作者:赵新华 傅广锐 沈欣悦 公司业务部 金杜律师事务所
2021年5月12日,国家互联网信息办公室(下称“国家网信办”)发布《汽车数据安全管理若干规定(征求意见稿)》(下称“意见稿”)并公开征求意见。
《意见稿》是中国首个汽车行业数据安全管理的部门规章,是对目前智能汽车发展过程中日益引起关注的数据安全问题的监管回应。由于智能汽车仍处于快速发展过程中,可以说《意见稿》既针对现在,也面向未来。
本文旨在对《意见稿》的重点内容进行梳理和简析,以期为汽车行业相关市场主体更好地理解《意见稿》的相关要求提供参考。
一、适用范围和对象
《意见稿》明确其适用于在中华人民共和国境内,在设计、生产、销售、运维、管理汽车的过程中,对于个人信息或重要数据的收集、分析、存储、查询和跨境传输等各项行为。
与《网络安全法》下的网络运营者概念类似,《意见稿》针对汽车行业界定了其规制的对象为“运营者”,并对运营者的概念作了非常宽泛的定义,几乎囊括了汽车行业上下游的所有主体,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。鉴于《意见稿》对于运营者的定义使用了不完全列举的表述,我们理解,除了现已列举的主体外,实际可能受到监管的对象范围还有进一步扩大的可能,所有涉及汽车设计、制造、服务企业或者机构都可能被认定为运营者,进而受到《意见稿》的约束。
二、个人信息的界定
“个人信息”在《中华人民共和国民法典》(下称“《民法典》”)、《网络安全法》、《中华人民共和国个人信息保护法(草案)二审稿》(下称“《个保法二审稿》”)中均有规定。其中,《网络安全法》和《民法典》对个人信息的定义类似,即指能够单独或者与其他信息结合识别自然人的各种信息。《个保法二审稿》将个人信息界定为与已识别或者可识别的自然人有关的各种信息。
《意见稿》作为部门规章,直接使用了“个人信息”的概念,将汽车数据中的个人信息界定为包括车主、驾驶人、乘车人、行人等的个人信息,以及“能够推断个人身份、描述个人行为”的信息。从上述定义不难看出,汽车数据的个人信息主体主要涉及车主、驾驶人、乘车人以及行人。同时,《意见稿》采取兜底的界定方式,将能够推断“个人身份、描述个人行为”的信息,也纳入《意见稿》规制的个人信息范围。
三、重要数据的范围
《意见稿》首次明确界定了汽车行业重要数据的范围。
“重要数据”在《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“《2017评估办法》”)以及2019年《数据安全管理办法(征求意见稿)》中均有表述,但未明确列举。
2017年推荐性国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”对重点行业的重要数据范围做了概括性的描述。
《中华人民共和国数据安全法(草案)二审稿》(下称“《数据安全法二审稿》”)规定各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
与《数据安全法二审稿》前述规定相呼应,《意见稿》对于汽车行业的重要数据给出了较为明确的范围界定,具体包括:
- 军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
- 高于国家公开发布地图精度的测绘数据;
- 汽车充电网的运行数据;
- 道路上车辆类型、车辆流量等数据;
- 包含人脸、声音、车牌等的车外音视频数据;以及
- 国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
从上述重要数据范围可以看出,《意见稿》将对汽车行业的多个细分领域产生较大影响。自动驾驶技术在使用过程中难免涉及收集个人信息及道路环境信息,有些还会涉及车内音视频信息以及驾驶习惯信息,汽车充电网的运行数据则与新能源汽车、充电站桩等清洁能源企业及其上下游的智能网联设备息息相关,而“测绘数据”和“车辆流量”则是导航电子地图服务商经常处理的数据,《意见稿》的出台对于前述企业的数据处理均提出了更高的合规要求。
应该说上述重要数据范围的界定使用了较为严格的标准。比如目前自动驾驶汽车道路测试过程中均可能涉及包含人脸、声音、车牌的车外音视频数据,这就使得从事自动驾驶技术研发的企业面临更高的合规要求,对相关数据的流动也会带来明显的影响。
另外也值得注意的是前述重要数据中“高于国家公开发布地图精度的测绘数据”。随着自动驾驶技术的发展,高精地图将可能成为自动驾驶汽车的标配,而高精地图的精度将明显高于普通地图和通常的供人使用的电子导航电子地图,因此高精地图测绘数据将很大程度会被纳入重要数据的范围。
四、数据处理:“默认不收集”、“车内处理”原则
《意见稿》列举了处理个人信息和重要数据的五大“倡导性”原则,即默认不收集、车内处理、匿名化处理、最小保存期限以及精度范围适用原则。根据《数据安全法二审稿》,数据处理包括了数据的收集、存储、使用、加工、传输、提供、公开等。
