【北京律师、北京法律咨询、北京律师事务所、浩略律所、北京浩略】
汽车“哨兵模式”下车外传输数据合规建议
作者:金晓萍 李恒
智能网联汽车“哨兵模式”下,可通过车身装载的摄像头持续监控周围环境,当探测到可疑行为时,车辆会自动根据威胁的严重程度作出反应,此模式下,摄像头采集到的视频是否可以通过APP推送等方式向车外传输处理?以及如何成长为“合规哨兵”呢?为此,浩略律师事务所特带来《汽车“哨兵模式”下车外传输数据合规建议》一文,助力智能网联汽车的“合规哨兵”的成长。
一、新手村
智能网联汽车“哨兵模式”及合规争议
汽车自动驾驶技术中,“哨兵模式”即所谓的安全功能,是指当车辆处于驻车状态时,车主可以通过手机实时查看车身四周摄像头的视频信息,一旦车辆主动或被动地移动,外部摄像头就会录制车辆周围的环境,并通过手机APP或短信通知车主,同时在车机上也可以查看录像。此外,车主还可以通过手机控制车辆鸣笛、闪灯以及远程喊话等警示反应,进阶版本在监测到车外对车辆构成威胁的危险动作时,会发出警报并提示该车摄像头正在录制,从而向威胁车辆安全的潜在破坏者发出警告,发挥哨兵站岗放哨的功能,有效保障车辆及财产安全。公开信息显示,除了特斯拉汽车的“哨兵模式”,小鹏、蔚来、理想等品牌部分车型也均有配备类似哨兵模式的智能安全及监控功能。
然而“哨兵模式”下涉及车外数据对外传输的合规性存在争议。车外数据对外传输是指汽车通过传感器和摄像头对周围环境实时监控记录,并将数据传到数据中心,传输给第三方主体,例如监管平台、仿真平台、安全平台、车路协同系统等,以满足车辆的运行及安全需求。但车外数据涉及包括重要敏感区域地理信息、流量信息、人脸信息在内的大量敏感个人信息和重要数据,这些信息一旦被非法获取、利用会对个人隐私、社会生活甚至国家安全可能造成重大威胁。因此我国在特定条件和时期对于军事、党政机关、机场等敏感性区域曾对特斯拉汽车这个“不合规哨兵”采取禁入禁停的措施,后特斯拉公司通过改进,通过了中国官方的数据安全检验,中国各地才陆续解除对特斯拉等智能网联汽车的禁行禁停限制。
且2023年8月14日,特斯拉通过官方账号也回应了“哨兵模式”争议。其提到,“哨兵模式”非特斯拉独有,特斯拉车辆出厂时,该功能默认处于关闭状态,需要车主手动开启才能使用。在手动启用“哨兵模式”后,车辆上锁并挂驻车挡时,如果检测到附近可能存在损害或者盗窃车辆等威胁时,系统会向车主发出警报,并记录车辆周围的可疑活动,将视频片段保存在已安装的USB设备中,为用户带来用车安全保障。目前该功能已协助警方破获了多起车辆损害和失窃案件。与一些品牌可以通过“哨兵模式”远程查看车辆周围环境不同,目前特斯拉车辆的这些数据只离线存储在车内USB设备中,车主和特斯拉均不能远程在线查看。另外,特斯拉公司已在中国建立数据中心,以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据,都会存储在中国境内。所以汽车“哨兵模式”的争议主要是因所谓安全功能下的另一面即为对个人信息、数据安全传输导致的数据安全问题。
二、打怪升级
争议焦点与论证车外传输的可能性
(一)争议焦点:车外数据传输是否属于《汽车数据安全管理若干规定(试行)》第六条规定的车内处理情形
《汽车数据安全管理若干规定(试行)》第六条规定,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则,除非确有必要不向车外提供。进行车内数据传输时,感知模块采集数据后,对其进行初步加工,并将之传输至决策模块;决策模块将各方面数据进行融合,通过深度学习等算法,得出方向、车速、提醒等决策,下发到控制模块;控制模块根据收到的决策,控制车辆各部件进行驾驶,产生车辆的状态数据并反馈至决策模块。以上车内数据传输均在车辆内部完成,形成了闭环。因此,车内传输数据符合汽车数据的车内处理原则,属于一般的数据处理行为,汽车数据处理者照常履行采集合规、安全保护等基本义务后,即可进行车内数据传输。
但车外数据传输不属于《汽车数据安全管理若干规定(试行)》第六条规定的车内处理情形,需论证车外传输的可能性。
(二)论证车外数据传输的可能性
根据《数据安全法》的立法精神,在保护个人、组织合法权益,维护国家主权、安全和发展利益,保障数据安全的前提下,国家促进数据开发利用,允许数据的有序流动。基于此,笔者认为,不涉及个人、企业合法权益或国家安全的数据,或者应当依法公开的数据,不适用车内处理数据原则。对于涉及自然人个人信息权益的个人信息、车辆数据涉及车企等相关企业数据竞争权益的车辆数据,以及涉及国家安全的关键类型数据,应当按照相关规定予以保护。对于此类数据,可以适用车内处理数据原则,如无必要不对外传输,但关于必要的认定,应当有所不同。具体请见下表:
(三)车外传输个人信息的合规路径
车外传输个人信息目前主要有三种合规路径,其一是将个人信息进行《个人信息保护法》第四条规定的匿名化或去标识化处理,使之不成为个人信息,确保无法直接或间接识别到特定个人,这样处理过的数据通常不受数据保护法规的严格约束,降低数据传输的风险;其二通过隐私政策或用户协议、车载系统协议等方式,详细说明用户个人信息的收集、使用、存储、传输等处理活动,包括车外传输数据的情况,确保用户可以充分了解个人信息的处理过程,并取得车主对数据车外传输的同意,以此满足个人信息车外传输的合规要求;其三是援引《个人信息保护法》第十三条,《汽车采集数据处理安全指南》第5.3条等法律规范的豁免条款,使车企无需取得个人同意。增加车外传输的合规性,同时保护用户的隐私权益,具体实施时需考虑届时的法律法规、行业标准及企业的具体情况,制定并实施相应的数据保护政策和程序。
