重要汽車數據應依法境內存儲 管理新規恰逢其時
5月12日,國家互聯網信息辦公室發佈《汽車數據安全管理若干規定(徵求意見稿)》(以下簡稱“意見稿”)。意見稿中明確了汽車數據類別,以及運營者在處理個人信息和重要數據過程中需要堅持的主要原則。
《證券日報》記者注意到,汽車網絡信息安全,涉及的場景非常多,例如輔助駕駛系統、車內DMS攝像頭、車機系統的語音信息收集等,現階段智能網聯汽車中的多數功能,都涉及調用部分用戶信息以及車輛產生的重要數據。
此次意見稿指出,運營者處理重要數據,應當提前向省級網信部門和有關部門報告數據類型、規模、範圍、保存地點以及是否向第三方提供等。意見稿明確,運營者收集個人信息應當取得被收集人同意,並應當進行匿名化或脫敏處理,包括刪除含有能夠識別自然人的畫面,或對這些畫面中的人臉等進行局部輪廓化處理等。
尤其需要注意的是,意見稿要求,個人信息或者重要數據應當依法在境內存儲。確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
對此,蔚來聯合創始人秦力洪在接受《證券日報》記者採訪時表示,此前智能技術的隱私保護只能取決於廠家的策略和道德感。國外在個人隱私保護和數據安全法規方面比較完善,例如歐洲的GDPR法案(《通用數據保護條例》),就要求在歐洲產生的一切個人數據不允許帶出歐洲。
在秦力洪看來,現在每一輛高度自動駕駛的車,實際上就是在實時繪製地圖。車輛是一個智能設備,手機可以管好,汽車也可以管好。
汽車數據安全管理新規 恰逢其時
據瞭解,意見稿的制定旨在加強個人信息和重要數據保護,規範汽車數據處理活動,維護國家安全和公共利益。
意見稿明確,運營者指汽車設計、製造、服務企業或者機構,包括汽車製造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等;個人信息包括車主、駕駛人、乘車人、行人等的個人信息。運營者收集個人信息應當取得被徵集人同意,法律法規規定不需取得個人同意的除外。
“運營者應當落實網絡安全等級保護制度,加強個人信息和重要數據保護,依法履行網絡安全義務。”意見稿要求,運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式,告知負責處理用戶權益責任人的有效聯繫方式,以及收集數據的類型,包括車輛位置、生物特徵、駕駛習慣、音視頻等,並提供收集各類型數據的目的、用途。
此外,意見稿明確,若運營者違反本規定的,由省級以上網信部門和有關部門依照《中華人民共和國網絡安全法》等法律法規的有關規定進行處罰。
“意見稿的提出可謂恰逢其時,填補了汽車信息安全的立法空白。”新浪財經專欄作家林示認爲,個人信息以及產生的數據,對用戶個人而言或許意義不大,但這些數據對運營方而言,是提升產品智能化水平的寶貴財富,也是實現諸多智能功能的數據支撐。通過立法,可以合理規範不同參與者對用戶信息的使用方式,構建用戶與運營方之間的信任關係,對實現資源合理配置、共同促進智能網聯汽車發展有着深遠意義。
特斯拉 第一時間表示支持並響應
不久前,特斯拉利用車內攝像頭記錄和傳輸乘客視頻影像,從而開發其自動駕駛技術的做法,就曾引發消費者對隱私保護的擔憂。
記者注意到,5月12日,在上述意見稿發佈後,特斯拉官方微博即轉發“國家網信辦就汽車數據安全管理徵求意見”的消息稱:我們支持並響應行業發展進一步走向規範,共同助力技術創新。歡迎大家積極向有關部門建言獻策,推動汽車行業健康有序發展。
衆所周知,今年以來,特斯拉在中國市場上儘管銷量可觀,但一系列安全事故引發的糾紛卻接連不斷。意見稿相關條款中有關數據安全管理的規定,正是目前特斯拉所面臨的且迫切需要解決的問題。
業內普遍認爲,意見稿中提到的兩週的敏感個人信息刪除週期,將是汽車設計、製造、服務企業或者機構,以及汽車製造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司的共同挑戰,如果無法實現或將面臨訴訟風險。
談及上述意見稿可能會對汽車行業產生的影響,有汽車電子架構工程師表示,“車內處理”“匿名化”等原則會對車載芯片的算力提出更高要求,更多的數據處理要在車輛端而非雲端完成。結合汽車業面臨的“芯片荒”問題,合規要求或在短期內進一步提升整個行業對高質量車載芯片的需求。
此外,對於個人信息與重要數據的跨境傳輸,要求“以明文、可讀方式予以展示”。“這可能會引起很多跨國車企關於商業秘密、數據安全的重視,進而改變跨國車企的組織架構與IT架構。”上述工程師對記者表示。(證券日報 龔夢澤)