《意见稿》倡导运营者遵守默认不收集用户数据原则,即每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。该规定是个人信息“最小必要”收集原则的具体体现。但实践中经常出现驾驶人可能只是短暂离开驾驶席的情况,对于《意见稿》所规定的“每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效”的可行性以及频繁取得授权对驾驶体验以及驾驶过程带来的影响可能还需进一步探讨。
《意见稿》提出了“车内处理”和“匿名化处理”原则,即除非确有必要企业不得向车外提供,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理。2021年4月全国信息安全标准化技术委员会发布的《信息安全技术 网联汽车采集数据的安全要求(草案)》(下称 “《信安标委数据采集安全要求草案》”)规定“网联汽车不得通过网络、物理接口向车外传输汽车座舱内采集或处理过的音频、视频、图像等数据”。《信安标委数据采集安全要求草案》并未明确限定网联汽车采集的车辆位置、轨迹相关数据必须存储在车内,而是对在车内存储设备或远程信息服务平台中保存的时间作出了最长不得超过7天的限制。我们认为对于“车内”的定义尚待进一步明确。在实践中,不少企业会将汽车数据存储在远程信息服务平台或云端进行处理。若《意见稿》中对于“车内”的定义仅包括车内存储设备,而不包括与此相连的远程信息服务平台,则会对相关企业目前的业务产生较大影响。另外,车内处理原则与目前倡导的车路协同技术是否存在底层逻辑的冲突也值得思考。
《信安标委数据采集安全要求草案》规定,“未经被收集者的单独同意,网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。将清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据除外”。该规定为向车外传输数据提供了例外,相比之下,《意见稿》并未提供类似的例外规定。
此外,精度范围适用原则要求运营者根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。这一要求可能会对将来智能汽车传感器的配置标准产生影响,也就是说分辨率或功能覆盖范围高于所提供功能服务的传感器可能会被监管部门认为超出了“精度范围适用”这一原则。
当然,考虑到前述五大原则均为“倡导性”,相关企业如何执行,以及不严格执行是否有法律后果则需进一步观察和澄清。
五、数据收集:凸显汽车行业的个性化规定
在收集数据取得用户授权的方式上,《意见稿》针对汽车行业作出了个性化的规定,即运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式对用户进行告知并获得相应授权。与一般性个人信息的收集相类似,在收集时还应告知收集数据的类型(包括车辆位置、生物特征、驾驶习惯、音视频等),以及收集每种类型数据的触发条件以及停止收集的方法;收集各类型数据的目的、用途;数据保存地点、期限,或者确定保存地点、期限的规则;以及删除车内、请求删除已经提供给车外的个人信息的方法步骤。
我们理解,前述规定对运营者收集数据提出了较高要求,比如收集每种类型数据的触发条件以及停止收集的方法,这就需要运营者对前述数据进一步进行分类,明确收集的触发条件,通过用户手册、车载显示面板或其他适当方式告知并取得用户同意。
此外,《意见稿》专门针对汽车行业列举了敏感个人信息,包括车辆位置、驾驶人或乘车人音视频,以及可以用于判断违法违规驾驶的数据,并对于敏感个人信息的收集和向车外提供相关数据提出了更高的要求。在收集目的上,仅可为以直接服务于驾驶人或者乘车人为目的收集敏感个人信息。敏感个人信息每次收集和对外提供都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效。此外,如果驾驶人要求删除敏感个人数据,运营者应当在2周内删除。如前所述,《信安标委数据采集安全要求草案》规定网联汽车采集的车辆位置、轨迹相关数据在车内存储设备、远程信息服务平台中保存的时间均不得超过7天。相对而言,《意见稿》给予了运营者更长的处理期限。
对于个人敏感信息,《意见稿》还要求运营者“允许车主方便查看、结构化查询被收集的敏感个人信息”。这也回应了目前如何方便车主查看被收集的个人敏感信息的社会热点问题。
鉴于汽车行业的特殊性,汽车通过摄像头收集车外音视频信息时难以取得车外众多个人的同意,而这些信息对于辅助驾驶或自动驾驶功能往往又是必要的。《意见稿》考虑到了实践中的这一难题,规定确难获得个人同意的情况下,对于收集到的信息进行匿名化或脱敏处理即可。具体而言,应当删除能够识别自然人的画面或对画面中的人脸进行局部轮廓化处理。这也是实践中汽车企业的通常会采用的方法,体现了官方对此种处理方式的认可。
