安理观法
安理观法丨直面大数据时代的机遇与挑战——智能网联汽车企业数据合规
作者:安理律师事务所 2021-09-08

3.jpg



一、前言


当今世界正经历百年未有之大变局,新一轮科技革命和产业变革方兴未艾,汽车产业是此次变革的重要力量之一。在汽车产业发展趋向电动化、智能化、网联化、共享化的新趋势下,汽车将成为移动互联网之后下一个流量入口,智能网联汽车成为汽车产业发展方向和战略制高点,是全球汽车产业发展的战略方向。


作为未来智慧交通的重要组成部分,智能网联汽车的功能实现依赖于对海量数据进行处理。在其全生命周期中,智能网联汽车会采集、处理、生产大量数据,并且与其他终端进行时时数据交互。海量数据的交互连接,使得汽车从“信息孤岛”转变成为网络信息的重要节点。与此同时,汽车数据安全问题和风险隐患日益突出,特别是高精度地图、自动驾驶、数据跨境等技术涉及国家安全与社会公共利益,受到政府监管部门的高度重视与严格监控。


智能网联汽车企业不仅要面临如浪潮般汹涌的新技术考验——新能源、无人驾驶、大数据等,还要遵守国际国内纷繁复杂且不断变化的监管规则。为了维护企业信誉,维持市场信心,增强公众信任,确保可持续发展,数据合规是智能网联汽车企业的必然选择。本文以《汽车数据规定》为基础,结合《网安法》《数安法》《个保法》的相关规定,对智能汽车数据安全相关问题提出合规建议。



二、数据安全监管规则繁杂


针对智能网联汽车的数据安全问题,各国纷纷加大对智能网联汽车的数据安全监管力度,我国亦在其中扮演重要角色,为全球数据安全治理贡献中国智慧与中国方案。


除《民法典》《刑法》对个人信息、网络安全的相关规定外,我国继《网络安全法》(2017年6月1日实施,以下简称《网安法》)《数据安全法》(2021年6月10日颁布、2021年9月1日实施,以下简称《数安法》)《个人信息保护法》(2021年8月16日发布、2021年10月1日实施,以下简称《个保法》)之后,国家网信办、国家发改委、工信部、公安部、交通运输部于2021年8月16日正式发布《汽车数据安全管理若干规定(试行)》(2021年10月1日实施,以下简称《汽车数据规定》)。这是我国首个关于汽车数据安全管理方面的法规,为智能汽车相关企业开展数据合规工作指明了方向。


除了法律法规之外,国家市场监督管理总局、国家标准化管理委员会颁布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)《信息安全技术 网联汽车 采集数据的安全要求(草案)》等国家标准、行业标准在智能网联汽车数据合规建设方面,起到了重要作用。



三、重要概念


1. 什么是汽车数据?


根据《汽车数据规定》第三条的规定,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。


个人信息,可分为“一般个人信息”与“敏感个人信息”。一般个人信息,是指以电子或者其他方式记录的,与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。当然,此处还应包括不满十四周岁未成年人的个人信息。由于个人敏感信息被泄露或被非法使用,容易造成个人名誉、身心健康受到损害或歧视性待遇,因此对其保护更为严格。


重要数据,包括,军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过10万人的个人信息;国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。前述数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益,因此将其界定为重要数据,予以严格保护。


需要注意的是,重要数据的范围和定义仍存在一定的不明确,例如,哪些数据构成“反映经济运行情况的数据”?如何界定“涉及个人信息主体超过10万人的个人信息”?这些在实践中如何解释仍有待主管部门的进一步解释说明。


2. 去标识化与匿名化


去标识化与匿名化,均是针对个人信息的脱敏技术。


去标识化:《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第3.15条规定,去标识化是通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。从上述规定可以看出,去标识化是指一种对标识符进行处理,使其处理后的信息在不借助其他信息的情况下,无法识别到特定个人信息主体的数据处理方式。


匿名化:《信息安全技术个人信息安全规范(GB/T 35273-2020)》第3.14条规定,匿名化是通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。


从上述定义可以看出,匿名化与去标识化的目的都是对个人信息进行处理,使处理后的信息即使结合其他额外信息也无法识别到特定个人信息主体。但是相比去标识化,大多数法律对匿名化还要求匿名化后信息的不可复原性。通常来说,匿名化的第一步是针对直接标识符进行脱敏处理,比如将直接标识符假名化、加密、抑制或者屏蔽等等;其次,再对间接标识符进行泛化或者随机化。但是需要注意,泛化或者随机化程度越高,虽然安全性就越高,但是同时数据的可用性也就越低,因此,对数据处理时还需要对数据的可用性进行考虑,在匿名性与可用性之间达到一个平衡。



