不過，在《互聯網法律評論》特約專家、上海交通大學凱原法學院鄭戈教授看來，自動駕駛汽車為實現其功能，采集處理的大量數據并不屬于個人敏感信息，甚至不屬于個人信息。自動駕駛汽車要實現安全性、可靠性和高性能，不僅需要獲取大量數據，而且需要數據的開放共享。因此，數據法治是自動駕駛汽車上路的先決條件。

　　一、問題的提出：自動駕駛中的個人隱私與數據共享

　　在我們身處的這個萬物聯網的“智能化時代”，政府和平臺企業通過各種傳感器收集著與個人相關的信息，大多數搜集個人信息的傳感器都以絲毫不引人注目的形態鑲嵌在我們日常生活的紋理中。

　　但自動駕駛汽車不同，每一部自動駕駛汽車都裝備著許多非常醒目的傳感器。一部肉眼可見長滿“眼睛”的汽車，必然引起人們對隱私和個人信息保護問題的擔憂。

　　完善自動駕駛汽車相關的隱私和個人信息保護立法是更多人愿意接受這一新事物的前提條件之一。另外，自動駕駛汽車的安全性、可靠性和高性能的實現不僅需要獲取大量數據，而且需要數據的開放共享。數據法治是自動駕駛汽車上路的先決條件。

　　本文試圖提議一種國家戰略化、過程化、功能化和層次化的車輛數據治理方案，以平衡鼓勵創新、推進交通強國事業與保護公民隱私權和個人信息權益之間的關系。

　　二、國家戰略化的未來交通數據法治建設思路

　　所謂“國家戰略化”，就是從本國在全球市場中的比較優勢出發，制定相應的產業政策和法律，用法律來引領技術發展的方向，并強化這種比較優勢。

　　1. 中國的比較優勢——網絡通信基礎設施及網約車的普及

　　我國發展自動駕駛汽車技術和相關產業方面的比較優勢在于網絡通信基礎設施(包括5G通信網絡)或者更廣泛意義上的數字基礎設施，以及網約車出行模式的普及等，因此選擇網聯化發展道路是必然的。

　　實際上，我國現有的涉及自動駕駛汽車的規范性文件在標題中用到的概念都是“智能網聯汽車”，如《智能網聯汽車道路測試與示范應用管理規范(試行)》(以下簡稱《測試規范》)和《深圳經濟特區智能網聯汽車管理條例(征求意見稿)》。但在具體的規范內容上，它們卻未能針對“智能網聯”這一特征而確立相對完善的數據處理相關規則。

　　2. 德國及英國經驗——交通立法頂層設計

　　雖然我國已經有比較完備的網絡安全、數據安全和個人信息保護方面的法律規范體系，而且其中有專門針對車輛數據的《汽車數據安全管理若干規定(試行)》(以下簡稱《汽車數據規定》)，但這些規范顯然沒有將自動駕駛汽車考慮在內，主要原因恐怕是缺乏國家戰略層面的交通立法頂層設計。在這個方面，德國經驗頗有參考價值。

　　2017年8月，德國議會通過《設立機動車道路和其他聯邦公路基礎設施公司的法律》，創設了一家基礎設施公司，聯邦交通和數字基礎設施部將自己承擔的對聯邦道路進行規劃、建設、運營、維護、出資和資產管理的聯邦任務委托給這家私法上的公司(即公司化運營的國有企業)。

　　2021年7月，德國聯邦議會通過《修訂道路交通法和強制保險法的法律——自動駕駛法》(以下簡稱《德國自動駕駛法》)，其中有專節規范數據處理(§1g)，而這個部分的第一條就要求，具備自動駕駛功能的汽車的所有權人保存汽車的狀態數據和行駛數據，并傳送給交通基礎設施公司。

　　相較之下，我國的自動駕駛相關立法缺乏以數字基礎設施為著力點的通盤設計。

　　《深圳條例》雖然是一部正在起草中的地方性法規，但其中第6條規定的多頭監管格局反映出全國的普遍情況，即主管機關的多元化。該條規定中雖然有眾多的管理部門，卻沒有哪個部門負責智能網聯汽車和智慧交通數字基礎設施的建設。

