《汽車數據安全管理若干規定》草案解讀
作者:程中華 2021-06-25引言
國家互聯網信息辦公室2021年5月12日就《汽車數據安全管理若干規定》(以下簡稱“若干規定”)向社會公開征求意見,在《數據安全法》即將于9月1日開始實施的背景下,作為智能化程度領先的汽車行業,其數據保護的緊迫性也日益凸顯。今年四月上海車展的“車頂維權”事件中,各方就新能源汽車行車數據是否屬于車主知情權的范疇產生爭議,網上也流傳著因為擔心某外資品牌新能源汽車攝像頭采集的數據可能外泄,而禁止其進入某些機構場所的傳聞。國家互聯網信息辦公室此時發布《若干規定》向社會征求意見,具有很強的現實意義,筆者現就《若干規定》的相關問題進行解讀。 一、明確了汽車數據的范圍 《若干規定》首次明確了在汽車設計、生產、銷售、運維、管理等全產業鏈進行監管的思路,監管行為包括汽車數據的收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供等,監管的對象為汽車數據,涵蓋個人信息與重要數據兩個類別。 其中,個人信息是指車主、駕駛人、乘車人、行人等的個人信息,以及能夠推斷個人身份、描述個人行為等的各種信息。 《若干規定》對個人信息的定義沒有采用《個人信息保護法》(草案)的表述,與2020年發布的《信息安全技術 個人信息安全規范》(GB/T3573-2020)(以下簡稱“個人信息規范”)所稱的“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”更為接近。《若干規定》所要規制的個人信息的主體并不限于車主或駕駛人,還包括乘車人、行人等車內、外人員。 《若干規定》確認的重要數據包括:(一)軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;(二)高于國家公開發布地圖精度的測繪數據;(三)汽車充電網的運行數據;(四)道路上車輛類型、車輛流量等數據;(五)包含人臉、聲音、車牌等的車外音視頻數據;(六)國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。 雖然重要數據的概念最初在《網絡安全法》中已有提及,《數據安全法》第二十一條也表示要對數據實行分類分級保護,并確定重要數據目錄,但《若干規定》首次對汽車行業的重要數據進行了列舉。關于重要數據的定義,可參考2017年8月發布的《信息安全技術 數據出境安全評估指南》(征求意見稿)的規定,即:相關組織、機構和個人在境內收集、產生的不涉及國家秘密,但與國家安全、經濟發展以及公共利益密切相關的數據(包括原始數據和衍生數據)。 從以上分析來看,《若干規定》所規制的汽車數據,并不僅限于車輛本身,而是包含與車輛運行各個環節相關聯的車、人、物等數據。但據筆者觀察,其重要數據的范圍又明顯小于《車聯網信息服務 數據安全技術要求》(YD/T3751-2020)(以下簡稱“車聯網數據安全要求”)中的數據類型,《車聯網數據安全要求》所列舉的基礎屬性類數據、車輛工況類數據、環境感知類數據、車控類數據、應用服務類數據中未落入重要數據范疇的部分,筆者理解將不受《若干規定》的約束,只能通過行業標準進行規范。 二、提出了汽車數據處理的五大原則 《若干規定》提出了運營者的概念,運營者是指汽車設計、制造、服務企業或者機構,包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等,其性質與《數據安全法》中的數據處理者是相同的。 《若干規定》要求運營者在處理個人信息或重要數據時應具有合法、具體、明確的目的,并需加強對數據安全的保護。