登录
2021.09.14
4259
2021年9月11日,适逢工业和信息化部装备工业发展中心《关于开展汽车数据安全、网络安全等自查工作的通知》发布前夜,CSA GCR隐私与个人信息保护法律工作组(下称“隐私法律工作组”)和数据安全工作组共同举办的“汽车行业网络与数据安全研讨会”在线上召开。与会人士研讨围绕目前汽车行业关注的热门话题进行了一百分钟的集中讨论,并以问答形式形成了初步成果。
提问 解答
01
车企在进行车内及车外数据采集的时候,国内对于隐私、个人信息保护主要有哪些要求?
作为抛砖引玉的环节,第一个问题由隐私法律工作组组长、江苏竹辉律师事务所合伙人原浩围绕汽车数据的规范性文件《汽车数据安全管理若干规定(试行)》(“《试行规定》”),通过对比的方式就其中的个人信息保护相关条款进行了解读:
|
《汽车数据安全管理若干规定(征求意见稿)》 |
《汽车数据安全管理若干规定(试行)》 |
备注 |
|
第6条 倡导运营者处理个人信息和重要数据过程中坚持: |
第6条 国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持: |
对个人信息和重要数据适用了统一的处理原则(倡导而非强制)。 |
|
(一)车内处理原则,除非确有必要不向车外提供; |
(一)车内处理原则,除非确有必要不向车外提供; |
_
|
|
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。 |
(二)默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态; |
虽然与会专家对默认不收集原则的提出,分析了其可能的“无奈”,但“自主设定”还是较之前版本给出了驾驶人更多选择。 |
|
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率; |
(三)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率; |
_
|
|
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理; |
(四)脱敏处理原则,尽可能进行匿名化、去标识化等处理。 |
进一步理清了匿名化和去标识化的关系。 |
|
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限; |
最小保存的单一期限可能无法满足行车的复杂场景,且《个人信息保护法》已有规定。 |
对于敏感信息,《试行规定》另通过第9条进行了单独规定,这也符合《个人信息保护法》对一般个人信息和敏感个人信息分别对待的一致性。其中最重要的一点是取消了征求意见稿的“娱乐”功能的表述,这与欧盟的《车联网个人数据保护指南》等将汽车视为“行走的智能终端”不同。
02
对于为车企提供采集模块和软件的供应商,应如何确保所提供的模块或软件合规?可能需要经过哪些认证或符合哪些法律法规的要求?
从供应链安全的角度,数据安全工作组组长高巍介绍了目前联合国框架下的主要国际标准,以及相关国标的进展情况。2021年1月联合国第155号条例《关于批准车辆的网络安全和网络安全管理体系的统一规定》生效,与第156号条例《软件升级与软件升级管理体系》、第157号条例《自动车道保持系统(ALKS)》共同构成智能网联汽车领域的国际法规。第155号条例明确车辆网络安全保护道路车辆及其功能免遭网络威胁,应建立“网络安全管理体系(Cyber Security Management System,CSMS)”以基于风险的系统性方法确定组织的流程、责任和治理,应对与车辆网络威胁有关的风险,保护其免受网络攻击。
对于供应链企业而言,第155号条例规定的“实施供应链管理,通过网络安全管理体系证明与供应商有关的风险得到了识别和管理”意味着制造商将从“零信任”的考虑,将条例通过国内法转化的法律、标准传递到供应链企业。
日本表示将于2024年7月起强制适用于规定类型的所有生产的新车;欧盟规定将从2022年7月起强制适用于新车型,并将从2024年7月起强制适用于所有生产的车型。
从国内外已知案例看,虽然从供应链企业的角度,可以通过风险的“普适性”主张,和必要的补救机制进行义务的抗辩,但在发生真实的财产、人身损失时,仍可能面临缺陷鉴定和过错归责的风险。
03
对于车企或采集模块、软件供应商,是否需要针对不同的出口区域提供不同的版本,对于欧洲、美国、东南亚分别需要重点关注这些区域的哪些法律法规?