此外,《意见稿》还对驾驶人生物特征敏感数据的收集设定了条件,即“仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式”。也就是说收集生物特征数据不得是唯一方式,还需要为用户提供其他非生物特征数据的选项。
六、重要数据处理报告要求
《意见稿》明确了运营者处理重要数据须提前向主管部门报告的要求,即运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
《意见稿》的这一规定比《数据安全法二审稿》的规定似乎更严格。《数据安全法二审稿》第29条规定“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。”
七、数据本地化和出境要求
《网络安全法》明确要求关键信息基础设施运营者对在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。2021年4月7日,工信部发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)(下称“《工信部准入指南草案》”)明确要求自动驾驶汽车生产企业对在中国境内收集和产生的个人信息及重要数据进行本地化存储。因业务需要,确需向境外提供的,应向行业主管部门报备。
《意见稿》与《工信部准入指南草案》的境内存储原则基本一致,并明确由国家网信部门组织数据出境安全评估。此外,数据出境还需要获得用户充分的授权并严格按照授权范围跨境传输,对因境外传输造成用户合法权益或公共利益受损的,运营者应当承担相应责任。因此,鉴于境内存储原则在立法趋势上已基本明确,建议企业在中国采集的汽车数据尽可能做到本地存储。
此外,《意见稿》对于数据分享和商业利用进行了明确的限制,要求科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;同时,运营者应严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。
应该说,《意见稿》对于汽车行业的跨境数据利用提出了更高的合规要求,尤其是对于重要数据和敏感数据,无论为科研或商业性目的进行查询或是利用,均应“严格限制”——很显然,即便并非严格禁止,在实践操作层面上,汽车行业后续对于重要数据和敏感数据的商业化利用将受到很大的限制。
八、数据安全管理:“年报制度”
《意见稿》对于符合特定条件的个人信息和重要数据处理提出了“年报”的要求。根据《意见稿》的规定,处理个人信息涉及个人信息主体超过10万人或者处理重要数据的运营者,应每年向省级网信部门和有关部门报告数据安全管理情况。《意见稿》还列举了需要报告的内容,包括:数据安全负责人;处理数据的类型、规模、目的及必要性;数据安全保护措施及保存地点、期限等。涉及数据跨境传输的,还需要报告出境数据的类型、数量、目的以及境外的存放地点、使用范围和方式等。
此外,如果存在向境外提供数据的情况,在年报时,除了前述信息外,还需要提供接收者的名称和联系方式;出境数据的类型、数量及目的;数据在境外的存放地点、使用范围和方式;涉及向境外提供数据的用户投诉及处理情况等。
九、结语
自《网络安全法》出台以来,我国不断加强网络安全、数据安全以及个人信息保护的立法和监管。随着自动驾驶及通信技术的蓬勃发展,汽车智能化、网联化趋势愈发凸显,智能汽车领域的个人信息保护和数据安全日益突出,我国也加快了智能汽车行业相关的法律法规、政策标准制定的步伐。
《意见稿》的相关规定无疑会加强中国汽车行业个人信息和重要数据的保护力度,无论从用户个人权利还是国家安全层面都有积极的意义。但我们也注意到,《意见稿》还有部分内容需要进一步细化或明确,与上位法之间的衔接也有进一步推敲的空间。另外,大数据是智能汽车自动驾驶快速迭代的重要基础,技术创新与数据安全应当力求平衡发展[1]。
对于从事汽车行业的相关市场主体而言,《意见稿》规定了较为严格的合规要求,我们建议相关企业密切关注《意见稿》的立法进展,并从以下几方面着手准备,以期最大程度地降低企业运营风险:
- 在设计、生产、销售、运维、管理汽车过程中就考虑数据安全问题,尽可能减少汽车产品收集、存储的数据量。
- 在利用大数据进行商业化运作和保障用户的知情权的同时,采取技术保障措施对数据采取脱敏和匿名化处理,以及防止数据滥用或未经授权的第三方访问。
- 对于跨国企业或研发中心在境外的中国企业,应当尽快实现本地化存储,在中国境内建立数据中心并增强在中国本地的研发能力。
- 最后,对企业现有数据的处理情况进行系统地梳理和评估,对明显不符合《意见稿》要求的业务操作及时进行调整,并尽早考虑制订符合《意见稿》要求的内部制度和体系。
[1] https://m.21jingji.com/article/20210409/herald/4cd9aa164ff2dcf8ef3156b041e54f77.html