自动驾驶合规系列之二:汽车数据的难题
发布时间:2022-11-09
文 | 史宇航 汇业律师事务所 顾问
一、背景
数据对自动驾驶技术的发展至关重要,自动驾驶技术算法的迭代与发展有赖于环境与驾驶数据的积累,是消减自动驾驶风险不可或缺的一环。自动驾驶不仅涉及车外环境数据,也涉及车辆行驶数据与驾驶舱数据的收集。在《智能网联汽车道路测试与示范应用管理规范(试行)》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等法规文件中,也都对数据处理提出了要求。
而汽车行业本身就是数据合规监管最为严格的行业之一,无论是法规的完善程度还是执法的强度都在各个行业中走在前列。如网信办等五部委制定的《汽车数据安全管理若干规定(试行)》甚至比《个人信息保护法》提前一个月施行。2022年10月,国家推荐性标准《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)(“《汽车数据处理安全要求》”)正式发布,并将于2023年5月1日正式生效。
《汽车数据处理安全要求》的颁布,无论是对汽车处理数据或是自动驾驶技术的发展、运用都会有重要影响。
二、告知与合法性基础
根据《个人信息保护法》,无论个人信息处理的法律基础是什么,都需要提前告知个人。因此,告知是个人信息保护中最为重要的法律义务之一,是连接个人与处理者的桥梁。在汽车场景下,告知什么、如何告知向来是难题。《个人信息保护法》与《汽车数据安全管理若干规定(试行)》对告知的方式和内容进行了概括性的规定,《汽车数据处理安全要求》则在此基础上进一步细化:
对于《个人信息保护法》中特有的“单独同意”,《汽车数据处理安全要求》明确要求应对每项敏感个人信息取得个人信息主体单独同意,不应一次性针对多项敏感个人信息或多种处理活动取得同意,并且同意的期限不应设置为“始终允许”或“永久”。这意味着用户与处理者之间的交互将会更加复杂,在注册时点击多次进行勾选的方案并不被推荐,而同意期限的时间限制也意味着处理者需要更严格把控个人信息的处理时间,定期重新获取同意。
对于自动驾驶场景而言,《智能网联汽车道路测试与示范应用管理规范(试行)》等法规明确了测试、示范应用环境下的数据收集要求,实际上是赋予相关场景下的数据处理行为以合法性基础,即企业可以在道路测试与示范应用场景下不经用户同意而收集个人信息,这为自动驾驶技术的发展带来了一定的便利。而《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》对数据记录的要求,更是为车辆在更广阔场景下处理数据的行为提供了合法性基础。
但无论合法性基础是什么,告知仍然是处理者绕不过去的义务。
三、车内处理与匿名化
车内处理是处理汽车数据最为独特的情境,罕见于其他的场景中。在《汽车数据安全管理若干规定(试行)》中就专门将“车内处理原则,除非确有必要不向车外提供”作为汽车数据处理的原则之一。
《汽车数据处理安全要求》对车内处理原则做了进一步解释,要求处理者未对数据完成匿名化处理前,不应向车外提供。其中,匿名化处理方式包括完整删除与局部轮廓化处理两种方案。完整删除的方案要求处理者直接删除包含人脸和车牌等个人信息的图像,或是包含人脸以及车牌等个人信息的视频帧。而局部轮廓化处理方案对算力有更高要求,处理者需要针对人脸、车牌等识别信息有针对性地进行处理。
在中国汽车工业协会制定的团体标准《汽车传输视频及图像脱敏技术要求与方法》(T/CAAMBT 77-2022)中,则更为直接地发布了车牌脱敏与人脸脱敏的技术指引,并且给出了示意图:
无论是采取哪一种方式,车内处理都对车内的算力提出了更高的要求。
需要特别注意的是,《汽车数据安全管理若干规定(试行)》仅将车内处理作为一项原则,并未将其设置成一项直接的法律义务。合规的关键在于论证车外处理的必要性。而《汽车数据处理安全要求》设置的一系列例外条件则为企业在车外处理数据的行为提供了“天然”的法律支持:
为实现语音识别功能以实时判断汽车控制指令,将语音指令数据在车外处理,取得个人信息主体同意,功能实现后即时删除原始数据及处理结果。
为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,除使用者外的其他组织和个人不能访问。
道路运输车辆向所属运输企业监控平台、全国道路运输车辆动态信息公共交换平台、全国道路货运车辆公共监管与服务平台或监管机构传输数据。
出租汽车和公共汽车等营运车辆向监管机构传输数据。
道路交通事故发生后按执法部门要求传输数据。
当然,除了以上情形,企业仍然可以在论证必要性的前提下在车外处理数据。