四、汽车数据处理者的范围


《汽车数据规定》第三条规定,汽车数据处理者包括汽车制造商、零部件和软件供应商、经销商、维修机构,以及出行服务企业等。


汽车产品是由主机厂和许多供应商共同完成的,参与方众多。在个人信息合规方面也同样涉及这些主体,包括主机厂和他们的销售公司,他们有车主的信息、车机供应商、车机内线的功能或者是应用的供应商,进入车机控制的各种零部件的供应商,软硬件集成供应商。用户在使用特定功能时,这些供应商就可能会采集用户的个人信息以提供服务。因此,根据该条款的表述,汽车数据处理者基本上覆盖了汽车行业上下游的全部主体。只要相关企业所处理的数据落入《汽车数据规定》的保护范围,均应承担相应的数据保护义务。



五、处理汽车数据应遵循的要求


1. 国家倡导汽车数据处理者应坚持的四项原则


1
车内处理原则:越来越多的智能汽车在车内安装了摄像头、麦克风等设备,用于采集驾驶员的人脸信息及声音信息,以便达到人脸识别、疲劳监测、语音交互功能。为使相关功能能够正常实现,不能排除摄像头、麦克风等设备是在时时开启的。此时,驾驶员及车内其他人员的所有行为及对话均会被相应设备收集和处理。除此之外,车辆在行驶过程中随时会产生大量的行驶数据、行踪轨迹、自动驾驶雷达所获得的超精读地图数据等。本条原则即倡导,除非确有必要,车辆数据不得向车外提供。但是如何判断“确有必要”仍具有较大难度,在实践中存在诸多争议。
2
默认不收集原则:一些机构在收集处理个人信息时,往往默认用户同意授权。从表面上看,用户依然拥有选择权,可以自行修改取消授权。但在实际操作中,不少人很容易忽视这个细节,加之取消授权的选项往往比较隐蔽,在不知情的情况下“被同意”。本条原则倡导汽车数据处理者将设备及软件设置为,除非驾驶人自主设定,否则每次驾驶时设备及软件均应设定为“不收集”的状态。这意味着汽车数据处理者必须公开征求驾驶人意见,从而充分保障车主及乘客的知情权、选择权。如果感到个人信息安全得不到有效保护,驾驶人能够随时、方便地终止收集,或是在下一次驾驶时拒绝授权。
3
精度范围适用原则:此原则是《个保法》“最小必要原则”在信息收集精度要求方面的体现。智能网联汽车搭载的摄像头和雷达通常可以收集不同类型的数据:车载摄像头可能收集的信息包括交通信号灯的状态、行人的位置和移动路线以及行车过程中的各类障碍,而汽车雷达则需要对盲点监测、紧急刹车、前后防撞等作出反应,因此需要收集的信息中就含有诸如面部信息等个人敏感信息, 以及车外视频、敏感地区人流车流等重要数据。因此,汽车数据处理者有必要根据具体的服务场景, 对数据收集的颗粒度进行划分。
4
脱敏处理原则:此原则是针对在车内采集、处理的数据所提出的要求。正式生效的《汽车数据规定》则在“脱敏原则下”删除了“确有必要向车外提供”这一表述, 并统一要求所有的汽车数据处理场景, 也就是说无论是否存在“需要向车外提供”这一场景,均应当“尽可能采用匿名化和去标识化处理”。这一修订体现了监管部门更为严格的执法目标, 即通过强化“脱敏处理”要求, 实现数据主体不被识别或关联这一最终目的, 并以此保护汽车数据(尤其是在车内外所收集的个人信息)的安全。


2. 数据处理者收集数据的“知情-同意”义务


收集汽车个人信息方面,《汽车数据规定》延续了《民法典》《网络安全法》以及《个人信息保护法》下的“告知同意”要求, 其第八条第一款规定,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。需要注意的是, 即便是在不需要取得个人同意的“符合法律、行政法规规定的其他情形”, 汽车数据处理者仍应当对收集个人信息的行为进行告知(即纳入到诸如隐私政策等文件中), 并采取相应的保护措施。


针对智能网联汽车收集数据的特点,《汽车数据规定》第八条第二款规定,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。


