引言
2023年5月12日,日本车企丰田公司承认,由于云服务平台设置错误,其日本车主数据库在近10年间“门户大开”,约215万日本用户的车辆数据蒙受泄露风险[1],可见重视和加强汽车企业的数据安全管理已经迫在眉睫。随着汽车智能化、网联化势不可挡的蓬勃融合发展,汽车机械安全和软件安全问题交叉叠加,国家对汽车产业的相关法律法规和政策也在不断更新,尤其是汽车产业的数据安全和智能化管理方面的规定。
2023年11月浙江省发布了《浙江省汽车数据处理管理规定》(以下简称“《规定》”),并已于2023年11月1日生效。这是继2021年国家发布《汽车数据安全管理规定(试行)》之后,首次有省级机关联合发布针对汽车企业开展汽车数据处理活动发布的规范性文件。本文将对规定要点内容予以梳理,并介绍汽车行业如何在当前趋势下做好数据合规管理。
”
一、 规定细化了汽车企业开展数据保护的标准
《规定》全文共26条,作为省级层面第一次发布的规范性文件,除了强调和重申《汽车数据安全管理规定(试行)》中的重点内容外,从汽车企业在进行数据处理实务中可能遇到的风险和需求出发,对汽车企业的数据安全保护和数据合规管理事务提出了更为细化和明确的要求。
(一) 明确了术语定义
《规定》除了重申重要数据的概念外,还进一步明确了如“座舱数据”、“匿名化”、“去标识化”、“直接关联”等概念的术语表述。
(二) 明确了汽车数据处理者管理者责任
1、 强调区分处理个人信息和敏感个人信息的要求不同。
对于处理个人信息要求显著提示和告知;而对于敏感个人信息必需每项都“单独同意”,且“不得一次性”获取同意。
2、 细化获得个人信息主体同意的情形。汽车企业主体信息变更,需要告知个人信息主体;数据接收方变更处理目的和方式,需要重新获取同意。
3、 强调个人信息主体对于汽车数据处理者提供的商业营销、第三方产品或服务有拒绝的权利。确保用户清楚、完整了解个人信息提交使用情况,提供用户修改和终止授权同意内容和期限,并且提供具体负责联络人信息。
4、 强调在进行个人敏感信息收集或终止收集时,要向个人信息主体以多种方式提示或通知,确保个人信息主体能够清楚了解收集状态,在需要关闭或者终止时容易找到操作入口。在发生信息泄露可能性时,及时以各种方式告知个人信息主体。
5、 再次强调向境外提供汽车数据时,应当申报数据出境安全评估。
(三) 汽车数据处理者对座舱数据规定
1、 座舱默认设定要求。根据《规定》要求,汽车在交付用户时,应当默认设定不收集座舱数据, 同时《规定》强调收集车外数据向车外提供时的匿名化处理,这也是《汽车数据安全管理规定(试行)》中已经明确规定的内容。
2、 无需单独同意的三种向车外传输数据的特殊情况。《规定》明确了有三种情形可以在没有得到个人信息主体单独同意下,向车外传输包含个人信息的数据,分别是在道路运输车辆向监管平台和机构、营运车辆向监管机构和交通事故根据执法部门要求传输。
现在市场上部分智能化车型均配备有“哨兵模式”(又称“守卫模式”,当车辆熄火上锁状态,车辆的摄像头和传感器将保持开启并记录车辆周围的可疑活动并向车主发出警报),在获得车主手动同意后即能开启该功能,在非驾驶状态收集的车外视频、图像数据,不向车外提供或者符合三种向车外传输的特殊情况,且数据仅保存在本地设备,对于合规的哨兵模式符合《规定》要求,可以正常使用。
3、 首次明确对汽车数据处理者 “不得存储原始个人生物识别信息”。此次《规定》是首次有省级规范性文件针对汽车行业的个人生物识别信息存储提出了具体的数据安全管理要求。
《规定》第十条 汽车数据处理者不得存储原始个人生物识别信息,使用个人生物识别特征信息完成身份识别、认证等功能后,应以不可逆方式删除可提取个人生物识别信息的原始图像。
根据《规定》要求,汽车数据处理者对于原始个人生物识别信息的存储需要尤为谨慎。作为汽车数据处理者,其设备或云端系统都不能存储原始个人生物识别信息。而车辆本身作为特殊动产,在交付用户后,是属于用户所有的动产,不属于汽车数据处理者所有的设备。我们认为车辆本身作为终端本地设备可用于存储车主个人生物识别信息,汽车数据处理者在通过本地信息提取识别身份、认证后,以不可逆方式删除提取的原始图像后以联网方式为车主或车辆使用人提供服务是不违反《规定》内容的。
