汽车数据安全管理若⼲规定(征求意见稿)》解读及合规要求
前⾔
软件工程师待遇不久前,特斯拉⼥车主张⼥⼠在上海车展站上车顶“维权”事件闹得沸沸扬扬:4⽉19号上海车展,⼀⼥⼦(⾝着写着“刹车失灵”的T恤,站在特斯拉的展车上,⼤喊“刹车失灵”,该⼥⼦称⾃⼰买的特斯拉存在“刹车失灵”问题;⽽特斯拉则强势回应称该车主“曾因超速违章发⽣碰撞事故,⽽后以产品质量为由坚持要求退车”,随后车主丈夫也晒出了交通事故认定书,声称跟“超速”没啥关系。最终,张⼥⼠被拘留五天后,⼀纸诉状将特斯拉告上法庭。张⼥⼠称,特斯拉⼀直以各种借⼝,拒不提供车辆完整、原始的⾏车数据,⽆奈之下才通过法律途径起诉特斯拉副总裁陶琳侵犯其名誉权。等拿到车辆的原始数据之后,张⼥⼠打算再去起诉特斯拉的质量问题。[1]
根据某新闻媒体报道:⽬前北京某副部级国家局下发内部通知,要求该单位内的国家公务员不得购买特斯拉车型,已经购买的要尽快过户到⾮国家公务⼈员名下。实际上,早在今年3⽉,《华尔街⽇报》就报道了中国已经禁⽌事业单位⼈员使⽤特斯拉汽车,理由是特斯拉收集数据会带来潜在的安全风险。同时,《华尔街⽇报》还确认,中国的国有企业和其他政府机构⼯作的⼈将被禁⽌驾驶特斯拉。在此前,特斯拉就因为涉嫌收集数据,会对国家安全造成风险,遭到军⽅相关部门及部分家属院的限制。如今,包括国企、事业单位、⾏政机关在内的涉密部门也开始了对特斯拉“禁⾜”,可见从整个国家层⾯的重视程度加剧。[2]
传统汽车⾏业以硬件价值为主,但随着车联⽹的普及,车的价值除了硬件之外,将以服务、软件及内容为主导。因此许多制造商逐渐转变开拓新的业务模式,和传统的车企不同的是,特斯拉未来的盈利点在“软件”上,每⼀辆特斯拉都是⼀台“数据收割机”,所收集到的数据将⽤于⾃家算法,升级后的算法再反哺给特斯拉车辆,本质上是⽤数据在赚钱。尽管新型的商业模式进⼀步的提⾼了⽤户的使⽤感,但却是以牺牲⽤户个⼈隐私为代价,甚⾄还有可能存在危害敏感信息和重要数据的隐患。
在车联⽹的⼤背景下,汽车数据合规的重要性⽇渐突出,2021年5⽉12⽇,国家互联⽹信息办公室会同有关部门起草并发布了《汽车数据安全管理若⼲规定(征求意见稿)》(以下简称“规定”),并向社会公开征求意见。本⽂拟归纳《规定》要点及解读如下:
1. 所规范的主体范围进⼀步延伸
第三条本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、⽹约车企业、保险公司等。
0451是哪里的区号
《规定》的适⽤主体范围基本上涵盖了汽车⾏业全链条的参与者,除了传统的汽车制造商之外,还包含了新兴产业模式下的⽹约车企业,以及和车企密切相关的保险公司,保险公司出于业务需要也将收集⼤量的车辆数据。如特斯拉在2020年8⽉6⽇成⽴“特斯拉保险经纪有限公司”,注册资本5000万元。与传统保险公司相⽐,特斯拉凭借⾃⾝海量的数据,更能了解个⼈客户和汽车的风险状况,从⽽对保
险费率的定价以及赔付⽐例产⽣影响。
除已经列出的主体之外,有关汽车⾦融公司、融资租赁公司经营车辆售后回租业务等是否也应当纳⼊监管,则需要进⼀步明确。此外,相关⾏业主体特别关注的是,该《规定》是否会对已经上市或正在⽣产的车辆产⽣影响,这些车辆是否也需要按照该标准进⾏合规整改?尽管《规定》并未明确,但对于汽车数据合规的保护已经成为趋势,相关⾏业主体在不影响车主正常使⽤的情况下,应当按照《规定》要求落实合规要求。
2. 如何使⽤和保护汽车数据?