　　考慮到我國交通運輸、網絡基礎設施、網絡安全、道路交通秩序等分屬不同部門管理的現實，即便無法參考德國模式，由一個部門和一家基礎設施公司來搭建自動駕駛汽車公共數據平臺，至少可以參考英國模式：英國交通部和商務、能源與產業戰略部于2015年合作成立跨部門的網聯與自動駕駛汽車中心，負責統籌實施英國的“未來交通戰略”，包括統籌和協調相關數據共享安排。

　　三、過程化的自動駕駛汽車數據法治道路

　　所謂“過程化”，就是分步走，循序漸進地推進自動駕駛汽車從駕駛輔助到完全自動駕駛的產業化進程，在道路測試和試運行階段，要求更全面的數據采集和更高程度的數據開放共享，而在正式運行階段，則逐漸限縮數據采集范圍和開放共享程度，逐漸厘清自動駕駛汽車的安全運行所需要的數據類型和數據范圍，從而將其有效控制在“最小必要”原則所要求的程度之內。

　　實際上，這也是我國目前正在采取的方案，只是由于思路沒有理清，所以把很多自動駕駛汽車全面正式上路后才需要落實的規則搬到了道路測試和試運行階段，混淆了“試驗”鼓勵創新的目的與日常狀態下維護秩序和保護個人權益的目的。

　　當我們適用《個人信息保護法》中的最小必要原則時，假定我們知道提供某種產品或服務時哪些數據是必要的。但對于采用新技術的產品和服務，整個社會其實并不具備這方面的知識或共識。在自動駕駛的試運行階段，數據冗余是實現安全駕駛的前提條件，從技術上講，我們很難判斷獲取多少數據是“必要的”。

　　當然，在這個階段也不能繞開《個人信息保護法》規定的“知情—同意”規則，運營商可以在一份提供給用戶的手冊或知情同意書中列明所要采集的個人信息，讓人們在知情的前提下選擇進入(opt-in)，而不是讓人們自己發現問題并選擇退出(opt-out)。不過，在手冊或知情同意書中應當解釋，車輛采集的大部分數據與個人信息無關，例如，車輛標識、車輛控制模式、位置信息、路況信息等，避免造成不必要的擔憂。

　　為了在不犧牲車輛安全性能的情況下，避免個人信息被不合理的利用，可以考慮數據的傳輸方式和使用方式等數據流管理方案，而不是目前《個人信息保護法》框架下的采集端管理方式。

　　對數據采集方式的控制適合身份信息保護，但不適合行為數據保護，自動駕駛汽車涉及的數據大部分是行為數據，目前我國的數據治理相關立法采取的卻是身份數據保護的思路，因此難以適應自動駕駛汽車的應用場景。

　　四、功能主義的數據治理

　　所謂“功能化”，就是區分自動駕駛技術所實現的不同功能，例如，公共交通、共享出行和私家車，根據使用不同功能的用戶的隱私預期和安全需要，確定數據獲取和數據處理的范圍。

　　例如，對私家車而言，每天的乘客比較固定，為避免每次上車都調整座椅位置，使整個車內空間實現為車內每一個乘客“量身定制”，這顯然是大多數人都想具備的功能。為實現這一功能，獲取體型數據并關聯于特定個人顯然是必需的。

　　對自動駕駛的公交車而言，一方面，大概率不會有采集乘客體型信息的傳感器;另一方面，每一位乘客的體型都是其他乘客肉眼可見的，算不得什么隱私或個人敏感信息。

　　表1  自動駕駛汽車采集和處理的數據類型

　　從表1可以看出，為實現自動駕駛功能而采集的數據大多數是與個人信息無關的車輛狀態和行為數據以及環境數據。涉及個人信息的數據是為了實現與基本自動駕駛功能無關的特定功能，如電子召喚(在發生事故或突發疾病的情況下召喚醫生或救護車)、遠程云代駕(系統自動送乘客到特定地址)或車上娛樂功能，為實現這些功能而采集個人信息需要單獨征得乘客同意。

　　目前，無論是用人格權保護模式(《民法典》和《個人信息保護法》均采用這種模式)還是財產權保護模式(《上海市數據條例》和《深圳經濟特區數據條例》有這方面的嘗試)，都只涉及數據處理中的縱向關系，即數據處理者與數據主體之間的關系。