在智能化汽车行业竞争中,智能化汽车竞争热点之一是人脸识别解锁登陆账号功能。传闻A公司曾计划通过生物特征认证来解锁车辆访问权限和账号登陆;而B公司的智能化汽车,已经使用金融级的3D人脸识别摄像头;C公司在登陆第三方应用软件(app)时会因为触发风控策略而进行人脸识别,出于用户体验原因将应用下架。人脸识别技术是通过生物特征来实现识别身份、认证等功能。目前尚不得知这些车企对于个人生物识别信息的具体存储方式,但相信《规定》的出台,势必会规范相关智能化汽车产品的安全认证模式和安全防范技术, 但同时也会因为各地方法规、规定等的差异性规定给企业合规带来挑战。
其实,个人生物识别信息作为敏感个人信息的一种[2],其存储要求在国家标准《信息安全技术个人信息安全规范》(GB/T35273-2020)[3]中已经作出特别要求,对于个人生物识别信息和个人身份信息应当分开存储。在《信息安全技术个人信息安全规范》中提出的具体措施有:“1).仅存储摘要信息;2).在采集终端中直接使用;以及3).实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像”。可以发现,《规定》的相关内容与前述国标、规范性文件等呼应,同时也为汽车行业如火如荼的智能化趋势指引了发展趋势和方向。
(四) 强调了汽车数据处理者的强制合规要求
1、 制定应急预案,组织至少每年一次的应急响应培训和应急演练,组织数据安全教育培训;
2、 对于重要数据处理开展风险评估,并报送风险评估报告;和
3、 每年12月25日前报送年度汽车数据安全管理情况。
这方面规定显著增加了车企的合规要求和成本,企业在内部培训、合规流程、数据使用、基础数据架构的搭建方面需要对现有体系完成初步的调查、建立适合企业的流程和制度、并根据当地要求准时完成上报。以上这些规定要点内容,也是将来监管机构的重点检查方向和关注要点,需要汽车企业及第三方供应商在整合或嵌入产品前做好自行检查。
当然,因为《汽车数据安全管理规定(试行)》中已经有类似规定,此次《规定》的出台只是对相关要求做了进一步细化,我们相信2023年浙江省内企业在上报数据管理情况时,应该已经注意到强制要求的内容,对于细化部分的规定,考虑到规定实施时间的原因,我们相信监管机构也会适当考虑或者豁免,但车企的合规行动需要跑在要求和监管的前面,从而保障企业在被调查或者被要求提供材料时的高效处理。
二、汽车企业应完善数据合规体系,保障汽车行业数据安全
汽车已经是社会生活中不可缺少的重要工具,如果不认真对待汽车企业数据安全合规管理工作,则可能触发严厉的处罚。
如2022年7月21日,滴滴出行公司就因违法收集用户手机信息、过度收集个人信息、分析乘客出行意图等8个方面的16处违法事实,严重违反网络安全审查相关规定,被处人民币80.26亿元罚款,两位企业负责人则各处人民币100万元罚款。[4]
又如,天津市交通运输综合行政执法总队依据安全生产法,查处本市首例篡改道路运输动态监控数据信息案件[5]。企业主要负责人篡改动态监控数据信息,不仅极大影响车辆运营安全监控,其实也反映出其内部数据合规管理的严重漏洞和违规情况的存在。
所以,汽车数据信息内容的安全管理不仅关系到汽车企业的合规管理、也关系到汽车用户的个人隐私,更关系到国家安全,汽车企业或新兴汽车企业服务商都必须高度重视。以下我们提供简要的合规检查清单协助车企或其关联企业进行合规管理的自检自查。
(一) 建立健全汽车企业内部数据合规管理制度
1、 落实数据分类分级管理,做好数据传输场景识别;
2、 合理制定数据传输流程,提升数据安全评估能力;
3、 完善研发、测试、生产等各环节数据安全管理体系的建设;
4、 规范供应链评估场景,确保数据安全可追溯;
5、 做好用户告知义务,明确责任部门和负责人;且
6、 真实收集数据安全评估材料,按规定严格执行安全评估报告。