数据安全工作组专家、软通咨询安全线负责人邢海韬为参会人士呈现了上述主要销售区域的法规图景。提出企业应建立“产品安全红线”规范,针对不同的出口区域提供不同的版本,以避免产品在出口到不同区域时触犯当地法律法规的要求。并以欧盟《车联网个人数据保护指南》和具体场景为例分析了其与《试行规定》的异同。
|
区域 |
法律法规 |
关注要点 |
|
欧洲 |
GDPR(2018年5月正式生效); 《数据共享规则》(2020年11月); 《电子隐私指令》; 《车联网个人数据保护指南》(2021年3月)
|
欧洲数据保护委员会(EDPB)为主要的执法主体。企业必须以合法、公平和透明的方式收集处理信息,必须用通俗的语言向用户解释收集数据的方式,且企业有义务采取一切合理措施删除或纠正不正确的个人数据。 创建一个全欧盟范围的数据市场,以促进工业和政府信息的共享。 |
|
美国 |
联邦层面:《隐私权法案》《电子信息隐私法》《互联网保护个人隐私政策》《消费者数据隐私保护法案》《消费者隐私权利法案》(1974年起); GLBA《金融服务现代化法案》; HIPPA《医疗电子交换法案》; COPPA《儿童在线隐私保护法》; CCPA《加利福尼亚州消费者隐私保护法案》(2018年6月发布,2020年1月实施); Safe Harbor Principles (安全港、隐私盾协议)及其无效后的修订 |
数据保护方面较欧盟为宽松,暂无联邦层面的数据隐私法。 联邦贸易委员会(FTC)和联邦通信委员会(FCC)为主要的执法主体。 收集消费者数据的企业必须披露收集的信息、收集信息的商业目的,以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息。 消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平。企业可用财务激励鼓励消费者的数据共享。 |
|
东南亚 |
新加坡 《个人数据保护法》《Personal Data Protection Act》(2019年10月修订); 印度 《2019年个人数据保护法案》; 东盟《东盟数据管理框架》(DMF)、《东盟跨境数据流动示范合同条款》(MCCs)(2021年1月) |
强调了儿童的个人数据和个人敏感数据的保护。 禁止个人敏感数据和重要个人数据的境外处理。 |
欧盟《车联网个人数据保护指南》提出了在网联汽车租赁场景下,汽车租赁企业在个人数据保护中的职责,包括数据处理的目的、所收集数据的类型、存储期限、安全措施以及信息接收方的权责义务。其典型应用场景下个人数据处理所涉及的法律依据、数据类型、数据保存期限、数据主体权利实现路径,如下表所示:
|
_
|
法律依据 |
数据类型 |
保存期限 |
接收方 |
|
按历程付费保险 |
《电子隐私指令》第5条第3款;GDPR第6条第1款b项 |
商业及交易数据;使用行为数据 |
商业及交易数据以合同有效期为限;使用行为数据以提供服务所需的规定和欧盟/成员国法律的另行规定为限 |
保险公司仅能访问结果数据而非原始数据 |
|
租用或预定停车位 |
《电子隐私指令》第5条第3款;GDPR第6条第1款b项 |
驾驶员联系方式明细、车辆类型、车牌号码、停车时间、支付信息、导航信息等 |
以展行泊车合同所需和欧盟或成员国法律的另行规定为限 |
原则上,只有数据控制者和处理者可以访问数据 |
|
紧急呼叫(eCall) |
《电子隐私指令》第5条第3款、第9条;GDPR第6条第1款c项 |
表明段到eCall是手动还是自动触发的数据,车辆类别、车辆识别码、车辆推进类型等 |
数据保存期限不得超过处理紧急情况所需的时间。应自动且不断删除在eCall系统内部存储的数据,只保存车辆最近三次位置信息 |
在触发eCall前,任何实体都无法获得该数据。被触发时,eCall系统将相关数据发送至公共安全应答中心的接线员处 |
|
事故防范 |
《电子隐私指令》第5条第3款;GDPR第6条 |
数据控制者只能收集处理所必需的个人数据,特别考虑与参与者和汽车有关的数据和车辆技术数据 |
可在研究期间保留与参与者和汽车有关的数据。研究结束后, 车辆的技术数据不得保留超过5 年 |
原则上,只有数据控制者和处理者可以访问数据 |
|
汽车盗窃 |
《电子隐私指令》第5条第3款 |
位置数据只能在声明车辆被盗时传输,其他时间不可持续收集 |
位置数据一直保留到司法程序结束 |
远程监视平台的经批准人员或法律准许的机构 |
04
在出现交通事故等安全事件需要展开调查时,应依照哪些法律法规规定的流程进行处置?
