汽車數據安全新規來了!數據能否收集、怎麼保安全?
發生於上個月中旬的特斯拉女車主維權事件還在被廣泛討論,不過,外界關注的重點已經從“剎車失靈”的真僞轉向對車輛數據的爭論。如今,關於汽車數據的問題,有了權威的說法。
5月12日,國家網信辦就《汽車數據安全管理若干規定(徵求意見稿)》公開徵求意見。上述意見稿對運營者能不能收集車輛信息、如何收集信息、信息如何使用等問題作出了規定,比如其中提到,運營者收集個人信息應當取得被收集人同意,法律法規規定不需取得個人同意的除外;運營者處理重要數據,應當提前向省級網信部門和有關部門報告數據類型、規模、範圍、保存地點與時限、使用方式,以及是否向第三方提供等。
“信息安全如今愈發受到國家重視”,中國政法大學傳播法中心研究員、副教授朱巍表示,本次規定的法律位階比較低,但是國家網信管理部門可以以此作爲抓手進行管理。規定中尚未提及的處罰辦法,可以依據個人信息保護法進行處罰和處理,這對於汽車數據安全管理具有重大意義。
1.特斯拉車主維權事件助推了新規的出臺?
特斯拉女車主維權事件演化出一場關於汽車數據的討論。
中汽協秘書長助理兼技術部部長王耀博士日前在接受新京報記者專訪時表示,這次事件(特斯拉車主維權)暴露出來很多問題,相信會加快相關立法、完善現有的安全監管體系。
“特斯拉被投訴剎車失靈是一個獨立事件,但對此次徵求意見稿的出爐應該也起到了些許推動作用。”朱巍向貝殼財經記者介紹道。
朱巍表示,本次汽車數據安全管理規定的徵求意見稿,主要是擬對包括特斯拉在內的智能汽車的數據安全作出規定,包括收集數據需要經過駕駛人同意、數據用在哪些方面、匿名化處理等。
不過,朱巍也表示,徵求意見稿的出爐經過了長時間的討論,特斯拉被投訴剎車失靈只是一個推手,更大的背景在於2017年網絡安全法的落地和民法典關於個人信息保護方面的修訂。
朱巍介紹,網絡安全法落地的其中一個意義,在於國家保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞。此外,民法典二審稿的修改中,也將個人信息管理的主體歸給了國家各級網信管理部門。“正因爲有了權限和法律背景上的改變,本次汽車數據安全管理規定的徵求意見稿才孕育而生”。
實際上,在今年3月19日,國家互聯網信息辦副主任楊小偉在答記者問時也提及,隨着數字經濟時代的到來,數據成爲一種新型的生產要素和社會財富被不斷分享、分析、利用,隨之而來的個人隱私安全問題也成爲數字社會首要關注點。
楊小偉也表示,幾年來,我國一直持續加強在當前大數據快速發展環境下的數據安全和個人隱私保護,其中就包括全國範圍內深入實施網絡安全法,進一步加強了在政策、法律、監管等多方面的統籌協調工作,從而在法律層面爲數據安全和個人隱私保護提供法律保障。
2.爲何規定默認不收集用戶數據?
