图片来源:视觉中国
记者/李亦萌
在中国,能够随时连接互联网并与外部各方共享数据的网联化汽车正经历指数级增长。
尽管新技术带来了明显的好处,但它们也引起了对个人信息保护、数据保护以及网络安全的担忧。与其他许多国家一样,中国的监管机构正努力制定法律法规,以适应新技术的发展。
今年8月16日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》)。
这是中国第一部针对汽车数据安全所制定的法规,将自2021年10月1日起施行。
上述法规通过界定汽车数据和监管主体,对数据处理原则做出了规定,同时明确了数据处理者的义务,并制定跨境数据传输规则,初步建立了中国汽车数据安全的合规框架。
什么是汽车数据?
《规定》将汽车数据定义为“涉及汽车设计、制造、销售、使用、运行和维护的个人信息或关键数据。
此前,《数据安全法》曾将“数据”较为宽泛地定义为“任何电子或非电子形式的信息记录”。与前者相比,《汽车数据安全管理若干规定(试行)》中对数据的定义更适合汽车行业。
《规定》同时对汽车数据和监管主体进行了规定。开展汽车数据处理活动的主体均将成为受监管主体,覆盖传统汽车制造企业以及与汽车业务相关的互联网企业。
根据《规定》第三条所示,“汽车数据处理者”指开展汽车数据处理活动的组织,其中包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。
瀚宇国际律师事务所律师认为,此类定义参考高度契合正在迅速实现智能网联化的中国汽车行业背景。
除了显而易见的传统车企将作为“汽车数据处理者”被纳入监管外,围绕车辆开展商业运营的互联网商业实体——如车载软件开发商、网约车服务供应商等也并列其中。
汉坤律师事务所律师则认为,与监管者此前公布的《信息安全技术网联汽车采集数据的安全要求(草案)》不同,《汽车数据安全管理若干规定(试行)》将适用于所有类型的车辆,而不仅限于网联汽车。
此外,受保护的汽车数据被限定为“个人信息”及“重要数据”,此举被认为可有效避免汽车数据的监管范围被过度扩大。
不过,汉坤律师事务所也指出,目前尚不清楚《规定》是否适用于与汽车管理无关的内部数据处理活动,例如企业员工个人信息处理等。此外,《规定》也没有具体说明,是否以及如何适用于已经上市或正在生产的车辆。
不同类型的汽车数据
与《个人信息保护法》类似,上述规定将个人信息分为两类:即与个人相关的电子或非电子信息以及敏感信息。
值得注意的是,《规定》在对“个人”做出界定时,不仅将车主、驾驶人、乘车人纳入其中,同时还将车外人员包含在内。
同时,《规定》还明确,个人信息指“以电子或者其他方式记录的、与已识别或者可识别”的车主、驾驶人、乘车人、车外人员等有关的各种信息,但“不包括匿名化处理后的信息”。
对于涉及人身和财产安全的个人信息,《规定》将其视为个人敏感信息。
后者指一旦遭到泄露或非法使用,可能“导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息”,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等。
《规定》同时对“重要数据”做出界定。后者指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”。
“重要数据”包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过10万人的个人信息;国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
汉坤律师事务所表示,《规定》对于汽车数据处理者在实践中,如何划定“重要信息”范围——例如,如人员和车辆流量如何计算、重要敏感区域如何识别等,尚无详细标准。
尽管如此,该律师事务所认为,国家必然会重视对车载摄像头、雷达、激光雷达和其他传感器收集的环境数据给予高度重视,并要求利益相关方非常审慎地处理这些数据。
汽车数据应该如何处理?
