智能汽车“新燃料”的安全治理不容忽视
- 编辑:遗害无穷网 - 67智能汽车“新燃料”的安全治理不容忽视
当汽车企业从单纯的制造者和销售者向运营者角色转变时,不可避免地成为了数据处理者。企业除了要给用户提供更智能、便捷的驾驶体验,数据的合规与安全将成为企业关注的重中之重
□ 冯清清罗楚健
很久以前,汽车在行驶时,好似一座座信息孤岛。视线之外,谁也无法获知或传递道路交通实况信息。
如今,随着信息技术的高速发展,智能汽车已经能够对车主的娱乐喜好、生活作息、商务往来、家庭成员等数据进行采集分析,最终输出一份清晰的用户画像。
据相关研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB(即10万亿字节)。这一数据容量,相当于每天存入5000部高清电影。
如此中,不乏车主、乘员在内的个人数据。智能化技术本无罪,但作为飞驰中的个人数据库,智能汽车犹如一个“潘多拉魔盒”,一旦被轻易开启,后果难以设想。
那么,车载个人数据的智能化应用,何处才是合规边界?
飞奔的“数据吸尘器”
正如短视频App通过分析用户的浏览记录、停留时长、消费习惯等数据实现更精准的定向推送服务,看似毫无关联的地理位置、驾车习惯、个人偏好等各项信息,同样可被智能汽车收集、分析与使用。
智能汽车可以获知驾驶人每天喜欢听什么广播、定期去什么地方、每个地方停留多久,甚至当日驾驶情绪如何。当获取的数据达到一定量级,车机系统就可以对驾驶人行为进行识别、预测,进而完成车座调整、个性化歌单/广播推荐、常用导航目的地推荐等功能,为车主省去不少自行重新调试的功夫。
智能汽车,就像一台飞奔的“数据吸尘器”,吸取的不只是车内的个人信息,车外行人也在此列。
例如,某品牌汽车曾推出远程查看车外摄像头影像的“千里眼”功能,除了可实现车内遗落物品检查外,还可调用车辆全景、车前、车内多个摄像头,支持车位信息查看、车外情况监控等。
日益凸显的数据安全问题
诚然,相较传统汽车,智能汽车的车载数据应用为车主带来了体验上的极大便捷。不过,更多的数据交互,从车主上车的一刻便已开始,而车主却对此毫无感知。
近日,汽车博主“李老鼠说车”分享了某品牌汽车的一个“耐人寻味”的功能——车车互联。其进入车辆自带的行车记录仪界面后,点击“汽车发射WIFI”图标,发现全国范围内的同款车型车主列表一一呈现。列表中包含了其他车主的头像、昵称、距离等个人信息,继续点击任意一位车主的名称,则该车主的行车记录仪画面可径行投射到“李老鼠说车”的车上,过程中并无身份识别等验证流程。
根据该品牌汽车的官方回应,“车车互联”功能的本意是为车队出行的车主提供车路协同服务,以便车队间的有效联系,其在车辆出厂时默认关闭,并在用户选择开启时以二次弹窗确认隐私条款的方式取得用户同意。此举,似乎已落实个人信息保护法提出的告知同意原则。
但笔者对此并不认同。依据2021年10月施行的《汽车数据安全管理若干规定(试行)》(以下简称《管理规定》),汽车数据处理者在开展汽车数据处理活动中,应坚持默认不收集原则,即除非驾驶人自主设定,否则每次驾驶时应默认设定为不收集状态。结合“车车互联”功能的启动方式,该品牌汽车虽在驾驶人首次开启功能时,以弹窗确认隐私条款的形式获得用户同意,却在后续驾驶人每次驾驶时均默认开启,难谓符合默认不收集的监管要求。
此外,行车记录仪画面一方面涉及车主的精准行踪轨迹,构成敏感个人信息,应同步在操作页面或以语音等适当方式,提示驾驶人功能开启及信息收集、共享的状态,另一方面,其也可能因包含人脸、车牌信息等的车外视频、图像数据而构成《管理规定》所称的“重要数据”。
由于重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全及公共利益,车企应履行更严格的数据合规义务,包括按照规定开展风险评估、定期报送年度汽车数据安全管理情况等。该品牌汽车是否已充分履行前述评估及报送义务尚且不得而知,不过目前其已宣布停用“车车互联”功能,并称将按要求进行更新。
值得进一步探讨的问题是:如车企已在驾驶人每次驾驶时履行单独同意义务,告知基于“更好改善驾驶功能”之目的,车辆将索取摄像头权限并记录车内人员、驾驶情况、面部表情等信息,在驾驶员已点击确认的情况下,是否可视为满足合规要求呢?
答案仍然是否定的。
个人信息保护法明文要求,处理个人信息的目的应明确、合理且与收集的个人信息直接相关。仅以诸如“改善服务质量”“提升用户体验”为由收集用户个人信息,既不符合目的明确原则,也因未对处理目的与所涉信息的直接关联性予以说明,导致收集该等信息的必要性存疑。在车企收集的数据包含人脸等敏感个人信息的情况下,其实施的数据处理活动对个人权益将产生更大的危险性,应对其目的是否符合明确、合理原则作出更严格的解释。
逐步完善的合规监管体系
2021年,是智能汽车的发展黄金期,也是数据合规监管元年。
据不完全统计,国家层面于2021年出台了近20份关于智能网联汽车信息安全的政策文件,其中,对行业影响较大的是《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《管理意见》)和前文提及的《管理规定》。两份文件的出台,意味着智能汽车的数据安全治理已提升至国家战略布局的高度。
《管理意见》主要从准入环节切入,从根本源头上要求企业切实加强数据和网络安全管理,包括但不限于强化数据安全管理能力、加强个人信息与重要数据保护、建设数据安全保护技术措施等,否则企业将可能因不满足准入条件而无法申请准入产品公告、上牌并销售。《管理规定》则为汽车数据安全的治理搭建了初步合规框架,首次厘清了汽车数据、汽车数据处理者、重要数据等重要概念,并提出了车内处理、默认不收集、精度范围适用、脱敏处理四项原则,让参与主体的数据处理活动有据可依,对个人信息保护和维护国家安全有重大意义。
汽车被看作继手机之后的又一个互联网入口。智能系统是汽车的第二发动机,而数据则成为智能汽车的新燃料。汽车智能化技术,让人们驾驶体验更加方便,也让人们对出行生活的安全有越来越多的期待。
当汽车企业从单纯的制造者和销售者向运营者角色转变时,不可避免地成为了数据处理者。企业除了要给用户提供更智能、便捷的驾驶体验,数据的合规与安全将成为企业关注的重中之重。一方面,车联网平台上的道路交通安全和车辆安全需要得到切实保障;另一方面,车辆智能化中的个人信息和数据安全也不容忽视。笔者期待看到规则文件切实落地,形成制度保障,更期待看到汽车智能化技术合规应用后的数据价值。