围绕这一执法、司法问题并结合相关案例,数据安全专家胡文华分享了相关“过程控制节点”。他认为:我国《网络安全法》《数据安全法》等法律法规都明确规定了组织、个人对公安等监管机构的数据调取配合、协助义务。以公安部门刑事侦查为例,依据《公安机关办理刑事案件电子数据取证规则》,应开具《调取证据通知书》通知,由电子数据持有人、网络服务提供者(被调取单位、个人)在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明。
对汽车数据的调取方法,扣押、现场调取、网上在线调取、远程勘验等方式仍然适用。如涉及需冻结情形的,制造商还应按照通知履行:
(1)计算电子数据的完整性校验值;
(2)账号锁定;
(3)采取保护措施以及其他防止增加、删除、修改电子数据的措施。
如对数据的不当操作导致“致使刑事案件证据灭失,情节严重的”,将可能承担《刑法》第286条之一的拒不履行信息网络安全管理义务罪等后果。
05
对于车车互联(V2V)、车云互联(V2C)、车企互联(V2X)等不同场景下,作为整个车企的供应链体系,应该注意哪些法律法规的要求?安全认证方面要考虑哪些因素?
结合第二个问题,与会人士围绕供应链体系的适用性法规和标准进行了进一步讨论,并汇总了目前国内围绕汽车相关数据构建的部分标准,这些标准分别对应到不同的联网场景:
|
序号 |
标准 |
场景(不完全对应) |
|
1 |
基于车辆轨迹数据的汽车驾驶人 驾驶行为安全性评价规范 |
V2X |
|
2 |
基于公众电信网的联网汽车信息安全技术要求 |
V2C V2X |
|
3 |
新能源汽车公共数据采集技术规范 |
V2C |
|
4 |
车联网信息服务 数据安全技术要求 |
V2X V2C |
|
5 |
车联网数据采集要求 |
V2X V2C |
|
6 |
智能网联汽车车载端信息安全技术要求 |
V2X V2C |
|
7 |
车联网信息服务 用户个人信息保护要求 |
V2X V2C |
|
8 |
汽车事件数据记录系统(对应问题四) |
V2X V2C |
|
9 |
车联网信息服务 平台安全防护技术要求 |
V2C |
|
10 |
车联网无线通信安全技术指南 |
V2X V2C |
|
11 |
关于加强智能网联汽车生产企业及产品准入管理的意见 |
V2X(OTA) |
|
12 |
关于进一步加强汽车远程升级(OTA)技术召回监管通知/汽车远程升级(OTA)安全技术评估信息表填写指南/汽车数据安全、网络安全等情况自查表等 |
V2X(OTA) |
06
《试行规定》作为规范汽车数据的基本规定,其中“有必要”向车外提供、“增强行车安全的目的和充分的必要性”才能收集生物信息等等实务中如何判断?
隐私法律工作组专家、埃森哲中国有限公司安全服务高级总监江澎解读认为,该规定从必要性和充分必要性区分了一般数据和重要数据,一般个人信息和敏感个人信息的收集、提供条件。其中“车内处理原则,除非确有必要不向车外提供”的规定同时也回应了当前网络环境下,通过汽车终端而非远程传输提高安全性的问题。通过汽车终端的边缘计算,“裁量”行驶环境的安全性并作出反应。
对于敏感个人信息,《试行规定》要求“汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息”,此时的必要性已经向充分性靠拢,结合已知案例,其实这里就有关于是否有可替代方案的判断。
高巍补充认为,与默认不收集原则类似,车内处理原则体现出了对于个人数据保护某种退而求其次的无奈,但未来随着5G建设的全面铺开,这些原则产生时的背景将发生变化,因此未来的监管原则也存在变化的不确定性。
07
《试行规定》重要数据和《数据安全法》对重要数据识别如何协调?
江澎从其服务实务的体会认为,《试行规定》规定的汽车重要数据和之前关键信息基础设施配套制度中的重要数据识别范围、方法等规定不完全相同,这可能主要是《数据安全法》对重要数据的认识深化使然。《试行规定》的重要数据不仅体现车内数据,更重要的是将汽车作为识别设备用以识别车外数据,而如果同时适用车内处理原则,则意味着车内会承载部分重要数据,这可能是一个需要重视的问题;另外10万人的个人信息也使得大部分的车企(含部分供应商)成为重要数据处理者,从而面临《数据安全法》对重要数据处理者的合规压力。
整体上,《试行规定》是第一步规范性文件层面的确定重要数据的“法律文件”,对未来数据分类分级、重要数据目录和管理都会产生影响。
08
《试行规定》取消了 “本次驾驶”,但自动驾驶和人工接管是否仍然需要定义?