实践中, 自动驾驶、自动刹车、自动泊车等功能的实现都需要通过车载摄像头、激光雷达等传感器实时收集车辆外部的各类数据, 包括车外行人的音频视频信息。车辆收集此类个人信息难以取得个人信息主体的同意, 在此类场景下, 通过匿名化处理则能够有效地防止特定个人信息主体被识别, 降低数据泄露给个人信息主体带来的风险。在《汽车数据规定》正式生效后, 对于可能收集到车外行人数据的汽车数据处理者而言, 如何从技术手段上满足“匿名化处理”要求则是当务之急。


3. 汽车数据的境内存储与出境要求


根据《汽车数据规定》第十一条的规定,重要数据以境内存储为原则,确“因业务需要确需向境外提供的”,需经过国家网信部门会同国务院有关部门组织的安全评估。此外,对于未被列入重要数据的个人信息的出境安全管理,适用法律、行政法规的有关规定。


此外,国家市场监督管理总局、国家标准化管理委员会于2021年4月28日完成的《信息安全技术 网联汽车 采集数据的安全要求(草案)》第7.1条规定,“网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据, 以及车辆位置、轨迹相关数据, 不得出境。网联汽车行驶状态参数、异常告警信息等数据如需出境,应当符合国家关于数据出境的相关规定”,这进一步细化了不得出境数据的范围, 也对汽车行业个人信息和重要数据的出境提出更为严苛的要求,值得汽车数据处理者关注。


《汽车数据规定》针对重要数据出境所要求的安全评估要求,可结合“数据安全审查”制度综合理解。《数据安全法》规定, “国家建立数据安全审查制度, 对影响或者可能影响国家安全的数据处理活动进行国家安全审查”, 尽管目前尚未有“影响或可能影响国家安全”的判断标准和判断依据,但如果汽车数据处理者具有重要数据的出境需要,应当密切关注后续出台的配套法规,以判断自身是否可能落入被审查的范围。



六、法律责任


《汽车数据规定》并未对数据处理者违反规定需要承担的具体法律责任进行明确规定,而是由相关部门依照《网安法》《数安法》,当然也应当包括《个保法》等法律法规的规定进行处罚。


1. 民事责任:《个保法》对个人信息处理者苛以“过错推定责任原则”,即在侵害个人信息权益造成损害时,如果个人信息处理者不能证明自己没有过错,就应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此受到的利益来确定,如果损失或者利益均难以确定的,则根据实际情况确定赔偿数额。


同时《个保法》规定了侵害个人信息的公益诉讼制度,即在个人信息处理者违反规定处理个人信息,且侵害众多个人的利益的,检察院、法律规定的消费者组织和国家网信部门确定的组织可以依法向法院提起诉讼。


对于类似的公益诉讼,北京市海淀区人民检察院在2021年8月6日发布公告称,因发现深圳市腾讯计算机系统有限公司的微信产品“青少年模式”不符合《未成年人保护法》的相关规定,侵犯未成年人合法权益,涉及公共利益。遂发布公告,请拟提起民事公益诉讼的机关和社会组织将相关情况反馈该院。


2. 行政责任:《个保法》规定,对违反规定处理个人信息或者处理个人信息未履行个人信息保护义务的主体,予以责令改正,给予警告,没收违法所得,对相关应用程序责令暂停或终止提供服务;拒不改正的,处以一百万以下罚款。并且,对直接负责的人员和其他直接责任人员处以一万元以上十万元以下罚款。


特别需要注意的是,对违法行为情节严重的主体,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处以五千万元以下或者上一年度营业额百分之五以下的罚款,并可以责任暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。并且,对直接负责的主管人员和其他直接责任人员处十万元以上壹佰万元以下罚款,还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。


3. 因违反《汽车安全规定》《个保法》《数安法》《网安法》的相关规定而构成犯罪的,均应被依法追究刑事责任。根据我国《刑法》的相关规定,与数据安全相关的罪名大致包括:侵犯公民个人信息罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪;破坏计算机信息系统罪;非法侵入计算机信息系统罪;拒不履行信息网络安全管理义务罪。


其中,侵犯公民个人信息罪,主要涉及住宿、财产、征信、轨迹等敏感内容,极易引发绑架、诈骗、敲诈勒索等二次关联犯罪,存在较为严重的社会危害性。例如,2020年12月4日北京市第三中级法院对审理涉公民个人信息犯罪案件的情况及典型案例进行了通报,发现近几年被侵犯的公民个人信息不仅从数量上呈现“指数级”爆炸式增长,涉案的信息类型也从过去的姓名、身份证号、手机号、住址等传统静态信息,拓展至了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面、多维度的动态信息——该等信息的泄露和滥用将对公民造成极大的次生危害。



