當下，隨着汽車智能化、網聯化、自動化漸成浪潮，行業巨頭特斯拉早已獲得“有輪子的iPhone”稱號，諸多互聯網人士也將智能汽車形容成“四個輪子上的一部超級手機”。

但汽車畢竟不是手機，汽車不僅在數據收集的場景維度、數據涵蓋的空間範圍等方面與手機大不相同，汽車還涉及駕駛等“強安全”場景，因此智能網聯車輛場景下的產品設計和數據處理如何在借鑑“互聯網思維”的基礎上有所改進，一直都存在激烈的爭論。這樣的爭論也隨着多個公共事件的發生而被重複性喚醒。

近期，有媒體報道，特斯拉車載攝像頭拍攝的視頻和圖片，被員工用於私人聊天分享。報道稱，該車廠員工在內部聊天系統中分享車主高度敏感的視頻與圖像，一部分車內記錄影像甚至是在汽車熄火後被自動錄製的。

財經E法隨後發佈的系列文章——《車內攝像頭隱憂（上）》《車內攝像頭隱憂（下）》也顯示，9個在中國市場銷售的主流汽車品牌中僅有一個品牌全系車內無攝像頭，一個品牌使用了紅外線傳感器檢測駕駛員狀態，其他7個品牌全部裝有車內攝像頭。文章提出，車內安裝攝像頭或許可以更好保障駕駛人和車輛安全、提供更好的用戶體驗，但同時可能引發乘車人關於其個人信息和隱私面臨風險的顧慮。這一利益衝突，仍待尋求破解之道。

2022年3月，比亞迪汽車App關閉遠程查看車外攝像頭影像的“千里眼”功能，在比亞迪汽車App中打開此功能會提示“根據國家最新法規要求，車外影像功能正在升級，敬請期待”。公開信息顯示，還有小鵬等數家整車廠關閉或調整了類似功能。

整車廠在設計或開啓上述功能時，並非沒有考慮到個人隱私問題，例如通過硬件（車內物理遮擋推蓋）+軟件（用戶交互界面強提醒）的方式，充分告知用戶，並甚至取得了同意。儘管如此，源於“互聯網思維”而設置的影像分享、影像導出或其他“強互動”功能，與汽車行業特有的數據安全和個人隱私保護之間如何調和適配，尚有待改進，並引發了公衆顧慮。

“告知同意”路徑與數據處理場景難匹配

圍繞智能網聯車輛的數據安全和個人隱私保護，有兩類主體存在顧慮與擔心。

第一類主體是車主與乘客。他們可能顧慮錄製的座艙影像包含隱私和其他敏感信息，並進而被不當收集和使用。正如上述媒體報道所稱的場景中，整車廠員工在私人聊天中傳播車主的敏感視頻和圖片。車主與乘客可能進一步顧慮整車廠在沒有對用戶進行告知，並取得同意的情況下，將較爲敏感或私密的座艙數據用於個人畫像、算法推薦等“侵入性”相對較強的活動。

第二類主體是路人和其他車外主體，擔心人臉圖像或敏感單位的位置等信息被車外攝像頭記錄，被車內人員或者整車廠保存並做進一步使用。

不論哪一類主體，擔憂的核心都在於，車載攝像頭拍攝的車外影像或座艙影像，是否將會在不經過特別處理的情況下被輕易傳輸出車外，甚至被用於無法預期的目的。

類似的影像收集和處理，在手機終端爲主導的移動互聯網場景中，有過相對成熟、基本能達到商業效果與用戶法益保護效果平衡的解決方案：即依賴“告知同意”路徑的數據利用，或依賴“履行合同所必須”路徑的數據利用。前者會盡量在用戶使用過程中詳細告知影像等數據收集的方式和目的，並通過彈窗等方式獲得用戶同意。後者則適用於意圖明顯、確爲履行用戶作爲一方的合同所必須的場景，例如用戶在圖像處理App中爲實現修圖的目的，主動上傳頭像照片。

但這些方法在智能網聯汽車的一部分數據處理場景中，有時顯得力不從心。

對於車載攝像頭或其他傳感器收集的座艙數據（例如座艙影像），基本難以通過“告知同意”或“履行合同所必須”，來完成所有個人信息處理場景的合法性基礎構建。例如，座艙乘客時常有車主本人以外的自然人出現，例如並不熟悉的同事或朋友，私人事務中的聯絡人，這些人員可能沒有契機得知車內攝像頭或其他傳感器收集其個人信息的目的，或車主將以何種方式保存和利用上述人員的個人信息。

對於車載攝像頭收集的車外影像，也會遇到更棘手的難點。例如，對於車載攝像頭採集的車外人像，不太可能取得車外個人的同意。而在這一處理場景中，車外個人更不太可能是其作爲簽約一方的某個合同的履約者。所以，《汽車數據安全管理若干規定（試行）》及其他的推薦性標準才強調，無法徵得個人同意採集到車外個人信息且向車外提供的，應當進行匿名化處理，包括刪除含有能夠識別自然人的畫面，或者對畫面中的人臉信息等進行局部輪廓化處理，並且甚至這一匿名化要求還有一個前提是“因保證行車安全需要”，而非基於任意目的。

