智能汽车个人信息数据安全与保护义务
发布时间:2023-09-05
文 | 叶文龙 章依汇 汇业律师事务所
2022年12月20日,有人宣称“破解了蔚来大量数据”,并在勒索蔚来遭拒后将数据公开贩卖。其中包括22800条蔚来内部员工数据、399000条车主身份信息、650000条用户地址信息,以及4860000条蔚来注册用户数据等上百万条个人信息。对此,蔚来方面表示,坚决不会向网络犯罪行为低头,将协同有关执法部门深入调查此事,并依法坚决打击相关的数据窃取、买卖行为。同时,蔚来强调,事件不涉及车辆使用中产生的数据,也不影响车辆的驾乘或远程控制[1]。
随着新兴技术的发展,智能汽车的功能越发完善和多样。除了开始逐步实现无人驾驶以外,越来越多的智能汽车已经有了远程控制、生活服务、娱乐服务等人车交互功能。但是,消费者在享受汽车智能化带来的便利的同时,往往会忽略智能化给个人隐私带来的风险;同时,车企在开发、销售智能汽车的同时,对于用户的隐私安全的保护责任也越发繁重和复杂。
01、恶意攻击、数据勒索的网络安全风险层出不穷
工信部曾在2020年中国汽车产业发展(泰达)国际论坛上指出,整车企业车联网信息服务提供商等相关企业和平台的恶意攻击,已达到280余万次[2]。根据目前公开可查的新闻,几家较为知名的车企近年来都有过平台受到恶意软件攻击,或数据遭黑客勒索的情况。
针对来自外部的网络攻击造成的安全隐患,车企应当安装符合安全要求的防恶意代码软件,并及时更新恶意代码软件版本和恶意代码库,并保持系统补丁更新到最新版本;同时,应确保系统能够检测到对平台重要服务器进行入侵或攻击的行为,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,并应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,在入侵事件达到一定严重程度时提供报警,确保在外部攻击突破了网络防护的情况下将数据泄露造成的损失降到最低。
02、车联网平台信息安全纳入强监管
随着智能技术的更新迭代,对于新技术的日常监管也愈发严格。公布的最新《工业和信息化部行政执法事项清单(2022年版)》中,新增了多项与网络与数据安全相关的行政执法事项,其中就包括针对车联网服务平台运营企业的车联网网络安全防护定级备案、履行安全保护义务等的处罚事项。这意味着,对于涉及车联网服务的企业来说,除了需要防范外来侵犯,日常的数据合规更是重中之重。
例如,就平台运营过程中的信息安全来说,所使用的操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序;对于系统的网络设备运行状况、网络流量、管理员和运维人员行为应随时进行监测和记录,并定期进行安全审计,做好日常数据隔离、数据备份以及应急预案等;同时,应建立统一的访问机制实现对车联网服务平台重要资源的访问控制和管理,防止非法访问,确保车联网信息服务中的如远程升级、车辆调度、远程控制车辆等应用的安全[3]。
03、个人信息保护义务应落实到每个场景
车联网的信息架构通常都采用了“云-管-端”结构(如下图所示)。汽车在用户使用的过程中收集个人信息,通过网络传输到车联网平台云端进行存储或后续处理。因此,对于车企来说,除了应关注以上第1、2部分中提到的网络安全、平台信息安全以外,也不应忽视对于用户驾驶汽车过程中涉及的个人信息的保护。
图源:YD/T 3752—2020车联网信息服务平台安全防护技术要求
一、涉及的个人信息分类分级
团体标准《YD/T 3746—2020车联网信息服务用户个人信息保护要求》(以下简称“《车联网个人信息保护要求》”)中将车联网体系中可能涉及的个人信息进行了详细、完整的分类分级(见以下表1、表2):
表1:用户个人信息分类
表2:用户个人信息敏感性分级要素
虽然《车联网个人信息保护要求》的效力级别仅为团体标准,但其中对于的用户个人信息分类分级的划分对于车企来说非常具有参考意义,为车企建立自己的用户个人信息保护制度和体系提供了范本。
二、涉及个人信息处理的场景及合规要点
1.驾驶数据
1)车外数据
车外数据,即通过摄像头、雷达等传感器从汽车外部环境采集的数据,涉及道路、建筑、地形以及交通参与者等[4]。车外数据极有可能会涉及敏感个人信息,例如可能包含交通参与者的人脸等。但由于车外数据采集的广泛性和随机性,很难通过通常的“告知——同意”机制来完成个人信息的合规。对此,《汽车数据安全管理若干规定(试行)》第8条规定,“因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理”[5]。由此可见,车外数据原则上不应向车外提供;为“行车安全”确有必要的,可以向车外提供,但应对采集到的个人信息进行匿名化处理,确保无法识别特定自然人且不能复原。
2)座舱数据
座舱数据,即通过摄像头、雷达等传感器从汽车内部座舱采集的数据[6]。对于座舱数据,汽车应当默认设定为“不收集”;只有当驾驶人主动选择后才能开始收集。驾驶人进行选择后,汽车可根据驾驶人自主设定,保留驾驶人选择的状态,或恢复为默认状态[7]。
座舱数据原则上也不应向车外提供。但用于实时判断汽车控制指令的语音指令数据,在取得用户同意后可在车外处理,处理完毕后应设定立即删除原始数据及处理结果[8]。
此外,为实现用户远程控制或云存储功能的,也可向车外提供数据;但前提是必须取得用户同意,并且应采取访问限制,除用户以外的其他组织和个人不能访问。
2.泛娱乐数据