(1)个⼈信息
《规定》中个⼈信息的内涵:第3条第2款本规定所称个⼈信息包括车主、驾驶⼈、乘车⼈、⾏⼈等的个⼈信息,以及能够推断个⼈⾝份、描述个⼈⾏为等的各种信息。
⽽在《车联⽹信息服务⽤户个⼈信息保护要求》中,对⽤户个⼈信息有更为详细的列⽰:
《规定》的第2条明确的个⼈信息处理⽅式包括“收集、分析、存储、传输、查询、利⽤、删除以及向提供”。相⽐《个⼈信息保护法》(草案⼆次审阅稿)中处理包括“收集、存储、使⽤、加⼯、传输、提供、公开等。”由此可见,特别突出了分析、查询及向提供。这也与汽车数据的特点有关,
分析和查询汽车数据将是常态,此外,由于很多车企
别突出了分析、查询及向提供。这也与汽车数据的特点有关,分析和查询汽车数据将是常态,此外,由于很多车企总部在,涉及⼤量数据出境的问题。
(2)重要数据
《规定》第3条中明确的“重要数据”包括:
本规定所称重要数据包括:
(⼀)军事管理区、国防科⼯等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的⼈流车流数据;
(⼆)⾼于国家公开发布地图精度的测绘数据;
(三)汽车充电⽹的运⾏数据;
(四)道路上车辆类型、车辆流量等数据;
卡点视频
(五)包含⼈脸、声⾳、车牌等的车外⾳视频数据;
(六)国家⽹信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
根据这⾥列举的范围,基本上车辆外装的摄像头和雷达等传感器记录的数据、以及车辆GPS定位数据如果未经脱敏处理都将可能落⼊重要数据的范围。笔者团队认为,这些规定不仅涉及个⼈隐私,还涉及国家安全和社会公共安全问题,尽管《规定》并未明确“⼈流车流”数据的具体含义,如是否需要区别不同时段,或者要以超过某数量为限,但总体⽽⾔,由于成千上万的即时数据经过分析基本可以展现出⼀天的⼈流及车流量,因此涉及重要敏感区域的⼈流车流数据,应当不区分时段以及具体数量限定,通过时的即时数据就已经构成重要数据。
根据《测绘法》第2条规定,本法所称测绘,是指对⾃然地理要素或者地表⼈⼯设施的形状、⼤⼩、空间位置及其属性等进⾏测定、采集、表述,以及对获取的数据、信息、成果进⾏处理和提供的活动。智能汽车在拥有⾼精定位技术的情况下,采集⾃然地理信息的⾏为可能很⼤程度上会落⼊《测绘法》的规制范畴下。根据第27条规定,国家对从事测绘活动的单位实⾏测绘资质管理制度。因此,国家对于测绘⼯作实施严格的资质管理,车辆所收集的超过公开发布地图的测绘信息应当纳⼊重要数据中进⾏严格的合规管理。此外,随着合规体系的完善,涉及到地图信息、交通⽓象信息等均有可能纳⼊重要数据中进⾏规范管理。
(3)处理原则
《规范》第6条进⼀步明确处理原则:
第六条倡导运营者处理个⼈信息和重要数据过程中坚持:
(⼀)车内处理原则,除⾮确有必要不向车外提供;
(⼆)匿名化处理原则,确有必要向车外提供的,尽可能地进⾏匿名化和脱敏处理;
(三)最⼩保存期限原则,根据所提供功能服务分类型确定数据保存期限;
(四)精度范围适⽤原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(五)默认不收集原则,除⾮确有必要,每次驾驶时默认为不收集状态,驾驶⼈的同意授权只对本次驾驶有效。