　　但數字技術最廣泛的使用方式是，通過從無數個數據主體那里獲取數據，得出適用于一定范圍人口的行為規律或模式。換句話說，數據處理者從乘客甲乙丙丁那里獲取數據，并不是為了針對甲乙丙丁做些什么，而是為了找出他們的行為規律，從而針對與他們屬于同一群體的一群人提供服務，這個群體中包括其個人信息未被采集的張三、李四(見圖1)。

　　圖1 自動駕駛汽車中的數據法律關系

　　數據處理者從特定車輛獲得傳感器采集到的數據，進而訓練算法、優化程序，從而使自動駕駛系統能夠在更復雜的環境和路況下安全高效地行駛。這種橫向關系是一種無法被吸收進現有法律關系的外部性，需要公權力介入來加以規制，以避免有損公共利益、個人權利和平等、正義等社會基礎價值的事情發生。

　　因此，從功能主義的視角出發，我們應當考慮自動駕駛汽車采集和處理數據所要實現的功能。對于專門針對個人的功能，例如，調整座椅舒適度，如果實現這種功能需要采集個人信息，則需要滿足知情同意、最少必要等《個人信息保護法》中的規則。對于不專門針對個人的功能，例如，優化算法、找出路況規律等，一般情況下無須采集個人信息，而需要采集大量車輛、路況和環境信息，這時主要適用的是公法規則，包括網絡安全和數據安全規則，也包括確保智能交通系統公平、普惠地造福于全體國民的憲法原則。

　　五、分層次的數據治理

　　所謂“層次化”，是一種規則多元主義的體現，便民、環保、高效、安全的智能交通不能僅靠國家正式制定的法律法規來維護，還需要產品標準、行業標準和社會規范的合力支撐。尤其是在“算力即權力”的即成社會事實之中，政府對算法主導的產品、服務和商業模式已經無法獨自實現有效監管和執法，因此更要依靠行業和社會的配合。

　　自動駕駛汽車涉及網絡安全和數據安全問題，受《網絡安全法》和《數據安全法》的約束。其處理的數據如果涉及個人信息，也受《個人信息保護法》的約束。

　　我國在這兩個領域已經有較為完備的法律、法規體系。需要加強的是促進交通數據基礎設施建設和推動數據共享的立法工作。同時，行業標準的制定雖然已經取得階段性成果，但仍需進一步推進。

　　(一)車輛數據安全保障法治

　　網絡數據安全立法是我國數字時代立法中最成熟、最完備、最系統的門類，從《網絡安全法》和《數據安全法》等法律，到《關鍵信息基礎設施保護條例》等行政法規，再到《網絡安全審查辦法》等部門規章，以及正在制定的《數據出境安全評估辦法》等，已經形成完整的網絡數據安全保障法律體系。

　　法律文本中雖然未對“關鍵信息基礎設施”作出明確定義，但《關鍵信息基礎設施確定指南(試行)》(以下簡稱《指南》)填補了這個空白。按照《指南》的定義，以及提出的按關鍵行業、關鍵業務、關鍵設備來界定范圍的方法，自動駕駛汽車涉及的數據處理中心、車路協同系統、智能交通系統等顯然屬于關鍵信息基礎設施，受到最嚴格的安全監管，相關運營者承擔著維護網絡和數據安全的嚴格法定義務。

　　對個人權益的損害往往是系統漏洞和數據泄露造成的，而不是正常使用造成的，屬于技術安全問題，很難用個人權利保護的方式來解決。在這種環境中，對個人信息的最有效保護不是在采集端，而是在使用端，因此安全與權利已經變得密不可分，維護數據安全已經不單是為了維護國家的管理秩序和公共利益，而且也是為了保護個人權益。

　　正因如此，我們看到我國的個人信息保護條款最早出現在《網絡安全法》中。在我國的網絡和數據安全法體系中，“大量個人信息”在我國的數據分級分類體系中屬于“重要數據”，與涉及國家安全的核心數據和重要數據同樣受到嚴格保護，例如，2022年2月15日起實施的修訂后的《網絡安全審查辦法》第7條規定：“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。”

　　(二)車輛數據處理中的個人信息保護法治

　　《民法典》中的隱私權和個人信息保護條款，以及《個人信息保護法》顯然適用于自動駕駛汽車數據問題。《汽車數據規定》中的很多條款是將《個人信息保護法》的基本原則適用于汽車數據處理。

