JT&N观点 | 汽车数据安全管理若干规定体现出的监管趋势与合规因应——以自动驾驶系统开发者为视角
1
自动驾驶汽车收集的数据范围非常广泛,涉及个人、社会和国家多方面的利益和安全,必须单独规制
国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局四部门于2021年3月12日发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《个信规定》”)中载明了39种常见类型app必要个人信息。《个信规定》中比如地图导航类、网络约车类、用车服务类等应用程序分类中涉及的个人信息内容可能会与自动驾驶汽车可以采集的数据相重合,但显然重合的仅仅是其中一小部分。如果仅按照《个信规定》从单一app的角度进行个人信息的范围界定,势必无法形成对汽车数据的整体性认识,纠缠于细节无法自洽(例如驾驶人与乘车人的个人信息收集冲突)甚至陷入相互冲突的境地(例如车内人与车外人的个人信息收集冲突)等等。
因此,征求意见稿中实际上是从数据整体(而非个人信息)的层级上,尝试将汽车数据进行统合,并在此基础上区分为个人信息和重要数据。
我们从行业发展趋势了解到,未来自动驾驶的数据一方面可能会涉及收集乘车人的一些个人信息,比如出行偏好;更多的会涉及车与车之间的交互、车与道路之间的交互,以及车与云之间的交互,这里面的涉及数据收集的内容必然远远超过个人信息的涵盖范围,也可能超出目前重要数据所明确罗列出的范围,更趋向于是将汽车视为一个非封闭系统而具有综合性质的范围。
因此,关于汽车数据安全的范围,需要单独出台规则予以明确,且数据定义应当结合行业实操予以不时更新。
2
自动驾驶系统所涉及领域的多面性及延展性,也决定了对于汽车数据的监管在未来将可能呈现更高层级立法、多部门联动的监管趋势
从上文提到的自动驾驶汽车的产业链可见,自动驾驶汽车功能的实现需要汽车制造商、零部件供应商、车载计算平台开发商、出行服务供应商等多方主体的参与,产业链的各个端口会对应到不同的领域,比如会涉及到第三方应用程序、会涉及到包括智能手机在内(如当前主流的苹果CarPLay、华为HiCar)的其他系统的接口提供者。
国家互联网信息办公室发布的征求意见稿目前是为了加强个人信息和重要数据的保护,以此目的来要求运营者应当落实网络安全等级保护制度,运营者收集个人信息应当取得被收集人的同意等,但是就网信办本身的行政职责和执法手段来说,显然是不足以涵盖对未来汽车行业发展的整体监管。
未来汽车行业全新跨领域产业链的发展要求监管部门在一个更高水平、更高层面上进行管理规制,这一方面意味着从立法上需要与《数据安全法》(二审稿)的数据、数据处理等基础术语形成一致(例如征求意见稿的提供只有一种场景,显然不能对应到《数据安全法》(二审稿));另一方面则需要建立“联席”监管部门,配合汽车应用场景、产业发展、技术发展等多维度落脚,“错落有致”的监管体系更应是汽车数据安全管理可能的发展趋势。
3
从当前合规角度出发,征求意见稿中规定的某些个人敏感信息、重要数据的范畴已经超出了《个人信息安全规范》规定的类别和规范方式,应予以关注
4
相关定义需要结合场景进行精确定义,比如“本次驾驶”
其一,关于 “本次驾驶”,也即对驾驶开始和驾驶结束的界定,征求意见稿仅对驾驶结束作出了模糊的规定,也即驾驶人离开驾驶席时驾驶结束。何时启动对驾驶开始的识别,以及何时视为驾驶结束,此问题的界定也关系着汽车数据处理活动的规范。只要是对驾驶有生活经验的人应该不难理解这其中的差别。尤其面对未来自动驾驶如果成为常态,那么,这个驾驶期间的界定又应以人还是应以车为主体做出界限判断可能又会成为一个争议焦点。
其二,若驾驶人同意运营者对本次驾驶进行数据收集,且车内除去驾驶人本人外还有同行者,那么驾驶人的同意授权是否同样适用于驾驶人之外的其他同车人也同样值得关注。
本文认为,应当依据信息系统访问控制的“验证”一般逻辑进行规定,但同时兼顾多主体的不同诉求。5
征求意见稿相关合规要求在自动驾驶现有技术路径下如何落地需要探索
高精度地图将成为自动驾驶、车路协同的基础设施。此外,智能硬件是自动驾驶汽车的眼睛,各种传感器是自动驾驶汽车感知层带来的主要市场增量。征求意见稿中第三条重要数据的范围中包括了“高于国家公开发布地图精度的测绘数据”以及“包含人脸、声音、车牌等的车外音视频数据”。这条规定实际上对基于地图的和基于传感器的自动驾驶实现路径都提出了要求。
一方面,对于地图的“非高精度”使用,自动驾驶系统开发者应当考虑如何去遵守相应的规定;另一方面,对于自动驾驶汽车行驶过程中,传感器构筑行驶环境时,如何通过匿名化和脱敏处理保护个人数据安全,同时平衡考量驾驶与环境安全也是自动驾驶系统开发者应当予以考虑的问题。6
国际相关法规的借鉴
2021年1月22日,首部关于车辆网络安全治理相关的国际法规-联合国第155号条例《关于批准车辆的网络安全和网络安全管理系统的统一规定》正式生效。该条例主要规定了CSMS的申请认证以及对应标准。CSMS(Cyber Security Management System)是指一种基于风险的系统方法,定义组织流程、责任和治理,以处理与网络威胁相关的车辆风险,并保护车辆免受网络攻击。条例要求汽车制造商提供CSMS认证,通过识别、评估车辆所面对的网络安全的风险,并加以分类、处理和持续监测。条例同时列举了针对车辆的威胁和车辆外部相应威胁及应对措施。值得国内立法者在汽车数据安全领域予以借鉴。
综上,什么样的自动驾驶技术研发阶段,对应着什么样的立法规范,反过来,什么样的立法规范,也会对自动驾驶技术研发产生深刻的影响。征求意见稿体现了当前我国自动驾驶技术发展的现状和法律问题,但其不同的立法回应将对未来的技术走向产生示范与指引,从自动驾驶系统开发者角度,一方面需要通过合规进行既有问题的发现与纠偏,同时也应允许在创新中进行“试错”,建立市场与监管的良性互动。
[1] 陆行之,翟炜,邵广雨:《【国金计算机】自动驾驶驶向何方?》,网址:https://mp.weixin.qq.com/s/7oTvBc9EvVsWTVYSLcmWTA。
作 者 简 介
赵晔
高级顾问南京办公室业务领域
知识产权
公司设立与合规
联系方式
zhaoye@jtnfa.com
特 别 声 明
以上文章仅代表作者本人观点,不代表北京金诚同达律师事务所或其律师出具的任何形式之法律意见或建议。