七、合规建议


(一) 评估自身业务的适用性




《汽车数据规定》对数据处理者、汽车数据的范围进行了规定,相关企业应当依据该规定及《个保法》《数安法》《网安法》等法律,重新结合自身业务操作,研判企业所开展的数据处理活动是否属于《汽车数据规定》或其他法律的规制范围内,并进一步厘清相关数据究竟属于一般个人信息还是敏感个人信息,是一般数据还是重要数据。此外,在排查相关电子数据的同时,亦不能忽视对非电子数据的处理活动予以研判。


(二)风险识别




此阶段的重点工作是依据法律法规,以及国家标准、行业标准的要求,识别数据合规风险。此类风险不仅限于企业自身,还包括各类供应商有关数据合规的风险点。特别是涉及数据出境业务的企业,不仅要依据中国法律识别数据合规风险,还要按照所涉及的法域所制定的数据安全及个人信息保护法规,排查相应风险点。


(三) 建立符合要求的数据安全制度,确保义务的履行




依据《个保法》《数安法》《网安法》等相关规定,结合企业处理数据的实际情况,搭建数据合规制度体系,对数据进行分级分类保护,建立不同的合规流程与管理制度。同时,要对供应商开展的数据合规工作提出明确要求,确保其数据处理行为合法合规。


(四)任命独立的数据合规管理部门或合规人员




为确保数据合规体系能够顺利运转,企业应当明确数据合规人员或管理机构,落实数据安全保护责任。合规人员可以从熟悉数据隐私法的公司法务部门选择,亦可从懂得信息技术的IT部门选择。对于企业规模较大或数据合规工作较为繁重的企业,应当设立专门的合规管理部门,负责企业合规体系的建设以及合规工作的具体执行。


(五)定期开展风险评估,履行风险评估报告义务




定期开展风险评估工作,针对所处理的重要数据的种类、数量、开展数据处理活动的情况,数据安全风险及其应对措施等进行定期风险评估。具体的风险评估方法可以根据未来出台的《个人信息保护法》项下规定的个人信息安全影响评估的规则,提前部署重要数据风险评估工作及评估制度。


(六)定期开展风险评估,履行风险评估报告义务




定期开展风险评估工作,针对所处理的重要数据的种类、数量、开展数据处理活动的情况,数据安全风险及其应对措施等进行定期风险评估。具体的风险评估方法可以根据《个保法》《数安法》《汽车数据规定》所规定的个人信息安全影响评估的规则,提前部署重要数据风险评估工作及评估制度。


(七)定期开展数据安全培训




根据《数据安全法》要求,一方面应定期对数据安全岗位相关人员开展数据安全培训,培训内容应涵盖法律法规、管理要求、安全技术等内容;另一方面定期对全员开展数据安全意识培训,加强员工数据安全意识与能力。

联系我们

北京
北京市朝阳区东三环中路5号财富金融中心35-36层
电话:+86 10 8587 9199

上海

上海市长宁区娄山关路55号新虹桥大厦3层

电话:+86 21 6289 8808

深圳
深圳市福田区金田路4028号荣超经贸中心1412

电话:+86 755 2389 5836

天津
天津市南开区鞍山西道万科时代中心1栋16层

电话:+86 22 8756 0066

南京
江苏省南京市江宁区庄排路159号2号楼601室

电话:+86 25 8370 8988

郑州
郑州市郑东新区绿地中心北塔42楼4205室

电话:+86 371 8895 8789

呼和浩特
呼和浩特市赛罕区绿地腾飞大厦F座2223-2227室

电话:+86 189 4717 6323

昆明

昆明市盘龙区恒隆广场11楼1106室 

电话:+86 871 6330 6330

西安

陕西省西安市高新区锦业路11号绿地中心B座41F

电话:+86 29 6827 3708

杭州
浙江省杭州市西湖区学院路77号黄龙万科中心B座11层
电话:+86 571 8673 8786

海口

海南省海口市企茂中路1号半山花园晓峰阁6层768房

电话:+86 10 8587 9199

东京

日本国东京都港区虎之门一丁目1番18号HULIC TORANOMON BLDG.

电话:+81 3 3591 3796

  • 首页
  • 电话
  • 返回顶部