即使在整車廠或智能網聯服務提供方做好了妥當的告知，並收集了適當的用戶同意之後，用戶也可能擔憂，整車廠或智能網聯服務提供方能否嚴格根據授權同意的目的和方式來使用個人信息。例如媒體報道中所稱的場景內，整車廠員工在私聊中分享車主圖片、視頻，肯定並非出於車輛和人員安全的目的，也非工作目的，更不可能是用戶同意或可預見的目的。

會出現上述困惑的重要原因之一是，智能網聯汽車是否應當繼續高度沿襲互聯網產品的設計思維。

在智能網聯汽車就是“手機+四個輪子”的認知下，汽車被認爲是手機在出行場景下的放大加強版本。因此，延續移動互聯網產品而形成的汽車產品設計理念，可能容易走向通過“告知同意”等方式儘量收集更爲豐富的個人信息，期待實現更精準的用戶畫像，並在此基礎上，通過打開車機、車載機器人（虛擬人）等更多互動入口，實現更多場景下的廣告加載開啓及更精準的流量分發與變現。這一思路的基礎是希望依賴“告知同意”，通過多場景的告知和強提醒，並通過彈窗等途徑，取得用戶的“同意”，從而完成上述整個鏈路的合規閉環。

在智能手機場景下，上述以“告知同意”作爲核心驅動的路徑本身雖然也存在爭議，但基本還能實現相對的平衡。而當這一思路移植到智能網聯汽車的車機端和智能座艙場景，特別是加入了汽車行業獨有的駕駛安全性考慮之後，似乎出現了更明顯的適配難題。

例如，智能網聯汽車儘管不斷意在提高“智能化”程度和“網聯”能力，但作爲一輛汽車，主要使用場景依舊是駕駛出行，而駕駛出行的首要考量必然是安全性。安全性是否可以因爲“告知同意”而得到妥協，並非是一個能夠受到廣泛認同的路徑。

例如，如果汽車駕駛員在行車導航過程中，導航頁面加載了相對大面積的廣告彈窗，很可能影響駕駛人的注意力，進而影響駕乘安全。在這一場景中，即使通過單獨彈窗由用戶確認允許在導航頁面進行大幅彈窗，也不一定是合理的產品設計思路。所以“告知同意”路徑在“強安全”要求的車輛駕乘場景下，不宜作爲合規閉環的“萬能鑰匙”。

探索“互聯網思維”與“車內處理”的適配

展望未來，以上問題，必將隨着智能網聯汽車技術的不斷發展，以及更前沿的生成式人工智能（AIGC）等技術的引入，而引發更深層次或更廣範圍的潛在數據安全與個人隱私顧慮。

例如，汽車智能化水平及車載硬件規格必將不斷提高，攝像頭規格將持續提升，其採集影像的能力（如影像清晰度、採集範圍、採集時間等），也將進一步提高。這種能力躍升所帶來的隱私顧慮也將加深，例如可以在更長時間範圍內，採集更廣視域內的更加高清的圖像。

再如，座艙智能化程度將不斷提升，趨勢之一是屏幕增多和增大，進而帶來多屏互動、多終端互動（例如車車互動，車機與手機互動，智能眼鏡與車機互動）的能力提升、場景增加。這使得座艙內通過攝像頭、其他傳感設備或硬件收集的數據種類和數量空前增加，敏感性提升。趨勢之二是，隨着生成式人工智能技術、自動駕駛技術等前沿技術的飛速發展，未來，車機和車載機器人（虛擬人）的互動能力將實現指數級提升，人機互動和多輪複雜溝通對話的能力、完成複雜任務的能力遠勝今日。輔助駕駛甚至L3級別以上自動駕駛技術的快速發展，也將使駕乘人員花費在車輛座艙中的時間延長。

綜合以上兩類技術，駕乘人員交給座艙與車機處理的任務性質可能發生質變。今後駕乘人員可能將座艙作爲辦公和重度娛樂的場所之一。在這一功能轉變的過程中，車內攝像頭、其他傳感器以及智能座艙系統本身收集到的數據敏感性和數據量都將急劇增長。前述提到的數據安全和個人信息保護顧慮也將進一步凸顯。  

正是由於上述原因，《汽車數據安全管理若干規定（試行）》很早就確立了“車內處理”原則，即國家倡導汽車數據處理者（在不同的場景中有所不同，但典型如整車廠、智能網聯服務提供方等）在開展汽車數據處理活動中，除非確有必要，不向車外提供汽車數據。這一原則在《信息安全技術 汽車數據處理安全要求》等推薦性標準和其他文件中也被多次重複與強調。然而，實踐中對“車內處理”原則的把握，也出現了一定程度的分歧與困惑。

