智能车联网平台数据应用合规问题研究必要性和重要性
对于车企和专业车联网公司而言,为提供相关车联网服务,是否有必要自行申请电信牌照或可采购有电信牌照的服务提供商的服务?客户是一家B2B汽车零部件制造企业,不面向个人消费者。客户是否会落入《网络安全法》中网络运营者的范畴?2021年4月,某车主在车辆行驶过程中刹车失灵,而车企为自证刹车运行良好,未经允许向媒体公布了该车主的刹车数据,是否违反个人信息安全保护的法规?
上述场景涉及智能网联汽车产业链条上的不同供应商,且有着一个共同之处,即受制于执法依据不充分、社会舆论不强等掣肘,隐私风险问题最终多“不了了之”或“尚未定论”。此外,除了汽车制造商,互联网公司也在抓住这个进入汽车行业的巨大机会。在2014年,上汽和阿里巴巴共同建立了一个新品牌Ebanma,并开发了基于AliOS的Banma系统,这是中国第一个完全独立于Android的汽车操作系统。腾讯和百度也提出了智能连接汽车系统解决方案,但它们不被认为是汽车的基本操作系统。腾讯在汽车上的AI是基于Android系统的解决方案,将腾讯强大的社交应用生态系统移植到汽车上。百度推出的DuerOS专注于语音控制,并将AI会话功能应用于汽车驾驶场景。由于智能网联汽车的技术处于萌芽与迭期,尚未形成行业统一的产业化实践,相关法律法规仍在陆续出台且具体实施细则及解读有待发布和进一步完善,个人和公众敏感信息安全、网络安全、数据安全以及电信服务、定位服务监管等广泛领域构成为了智能车联网平台数据应用合规工作的重要组成部分。除此核心部分的组成以外,对外贸易中的合规要求:比如车辆产品出口到国外使用时须关注业务所涉国家(地区)开展的贸易救济调查,包括反倾销、反补贴、保障措施调查。贸易管制、质量安全与技术标准、知识产权保护等方面的具体要求等应确保经营活动全流程、全方位合规,全面掌握关于投标管理、合同管理、环境保护、连带风险管理、债务管理、捐赠与赞助、反腐败、反贿赂等方面的具体要求。
首先是个人数据安全方面,2021年10月1日实施的《汽车数据安全管理若干规定(试行)》就“汽车数据”进行了较为具体的规定,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。
汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。
个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
需要注意的是,《网络安全法》和《个人信息保护法》均规定了在汽车行业外广泛的个人信息概念是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。常见的个人信息包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
对于何谓“能够单独或者与其他信息结合识别自然人个人身份的各种信息”,我国法律没有更细化的规定。通常理解判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。随着车内联网服务的增加,未来消费者对于个人隐私保护的顾虑将愈发凸显。消费者的意识与关注是触发隐私纠纷的关键因素之一。目前,相比于医疗、金融等其他行业,消费者对汽车行业的隐私保护信任度较低。智能网联汽车所涉及的隐私风险场景与互联网、通讯、行业愈发相似,而针对捆绑服务迫使用户同意、信息过度采集与处理等风险尤为如此。
从网络安全角度来看,在中国运营的一些车企在《网络安全法》出台前已实现数据的中国本地化安排,也有一些跨国车企将中国用户的个人信息存储在境外的服务器上。由于中国法律下数据本地化及数据出境的相关规定尚未完全清晰,跨国车企的态度不尽相同:有些跨国车企倾向于认为车企成为CIIO是大概率事件,因此已积极开始部署数据的中国本地化存储(个别跨国车企已完成数据本地化部署);有些车企虽未开始本地化部署,但已开展全面评估,对系统状况、数据存放地,安全措施、实名制、等级保护等重要检查项进行摸底和梳理,进行差距分析并制定行动计划;也有部分车企仍在观望中。
在数据安全方面,尽管更多车企倾向于认为《一般数据保护法案》(General Data Protection Regulation,GDPR)并不强制适用于其在中国的运营,但与此同时也倾向于认为GDPR所代表的数据监管方向是全球大势所趋,其原则与《网络安全法》和《数据安全法》基本一致,因此在实践中也会根据GDPR的普遍原则对其中国运营进行整改。综上所述,智慧车联网平台面临相关新法实施不久,法律规范场景不确定,智能辅助驾驶和车联网技术更新快等诸多法律风险,研究数据应用合规的重要性和必要性不言而喻。同时,这也要求法律服务供应商必须具备丰富的汽车行业法律经验,对于网络和信息安全有着敏感的预判走向能力,具备对接政府相关监管部门规章制度前瞻的社会资源。