作者:赵德铭 | 许鑫鑫
审校:刘展
随着现代信息技术的高速发展,“以软件定义汽车”的新潮渐起,汽车行业逐步迈入数字化、电动化、智能化、网联化时代。
车联网从概念上源于物联网,以行驶中的车辆为信息感知对象,借助新一代信息通信技术实现车与云平台、车与车、车与路、车与人以及车与车内情景等全方位信息环节的网络链接,集成大量的摄像头、雷达、测速仪、导航仪等各类传感器,实现了将汽车从简单的人工驾驶交通工具,转变为具备更多功能和场景应用的智能网联汽车,成为了深度收集、处理、传输和使用大量包括个人信息、汽车运行数据和环境数据的联网信息节点和数据枢纽。
在大量汽车数据生成、流动的过程中,汽车数据本身的安全成为智能网联汽车安全运行的关键,其中的重要数据,则延展涉及个人信息主体、企业以及国家的安全问题。为此,除了已经制定并实施的《网络安全法》《数据安全法》《个人信息保护法》等数据保护领域的重要法律外,相关主管部门还围绕车联网和汽车数据安全制定了多项规定、政策和标准,包括《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》《关于加强智能网联汽车生产企业及产品准入管理的意见》等,对车联网数据保护提出了全方位的要求。关于现有车联网数据安全制度体系框架,详见下图:
2022年3月7日,工业和信息化部所印发了《车联网网络安全和数据安全标准体系建设指南》(下称“《指南》”),该《指南》反映了关于车联网数据安全监管的如下趋势。
一、监管趋势
(一)车联网数据安全成为监管重点
《指南》提出,至2023年底,初步构建起车联网网络安全和数据安全标准体系;到2025年,形成较为完善的车联网网络安全和数据安全标准体系。
与工业和信息化部于2021年6月发布的《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)》(下称“《指南》(征求意见稿)”)相比,此次《指南》与之相比的最大变化,在于在《指南》(征求意见稿)中仅作为三级标题项下内容的“数据安全”,在《指南》(征求意见稿)中提升至与网络安全同等重要的地位[1]。此外,《指南》(征求意见稿)正文[2]中“数据安全”一词出现16次,而《指南》除在标题中增加“数据安全”外,正文中也出现达31次。
(二)车联网数据安全监管逻辑渐趋明朗
此前出台的法律及政策文件,限于“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,以及汽车数据处理者应当履行个人信息保护责任等内容,并未明示监管逻辑脉络。
《指南》则提出了车联网数据安全监管的逻辑框架,内含智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类共18项具体监管脉络(详见以下车联网网络安全和数据安全监管逻辑脉络框架图。
车联网网络安全和数据安全监管逻辑脉络图
以个人信息保护为例,《个人信息保护法》确定了匿名化、去标识化、脱敏处理等个人信息处理原则,《指南》则进一步指出,作为监管要求,个人信息保护标准要厘清用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等具体标准。根据《指南》,与个人信息保护标准相关的两个标准子目,即《基于移动互联网的汽车用户数据应用与保护技术要求》和《基于移动互联网的汽车用户数据应用与保护评估方法》,均已在制定过程中。这意味着车联网数据安全保护的规定的监管逻辑脉络已经渐趋明朗。
二、监管焦点
(一)限制过度采集和滥用数据
为有效确保智能网联汽车能够适应不同的场景、路况以提供便利、安全的服务,整车厂商、智能汽车制造商、服务提供商等在向用户提供信息服务类和智慧交通类应用时,需要对车主身份信息(如姓名、身份证号码、联系方式、人脸特征等)、车辆身份信息(如车牌号、车辆型号、发动机型号等)、汽车运行数据(如行驶轨迹、行驶时间等)以及车内声音、图像、道路信息等予以采集,并相应进行智能分析和决策。
如前所述,此前出台的法规虽已规定了“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等汽车数据的收集和使用规则,但由于车联网属于新兴行业,车联网数据保护尚缺乏成熟的行业做法,对于哪些数据可被采集、数据如何利用、是否可以分享给第三方等关键问题上,数据处理者如何“自我约束”,界限不明。
而在实践中,因汽车数据过度采集或滥用所导致的外部纠纷或者行政处罚,却屡见不鲜。2021年7月,某出行APP因存在严重违法、违规收集使用个人信息问题,被国家互联网信息办公室通知下架。2021年8月,工业和信息化部发布《关于下架侵害用户权益APP名单的通报》,某叫车APP被下架处理,所涉问题即为“违规收集个人信息”及“APP强制、频繁、过度索取权限”。这些案例均预示着在具体规则不明的情况下,企业仍面临实际的监管追责风险。