徵求意見稿的第二條明確了“運營者在中華人民共和國境內設計、生產、銷售、運維、管理汽車過程中,收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統稱處理)個人信息或重要數據,應當遵守相關法律法規和本規定的要求。”
中國汽研專家鄭光偉博士表示,運營方能夠收集個人汽車數據。對於上路運行的車輛,主機廠即運營方需要對車況、行駛數據有一個整體把控,在瞭解車輛的基本信息後,也可以提供更好的服務。
不過,值得注意的是,本次徵求意見稿中,對隱私保護尤爲看重,其中第六條指出,倡導運營者處理個人信息和重要數據過程中堅持默認不收集原則,除非確有必要,每次駕駛時默認爲不收集狀態,駕駛人的同意授權只對本次駕駛有效。
此外還提及,個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
運營者向境外提供個人信息或者重要數據的,應當採取有效措施明確和監督接收者按照雙方約定的目的、範圍、方式使用數據,保證數據安全。
鄭光偉表示:“運營方應在保證消費者知情權與授權,對重要信息進行脫敏的情況下進行數據收集。”
朱巍對此解釋稱,這些規定不僅涉及用戶隱私,也涉及國家安全。他舉例稱,如果一輛車進入軍管區或涉及國防類的涉密單位,車輛內的探測、檢測設備也會跟着一起進入,如何保證車輛不會將涉密內容泄密,不會傳輸到境外,也是本次規定需要探討的一個問題。
實際上,本次徵求意見稿中也提及,規定所稱重要數據包括軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據等。
“現在我們不僅僅是要求車企‘能而不欲’,而且是要求車企‘欲而不能’,要限制車企探測涉密機構和用戶隱私,從制度上進行規範,從技術上進行限制”,朱巍表示。
近日,特斯拉就曾被質疑通過攝像頭監控車主,對此,特斯拉向媒體表示,特斯拉用戶使用的車輛不存在通過車內攝像頭侵犯用戶個人隱私的行爲。特斯拉表示,所有中國市場上的特斯拉用戶車輛均未開啓車內攝像頭,也不涉及FSD Beta的測試。特斯拉的隱私保護政策遵守國家的法律法規。
3.如何使用和保護汽車數據?
對於用戶來說,如何查看和使用自己的汽車數據?徵求意見稿第七條明確:運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式,告知負責處理用戶權益責任人的有效聯繫方式,以及收集數據的類型,包括車輛位置、生物特徵、駕駛習慣、音視頻等,並提供以下信息:
(一)收集每種類型數據的觸發條件以及停止收集的方法;
(二)收集各類型數據的目的、用途;
(三)數據保存地點、期限,或者確定保存地點、期限的規則;
(四)刪除車內、請求刪除已經提供給車外的個人信息的方法步驟。
鄭光偉對此解釋道,對用戶來講,徵求意見稿最大的價值之一就在於可以管理個人車內敏感數據,以前運營商對數據的採集、使用是幾乎跳過用戶授權的。對於用戶來說,自己被收集的信息是個黑盒,更別提怎麼用了。徵求意見稿的有關規定,保障了用戶對車輛數據的使用權,用戶可時常查看自己被採集的數據,並有選擇地管理部分數據,在賣車時,也可以提前刪除車內個人數據。
汽車數據一旦被收集,如何保護也是一個重要的問題。徵求意見稿的第五條明確:運營者應當落實網絡安全等級保護制度,加強個人信息和重要數據保護,依法履行網絡安全義務;第十七條提到:處理個人信息涉及個人信息主體超過10萬人、或者處理重要數據的運營者,應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門。
鄭光偉對此表示:“一方面汽車數據的保護應當是全生命週期的,設計、生產、銷售、運維、管理汽車過程中,另一方面企業要加強用戶的知情權,車企利用大數據進行商業化運作不可避免,但在使用數據時,要保障用戶的知情權的同時,對關鍵信息進行脫敏處理。
4.對車輛數據的規定會影響哪些企業 ?
徵求意見稿的第三條提到:規定所稱運營者指汽車設計、製造、服務企業或者機構,包括汽車製造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。
在鄭光偉看來,除了車企外,將數據存儲地點建立在境外的雲服務商也會受到影響。因爲第十二條也明確:個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。所以一些在境外建立數據存儲基地的企業需要重新佈局,比如多家車企都在使用的阿里雲,阿里雲在全球佈局,但未來數據存儲需要轉移到境內。目前有些車企將充電信息、高清地圖信息等數據傳輸到境外,確實帶來了一定的國家安全風險。
隨着上述規定的出臺,境內的雲服務供應商也會有新的機會。鄭光偉說:“目前這一規定主要是對主機廠(車企)進行規範與管理的,對技術型零部件供應商影響有限。”
徵求意見稿提到:運營者在中華人民共和國境內設計、生產、銷售、運維、管理汽車過程中,收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統稱處理)個人信息或重要數據,應當遵守相關法律法規和本規定的要求。
究竟什麼是重要數據,本次徵求意見稿中提及,高於國家公開發布地圖精度的測繪數據;
汽車充電網的運行數據;道路上車輛類型、車輛流量等數據;包含人臉、聲音、車牌等的車外音視頻數據,都在本次規定的管理範圍之內。