你的汽車數據安全嗎?
[第一時間]給個人數據上個“鎖” 汽車數據安全管理新規公開徵求意見
圖片來源:視覺中國
記者/李亦萌
在中國,能夠隨時連接互聯網並與外部各方共享數據的網聯化汽車正經歷指數級增長。
儘管新技術帶來了明顯的好處,但它們也引起了對個人信息保護、數據保護以及網絡安全的擔憂。 與其他許多國家一樣,中國的監管機構正努力制定法律法規,以適應新技術的發展。
今年8月16日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發佈《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》)。
這是中國第一部針對汽車數據安全所制定的法規,將自2021年10月1日起施行。
上述法規通過界定汽車數據和監管主體,對數據處理原則做出了規定,同時明確了數據處理者的義務,並制定跨境數據傳輸規則,初步建立了中國汽車數據安全的合規框架。
什麼是汽車數據?
《規定》將汽車數據定義爲“涉及汽車設計、製造、銷售、使用、運行和維護的個人信息或關鍵數據。
此前,《數據安全法》曾將“數據”較爲寬泛地定義爲“任何電子或非電子形式的信息記錄”。與前者相比,《汽車數據安全管理若干規定(試行)》中對數據的定義更適合汽車行業。
《規定》同時對汽車數據和監管主體進行了規定。開展汽車數據處理活動的主體均將成爲受監管主體,覆蓋傳統汽車製造企業以及與汽車業務相關的互聯網企業。
根據《規定》第三條所示,“汽車數據處理者”指開展汽車數據處理活動的組織,其中包括汽車製造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業等。
瀚宇國際律師事務所律師認爲,此類定義參考高度契合正在迅速實現智能網聯化的中國汽車行業背景。
除了顯而易見的傳統車企將作爲“汽車數據處理者”被納入監管外,圍繞車輛開展商業運營的互聯網商業實體——如車載軟件開發商、網約車服務供應商等也並列其中。
漢坤律師事務所律師則認爲,與監管者此前公佈的《信息安全技術 網聯汽車 採集數據的安全要求(草案)》不同,《汽車數據安全管理若干規定(試行)》將適用於所有類型的車輛,而不僅限於網聯汽車。
此外,受保護的汽車數據被限定爲“個人信息”及“重要數據”,此舉被認爲可有效避免汽車數據的監管範圍被過度擴大。
不過,漢坤律師事務所也指出,目前尚不清楚《規定》是否適用於與汽車管理無關的內部數據處理活動,例如企業員工個人信息處理等。此外,《規定》也沒有具體說明,是否以及如何適用於已經上市或正在生產的車輛。
不同類型的汽車數據
與《個人信息保護法》類似,上述規定將個人信息分爲兩類:即與個人相關的電子或非電子信息以及敏感信息。
值得注意的是,《規定》在對“個人”做出界定時,不僅將車主、駕駛人、乘車人納入其中,同時還將車外人員包含在內。
同時,《規定》還明確,個人信息指“以電子或者其他方式記錄的、與已識別或者可識別”的車主、駕駛人、乘車人、車外人員等有關的各種信息,但“不包括匿名化處理後的信息”。
對於涉及人身和財產安全的個人信息,《規定》將其視爲個人敏感信息。
後者指一旦遭到泄露或非法使用,可能“導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息”,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特徵等。
《規定》同時對“重要數據”做出界定。後者指“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數據”。
“重要數據”包括軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據;車輛流量、物流等反映經濟運行情況的數據;汽車充電網的運行數據;包含人臉信息、車牌信息等的車外視頻、圖像數據;涉及個人信息主體超過10萬人的個人信息;國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。
漢坤律師事務所表示,《規定》對於汽車數據處理者在實踐中,如何劃定“重要信息”範圍——例如,如人員和車輛流量如何計算、重要敏感區域如何識別等,尚無詳細標準。
儘管如此,該律師事務所認爲,國家必然會重視對車載攝像頭、雷達、激光雷達和其他傳感器收集的環境數據給予高度重視,並要求利益相關方非常審慎地處理這些數據。
汽車數據應該如何處理?