根据《汽车数据安全管理若干规定(试行)》,汽车数据处理者必须对其收集、使用的信息尽到保护义务,无论此类信息涉及个人数据,还是重要数据。
瀚宇国际律师事务所表示,《规定》对汽车数据处理者的目的进行了最大程度的限制,此举有利于令数据安全性处于可控状态。
汽车数据处理者在处理汽车数据时,应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关,同时需根据网络安全等级保护等制度,加强汽车数据保护。
《规定》还明确了4项推荐的数据处理原则,其中包括车内处理原则(非必要,不向车外提供)、默认不收集原则(除非驾驶人自主设定,每次驾驶时默认设定为不收集状态)、精度范围适用原则(根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率)以及脱敏处理原则(尽可能进行匿名化、去标识化等处理)。
汉坤律师事务所律师表示,尽管此类原则并非作为一种强制性义务,但他们依然认为,监管机构将在未来正式实施的规则中,将这些原则纳入考量。
汉坤律师事务所预计,监管机构将鼓励汽车制造商在车车辆设计和开发的早期阶段,将“信息车内处理”和“默认不收集”原则纳入技术规划。
关于车内数据处理的原则,中国国家网信办今年4月曾就《信息安全技术网联汽车采集数据的安全要求(草案)》(以下简称《安全要求》)征求意见。
《安全要求》对车联网数据做出了一些特殊规定。例如,未经被收集者的单独同意,网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。但《安全要求》同时也指出,清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据除外。
此外,网联汽车也不得“通过网络、物理接口向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据”。
汉坤律师事务所认为,《规定》解决了长期以来“如何合法处理车外行人个人信息”的问题。
根据《规定》第9条,数据匿名化和脱敏处理,可减轻汽车信息处理者获得行人同意的负担,后者无疑是一项“繁重且几乎不可能完成”的任务。
但该律师事务所认为,《规定》中仍有两个开放性要点需要厘清:首先,“脱敏”一词是否与“匿名化”具有相同的含义,还是指的是“去标识化”;其次,仅在车端对数据进行匿名化和脱敏处理,是否可以免除征求同意的要求,或是需要在服务器端进行同样的处理。
如果仅通过车端数据匿名和脱敏即可免除征求同意义务,那么汽车数据处理者就必须确保车辆拥有强大的车载处理能力。否则,他们将不得不根据即将出台的个人信息保护法规,依靠授权和征求同意以外的法律依据来处理个人信息。
如何增强对个人敏感信息的保护?
《规定》第八条对个人敏感信息的处理提出了更高要求。首先,汽车数据处理者处理个人敏感信息的目的被限定为直接向驾乘人员提供服务,例如驾驶辅助、导航、娱乐等。
同时,基于默认不收集原则,汽车数据处理者在采集个人敏感信息时,每次都必须征得被采集者的同意,并且其授权在每次驾驶结束后,便不再有效。另外,汽车数据处理者应当通过人机交互系统或语音提示,告知被采集者,车辆正在进行个人敏感数据收集。
更重要的是,驾乘人员可以在任何情况下,随时停止数据采集。同时,汽车数据处理者还应当以方便且系统化的方式,允许车主访问其所收集的个人敏感信息,还应根据车主的要求,在两周内删除数据。
汉坤律师事务所认为,《规定》中对个人敏感信息处理的要求较现行法规,更为严格。这要求汽车数据处理者对数据的管理更为精细。
另一方面,上述一些要求——例如,每次数据采集都需要获得驾乘者同意——可能会显著改变现有的车辆设置以及人们的驾驶行为。
该律所同时指出,《规定》第八条可被解释为,“征得同意”是处理个人敏感信息的唯一法律依据。不过,当汽车信息处理者需要调用车辆位置,以履行其法律义务,或者在紧急情况下,保护驾驶员安全时,可能会出现问题。
如何进行跨境数据传输?
《规定》第十一条至第十四条规定了数据跨境传输的要求。
首先,对于重要数据,以“依法在境内存储为原则”,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估,方可跨境传输此类数据。
对于未列入“重要数据”的涉及个人信息数据的出境安全管理,其跨境传输的安全管理则适用法律、行政法规的有关规定。
瀚宇国际律师事务所指出,《规定》虽然对跨境数据传输提出了诸多要求,但并未明确界定“跨境数据传输”和“跨境传输必要性”的标准。因此,汽车数据处理者在进行跨境数据传输时,需要参考其他法规或国家标准。
君合律师事务所援引国家质检总局与标准化委员会于2017年公布的《信息安全技术—数据出境安全评估指南(征求意见稿)》(以下简称《安全评估指南》)称,“数据出境”的详细定义指,“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”。
根据《安全评估指南》,个人信息出境场景包括向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息;个人信息数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息的。
针对数据跨境传输的必要性,《安全评估指南》同样罗列了一些“必要”场景,其中包括履行合同义务所必需的;在同一机构或组织内开展业务所必需的;中国政府部门执行公务所必需的;为执行中国政府与其他国家和地区政府或国际组织签订的条约、协定所必需的。
《安全评估指南》同时明确,企业在进行“信息出境”处理时,需要维护网络空间主权和国家安全、经济发展、社会公共利益,并保护公民合法权益。
汉坤律师事务所表示,本次《规定》关于“个人信息出境”问题的模糊性可从两个角度来理解。
一方面,考虑到汽车行业数据的高度敏感性,《规定》本身可以要求汽车数据处理者在中国境内存储所有类型的个人信息。
另一方面也可以理解为,除了《中华人民共和国个人信息保护法》以及《信息安全技术—数据出境安全评估指南》提出的个人信息本地化存储义务外,《汽车数据安全管理若干规定(试行)》不会向汽车数据处理者增加其他义务。
多名法律界人士均表示,随着网联汽车市场的蓬勃发展,汽车市场参与者在实施商业计划时,需确保遵守相关规定,以减少潜在的法律风险。