來源 | 北京市高級別自動駕駛示范區(qū)
知圈 | 進“電子電氣群”請加微13636581676,備注架構
中國將成為重要的自動駕駛汽車市場。本文探討了企業(yè)必須考慮的數(shù)據(jù)合規(guī)性潛在問題。
“車聯(lián)網(wǎng)”的迅速發(fā)展表明智能汽車是汽車行業(yè)的未來。中國的目標是到2025年部分自動駕駛汽車占新車銷售的50%。2020年3月10日,中國工業(yè)和信息化部發(fā)布《汽車駕駛自動化分級》推薦性國家標準報批公示,該標準于2021年1月1日生效。根據(jù)駕駛員控制車輛所需的介入程度對自動駕駛進行分級。
自動駕駛汽車需要依靠大規(guī)模數(shù)據(jù)收集,包括個人信息和技術信息。中國缺乏數(shù)據(jù)合規(guī)性相關的具體法律法規(guī),這為自動駕駛汽車開發(fā)商帶來了許多問題。
5月12日,國家網(wǎng)信辦公布了《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》,向社會公開征求意見。5月25日,特斯拉稱已在中國建立數(shù)據(jù)中心,以實現(xiàn)數(shù)據(jù)存儲本地化,并將陸續(xù)增加更多本地數(shù)據(jù)中心。所有在中國大陸市場銷售車輛所產(chǎn)生的數(shù)據(jù),都將存儲在境內。
中國沒有關于個人信息的專門法規(guī)。但全國人民代表大會常務委員會于2020年10月發(fā)布了一項有關個人信息的法律草案,并將很快最終確定并頒布該法律。一般法律法規(guī)對“個人信息”有不同的定義。根據(jù)《中華人民共和國網(wǎng)絡安全法》第76條規(guī)定,“個人信息”是指以電子或其他方式記錄的能夠單獨或與其他信息結合識別自然人個人身份的各種信息。
2020年3月發(fā)布的《信息安全技術個人信息安全規(guī)范》(以下簡稱《規(guī)范》)中使用的定義與第76條的定義相似,但將個人信息進一步分為個人生物識別信息和個人敏感信息。信息是否可以識別人是確定信息是否屬于個人信息范疇的關鍵。
根據(jù)《網(wǎng)絡安全法》和《規(guī)范》,收集個人信息需要獲得個人信息主體的授權和知情同意。不應以欺詐、誘騙、誤導的方式收集個人信息,不應隱瞞產(chǎn)品或服務所具有的收集個人信息的功能。
自動駕駛汽車技術通常涉及使用收集的信息(例如,車輛故障或事故分析)來減少駕駛風險。因此,有必要與其他公司合作。這可能會導致數(shù)據(jù)泄露。
收集個人敏感信息需要個人信息主體的明確同意。但為了收集個人生物識別信息,個人信息控制者還必須單獨告知個人信息主體收集該信息的目的、方法和使用范圍。根據(jù)《規(guī)范》,汽車服務提供商不能存儲個人生物識別信息。如有必要,應在收集終端上獲得該信息。一旦確定了個人信息主體,汽車服務提供商應收集并刪除個人生物識別信息。
盡管汽車服務提供商可以通過事先征得個人信息控制者的授權,獲得其明確同意,但當駕駛員在駕駛車輛時,通常無法獲得信息收集授權。汽車服務提供商應避免制定全面授權計劃,應明確在各個階段收集的數(shù)據(jù)。汽車服務提供商應為駕駛員提供可訪問的退出機制,或提供更改其隱私優(yōu)先權的選項。
自動駕駛汽車技術通常涉及使用收集的信息(例如,車輛故障或事故分析)來減少駕駛風險。因此,有必要與其他公司合作。這可能會導致數(shù)據(jù)泄露。一個典型案例是加拿大自動化和機器人工程公司Level 1在2018年泄露了157GB的數(shù)據(jù),包括47000個客h信息文檔、工廠生產(chǎn)詳細信息以及許多著名汽車公司的保密協(xié)議。
未經(jīng)省級或省級以上相關行政主管部門批準,不得向外國的組織和個人以及在中國注冊的外商獨資和中外合資、合作企業(yè)提供、共享地圖數(shù)據(jù)。
個人信息控制者委托第三方處理個人信息時,雙方應訂立協(xié)議確定責任和義務。個人信息控制者應對第三方進行安全審核,準確記錄和存儲由第三方處理的個人信息,并在公司內部建立標準化程序以實施授權、審核和補救措施。而第三方應根據(jù)協(xié)議處理數(shù)據(jù)。如果發(fā)生安全事件或未能履行合同,則第三方應立即通知個人信息控制者并采取相應的補救措施。