对于自动驾驶技术来说,数据的对外传输是不可避免的。《智能网联汽车道路测试与示范应用管理规范(试行)》明确要求了实时回传:1)车辆标识(车架号或临时行驶车号牌信息等);2)车辆控制模式;3)车辆位置;4)车辆速度、加速度、行驶方向等运动状态。前述回传过程不可避免地会涉及车外数据处理,而随着自动驾驶法规的完善,相关场景与需要实时回传的数据类型可能也会不断增多。
四、默认不收集
默认不收集也是汽车数据处理的一项重要原则,《汽车数据安全管理若干规定(试行)》中要求“除非驾驶人自主设定,每次驾驶时默认设定为不收集状态”。而更早的《汽车数据安全管理若干规定(征求意见稿)》则要求“除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效”。如果按照征求意见稿的规定,驾驶习惯将因此改变,驾驶员在每次驾驶前被询问是否开启授权的操作将成为系安全带一样常规。
《汽车数据处理安全要求》将默认不收集原则的适用对象局限于座舱数据。其中,除非驾驶人自主设定,汽车应被默认设定为不打开车内的摄像头、传声器、红外传感器和指纹传感器等部件,只有在驾驶人通过实体按键或触摸按键等方式主动选择后,汽车才能开始收集数据,同时汽车可根据驾驶人设定,保持驾驶人选择的状态或恢复默认状态。此项义务会直接影响到车辆的出厂配置,部分的操作可能需要销售端引导用户更改默认配置,以帮助用户获得更好的驾驶体验。
对于自动驾驶技术来说,默认不收集意味着自动驾驶(辅助驾驶)功能无法默认开启,只有在用户改变相关设置后,自动驾驶技术才能启用。
五、职位设置
《汽车数据安全管理若干规定(试行)》提到了“汽车数据安全管理负责人”与“用户权益事务联系人”两个职位,但并未对这两个职位的人员资质、负责事项进行明晰,《汽车数据处理安全要求》首次对这两个职位进行了定义:
两个职位的细化要求,让企业可以更加清晰地筛选足以胜任相关岗位的人员。而设置用户权益事务联系人作为汽车行业合规的独特要求,企业需要联动《隐私政策》进行修改。当然,目前法律法规并不禁止由一人兼任汽车数据安全管理负责人、用户权益事务联系人、个人信息保护负责人、网络安全负责人等岗位,企业可以根据实际情况安排。
六、主机厂的全面掌控
大量的法律法规默认将主机厂设定为承担数据合规责任的主要主体,如推行车联网实名制、新能源系统的数据处理等。但是,随着各种造车新势力进入汽车行业,汽车的委托生产模式(代工模式)变得越来越寻常,比如蔚来委托江淮、小鹏委托海马,不一而足。在这样的场景下,主机厂仅受托生产汽车,很难参与到车辆上市后的数据处理活动中,但法规又普遍要求主机厂承担法律责任,这实际上存在一定程度的权利、义务错位。
而《汽车数据处理安全要求》同样要求主机厂承担主要责任,即主机厂须“全面掌握其生产的整车所含各零部件收集、传输数据情况,对零部件供应商处理汽车数据的行为进行约束和监督,汽车数据向外传输的完整情况应每年或在出现重大变更时向用户披露。”在大多数场景下,这样的设定并没有问题,也有助于汽车整体安全性的把控,但对于代工模式来说,委托方可能需要与受托方签署更加完善的协议,更加清晰地约定双方数据处理的权利义务。
七、标准《汽车数据处理安全要求》的适用
《汽车数据处理安全要求》中专门设置了特例,排除了以下情形的适用:1)特种车辆(警车、消防车、救护车、工程车);2)特定场地作业车辆(如机场、赛车场内的作业车辆);3)封闭场地内的测试活动。尤其是最后一项场景可以包括封闭场地内的自动驾驶测试活动,这在一定程度上降低了自动驾驶技术研发的合规成本。
但是,需要特别关注的是《汽车数据处理安全要求》的效力问题。该文件本身仅是推荐性国家标准,并不具有强制力,尤其不能够以《汽车数据处理安全要求》中的条款来免除《数据安全法》《个人信息保护法》以及《汽车数据安全管理若干规定(试行)》中所设定的法律义务。换言之,对于特种车辆、封闭场地内的作业车辆、封闭场地内的测试车辆的数据处理行为,处理者仍然需要关注《数据安全法》《汽车数据安全管理若干规定(试行)》等法律法规所设定的合规义务,不能因为不适用国家标准就忽视对法律法规的遵从。法律工作者需要以法学方法论为根基,为数据处理活动找到法律依据。
《汽车数据处理安全要求》更重要的价值在于,告知企业该如何履行《数据安全法》《个人信息保护法》以及《汽车数据安全管理若干规定(试行)》中所设定的法律义务,提供良好实践的标准。
附录:自动驾驶相关数据处理条款
《智能网联汽车道路测试与示范应用管理规范(试行)》
第八条 道路测试车辆、示范应用车辆是指申请用于道路测试、示范应用的智能网联汽车,包括乘用车、商用车辆和专用作业车,不包括低速汽车、摩托车,应符合以下条件:
……
(四)具备车辆状态记录、存储及在线监控功能,能实时回传下列第1至4项信息,并自动记录和存储下列各项信息在车辆事故或失效状况发生前至少90秒的数据,数据存储时间不少于1年:
1.车辆标识(车架号或临时行驶车号牌信息等);