如前所述,除了基本的驾驶功能以外,越来越多的智能汽车已经开始研发生活服务、娱乐服务等人车交互功能。此类功能可能涉及用户网页浏览、购物、在线音乐和视频服务、天气预报及推送、社交服务、移动办公服务等个人信息,如照片、音频、视频、通话记录,或网页浏览记录等[9]。此类数据通常不涉及敏感个人信息,但仍应按照《个人信息保护法》、GBT 35273-2020《信息安全技术 个人信息安全规范》等法律法规的标准进行个人信息的保护,只收集使用相关功能所必需的个人信息,并且对收集的个人信息及时予以删除。
尤其需要注意,除车辆使用所必须的个人信息处理以外,车企不应在未经取得用户同意的情况自动分析、评估此类关于个人的行为习惯、兴趣爱好、经济情况等的信息,并为用户提供与车辆使用无关的商业信息推送。
3.涉车服务
除智能汽车本身的功能正在研发与升级以外,许多与智能汽车配套的涉车服务也正在逐步创新。
1)UBI车险
银保监会曾于2020年发布《实施车险综合改革指导意见》,提出应丰富商业车险产品,创新车险产品的种类[10],其中就提及了机动车里程保险(UBI)。
传统的车险产品只涉及投保人与保险人两个主体。而UBI车险是一种基于车端收集的车辆实时运行状态,分析用户驾驶习惯或特点,从而对车主的理赔服务内容、保险费用进行个性化定制的车险产品。中国保险行业协会于2019年3月28日发布了协会标准《机动车保险车联网数据采集规范》,其中列举了车险的车联网数据采集项,其中包括了用户识别号(ID)、车辆识别代号(VIN)、车牌号等用户个人信息[11];同时指出,保险公司采集车联网数据,应当应用于“产品开发、客户关系管理、承保管理、理赔服务、防灾防损等”[12]车险经营管理活动。
由于车联网体系的“云-管-端”结构,而UBI车险需要从车端采集数据,参与主体还包括了车端数据的存储及处理平台,即车联网服务平台的运营方;虽然车联网平台的运营方仅仅是作为保险服务的第三方,但也应当与保险人共同承担个人信息的保护义务,严格根据法律法规标准限制个人信息的采集和分析、处理的范围,不应超范围采集数据,或将采集的数据用于非车险经营管理的其他商业活动。
2)充电
目前大多数的智能汽车都不再是传统的油车,而是采用了电力作为能源。因此通过车联网收集车辆电池信息,推荐最近的充换电站位置并进行充换电时间、时长的规划,是智能汽车的必备功能之一。充电服务一般由车企自身的App,或是嵌入的第三方App提供,通常会采集姓名、手机号码、车辆VIN码、车辆位置信息、车辆型号、电池信息、出发地和目的地、车辆路线偏好,以及每次充换电的时间、电量、消费金额等个人信息。充电涉及的个人信息不多,但可能涉及个人银行账号、行踪轨迹等敏感个人信息,因此应特别注意所采集的个人信息的敏感级别,并对应建立符合级别的个人信息保护措施。
04、结语
智能汽车产业的服务链条长,涉及众多参与主体,包括但不限于汽车制造商、汽车零部件供应商、保险公司、互联网信息服务提供商等。网络遭到外来攻击的风险扩大,对于汽车数据安全的监管日趋严格,采集个人信息的体量庞杂,车企要确保个人信息保护的合规,无疑需要整个服务链上下游主体的通力合作。
但需要注意的是,实践中,数据安全责任并不一定是以“谁采集谁负责”的原则确定。对于监管机构来说,对于智能汽车产业的整个服务类的每个主体进行监管溯源并不现实。因此,在监管中,往往会加重整车企业或平台的数据安全保护义务,例如要求整车企业对各零部件收集、传输数据的情况精选约束和监督等[13]。
综上,车企应重视服务链条中每个节点的个人信息保护,设计健全的个人信息保护制度或体系,筛选、引入具有符合标准的个人信息保护能力的下游供应商,并对供应商的个人信息保护措施进行实时跟进和监督。
注>
[1]https://www.thepaper.cn/newsDetail_forward_21250771 《蔚来大量用户数据遭窃取被勒索225万美元,官方回应:属实,但绝不低头》
[2]https://auto.sina.com.cn/news/hy/2020-09-05/detail-iivhuipp2659296.shtml 《泰达|赵志国:上半年有280余万次对车联网恶意攻击》
[3]《YD/T 3752-2020车联网信息服务平台安全防护技术要求》第5条
[4]TC260《汽车采集数据处理安全指南》第4条
[5]《汽车数据安全管理若干规定(试行)》第8条:汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。
因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
[6]《GB/T 41871—2022信息安全技术 汽车数据处理安全要求》第3.6条
[7]《GB/T 41871—2022信息安全技术 汽车数据处理安全要求》第6.1条
[8]《GB/T 41871—2022信息安全技术 汽车数据处理安全要求》第6.2条a)
[9]《YD/T 3752-2020车联网信息服务平台安全防护技术要求》
[10]《实施车险综合改革指导意见》(九)丰富商车险产品
支持行业制定新能源车险、驾乘人员意外险、机动车延长保修险示范条款,探索在新能源汽车和具备条件的传统汽车中开发机动车里程保险(UBI)等创新产品。引导行业规范增值服务,制定包括代送检、道路救援、代驾服务、安全检测等增值服务的示范条款,为消费者提供更加规范和丰富的车险保障服务。
[11]《机动车保险车联网数据采集规范》第6条
[12]《机动车保险车联网数据采集规范》第10条
[13]《GB/T 41871—2022信息安全技术 汽车数据处理安全要求》第7.5条