5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》(以下简称“意见稿”)。意见稿中明确了汽车数据类别,以及运营者在处理个人信息和重要数据过程中需要坚持的主要原则。
《证券日报》记者注意到,汽车网络信息安全,涉及的场景非常多,例如辅助驾驶系统、车内DMS摄像头、车机系统的语音信息收集等,现阶段智能网联汽车中的多数功能,都涉及调用部分用户信息以及车辆产生的重要数据。
此次意见稿指出,运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点以及是否向第三方提供等。意见稿明确,运营者收集个人信息应当取得被收集人同意,并应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
尤其需要注意的是,意见稿要求,个人信息或者重要数据应当依法在境内存储。确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
对此,蔚来联合创始人秦力洪在接受《证券日报》记者采访时表示,此前智能技术的隐私保护只能取决于厂家的策略和道德感。国外在个人隐私保护和数据安全法规方面比较完善,例如欧洲的GDPR法案(《通用数据保护条例》),就要求在欧洲产生的一切个人数据不允许带出欧洲。
在秦力洪看来,现在每一辆高度自动驾驶的车,实际上就是在实时绘制地图。车辆是一个智能设备,手机可以管好,汽车也可以管好。
汽车数据安全管理新规
恰逢其时
据了解,意见稿的制定旨在加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。
意见稿明确,运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等;个人信息包括车主、驾驶人、乘车人、行人等的个人信息。运营者收集个人信息应当取得被征集人同意,法律法规规定不需取得个人同意的除外。
“运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。”意见稿要求,运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供收集各类型数据的目的、用途。
此外,意见稿明确,若运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。
“意见稿的提出可谓恰逢其时,填补了汽车信息安全的立法空白。”新浪财经专栏作家林示认为,个人信息以及产生的数据,对用户个人而言或许意义不大,但这些数据对运营方而言,是提升产品智能化水平的宝贵财富,也是实现诸多智能功能的数据支撑。通过立法,可以合理规范不同参与者对用户信息的使用方式,构建用户与运营方之间的信任关系,对实现资源合理配置、共同促进智能网联汽车发展有着深远意义。
特斯拉
第一时间表示支持并响应
不久前,特斯拉利用车内摄像头记录和传输乘客视频影像,从而开发其自动驾驶技术的做法,就曾引发消费者对隐私保护的担忧。
记者注意到,5月12日,在上述意见稿发布后,特斯拉官方微博即转发“国家网信办就汽车数据安全管理征求意见”的消息称:我们支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展。
众所周知,今年以来,特斯拉在中国市场上尽管销量可观,但一系列安全事故引发的纠纷却接连不断。意见稿相关条款中有关数据安全管理的规定,正是目前特斯拉所面临的且迫切需要解决的问题。
业内普遍认为,意见稿中提到的两周的敏感个人信息删除周期,将是汽车设计、制造、服务企业或者机构,以及汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司的共同挑战,如果无法实现或将面临诉讼风险。
谈及上述意见稿可能会对汽车行业产生的影响,有汽车电子架构工程师表示,“车内处理”“匿名化”等原则会对车载芯片的算力提出更高要求,更多的数据处理要在车辆端而非云端完成。结合汽车业面临的“芯片荒”问题,合规要求或在短期内进一步提升整个行业对高质量车载芯片的需求。
此外,对于个人信息与重要数据的跨境传输,要求“以明文、可读方式予以展示”。“这可能会引起很多跨国车企关于商业秘密、数据安全的重视,进而改变跨国车企的组织架构与IT架构。”上述工程师对记者表示。(龚梦泽)