2. 车辆控制模式;
3. 车辆位置;
4. 车辆速度、加速度、行驶方向等运动状态;
5. 环境感知与响应状态;
6. 车辆灯光、信号实时状态;
7. 车辆外部360度视频监控情况;
8. 反映驾驶人和人机交互状态的车内视频及语音监控情况;
9. 车辆接收的远程控制指令(如有);
10. 车辆故障情况(如有)。
《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》
(一)强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。
(七) 加强自动驾驶功能产品安全管理。企业生产具有自动驾驶功能的汽车产品的,应当确保汽车产品至少满足以下要求:
……
3.应具有事件数据记录系统和自动驾驶数据记录系统,满足相关功能、性能和安全性要求,用于事故重建、责任判定及原因分析等。其中,自动驾驶数据记录系统记录的数据应包括车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等。
……
《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿)
从事运输经营的自动驾驶汽车应当具备车辆运行状态记录、存储和传输功能,向运输经营者和属地交通运输主管部门及时传输相关信息。在车辆发生事故或自动驾驶功能失效时,自动记录和存储事发前至少90秒至事发后至少30秒的运行状态信息。运行状态信息至少包括:车辆基本信息、控制模式变化情况、接收的远程控制指令情况、运行状态、人机交互及车内外影像情况等。
《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)
第八条 智能网联汽车产品应具有事件数据记录和自动驾驶数据存储功能,采集和记录的数据至少应包括驾驶自动化系统运行状态、驾驶员状态、行车环境信息、车辆控制信息等,并应满足相关性能和安全性要求,保证车辆发生事故时设备记录数据的完整性。
附件3:《智能网联汽车产品准入测试要求》
六、数据存储测试应至少满足如下要求:
(一)自动驾驶数据记录系统应在驾驶自动化系统激活、驾驶自动化系统退出、驾驶自动化系统发出接管请求情况下进行记录,并可对驾驶自动化系统启动最小风险策略、驾驶自动化系统启动紧急策略、驾驶自动化系统退出紧急策略、严重驾驶自动化系统故障、严重车辆故障等情况进行记录。记录内容应至少包括车辆和驾驶自动化系统基本信息、触发事件基本信息及事件发生原因并满足数据一致性试验要求;当车辆有碰撞风险和发生碰撞时,需增加记录车辆状态及动态信息、行车环境信息、人员信息及故障信息。
(二)应满足数据存储测试要求,包括:数据存储能力试验、存储覆盖试验、断电存储试验等。
(三)存储的数据应能被正确读取和解析,且不能被篡改。
《道路机动车辆生产准入许可管理条例》(征求意见稿)
第二十二条 道路机动车辆生产企业应当明确告知消费者车辆产品的生产者、产地、主要技术参数、安全使用条件等信息,并随车配备产品使用说明书。具有自动驾驶功能的智能网联汽车产品,其产品使用说明书应当明确告知消费者使用车辆自动驾驶功能的限制条件、车辆安全和应急装置使用方法、驾驶员职责、相关人机交互设备指示信息以及车辆自动驾驶功能的激活、退出方法等信息。
第二十八条智能网联汽车生产企业生产活动中应用的网络和服务平台应当按照《网络安全法》规定,落实网络安全等级保护制度和关键信息基础设施安全防护,依照有关规定,开展网络安全防护定级备案,加强网络安全保护,涉及在线数据处理与交易处理、信息服务业务等电信业务的,应当依法取得电信业务经营许可。
第二十六条 智能网联汽车生产企业应当建立车辆产品网络安全、数据安全、个人信息保护、车联网卡安全管理、软件升级管理制度,完善安全保障机制,落实安全保障措施,明确责任部门和负责人,落实安全保护责任。
智能网联汽车产品所使用的软件和硬件应当符合国家网络安全相关强制性标准要求。
第二十九条 智能网联汽车生产企业在产品销售、使用等过程中收集和产生的个人信息和重要数据,应当依法在境内存储。因业务需要确需向境外提供的,应当通过国家网信部门会同工业和信息化等有关部门组织的安全评估,并向相关部门报备,法律、行政法规另有规定的,依照其规定。
第三十条 智能网联汽车生产企业应当建立车辆产品安全漏洞发现、报告、修补、发布制度,发现车辆产品存在安全漏洞时,应当采取补救措施,按照规定及时告知用户并向国务院工业和信息化主管部门报告。
智能网联汽车生产企业应当定期开展车辆产品网络和数据安全风险评估,加强安全风险监测,制定应急预案,发生网络安全、数据安全、个人信息安全事件时,应当立即启动应急预案,并按照规定及时向工业和信息化、电信、公安、网信等部门报告。