8月20日,国家互联网信息办公室(以下简称“国家网信办”)、公安部等五部门联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自10月1日起施行。这是工信部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》一周后,相关部门出台的又一加强汽车数据管理的政策文件。
减少无序收集与违规滥用
当前,汽车数据规模庞大,行业对其的处理能力日益增强,但同时由此暴露出的汽车数据安全问题和风险隐患也日益突出。北京中银律师事务所汽车法律事务部主任杨阳表示,随着智能汽车数据处理能力及范围日益增强、扩大,汽车数据的安全问题和风险隐患成为了制约行业健康发展的痛点。《规定》的出台既是《网络安全法》、《数据安全法》及《个人信息保护法》在汽车行业的细化,又将对智能汽车的健康发展提供加速器作用,可有效弥补新技术带来的立法空白。
《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
《规定》明确提出,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益;开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或符合法律、行政法规规定的其他情形;处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
《规定》还提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。
数据涉及广泛隐私亟待保护
“我最在意的就是车辆是否在监控我,并把录音录像上传至后台分析。”北京丰台的汽车用户卢女士对《中国汽车报》记者说。
对车内个人隐私泄露有着同样担忧的不止卢女士一人。家住北京海淀的梁先生也表示,智能化技术兴起以后,汽车接打电话等成为寻常的功能。“汽车很轻松地就获取了我的手机通讯录,而且如果它开启录音设备,也会知晓通话内容。而且,汽车恐怕最了解我常去的地方,每天还给我推送路况。智能汽车确实很便利,但我也有不想让它知道的隐私。”他向记者说道。
北方工业大学汽车产业创新研究中心研究员、汽车分析师张翔认为,在没有进行规范管理前,车内的摄像头及录音设备有可能未经车主同意就将录音、录像上传至云端,车主的出行轨迹或许也被拿来进行分析。从这个意义上说,《规定》的出台进一步加强了个人隐私保护。不过,目前智能汽车很多服务是免费的,背后就是数据的商业化应用。《规定》出台以后,一些免费的服务有可能变为收费服务。
有业内人士指出,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及驾乘人员的出行轨迹、习惯、语音、视频等关键信息。
一家自动驾驶初创公司的相关负责人对记者表示,自从车辆可以联网后,厂商就开始收集车辆的行驶数据,比如,车辆行驶速度、加速踏板和刹车踏板的开度、四门两盖开闭状态、车辆GPS位置以及车上各种传统传感器的数据等,它们可以通过CAN总线获取。而在智能化时代,汽车摄像头、雷达不仅可以收集车外数据,还能触发数据回传,再对数据进行分析,从而提升自动驾驶的性能。这两年开始应用的车内摄像头,即驾驶员监控系统(DMS)或乘客监控系统(OMS),则可以通过识别驾乘人员面部、手势特征,在使车辆设置“千人千面”的同时,完善用户画像,帮助车企调整产品和市场策略。此外,还有方兴未艾的指纹识别、静脉识别,甚至心跳监控。“数据的应用具有广阔的想象空间,但大肆滥用并不合法。”他强调。
据了解,大量行车数据被汇总至后台,不止带来个人用户隐私泄露的隐患,也涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域安全风险。国家互联网信息办公室有关负责人指出,在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
产业链上下游要落实数据安全管理
事实上,近日出台的《个人信息保护法》也明确规定,不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……这部专门法律为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
国家网信办有关负责人表示,汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信办、发展和改革、工信、公安、交通运输等有关部委在汽车数据安全管理过程中,将加强协调和数据共享,形成工作合力。
杨阳认为,智能网联汽车作为一种特殊的交通工具,涉及数据的内容分类、处理主体具有汽车特有的多样性、复杂性,因此我国加快了对数据安全领域的立法工作。除了框架性的法律规定,在实际数据安全业务开展过程如何具体实施,还有赖于具体专门性的规定和国家强制性标准予以细化。如何既促进新兴产业技术发展,又保护个人信息和国家安全,这需要立法者的智慧予以平衡。比如,深圳市已对数据安全进行探索,细化数据安全立法内容,《深圳经济特区数据条例》于2021年6月29日通过,并将于2022年1月1日起施行。
在ICMA智联出行研究院院长何姗姗看来,针对重要数据,《规定》有一个从定性到定量的安排,要求企业做年度申报,基本上涉及了每家车企。如果涉及数据出境,车企就一定要进行安全评估,需要建立一套数据安全风险管理体系。
新能源和智能网联汽车产业研究员曹广平表示,企业内部要进行《规定》的宣贯、学习与执行,要进行企业标准的相应修订工作,各相关业务部门也要对照各自的业务进行整改,加强管理,规范优化相关数据活动。