特別地,《若干規定》第六條還倡導運營者處理個人信息和重要數據應堅持幾個原則,歸納為:(1)車內處理原則;(2)匿名化處理原則;(3)最小保存期限原則;(4)精度范圍適用原則;(5)默認不收集原則。 上述原則對汽車行業來說,都非常具有針對性。如車內處理原則,要求除非確有必要,車內數據不得向車外提供。限制車內數據對外提供,一方面可以確保數據主體對其個人數據的有效控制,減少隱私被泄露的風險;另外,也更有利于減少網絡安全風險,保障車輛的運行安全。匿名化處理原則,要求車內數據對外提供時,應盡可能地對數據進行匿名化或脫敏處理。精度范圍適用原則,可用于解決智能網聯汽車因車外攝像頭、雷達的廣泛使用所帶來的數據風險問題,它要求根據所提供功能服務對數據精度的要求,確定攝像頭、雷達等的覆蓋范圍、分辨率。默認不收集原則,要求每次駕駛時車輛處于默認不收集狀態,這一原則有利于個人信息保護原則中“選擇同意”原則的實現,對于車輛租賃或高度自動駕駛車輛的共享等使用場景,是非常有意義的。對于汽車數據的保存期限,最小保存期限原則要求根據所提供功能服務分類確定數據保存期限,但未給出具體的數據。2021年4月28日發布的《信息安全技術 網聯汽車 采集數據的安全要求》(草案)(以下簡稱“網聯汽車安全要求(草案)”)就網聯汽車采集的車輛位置、軌跡相關數據在車內存儲設備、遠程信息服務平臺中的保存期限確定為7天。 需要特別指出的是,《若干規定》所提出的五大原則均為倡導性原則,并不具有強制力,但可將其作為未來汽車設計、研發的指導方向。另外,五大原則中的部分內容與行業現狀也還存在需調和之處,如我國智能網聯汽車采取的是“車路協同”的路徑,車內、外數據的交互是應有之意,嚴格執行“車內處理”原則,對智能網聯汽車的發展會造成阻礙,《若干規定》若得以實施,現有智能網聯汽車的生產、運營方需就此做好合規安排。 三、汽車數據的收集、出境、商業利用等問題 1、汽車數據的收集 運營者處理個人信息,應通過用戶手冊、車載顯示面板或其他適當方式,保障數據主體的知情權。“選擇同意”仍是汽車運營者對數據數據處理必須堅持的原則,但《若干規定》同時表示,若實踐上難以實現(指取得被收集人同意)的,則應當進行匿名化或脫敏處理。 運營者收集和向車外提供敏感個人信息,包括車輛位置、駕駛人或乘車人音視頻,以及可用于判斷違法違規駕駛的數據等,《若干規定》第八條認為應符合以下要求: 1) 服務駕駛人或乘車人為目的; 2) 默認為不收集; 3) 通過車內設施告知駕駛人和乘車人正在收集敏感個人信息; 4) 駕駛人有終止收集權; 5) 車主可便捷查詢被收集的敏感個人信息; 6) 駕駛人要求刪除的,運營者在2周內必須刪除。 本條雖稱之為敏感個人數據“收集和向車外提供”的規范要求,但仔細分析,可以發現以上要求都僅針對收集行為而言,向車外提供時具體應執行何等要求是不明確的。另外,以上規定與《網聯汽車安全要求(草案)》的相關內容也存在沖突之處,《網聯汽車安全要求(草案)》要求:網聯汽車如未經被收集者單獨同意,不得通過網絡、物理接口向車外傳輸包含個人信息的數據,但清晰度120萬像素以下且已擦除可識別個人身份的人臉、車牌等信息的數據除外;不得將汽車座艙內采集的音頻、視頻、圖像及經其處理得到的數據向車外傳輸。 對生物特征數據的收集問題,《若干規定》第十條表示,“僅當為了方便用戶使用、增加車輛電子和信息系統安全性等目的”時,方可進行收集,同時應提供生物特征的替代方式。在《個人信息規范》中,生物特征數據被列為重要的個人敏感信息,而《若干規定》并未將其列入第八條敏感個人信息的范疇,僅就其收集問題做了規范。從以上條款邏輯推測,該等生物特征數據,不得向車外提供。 對于汽車數據中的敏感個人信息的保護,在今年3月9日歐洲數據保護委員會(EDPB)發布的《車聯網車輛和出行相關應用環境下處理個人數據的指南2.0》(以下簡稱“EDPB指南”)也有類似規定。