第一個問題在於，汽車數據處理者在多大程度上需要遵守所謂“車內處理”原則。這一困惑的原因在於規範性文件的用語較爲模糊，其他文件則效力層級不足。《汽車數據安全管理若干規定（試行）》作爲生效的規章制度，具有約束力，但對“車內處理”原則的規定使用了國家“倡導”車內處理原則。這一術語的使用究竟意在體現國家提倡但不強制要求車內處理原則，還是因爲這一規定在執行過程中必然向行爲主體傳導強烈的信號所以使用“倡導”一詞也無妨，本身就是一個備受爭議的話題。

第二個問題在於，“車內處理”本身作爲一個“原則”而存在。所謂有原則必有例外，那麼例外是什麼。《汽車數據安全管理若干規定（試行）》也規定了“除非確有必要”。那麼在複雜繁瑣的智能網聯車輛服務場景中，怎麼理解“原則”，何爲“確有必要”，有待實踐和執法的檢驗。

例如，《信息安全技術 汽車數據處理安全要求》作爲一個推薦性國家標準而非具有強制約束力的規範性法律文件，原則上呼應和強調了“車內處理”原則，列舉了可以向車外傳輸的例外。例如對於汽車收集的座艙數據，如果是爲了實現語音識別功能必須傳輸到車外進行識別處理，並且回傳後馬上刪除車外數據，可以傳輸。

但是，上述例外本身涵蓋的場景確實極其有限，是一種相對嚴格的規制路徑。實踐中，存在大量真實基於車輛用戶的服務請求而產生的數據傳輸需求，並不在《信息安全技術 汽車數據處理安全要求》列舉的可以向車外提供數據的情境中。例如隨着智能網聯服務不斷豐富，許多車主確實需要或主動觸發種類多樣、場景豐富且必須向車外傳輸數據纔可能完成的車聯網服務。這些向車外傳輸數據的客觀真實需求，並沒有能夠在《汽車數據安全管理若干規定（試行）》或相應的推薦性標準中得到較好的、明確的回應或解釋。

應對：“場景化治理”與“敏捷式監管”

正是由於前述討論、困境與博弈，智能網聯汽車場景的數據合規治理實際上已經開啓並將繼續經歷“場景化治理”與“敏捷式監管”這兩個方向的積極探索。

首先，由於智能網聯汽車的數據處理場景與智能手機顯著不同，所以數據合規與數據治理方式也應當有所不同，宜持續探索更加精細化的“場景化治理”路徑。

基於汽車數據處理的數量、範圍、敏感程度、駕乘人員的多樣性和車外人員難以充當“局外人”等特點，在智能網聯汽車的相當一部分數據處理場景中，宜堅持“車內處理”原則。

但是，有原則必有例外，由於智能網聯車輛數據處理場景的高度複雜性，在法規與制度供給層面，提供相對明確、符合業務需求和用戶需求的可以進行車外傳輸的場景規定，也顯得至關重要。例如，在不直接關係到駕駛安全的場景下，如果用戶主動請求服務，也宜在綜合考慮車外人員、其他乘坐人員法益保護的情況下，允許整車廠或智能網聯服務提供方進行適當的車輛外數據交互。

其次，智能網聯汽車領域也是“敏捷式監管”試驗的前沿陣地。

智能網聯汽車本身就是相對前沿的技術應用和監管探索領域。隨着自動駕駛技術多年以來的積累，以及生成式人工智能技術的爆發式發展，智能網聯汽車新技術在實踐應用中的發展日新月異。傳統的監管方式顯得緩慢，甚至在一定程度上難以應對高速發展的技術潮流和實踐應用。而恰恰在這一領域，監管機構實際體現的應對策略，就是以相對快捷的方式頒佈徵求意見稿甚至生效的監管規定，應對出現的熱點問題。對問題回應的方式相對“小切口”，並不求大求全。一定程度上規定監管的基本原則，並進一步重在規範主要和最重要的數據處理場景。

在監管規定頒佈以後，由於技術和場景都較爲前沿，所以監管機構爲了發現已經發布的監管規則在實踐中發揮的作用和存在的問題，加強與整車廠等行業主體的互動，會通過年報、定期會議等形式補全這一環節的“信息差”。通過年報、會議等形式，監管部門得以瞭解快速發佈的小切口規定在實踐過程中存在哪些問題和不足，從而儘快發佈修正和更新的規定，並逐漸以點及面，以更合理的方式完善監管的活動和場景。

例如，地方網信部門要求提交的汽車數據安全管理情況報告，以及圍繞已經提交或將要提交的報告而邀約車企進行的階段總結與指導會議，客觀上就形成了較爲良好的監管互動與指導，有利於促使規則監管要素爲滿足實踐發展而形成敏捷迭代。此類實踐是在高速發展的智能網聯車輛領域中，對於監管方式的有益探索。