(二) 完善数据安全保障措施,制定风险与突发事件应急预案
1、 制定完善的数据存储机制;
2、 升级数据加密技术,严格控制访问权限;
3、 制定应急预案和临时保护措施;且
4、 做好定期培训和预演。
(三) 加强数据资产管理
1、 对数据进行分级、分类;
2、 有效利用脱敏数据,充分挖掘数据要素价值;
3、 加强数据分析和应用探索,推动数据市场发展;且
4、 制定数据开放共享协同规范,加快产业数字化和智能化革新。
前述简要检查清单只是在常规情况下适用于大多数企业的通用合规事项列表,但由于每个企业规模、内部管理、系统化和数据化程度、数据处理和使用的深度等都不同,因此每个企业还需要根据自身情况,结合法规、规定等的要求搭建符合企业自身情况的合规和风控体系。
三、 汽车产业数据生态市场趋势
(一) 以科技创新驱动产品发展,彰显品牌实力和价值
数字科技水平已经成为拉开各家车企产品之间差距的核心竞争力。随着智能汽车技术的发展,汽车企业在对待汽车安全的观念上也已经转变,从碰撞测试的被动安全转为主动提升安全技术。
例如,汽车企业积极参与汽车安全领域试行沙盒监管制度。2023年11月,国家市场监督管理总局质量发展局发布《关于确定首批汽车安全沙盒监管试点名单的通知》。共有11家整车、零部件、科技公司入围名单,9项新技术、新功能成为监管试点对象。[6]
随着汽车OTA技术(Over-the-Air,即在线升级技术)的迅速发展,汽车销售模式对于用户和车企也不再是一次性的买卖,更多的汽车制造商出售的不仅是机械车辆,也通过更新或解锁车辆上的软件获得收入,可以说当车辆交付到用户手中那一刻起,才是车企真正营销的开始,车企和第三方软件商的深度合作既为车辆本身增加了附加值,也为优化用户体验提供了更多的可能性,虽然目前大部分车企的OTA升级都还是免费,但未来不排除在稳定用户黏性后推行收费模式。
(二) 以审慎态度建立和经营汽车数据资产
根据《关于构建更加完善的要素市场化配置体制机制的意见》[7],数据已经被定义为继土地、劳动力、资本、技术之后的第五大生产要素,加快培育数据要素市场。而当前,各汽车企业之间的数据还没有实现共享和安全流动,各汽车企业数据的价值还没有充分挖掘。2023年全国两会期间,小米集团创始人雷军在《关于构建完善汽车数据安全管理体系的建议》中曾提议,应当在保障数据安全的前提下,构建汽车数据共享机制及平台,让各车企间的数据实现流通,将数据转化为社会生产力。[8]
随着数据安全合规管理的要求进一步细化和规范,智能化汽车的科学技术加速迭代,汽车企业面临的数据合规管理情形日渐复杂,这既是机遇,也是挑战。企业一方面要严格执行数据安全合规管理,另一方面也要提升自身创新能力和研发水平,完善汽车企业数据资产积累体系,打造数据资产价值化变现的通路。
在保护好汽车用户个人隐私情况下,汽车企业作为数据初始归集、管理者,需要深度思考如何在合规管理下,做好汽车数据资源的管理和经营问题,也是汽车企业在数据要素市场建设中需要承担和发挥引领作用的核心价值,进而构建绿色、可持续的数据运营生态市场。
定义解释:
▶ 沙盒:
(英语:sandbox,又译为沙箱),计算机专业术语,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。[9]
▶ 个人生物识别信息:
是指通过对个体生物特征的测量和分析,用于身份验证或身份识别的数据。根据国标《信息安全技术 个人信息安全规范》规定,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、 面部识别特征等[10]。
结语:
可见,在如今汽车行业发展趋势之下,汽车企业不仅要关注产品机械上的驾驶安全,也要重视企业内部研发、生产车辆和外部用户购买、使用车辆过程中收集、处理的数据信息管理。国家正在逐步引导和规范车企加强自身的数据合规管理,《规定》正是对《数据安全法》、《个人信息保护法》等法律法规在汽车行业合规管理领域的进一步细化。智能汽车的数据安全管理不仅需要关注用户使用过程中的数据保护,也要重视企业自身产品的车载系统及第三方嵌入软件服务的数据安全管理。
