智能汽车可以收集那些数据?这次终于要明确了
每经记者 黄辛旭 每经编辑 孙磊 卢祥勇
5月12日,国家互联网信息办公室发布通知,就《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》)公开征求意见。《规定》对智能网联汽车产生的数据进行了界定,并明确了责任主体、数据范围、收集方式、隐私保护、数据出境等问题。
此前,已有相关法律可以适用于车联网领域。而此次是国内首次针对“汽车数据安全”来制定专项法规。有分析认为,这体现了在“软件定义汽车”的时代背景下,中国对智能网联汽车的针对性和实时性管理。
“近期特斯拉的数据安全问题引起了业内广泛关注,该《规定》使得汽车数据的使用进入到一个规范化的阶段。首先可以防止重要信息往国外传输,保证国家网络数据安全。其次,《规定》对个人数据的滥用问题也进行了保护。这两个领域的数据安全是客观存在又很紧迫的问题,总体来说是很有意义的事情。”全国乘用车市场信息联席会秘书长崔东树告诉《每日经济新闻》记者。
收集信息应取得被收集人同意
根据《规定》,个人信息包括车主、驾驶人、乘车人等个人信息,以及能够推断个人身份、描述个人行为等各种信息。而重要数据则包括军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据等六大数据。
《规定》多次强调了用户在数据安全方面的权利。比如,运营者收集个人信息应当取得被收集人同意;驾驶人要求运营者删除时,运营者应当在2周内删除等。
“用户对于智能汽车收集信息的行为大多数时候是默认同意的,这好像也是大家习以为常的事情。但这并不安全,侵犯了用户的个人隐私。比如特斯拉之前公开发布了一些驾驶者的个人信息以展示驾驶者在车辆使用过程中的状态和行为,这其实都是违法的。”崔东树对记者说。
崔东树认为,人脸钥匙、Face ID、驾驶员疲劳监测等技术已经在汽车上实现落地应用。这些技术在一定程度上提升了用户的使用体验和驾驶安全,但同时用户的数据安全问题也受到挑战。
对此,智己汽车联席CEO刘涛告诉记者,“从最初我们就清晰知道数据是具有两面性的。为了保护消费者的隐私,我们承诺决不采用Face ID的技术,只需抽取用户眉毛、眼皮等面部核心信息。所以哪怕黑客来反向攻击,也绝不能在系统中找到一张完整的‘face’。”
不过,在崔东树看来,运营者称收集数据是为了给用户提供进一步的服务,但在某些时候这些服务可能并不是用户真正需要的。
一位不愿具名的数据安全专家则认为:“在智能化、网联化的大背景下,我们相信用户需要的是一辆智能汽车,而不是一辆传统的‘桑塔纳’。不过,数据安全确实是所有业务的基础。在车联网技术发展的过程中,企业需要收集大量数据,因此会面临很多网络安全的挑战,企业不能因为行业的发展去牺牲某个用户的利益。”
数据应当依法在境内存储
除了信息收集之外,智能汽车在使用过程中产生的个人信息和重要数据应该如何监管、谁有权利查看和公布,也是亟待规范的问题。
在此之前,我国对智能网联汽车数据上传和事故后车企公布数据流程规范等均没有相关法律规定。以特斯拉为例,其在近期提供了上海车展维权当事人张女士的车辆在发生事故前1分钟的行车数据,引起了业内关于此举是否侵犯个人隐私权和消费者权益的讨论。
有专家认为,相关主管部门可以把转向、制动、加速等重要的车辆数据范围进行划定,放入车辆行车记录仪内,并进一步明确个人、主机厂和国家相关部门的查看权限。
此次《规定》在第十一条、第十四条、第十七条等多个条款中也提到了数据的监管和查看权利的问题。比如,“处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。”
据记者了解,在技术层面对于数据的安全保护和安全查看并不难实现。“很多企业内部对于数据采集、存储、计算、查看、读取等行为都定义了安全红线,可以用技术保障数据安全,但企业应该明白这些数据不完全属于自己。”上述数据安全专家表示。
值得注意的是,《规定》还提到了汽车数据的境外提供和存储问题。如第十二条提到:“个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。”这也意味着,特斯拉等企业在中国产生的车辆数据如果要传回美国的服务器,必须经过安全评估。如果企业违规,可能会被重罚。
“整体来看,《规定》有利于车联网行业长期的健康有序发展,减少行业乱象。与此同时,不少企业的运营成本可能会有所提升,但这种成本提升是具有价值的,也是十分必要的。”上述数据安全专家说。
记者| 黄辛旭编辑| 孙磊 卢祥勇 杜恒峰
校对| 何小桃