近年来,数字孪生开始应用于城市管理、智能制造、智慧零售、数字营销等业态,国家也加大了数字孪生应用的引导、支持及鼓励政策。2020年4月7日,国家发改委、中央网信办发布《关于推进“上云用数赋智”行动培育新经济发展实施方案》,将数字孪生与5G、AI、BD等并列为新一代数字关键技术,明确提出“聚焦数字孪生体专业化分工中的难点和痛点,引导各方参与提出数字孪生的解决方案。”同时,住建、工信、交通、国资等部委也发布了一系列数字孪生产业促进及规范发展的政策,上海、广东、浙江、北京等地也相继发布了地方版的数字孪生产业发展支持政策。
结合国内外最新行业应用实践和近期项目服务经验,汇业律师事务所网数团队简要分析数字孪生应用中的主要数据合规问题如下,仅供未来立法规制及行业实践参考。
一、关于数字孪生
数字孪生(Digital Twin)是一个近十年才兴起的技术概念,通常被认为是现实世界的数字“平行世界”或者“数字映射”,已经广泛存在于《黑客帝国》等科幻电影的桥段中。尽管数字孪生还没有一个绝对权威的定义,但是其下列特征被广泛认可:
(1)数字孪生系统是对现实物理系统(例如整个城市、社区、建筑、车间、门店等)的全数字化的真实复制、表达;
(2)两个系统之间具有时间、空间、关系等维度的极高仿真性,从而真正达到“孪生”、“平行”、“映射”的目的;
(3)数字孪生系统与现实物理系统具有互操作性,从而实现双向映射、动态交互和实时连接。例如,改变数字孪生系统里某个红绿灯设置,现实世界对应街区的红绿灯会同步/延时)改变;现实世界某次交通事故,会同步映射到数字孪生系统里面。
也正是基于上述特征显示出的数字化、可视化、全局高效、平行模拟等特征,随着相关测绘、传感、建模、大数据等技术的快速发展,数字孪生开始应用于城市管理、智能制造、基础设施管理、智能研发、医疗健康、智慧零售、数字营销等业务场景。
由于数字孪生应用伴随着海量的数据采集、存储、使用及共享(以下合称“数据处理”),在当前数据立法与执法的大环境下,相应的数据合规问题也逐渐引起了各界的关注。
二、数据处理主体的资质合规
数字孪生应用全过程,必然涉及不同主体(供应商)分别负责数据采集、存储、使用及共享等环节。由于不同应用场景的数据类型不同,数据处理环节不同,相关主体的资质合规要求也各不相同。
例如在数字孪生城市场景,测绘、采集城市地理信息时,根据《测绘法》等规定,应当依法取得测绘资质。此外,根据《外国的组织或者个人来华测绘管理暂行办法》等规定,外国的组织或者个人在中华人民共和国领域测绘,必须与中华人民共和国的有关部门或者单位依法采取合资、合作的形式。
同时,提供第三方数据存储服务的数据中心或云服务供应商,还应当根据《电信条例》及其分类目录规定的相匹配的电信业务牌照。
此外,参照《数据安全法(草案)》、《电信条例》及其分类目录等规定,从事数据建模、分析及处理的平台性企业,还应当依法取得在线数据处理相关的许可或备案。
汇业网数团队提示,由于数字孪生应用往往涉及多生态并合集成,不同业务/系统的边界相对模糊,极容易导致部分供应商触发无证或超范围经营的合规风险。
三、数据处理行为的主要合规问题
数字孪生应用涉及负责的数据处理行为,数据处理生命周期的链条很长,所涉数据量大,数据敏感度(重要度)极高,因此相应的合规风险也较大。
例如,在数据采集环节,考虑到孪生系统的真实性、平行性要求,往往要求全面、准确采集现实系统的数据。但是,《网络安全法》、《个人信息保护法(草案)》、《民法典》对数据收集设置了广泛的合规义务。因此,必须做好数据采集中的车牌、人脸等个人信息及隐私的保护,以及敏感地理信息(军事、界线、土壤、测控等)的过滤等合规建设。
此外,考虑到数字孪生的可视化特点,还要平衡好数据展示与敏感信息表达保护的要求。例如,根据《测绘地理信息管理工作国家秘密范围的规定》等规定,不得以任何形式(显示或隐示)表达涉及国家秘密和其他不得表达的属性内容和位置信息等。
最后,大多数数字孪生应用涉及城市管理、交通等敏感行业,相关数据还属于重要数据,还应当参照《网络安全法》、《数据安全法(草案)》等做好重要数据保护,包括但不限于出境限制等要求,以及建立相应的管理制度、岗位人员、政府性合规等。
四、数据处理系统的主要合规问题
数字孪生应用涉及基础设施、测绘、GIS、建模、仿真、BIM、大数据及人工智能等多个支持系统及应用系统的集成,不同系统之间涉及大量的数据交互,且数据敏感度极高,系统的网络安全风险极大,因此必须依法开展该等系统的网络安全合规建设。汇业网数团队介绍,具体合规要求包括但不限于:
(1)应当按照《网络安全法》、《网络安全审查办法》等开展网络安全审查,重点审查系统安全风险和业务连续性等风险。
(2)应当按照《密码法》、《网络安全法》等开展系统密码应用合规审查,依法开展密码安全评估。
(3)应当参照《网络安全法》、《网络安全等级保护条例(征求意见稿)》、公安部1960号文等要求,依法开展网络安全等级保护定级、备案及测评等工作。
(4)应当参照《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、公安部1960号文等要求,依法开展关键信息基础设施识别、边界防护、安全保护、跨境限制、安全产品准入等合规要求。
(5)应当按照《网络安全法》、《出口管制法》等开展进出口管制合规审查;使用境外第三方开源代码的,还应当审查授权合法性等。