根據《汽車數據安全管理若干規定(試行)》,汽車數據處理者必須對其收集、使用的信息盡到保護義務,無論此類信息涉及個人數據,還是重要數據。
瀚宇國際律師事務所表示,《規定》對汽車數據處理者的目的進行了最大程度的限制,此舉有利於令數據安全性處於可控狀態。
汽車數據處理者在處理汽車數據時,應當合法、正當、具體、明確,與汽車的設計、生產、銷售、使用、運維等直接相關,同時需根據網絡安全等級保護等制度,加強汽車數據保護。
《規定》還明確了4項推薦的數據處理原則,其中包括車內處理原則(非必要,不向車外提供)、默認不收集原則(除非駕駛人自主設定,每次駕駛時默認設定爲不收集狀態)、精度範圍適用原則(根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋範圍、分辨率)以及脫敏處理原則(儘可能進行匿名化、去標識化等處理)。
漢坤律師事務所律師表示,儘管此類原則並非作爲一種強制性義務,但他們依然認爲,監管機構將在未來正式實施的規則中,將這些原則納入考量。
漢坤律師事務所預計,監管機構將鼓勵汽車製造商在車車輛設計和開發的早期階段,將“信息車內處理” 和“默認不收集”原則納入技術規劃。
關於車內數據處理的原則,中國國家網信辦今年4月曾就《信息安全技術 網聯汽車 採集數據的安全要求(草案)》(以下簡稱《安全要求》)徵求意見。
《安全要求》對車聯網數據做出了一些特殊規定。例如,未經被收集者的單獨同意,網聯汽車不得通過網絡、物理接口向車外傳輸包含個人信息的數據。但《安全要求》同時也指出, 清晰度轉換爲120萬像素以下且已擦除可識別個人身份的人臉、車牌等信息的視頻、圖像數據除外。
此外,網聯汽車也不得“通過網絡、物理接口向車外傳輸汽車座艙內採集的音頻、視頻、圖像等數據及經其處理得到的數據”。
漢坤律師事務所認爲,《規定》解決了長期以來“如何合法處理車外行人個人信息”的問題。
根據《規定》第9條,數據匿名化和脫敏處理,可減輕汽車信息處理者獲得行人同意的負擔,後者無疑是一項“繁重且幾乎不可能完成”的任務。
但該律師事務所認爲,《規定》中仍有兩個開放性要點需要釐清:首先,“脫敏”一詞是否與“匿名化”具有相同的含義,還是指的是“去標識化”;其次,僅在車端對數據進行匿名化和脫敏處理,是否可以免除徵求同意的要求,或是需要在服務器端進行同樣的處理。
如果僅通過車端數據匿名和脫敏即可免除徵求同意義務,那麼汽車數據處理者就必須確保車輛擁有強大的車載處理能力。否則,他們將不得不根據即將出臺的個人信息保護法規,依靠授權和徵求同意以外的法律依據來處理個人信息。
如何增強對個人敏感信息的保護?
《規定》第八條對個人敏感信息的處理提出了更高要求。首先,汽車數據處理者處理個人敏感信息的目的被限定爲直接向駕乘人員提供服務,例如駕駛輔助、導航、娛樂等。
同時,基於默認不收集原則,汽車數據處理者在採集個人敏感信息時,每次都必須徵得被採集者的同意,並且其授權在每次駕駛結束後,便不再有效。另外,汽車數據處理者應當通過人機交互系統或語音提示,告知被採集者,車輛正在進行個人敏感數據收集。
更重要的是,駕乘人員可以在任何情況下,隨時停止數據採集。同時,汽車數據處理者還應當以方便且系統化的方式,允許車主訪問其所收集的個人敏感信息,還應根據車主的要求,在兩週內刪除數據。
漢坤律師事務所認爲,《規定》中對個人敏感信息處理的要求較現行法規,更爲嚴格。這要求汽車數據處理者對數據的管理更爲精細。
另一方面,上述一些要求——例如,每次數據採集都需要獲得駕乘者同意——可能會顯著改變現有的車輛設置以及人們的駕駛行爲。
該律所同時指出,《規定》第八條可被解釋爲,“徵得同意”是處理個人敏感信息的唯一法律依據。不過,當汽車信息處理者需要調用車輛位置,以履行其法律義務,或者在緊急情況下,保護駕駛員安全時,可能會出現問題。
如何進行跨境數據傳輸?
《規定》第十一條至第十四條規定了數據跨境傳輸的要求。
首先,對於重要數據,以“依法在境內存儲爲原則”,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估,方可跨境傳輸此類數據。
對於未列入“重要數據”的涉及個人信息數據的出境安全管理,其跨境傳輸的安全管理則適用法律、行政法規的有關規定。
瀚宇國際律師事務所指出,《規定》雖然對跨境數據傳輸提出了諸多要求,但並未明確界定“跨境數據傳輸”和“跨境傳輸必要性”的標準。因此,汽車數據處理者在進行跨境數據傳輸時,需要參考其他法規或國家標準。
君合律師事務所援引國家質檢總局與標準化委員會於2017年公佈的《信息安全技術—數據出境安全評估指南(徵求意見稿)》(以下簡稱《安全評估指南》)稱,“數據出境”的詳細定義指,“網絡運營者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動”。
根據《安全評估指南》,個人信息出境場景包括向本國境內,但不屬於本國司法管轄或未在境內註冊的主體提供個人信息;個人信息數據未轉移存儲至本國以外的地方,但被境外的機構、組織、個人訪問查看的(公開信息、網頁訪問除外);網絡運營者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的個人信息的。
針對數據跨境傳輸的必要性,《安全評估指南》同樣羅列了一些“必要”場景,其中包括履行合同義務所必需的;在同一機構或組織內開展業務所必需的;中國政府部門執行公務所必需的;爲執行中國政府與其他國家和地區政府或國際組織簽訂的條約、協定所必需的。
《安全評估指南》同時明確,企業在進行“信息出境”處理時,需要維護網絡空間主權和國家安全、經濟發展、社會公共利益,並保護公民合法權益。
漢坤律師事務所表示,本次《規定》關於“個人信息出境”問題的模糊性可從兩個角度來理解。
一方面,考慮到汽車行業數據的高度敏感性,《規定》本身可以要求汽車數據處理者在中國境內存儲所有類型的個人信息。
另一方面也可以理解爲,除了《中華人民共和國個人信息保護法》以及《信息安全技術—數據出境安全評估指南》提出的個人信息本地化存儲義務外,《汽車數據安全管理若干規定(試行)》不會向汽車數據處理者增加其他義務。
多名法律界人士均表示,隨着網聯汽車市場的蓬勃發展,汽車市場參與者在實施商業計劃時,需確保遵守相關規定,以減少潛在的法律風險。