車輛與駕駛員之間的互動通常是通過駕駛員的智能移動設備實現(xiàn)的,而APP已成為收集和處理用戶個人信息的主要途徑。
例如,駕駛員必須下載APP才能執(zhí)行某些車輛功能。
盡管中國沒有關于通過APP收集數(shù)據(jù)的具體法規(guī),但2019年在全國范圍內開展了活動,打擊通過APP非法收集和使用個人信息的行為。因此,汽車服務提供商應重視隱私政策,并以簡單易懂的方式向個人信息主體充分披露安全措施和退出機制。提供用戶協(xié)議時,汽車服務提供商還應遵守上述要求。
在推薦用戶畫像并提供個性化產(chǎn)品和服務時,通常會涉及用戶隱私。在這方面,《規(guī)范》提出了許多限制,包括消除明確身份指向性、避免精確定位到特定個人。應顯著區(qū)分個性化展示的內容和非個性化展示的內容,并應建立自主控制機制,保障個人信息主體調控個性化展示相關性程度的能力。《規(guī)范》鼓勵汽車服務提供商在將來開發(fā)產(chǎn)品功能時,充分考慮用戶的隱私和自主權。
自動駕駛技術發(fā)展可能需要跨境合作。在開發(fā)此類技術時,跨國汽車公司可能需要從本地子公司獲取信息并收集數(shù)據(jù)。中國對個人信息和重要數(shù)據(jù)傳輸有嚴格的規(guī)定。
根據(jù)《數(shù)據(jù)安全管理辦法(征求意見稿)》,重要數(shù)據(jù)包括大面積人口數(shù)據(jù)和地理數(shù)據(jù),一旦泄露可能直接影響國家安全和公共安全等領域的安全。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內部管理信息、個人信息等。網(wǎng)絡運營者向境外提供重要數(shù)據(jù)前,應當評估可能帶來的安全風險,并報經(jīng)行業(yè)主管監(jiān)管部門同意;行業(yè)主管監(jiān)管部門不明確的,應經(jīng)省級網(wǎng)信部門批準。
外國自動駕駛汽車開發(fā)商將受中國其他數(shù)據(jù)法規(guī)的約束。
該文件還指出,網(wǎng)絡運營者向境外提供個人信息前,應向相關省級網(wǎng)信部門報告?zhèn)€人信息傳輸安全評估。如果數(shù)據(jù)控制者需要向境外提供個人信息,應報相關省級網(wǎng)信部門進行安全評估。
根據(jù)《中華人民共和國測繪法》,測繪是指對自然地理要素或者地表人工設施的形狀、大小、空間位置及其屬性等進行測定、采集、表述以及對獲取的數(shù)據(jù)、信息、成果進行處理和提供的活動。根據(jù)第22條規(guī)定,國家對從事測繪活動的單位實行測繪資質管理制度。
自動駕駛汽車地理信息來自電子地圖收集的可視化實時數(shù)據(jù)。如果自動駕駛技術開發(fā)公司決定開發(fā)自己的電子地圖,應獲得從事測繪活動的資格。如果汽車服務提供商與第三方地圖測繪服務提供商合作提供服務,必須確保第三方地圖測繪服務商具備相應資格,否則會產(chǎn)生風險。
此外,根據(jù)《關于加強自動駕駛地圖生產(chǎn)測試與應用管理的通知》,用于自動駕駛技術試驗、道路測試的地圖數(shù)據(jù),應當按照涉密測繪成果進行管理,并采取有效措施確保數(shù)據(jù)安全,未經(jīng)省級以上測繪地理信息行政主管部門批準,不得向外國的組織和個人以及在中國注冊的外商獨資和中外合資、合作企業(yè)提供、共享地圖數(shù)據(jù),不得在相關技術試驗或道路測試中允許超出范圍的人員接觸地圖數(shù)據(jù)。
還制定了外國投資者自動駕駛行業(yè)準入限制。《外商投資準入特別管理措施(負面清單)(2019年版)》列出了禁止外國投資的行業(yè),包括大地測量、導航電子地圖編制等。
總之,隨著自動駕駛汽車技術的迅速發(fā)展,汽車服務提供商面臨著巨大的挑戰(zhàn)。同時,法律監(jiān)督滯后。汽車服務商應注重法律法規(guī)的更新,滿足合規(guī)要求,參與數(shù)據(jù)標準、法律法規(guī)的制定,積極推動自主駕駛技術的健康發(fā)展。
https://www.automotiveworld.com/articles/autonomous-vehicle-developments-put-focus-on-data-compliance/