三、获取经验包
数据合规经验与数据接收主体
(一)特斯拉数据合规经验
车外摄像头曾导致特斯拉陷入舆论风波,也导致特斯拉针对车外摄像头数据处理方式进行了中国化改造。特斯拉APP在隐私政策提示,用户必须查阅并遵守当地法律法规以及场所对使用摄像头的相关规定并独自承担全部责任。相较于法律效力存疑的单方声明,特斯拉在实操中进一步防范了合规风险,其在中国区提供的哨兵功能中不会捕捉连续的视频录像,也不具有实时取景功能,用户无法访问车外摄像头拍摄的视频影像(为离线服务,数据仅存储在随车的U盘中,不支持手机远程和喊话。并且只有驻车锁车之后特定情况才会进行录像)。
近期一则通报显示,特斯拉上海超级工厂生产的车型全部符合数据合规要求,在车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等四个方面均通过了国家权威车辆数据检测要求。这一成就不仅展示了特斯拉在数据安全方面的卓越表现、对公民个人隐私保护的高度重视,而且在合规性上也展现出了其对于中国市场规则的尊重和遵守。
(二)车外传输的数据接收主体
《汽车数据安全管理若干规定(试行)》规定,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,还是应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等,使之不再构成个人信息,从而无需承担法律法规对“提供个人信息”所规定的义务。但数据对外提供所增加的风险,主要由数据接收方的介入而产生。因此,根据数据接收方主体的不同,法律也对此有不同的要求。
1. 向行政机关提供
行政机关对于智能网联汽车的管理和服务体现在智能网联汽车从生产到运行的全过程当中。在生产、测试环节,生产需要向有关部门备案并取得特定许可;在日常运营中,有关部门会对智能网联汽车的数据处理作出要求,运营者有义务配合监管;在发生安全事件时,运营者有义务向主管机关进行报告,并配合调查提供相应的数据。
2. 向用户提供
用户可能调取的信息包括与自身有关的信息,如被采集的个人信息,这类信息依照现有的数据法律法规,应当向个人提供;但是和用户无关或没有直接关联的信息,如运行状态信息等等,应当如何提供也是理论和实务中有待解决的问题。
3. 向境外主体提供
由于跨境数据处理活动事关国家安全,国家对向境外提供的数据进行严格管理。对于特定的数据类型、接收主体有更为严格的限制,例如《汽车采集数据处理安全指南》规定车外数据、座舱数据、位置轨迹数据不应出境;对于外国国家机关,《数据安全法》第三十六条规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。基于此,智能网联汽车在运营过程中产生、收集的数据,应当遵守《数据安全法》以及相关法规、规范性文件的规定。从相关规定来看,国家对重要数据出境的要求较为苛刻,仅提供了数据安全评估一种处境途径;对个人信息出境方式的要求相对宽松、多元,根据重要程度不同,依次提供了安全评估、安全认证与标准合同三种方式。
4. 向社会公布
在一些舆情较大的安全事件中,智能网联汽车生产、运营企业可能面临社会公众要求企业公开部分数据参数的情况,由于此类参数往往涉及个人隐私、商业秘密与技术信息,彼此无法完全剥离或做匿名化处理,对此类信息是否公开,如何公开,目前尚无系统的合规性论述。
四、通关
数据合规建议与“合规哨兵”
(一)合规提示
《汽车数据安全管理若干规定(试行)》(以下简称《规定》)中明确,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则,除非确有必要不向车外提供。“车内处理”原则是指,基于汽车本身产生的数据,需要在车内完成处理,除确有必要外,不应传输至车外的设备系统或第三方。“通过网络向外传输”指通过移动通信网络、无线局域网、充电桩接口等方式,向位于车外的设备系统传输。同时,因保证行车安全需要,已进行匿名化处理的视频、图像数据除外。
(二)合规建议
1. 汽车企业需要提高车内数据处理能力。为了实现数据安全合规,尽量在车端对数据进行处理,通过改进算法、提升芯片性能等手段提高车端算力,为“车内处理”提供客观条件。
2. 汽车企业需要在设计产品功能阶段以“车内处理”为原则,尽量降低向车外提供数据的功能需求,实现数据安全保护和汽车技术发展的平衡。
3. 汽车企业应贯彻落实“默认不收集”原则。即在汽车场景下,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。
4. 汽车企业需要梳理“确有必要向车外传输”的情形。首先应遵循法律法规规定的“车内处理”原则。根据法律法规和行业技术实践发展,在确需向车外传输数据的场景下,梳理“确有必要向车外传输”的情形,如为保证车辆行驶安全的车辆报警信息和其他充分必要性目的。
5. 汽车企业需落实“向车外传输”信息的匿名化处理。具体措施包括对视频、图像中可识别个人信息的人脸、车牌等信息进行擦除等,确保无法利用视频、图像数据识别个人身份。
综上,智能网联汽车在“哨兵模式”下通过APP等方式向车外传输视频数据,需要在严格的法律法规的框架下,根据具体情况采取有效的合规措施,加强个人信息和数据安全的保护,守住数据合规的安全红线,努力促进智能网联汽车方面的立法的不断完善,成为“合规哨兵”。
中国网络空间治理顶层法律框架与合规体系
律师简介