　　但自動駕駛汽車為實現其功能而需要收集和處理的個人敏感信息非常有限而且可控，其所處理的大量數據不屬于個人敏感信息，甚至不屬于個人信息。雖然這些信息如果被算法加以關聯和整合，或許可以指向已識別或可識別的個人，但這種操作需要有接入權的人或黑客才能實現，屬于極小概率事件。對于小概率事件，適合采用損害救濟而非預先防控的法律手段來應對。

　　然而，《汽車數據規定》恰恰采取了預先防控的方式，使得相關規定很難適用于自動駕駛汽車，尤其是智能網聯汽車(但從規范意義上講，又不得不適用)。例如，第6條規定的車內處理原則(除非確有必要，不向車外提供)和默認不收集原則(除非駕駛人自主設定，每次駕駛時默認設定為不收集狀態)。

　　我國自動駕駛汽車技術發展的主導方向是智能網聯汽車，前述《測試規范》和《深圳條例》等已經出臺或正在制定的部門規章和地方性法規都以“智能網聯汽車”為標題，而智能網聯汽車的基本特征就是車聯網，數據在車外處理。《汽車數據規定》第6條的內容顯然無法與國家政策和智能網聯汽車相關法規有效銜接。

　　(三)交通數據基礎設施建設與數據開放共享法治

　　如前所述，促進數據開放共享的法律制度是我國自動駕駛汽車和智能交通相關法治建設的短板。在數字經濟的其他領域，私人企業出于追求利潤的目的，打造了巨型數據平臺，而后政府依托這些平臺來提供公共服務，例如，對防疫起到關鍵作用的健康碼和行程碼就分別依托阿里的支付寶平臺和騰訊的微信平臺。這種模式雖然是既定事實，但并不合理，而且會給政府履行對公民的保護義務，以及對平臺企業進行規制和監管造成困難。

　　在自動駕駛領域，類似的趨勢正在形成，但通過法治化手段來扭轉這一趨勢的契機尚未消失，因為自動駕駛汽車畢竟還沒有大規模量產和普及。

　　在自動駕駛領域，百度目前是數據基礎設施的主要營造者。如果百度的整個未來交通布局在未來都變成現實，就像阿里和騰訊對網購、在線支付和社交媒體的壟斷已經變成事實那樣，作為國有資產的道路和作為公共事業的交通就不復存在。

　　作為基本公共服務，交通事業可以借助私人企業的力量，但政府必須保持作為主要服務提供者和監管者的角色和相應的能力。在“算力即權力”的數字社會現實中，打造政府主導的車輛和交通數據平臺是保持這種角色和能力的前提條件。只有這樣，政府才能成為車輛和交通數據的“看門人”，解決私人企業作為數據看門人很難解決的不正當競爭、交互可操作性缺失、創新激勵遞減等難題。

　　(四)行業標準

　　如前所述，自動駕駛汽車實現其功能所需的數據類型和數據量是一個專業判斷的問題，而體現行業共識的行業標準是未來交通法治軌道的枕木和基石。

　　《深圳條例》第15條和第16條分別規定了地方標準和“團體標準”的制定機制，確定工信部門作為制定地方標準的部門，市場監管部門作為批準、發布地方標準的部門。部門標準則由企業、機構、院校的專業人員制定，報工信部門備案，并向社會發布。

　　在全國范圍內，中國汽車工業協會制定的《智能網聯汽車數據格式與定義》、中國汽車工程學會制定的《智能網聯汽車場景數據圖像標注要求與方法》和《智能網聯汽車激光雷達點云數據標注要求及方法》等已先后發布。

　　六、結論

　　對自動駕駛汽車來說，前方的道路是用數據鋪成的。智能網聯汽車是我國自動駕駛技術研發和應用的主要方向，這種汽車形成的車聯網將成為物聯網的重要組成部分。

　　在未來交通圖景中，物理空間的交通信息與數字化信息變得密不可分，數據法治也應當成為交通法治的重要組成部分。

　　我國目前雖然已經形成日漸完備的數據相關立法和交通相關立法，但兩者之間的關聯性較弱，缺乏有針對性的、兼顧創新需求和權利保護的交通數據立法，尤其缺乏促進車輛、道路和交通運營數據開放共享的立法。只有數據法治和交通法治雙管齊下和水乳交融，才能為未來交通鋪平法治化的道路。