《EDPB指南》認為汽車制造商、服務提供商和其他數據控制者應特別關注的三類數據,分別是位置數據、生物識別數據以及可揭露犯罪行為或交通違法的數據。《EDPB指南》強調生物識別數據也應以車內處理為原則,并需提供非生物識別的替代方案,同時,其對地理位置信息的保護顯得格外謹慎。如對地理位置的訪問,對天氣類應用來說,即使獲得了數據主體的同意,也不應當每一秒都訪問車輛的地理位置。可揭露犯罪行為或交通違法的數據則應適用GDPR第十條的保護原則,即僅能在官方機構的控制下或當處理經過歐盟法或成員國國內法授權時,并且為數據主體提供適當的保護時,方可進行處理。 2、數據出境 《若干規定》就汽車數據的出境提出以下要求: 1) 個人信息或重要數據以境內存儲為原則,確需出境的應通過網信部門組織的數據出境安全評估; 2) 運營者采取措施保障接收者按規定使用出境數據,并保證數據安全; 3) 運營者應接受和處理用戶投訴,造成用戶損失的應予賠償; 4) 國家網信部門可抽查核驗出境數據的類型和范圍。 作為《若干規定》上位法的《網絡安全法》,就關鍵信息基礎設施運營者收集和產生的個人信息和重要數據,規定應當在境內存儲。工信部正在對外征求意見的《智能網聯汽車生產企業及產品準入管理指南(試行)》(以下簡稱“智能網聯汽車管理指南草案”),同樣要求智能網聯汽車生產企業對在中國境內收集和產生的個人信息與重要數據進行本地化存儲,確需向境外提供的,應向行業主管部門報備。 綜合以上規定可以確認,未來汽車數據將以境內存儲為原則,境外提供為例外。對于外資智能網聯汽車廠家而言,應對此早做規劃。 另外,筆者注意到《網聯汽車安全要求(草案)》規定網聯汽車從車外采集的道路、建筑、地形、交通參與者等數據,以及車輛位置、軌跡相關數據,不得出境。而這些不得出境的數據,與《若干規定》的重要數據存在重合,此等文件間的矛盾后續如何處理,也應予以關注。 3、汽車數據的科研與商業利用 《若干規定》第十六條規定:科研和商業合作伙伴需要查詢利用境內存儲的個人信息和重要數據的,運營者應采取有效措施保證數據安全,防止流失;嚴格限制對重要數據以及車輛位置、生物特征、駕駛人或者乘車人音視頻,以及可用于判斷違法違規的數據等敏感數據的查詢利用。 考慮到自動駕駛在世界范圍內的發展正如火如荼,嚴格限制汽車重要數據等的查詢利用,不利于行業間的信息共享。我國在去年2月發布了《智能汽車創新發展戰略》,已將自動駕駛汽車的發展提升至國家戰略層面,2025年要求實現有條件自動駕駛的規模化生產。要實現這一目標,應該創造更為開放、包容的汽車數據共享機制。 4、數據管理情況的通報 處理個人信息主體超過10萬人,或者處理重要數據的運營者,應當: 1)在每年12月25日前將數據安全管理情況報省級網信部門; 2)涉及數據出境的,還需報告接收者的名稱、聯系方式,數據類型、數量、境外存放點等特殊信息。 四、結語 《若干規定》未就汽車數據做整體上的定義,個人信息與重要數據顯然并不是汽車數據的全部,對于未列入《若干規定》范圍內的汽車數據,還有賴于正在審議中的《個人信息保護法》及其他大量行業標準、部門規范性文件進行規制。因汽車(特別是智能網聯汽車)相關的標準及部門規范,很多仍處于征求意見階段,行業標準、部門規范之間的矛盾與沖突,還需文件制定者予以重視。 當然,《若干規定》也不乏亮點,如草案首次采用列舉的方式,為原來停留在概念中的重要數據劃出了明確的邊界;數據處理原則中的車內處理原則、精度范圍適用原則、默認不收集原則也切中了汽車行業的痛點,提高了汽車數據合規的門檻,互聯網行業長期被詬病的數據濫用問題,有希望在汽車行業被遏制。對于敏感數據的保護,《若干規定》與EDPB的標準相當,這有利于提高用戶對整體行業的信心。