尽管这六条是倡导性原则,但作为具体⾏业对于《民法典》、《⽹络安全法》、《个⼈信息保护法草案》、《数据安全法草案》对于合法正当必要性原则的进⼀步细化和⾏业化,相关企业主体应当予以遵守。
按照标准YD/T 3746-2020《车联⽹信息服务⽤户个⼈信息保护要求》“车联⽹相关产品或服务的提供者提供⼯具供个⼈信息主体使⽤,提供者不对个⼈信息进⾏访问的,则不属于本标准所称的收集⾏为。”⽐如,车载离线导航软件在车载终端获得⽤户位置信息后,如不回传⾄软件提供者,则不属于个⼈信息的收集⾏为,就该部分信息将可以豁免部分合规义务。
义务。
有关“默认不收集的原则”,体现了对近来公众对智能设备隐私问题的担忧,但是如何在实践中兼顾⽤户便利性以及驾驶安全,做到保护两者的平衡,以及具体如何实现驾驶⼈同意授权,都是需要在实践中进⼀步明确的。
(4)进⼀步明确“告知同意”的内容
《办法》第7条规定:
“告知”⽅式:运营者应当通过⽤户⼿册、车载显⽰⾯板或其他适当⽅式履⾏告知义务。
“告知”内容:负责处理⽤户权益责任⼈的有效联系⽅式;以及收集数据的类型,包括车辆位置、⽣物特征、驾驶习惯、⾳视频等;收集每种类型数据的触发条件以及停⽌收集的⽅法;收集各类型数据的⽬的、⽤途;数据保存地点、期限,或者确定保存地点、期限的规则;删除车内、请求删除已经提供范冰冰结结婚了吗
给车外的个⼈信息的⽅法步骤。
《办法》第九条规定:
运营者收集个⼈信息应当取得被收集⼈同意,法律法规规定不需取得个⼈同意的除外。实践上难以实现的(如通过摄像头收集车外⾳视频信息),且确需提供的,应当进⾏匿名化或脱敏处理,包括删除含有能够识别⾃然⼈的画⾯,或对这些画⾯中的⼈脸等进⾏局部轮廓化处理等。
对于车辆外装摄像头可能拍摄到的⾏⼈、车牌等个⼈信息,收集时很难做到告知和同意。《规定》对此予以了回应,明确如果对拍摄到的⾳视频数据经过脱敏处理不能再识别到具体个⼈,则可以不经同意向车外提供。另外,2021年4⽉29⽇公布的推荐性国家标准《信息安全技术⽹联汽车采集数据的安全要求(征求意见稿)》中“5.数据传输 5.1 未经被收集者的单独同意,⽹联汽车不得通过⽹络、物理接⼝向车外传输包含个⼈信息的数据。将清晰度转换为120万像素以下且已擦除可识别个⼈⾝份的⼈脸、车牌等信息的视频、图像数据除外。”
(5)处理敏感信息的要求
根据《办法》第8条的规定:
1) “运营者收集和向车外提供敏感个⼈信息”应当“以直接服务于驾驶⼈或者乘车⼈为⽬的”,此外在《办
法》第10条中规定,“仅当为了⽅便⽤户使⽤、增加车辆电⼦和信息系统安全性等⽬的,⽅可收集驾驶⼈指纹、声纹、⼈脸、⼼律等⽣物特征数据,同时应当提供⽣物特征的替代⽅式”。这些规定进⼀步限制了对于个⼈敏感信息收集的⽬的和范围。对于提供⽣物特征替代⽅式的规定,也反应了社会⼤众对于收集指纹、⼈脸等敏感信息的警惕。
2) 默认为不收集,每次收集都要征得驾驶⼈同意授权,驾驶结束后本次授权⾃动失效。”这⼀规定较好的解决了⽬前很多信息收集存在的“⼀次授权,终⾝收集”的情况。
3) 通过合理⽅式告知驾驶⼈和乘车⼈正在收集个⼈敏感信息;
4) 驾驶⼈能够随时、⽅便地终⽌收集。为驾驶⼈能掌控信息收集的主动权。
5)允许车主⽅便查看、结构化查询被收集的敏感个⼈信息;驾驶⼈要求运营者删除时,运营者应当在2周内删除。这⼀规定保障了个⼈信息主体的查询权以及删除权,但由于车辆涉及的主体较多,可能包括车主、驾驶⼈、乘车⼈和其他主体,因此,查询⼈的⾝份识别以及不同主体的查询权限都可能存在需要规范的地⽅。