隐私法律工作组专家、上海市网络技术综合应用研究所等级保护测评师张元恺分析认为,征求意见稿提出本次驾驶,并规定了“驾驶结束(驾驶人离开驾驶席)”,容易让公众产生规定将进行什么是本次驾驶的定义的期待,而实际上综合国内外的立法看这个定义可能比较困难,因此《试行规定》实际上回避了这个问题,而以“每次驾驶”代替。至于每次驾驶时,驾驶人、乘车人、车外人员和车辆的启停状态如何暂不考虑。但是,在自动驾驶级别提升和普遍化之后,自动驾驶和人工接管的切换中,这个问题仍无法回避,甚至会变得非常突出。
09
数据安全管理情况年度报告怎么做?是否单独报告?是否自行制作还是需委托第三方?如何和向哪些监管机构提交?
张元恺总结了按照《试行规定》,车企等数据处理者可能面临的提交数据安全管理情况年度报告的问题。从目前的监管趋势看,可能会是一个比较紧迫的硬性规定。但是监管方的“模板”还未公布(工信部等可能会以自查表格方式给出先期指引),且由于该安全报告需同时满足工信、公安、交通等部门的要求,从车企和第三方(例如网络安全服务机构)而言都缺少充分的认知和建设能力。目前会参考网络安全等级保护、数据安全相关规定中增加和新设的有关数据安全的内容进行起草和磨合,尚有待监管的指引,以及与汽车行业、相关车企的沟通中逐步成型和完善。
另外,从目前了解的情况,这个安全报告不同于其他的,例如关键信息基础设施的年度风险评估报告、等保测评报告、个人信息保护影响评估报告,可能在采集和提供的数据方面,监管机构会有借鉴,但从报告独立性上,应当是车企的一个独立的安全报告。
10
《汽车驾驶自动化分级》(草案)和《汽车数据安全管理若干规定(试行)》的关系上,未来有什么可能性?自动化分级与数据分级和(重要性)之间是否有某种联系?
对于最后一个问题,隐私法律工作组专家程帅认为,《汽车驾驶自动化分级》是通过国家推荐标准的形式对汽车的自动驾驶系统功能进行分级,考虑的主要是汽车驾驶的自动化方面的技术要求,包括软硬件等方面,但对数据本身在自动化功能实现时如何进行监管并未做规定。
随着汽车自动驾驶技术进步和自动化等级不断升高,需要更多的数据来支撑自动化操作,所以未来会更多的受到《试行规定》的管理,也会更多的涉及到重要数据和个人敏感信息。比如在Lv4和Lv5时,对汽车可能需要进行远程接管,势必会要获取精确的地理位置信息等重要数据,也需要搜集车内驾驶人和乘坐人的生物识别特征。云端通信以及汽车黑盒也会对数据搜集、传输和保存有更高的要求。
此外,与会人士高巍、张元恺、邢海韬、赵晔(隐私法律工作组专家、北京金城同达(南京)律师事务所合伙人)、江澎、原浩等也从各自专业领域代表性的数据分类分级实践给出了相应的建议和启发。
毫无疑问,作为“移动”中的且时刻关系人身安全的汽车场景,可能会遇到同一个人信息数据级别提高,以及随着自动驾驶的状态变化而产生的频繁变动,从而相应的导致级别变动的重大问题。作为对比,以目前讨论较多和相对成熟的金融个人信息为例,数据状态的变化会导致数据级别的实时变动(在驾驶场景下,这个变动会更为频繁):
|
数据状态的变化 |
数据分级 的变化 |
|
汇聚融合 |
3-4 |
|
生产数据脱敏后用于金融业机构内部业务经营或管理工作 |
3-2 |
|
特定机构特定时间或事件后信息具有高安全等级 |
2-3;3-4 |
|
从数据中去除能够直接定位到个人金融信息主体的内容,删除涉及商业秘密的内容等,特定时间或事件后信息失去原有敏感性 |
4-3;4-2 |
手机:19925407556
邮箱:info@c-csa.cn