针对汽车数据过度采集和滥用问题,《指南》规划了数据全流程监管方案,其中包括:(1)在数据采集环节,制定《智能网联汽车数据通用要求》《车联网卡实名登记及人像比对技术要求》及《车联网卡实名登记及人像比对测试规范》等监管标准,藉以明确可采集的数据类型、范围、质量、颗粒度;(2)在数据共享和传输环节,制定《智能网联汽车数据安全共享模型与规范》《智能网联汽车数据安全共享参考架构》《车联网数据跨境流动安全管理要求》和《车联网数据跨境流动安全评估规范》等标准,从而明确数据共享和传输的具体操作、评估规范;(3)在数据应用环节,制定《基于移动互联网的汽车用户数据应用与保护技术要求》《基于移动互联网的汽车用户数据应用与保护评估方法》《车联网信息服务 数据安全保护能力评估规范》《车联网应用服务 数据脱敏实施方法》等,作为汽车数据的应用与保护的规范。
除了规划数据安全标准,《指南》还就应用服务安全明确了监管标准的三个建设方向,即平台安全、应用程序安全以及服务安全,将以此强化车联网服务平台、汽车企业以及第三方服务商等主体在各类数据应用场景及活动中的数据安全处理责任,防止数据过度采集和滥用。
(二)强化个人信息(用户隐私)保护
2021年4月19日,上海车展上发生的某女车主“车顶维权”事件,引发了社会广泛关注[3]。除了消费者的合法权益如何维护的课题外,因该事件,智能网联汽车所采集的个人信息(用户隐私)的保护问题得以进入公众视野。该位维权女车主认为,行车数据属于个人财产及个人隐私,而某电动汽车企业在未经车主允许的情况下擅自将数据公布,侵犯了个人隐私权及消费者权益。
《指南》将个人信息保护作为数据安全标准的重点,并以以下四项标准子项加以强化:《车联网信息服务用户个人信息保护要求》(YD/T3746-2020,已发布)、《基于移动互联网的汽车用户数据应用与保护技术要求》《基于移动互联网的汽车用户数据应用与保护评估方法》及《车联网用户个人合规检测要求》。同时,《指南》还针对个人信息保护规划了身份认证、密码应用、分类分级、数据脱敏、实名登记与人像对比规范等多种监管要求,力图实现对个人信息的全方位保护。
(三)约束、规范网约车行业
《指南》针对网约车行业的数据应用安全问题,明确车联网相关应用所开展的数据采集、使用和其他处理的规范,并将制定关于车联网平台、网约车、车载应用程序等数据安全监管标准。
目前,《信息安全技术网络预约汽车服务数据安全指南》和《网络预约出租汽车服务平台数据安全防护要求》两项标准已经在制定中,预计将为网约车行业数据保护提供更加完善的规范和详细的指引。
结语
基于车联网“数据安全”监管的上述趋势与焦点,车联网产业链相关从业实体,包括汽车厂商、元器件和软件提供商、通信运营服务商、车联网平台提供商、数据和内容供应商等,应当认识到汽车数据安全监管趋严的态势,积极、稳步、分阶段建立数据安全合规流程,并且视监管规范和标准的进展,持续加以改进。鉴于有关数据安全的监管规定通常不给予企业以较长的合规准备过渡期,因而未雨绸缪、实时改进合规制度与管理,应成为车联网企业数据合规的策略与当务之急。
注释:
[1]《指南》(征求意见稿)中的表述为“到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系”,“数据安全”只是文件中的一个三级标题项下内容。而《指南》中的表述改为“到2023年底,初步构建起车联网网络安全和数据安全标准体系”,“数据安全”上升为与“网络安全”并列的级别。
[2] 此处统计不包含标题、目录及附件部分。
[3] 新京报:上海车展女车主起诉特斯拉被立案:刹车门求解,行车数据属于谁?访问地址:?id=&wfr=spider&for=pc。
赵德铭
赵德铭的业务领域涉及公司及合规、海关与贸易合规、出口管制、税务、并购、海事海商、航空及物流、保险和诉讼仲裁业务等。赵德铭作为先行者之一,所主导的海关与贸易合规业务独树一帜,为诸多跨国客户所广泛认可。曾获“客户最青睐的中国顶级20位律师”荣誉(《亚洲法律杂志》首次问卷调查结果,2012年),以及Chambers “海关、出口管制与经济制裁领域”第一级别推荐律师(2021年、2022年)。
扫码直通官网简历
许鑫鑫
许鑫鑫主要业务领域为公司及贸易合规、投融资、私募基金及争议解决。许鑫鑫曾为多家国内外知名企业提供VC/PE投资、境外直接投资(ODI)、不动产处置等专项法律服务,并参与办理私募基金投资纠纷、金融借款合同纠纷、公司股权纠纷、建设工程合同纠纷等各类民商事诉讼/仲裁案件。
免责. 本文及其内容并不代表环球律师事务所对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。
北京 · 上海 · 深圳 · 成都
www.glo.com.cn