3. 数据出境问题
《办法》第12-15条均为有关个⼈信息和重要数据出境的相关要求:
1) 《办法》第12条规定,境内存储,确需向提供的,应当通过数据出境安全评估。
2) 《办法》第13条规定,应当采取有效措施明确和监督接收者按照双⽅约定的⽬的、范围、⽅式使⽤数据,保证数据安全。
窦靖童染白发被赞感恩妈妈暖心短句3) 《办法》第14条规定,应当接受和处理所涉及的⽤户投诉;造成⽤户合法权益或公共利益受到损害的,应当依法承担相应责任。
4) 《办法》第15条规定,不得超出出境安全评估时明确的⽬的、范围、⽅式和数据类型、规模等,向提供个⼈信息或重要数据。
5) 《办法》第16条对科研和商业合作伙伴需要查询利⽤境内存储的个⼈信息和重要数据的情况进⾏了规定。但是本条并未明确“科研和商业合作伙伴”是否仅为主体。
由此可见,个⼈信息和重要数据的出境,均有进⾏安全评估的义务,有关数据出境安全评估的相关规定如下:
4. 监管报告要求
《规定》第11条:运营者处理重要数据,应当提前向省级⽹信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使⽤⽅式,以及是否向第三⽅提供等。
《规定》第17条:处理个⼈信息涉及个⼈信息主体超过10万⼈、或者处理重要数据的运营者,应当在每年⼗⼆⽉⼗五⽇前将年度数据安全管理情况报省级⽹信部门和有关部门。此处规定了运营主体的年度数据安全管理报告义务,并确定了处理个⼈信息主体的数量标准。
结合《数据安全法草案(⼆审稿)》中,第⼆⼗九条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。总体⽽⾔两者的规定并没有冲突,但《规定》对于监管的事前报告,以及年度报告进⾏了更加细化的规定。
5. 合规建议
随着新能源、智能化等技术在整车制造领域的快速普及,零部件和服务的电⼦化和智能化⽔平快速提⾼,数字化技术在汽车⾏业的应⽤成为企业在市场⾏业的决胜关键,与此同时,汽车数据合规的重要性凸显。
1. 运营者处理个⼈信息或重要数据依然要遵守合法正当必要的原则,应根据不同的业务模式和环节,制定全⽣命周期的信息保护和数据合规体系,包括落实技术、制度等⽅⾯的合规内容;
2.落实⽹络安全保护制度是《⽹络安全法》的要求,也是实践中落实个⼈信息和重要数据的基础;
3.对车联⽹数据传输要特别注意,车内数据通过⽹络向车外提供时,要严格审查产品及业务的必要性;
4.根据“精度范围适⽤原则”,采购摄像头、雷达前,应⾸先严格⾃我审查业务需求和合规内容,对于摄像头、雷达采购环节应有所考量,摄像头、雷达软件管理⽅⾯也要加强,使其功能限制在合法范畴内;
5.根据“默认不收集原则”的要求,建议显⽰屏的弹窗应在每次车辆启动时提⽰,且简单明了、便于操作,不得频繁弹窗索取权限;
6.在保障个⼈敏感信息⽅⾯,运营者应当提前制定⽐较完善的流程和制度,以及应对后期个⼈可能就提供数据提出异议的⼯作⽅案,就提供个⼈敏感信息与增强⾏车安全、辅助驾驶、导航、娱乐等合法性、关联性进⾏说明;制作结构化数据的展⽰⽅式,包括图标、数据分析等⽅式,便于车主查询被收集的个⼈敏感信息情况。