車聯(lián)網(wǎng)”數(shù)據(jù)治理與國家安全產(chǎn)生的關(guān)聯(lián)，是數(shù)據(jù)作為“情報”的屬性。此處的“情報”，可能包括“車聯(lián)網(wǎng)”生成的我國高精度測繪資料、保密部門或黨政機關(guān)人流車流信息等，也可能包括上述信息與“車聯(lián)網(wǎng)”所收集個人信息的疊加。而“情報”之所以會帶來國家安全威脅，歸根結(jié)底源自于“車聯(lián)網(wǎng)”數(shù)據(jù)由企業(yè)主動或被動提交給外國政府、公共機構(gòu)，如因跨國企業(yè)回傳母國或中國企業(yè)海外上市而應(yīng)要求提供信息，進而交由外國掌控或脫離我國掌控。此種威脅源于外國政府對情報的掌控，但完全可以始于外資企業(yè)對情報的掌控和對其母國屬人管轄的遵守。目前來看，我國國家網(wǎng)信辦涉入的全部“車聯(lián)網(wǎng)”數(shù)據(jù)治理事件，所指向的“外國”均為美國，但未來同樣不排除英國、歐盟涉入類似爭端的可能。

以上分析意味著，“車聯(lián)網(wǎng)”數(shù)據(jù)治理對我國國家安全的威脅共包含三個環(huán)節(jié)：作為情報的數(shù)據(jù)脫離車主掌控；此數(shù)據(jù)被外國企業(yè)或外資企業(yè)掌控；此數(shù)據(jù)最終被外國政府獲得、利用。

其中，對于第一個環(huán)節(jié)，上文分析的數(shù)據(jù)分層保護，如能有效防范“車聯(lián)網(wǎng)”超范圍收集、保存信息，則已經(jīng)從源頭限制了可能危及國家安全的信息被車企乃至于他國政府所獲得。而對于第三個環(huán)節(jié)，我國目前立法主要是從數(shù)據(jù)出境審查角度進行的。例如，《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》中對于個人信息與重要數(shù)據(jù)出境設(shè)置了審查要求。《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第六條、第十條第五款，也要求對于采購活動、數(shù)據(jù)處理活動以及國外上市，進行“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風(fēng)險的評估”。而且，掌握超過100萬用戶個人信息的運營者赴國外上市，必須通過網(wǎng)絡(luò)安全審查。上述要求嚴格來講不等于對數(shù)據(jù)跨境流動的全面禁止，且審查內(nèi)容僅為國家安全審查，因而足以實現(xiàn)數(shù)字經(jīng)濟與國家安全的平衡。不過，考慮到數(shù)據(jù)跨境流動并不僅限于企業(yè)主動向境外提供或海外上市應(yīng)要求提供，還可能包括應(yīng)外國行政或司法機關(guān)要求被動提供，例如美國通過《云法案》謀求全球司法長臂管轄，我國仍有必要針對個案設(shè)立防范機制，如要求我國境內(nèi)企業(yè)主動報告等，以及時發(fā)現(xiàn)并對抗可能出現(xiàn)的國家安全風(fēng)險。

最后，對于上述第二個環(huán)節(jié)——數(shù)據(jù)為外國企業(yè)或外資企業(yè)所掌控，這雖僅僅為國家安全威脅產(chǎn)生的環(huán)節(jié)之一，且并不必然會帶來國家安全威脅，但對此的規(guī)制同樣不能放松。例如，在外商投資負面清單的制定過程當(dāng)中，可以在某些可能涉及大量個人信息或敏感信息的行業(yè)對外資準入進行限制。這也是我國當(dāng)前負面清單尚未納入考量的內(nèi)容。舉例來講，在我國2020年版外資準入負面清單當(dāng)中，第七部分“信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)”就并無限制外資進入敏感信息產(chǎn)業(yè)或接觸敏感信息的規(guī)定；第九部分“科學(xué)研究和技術(shù)服務(wù)業(yè)”雖原則性禁止外資進入測繪類產(chǎn)業(yè)，但對于特斯拉汽車足以完成的高精度測繪行為卻完全沒有進行限制?！败嚶?lián)網(wǎng)”相關(guān)產(chǎn)業(yè)理論上也并不屬于負面清單的任何一類。此種狀況在未來是否需進行改變，還有待我國商務(wù)部門與國家安全部門會商后決定。如不便改動負面清單，也可以啟用我國目前業(yè)已確立的外資安全審查制度，對信息泄露風(fēng)險進行國家安全評估。鑒于國家安全審查完全可以進行附條件許可，如允許外資企業(yè)進行并購或綠地投資的同時，要求其剝離某些“車聯(lián)網(wǎng)”敏感業(yè)務(wù)或不得從事某些特定業(yè)務(wù)，外資安全審查并不必然會與投資自由相沖突。

六、結(jié) 語

“車聯(lián)網(wǎng)”是物聯(lián)網(wǎng)技術(shù)在交通系統(tǒng)當(dāng)中的典型應(yīng)用，其不僅代表著經(jīng)濟新動能，也同時意味著個人信息與國家安全的未知風(fēng)險?！败嚶?lián)網(wǎng)”數(shù)據(jù)治理，同時代表著個人、經(jīng)濟、社會與國家利益的平衡，具有個人信息保護、數(shù)字市場與國家安全等三重面向。美歐相應(yīng)規(guī)則構(gòu)建起步相對較早，且均希望發(fā)揮“車聯(lián)網(wǎng)”數(shù)字市場功能，但二者利益取向不同，具體路徑也全然不同。歐盟從歐洲公民基本權(quán)利出發(fā)，意在限制美國互聯(lián)網(wǎng)巨頭輕易占領(lǐng)歐洲數(shù)字市場，以實現(xiàn)“人權(quán)”與“主權(quán)”雙贏；美國更加偏重市場調(diào)節(jié)作用，同時通過外資審查排除外國投資者參與美國市場競爭。不過，在美歐博弈當(dāng)中，美歐均注重對公民通信自由與終端信息的保護，且均提出了對“車聯(lián)網(wǎng)”數(shù)據(jù)的分層保護標(biāo)準。

對我國而言，“車聯(lián)網(wǎng)”數(shù)據(jù)治理需要將數(shù)據(jù)作為整體，跨越部門法通盤考量來進行制度設(shè)計。對敏感信息的最高標(biāo)準保護能夠有效保障人民基本權(quán)利不受侵害，對非敏感個人信息的分層保護有利于數(shù)字經(jīng)濟發(fā)展，但須同時遵循個人信息保護的“知情同意、合法、必要”原則，以從源頭避免情報外流。與此同時，數(shù)據(jù)出境審查、外國跨境電子取證的風(fēng)險識別、外商投資負面清單的設(shè)計與外資安全審查對數(shù)據(jù)安全的關(guān)注，均有助于防控國家安全風(fēng)險。