互联网信息技术的迭代发展,为企业发展注入新动能,也对企业的合规数据管理提出了新要求。数据安全管理不再只是互联网科技企业需要重点关注的内容,对于各行各业而言,都需要慎重考虑在依靠信息化、网络化技术助力企业发展的同时,是否做好了数据安全合规管理,是否在处理数据过程中触发了数据安全评估及申报等强制性规定或数据安全管理义务。如何从同质化市场竞争中脱颖而出,如何担当企业社会责任,通过合规管理赋能企业高质量发展,这值得每一家企业的经营者和高层管理部门深思。
本文参考资料:
[1]央视网,《丰田云平台漏洞近10年才发现 200多万日本车主受影响》https://news.cctv.com/2023/05/13/ARTInRtJfEJyQPFHgogDnGAa230513.shtml,最后访问日期:2023年11月16日
[2]《中华人民共和国个人信息保护法》https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D,最后访问日期:2023年11月21日
[3] 网信高阳公众号,《国标<信息安全技术 个人信息安全规范>全文》https://mp.weixin.qq.com/s/oi2QWT47ipdpvlrbPkziHA,最后访问日期:2023年11月21日
[4] 国家网信办官网,《国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定》http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm,最后访问日期:2023年11月19日
[5] 新华网天津频道,《篡改道路运输动态监控数据信息 天津市查处首例案件 企业被罚万元》http://www.tj.xinhuanet.com/20231114/88d684a72e5844518240afc80161034e/c.html,最后访问日期2023年11月19日
[6] 国家市场监督管理总局官网,《关于确定首批汽车安全沙盒监管试点名单的通知》https://www.samr.gov.cn/zw/zh/art/2023/art_93588f3ed0a243ef96456ec3c7840813.html,最后访问提起:2023年11月18日
[7]中国政府网官网,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》https://www.gov.cn/zhengce/2020-04/09/content_5500622.htm,最后访问提起:2023年11月18日
[8]人民网官网,《雷军代表:建议构建完善汽车数据安全管理体系》http://finance.people.com.cn/n1/2023/0306/c1004-32638124.html,最后访问日期:2023年11月19日
[1]百度百科,沙盒(计算机术语)https://baike.baidu.com/item/%E6%B2%99%E7%9B%92/3769297,最后访问日期2023年11月19日
[9] 网信高阳公众号,《国标<信息安全技术 个人信息安全规范>全文》https://mp.weixin.qq.com/s/oi2QWT47ipdpvlrbPkziHA,最后访问日期2023年11月21日
上海总所
地址:上海市中山北路3553号伸大厦25层
电话:021-80120128
传真:021-80120131
邮编:200063
杭州分所
地址:浙江省杭州市市心北路1929号万和国际中心7幢15层
电话:0571-83692260
传真:0571-83692270
邮编:311215
蚌埠分所
地址:安徽省蚌埠市蚌山区绿地珠峰B座22楼
电话:0552-38399966
传真:0552-38399966
邮编:233017
关注我们
