自动驾驶时代的数据合规硬挑战

来源:iLaw合规

文章摘要
一、汽车行业数据合规相关立法情况分析 汽车数据监管立法呈现多层次立法与法律密集出台的特点。首先,去年是汽车行业数据合规监管的强化年。

一、汽车行业数据合规相关立法情况分析
汽车数据监管立法呈现多层次立法与法律密集出台的特点。首先,去年是汽车行业数据合规监管的强化年。
在《数据安全法》《个人信息保护法》《网络安全法》相继生效的背景下,各行业领域中,汽车数据的监管又成为一大焦点。
汽车行业数据合规适用三部数据大法以及关基条例,整体立法框架基本形成。
其次,汽车行业数据合规监管部门立法(包括部门规章与部门规范)亦是处于密集出台状况,如实践中关注较多的《汽车数据安全管理若干规定(试行)》等;再次,汽车行业技术标准逐渐落地,如《TC260-001 汽车数据采集处理安全指南》《信息安全技术网联汽车采集数据的安全要求(草案)》等汽车数据相关国标制定,及一些行业标准制定正在稳步推进。最后,智能网联汽车行业发展战略规划属于国家重大的战略举措,在战略指引下,一方面要做好数据合规,另一方面要同时推进智能汽车产业发展。
二、汽车行业在立法执法方面的特点
一个行业是否成为数据监管和执法焦点,需要看该行业的数据安全、个人隐私保护问题是否突出。如果突出,该行业将会成为监管焦点或执法重点。而汽车行业正是焦点行业,近年来发生了许多热点执法事件。
一是某知名平台企业赴美上市,盖因包括出行数据在内的跨境数据问题引发网络安全审查。二是某知名新能源汽车企业发生交通事故之后,引发新闻广泛关注与消费者提起的民事诉讼。
汽车用户主张在自动驾驶行驶过程中形成数据的知情权,行车数据到底归用户所有还是车企所有,用户对在行驶过程中产生的数据,有无控制权或者获取权利?这是汽车数据相关民事诉讼的开端。
关于执法动向,需要注意2021年底,各地网信部门陆续开展了汽车数据年报工作。在北京、上海、天津、河北等地,相关工作逐渐落地,标志着汽车数据管理已经被纳入到常态化监管之中。据悉,汽车数据安全年报平台最近也会正式上线。
三、汽车行业数据分级分类要注意什么
数据分类分级保护是基本的数据治理与监管思路。落实到汽车行业,在先试先行的环境下,企业如何去分类分级是较为挑战的一个问题。
总体来说,企业做数据分类分级时,第一要遵循国家分类分级要求,将重要数据、国家核心数据识别出来,加以特别保护;
第二是遵循或参考行业要求,如工信部《工业数据分类分级指南(试行)》等;
第三是考虑每个企业不同的业务特点,需要兼顾商业上的实施便利性与实用性,也即数据分类分级要和企业的商业实践和业务模式相匹配。
在上述三个维度之中,应在关注国家分类分级要求与行业实践之外,重点关注企业本身商业模式,制定便利于企业管理的数据分类分级制度。
实践中,对于汽车行业可以有不同的分类分级思路,一是简单按照数据来源或者用途,比如,可以分成车外数据或是车内数据。
车外数据是指在行车过程中拍摄到的路况、路貌行车安全数据等;车内数据包括座舱数据、车辆运行数据,也可能包括车辆运行过程中的位置轨迹等。
二是按照工业数据分类方式,汽车生产企业可以考虑按照研发、生产、运维、管理和外部来源数据作为分类标准。
综上,汽车数据有多样的分类分级思路,但是最终一定要融合到公司的商业模式之中。
四、车企的数据流动问题
首先是数据是一种资源,在流动在利用过程里边才能产生价值,但是它流动和使用,必须受限于法律要求,比如说目的限定等。汽车行业要做到以下几点:
数据是一种资源,只有在流动和利用的过程中才能产生价值。但是,数据的流动和利用是受限于目的限定等法律要求的。
整车厂向保险公司、自动驾驶算法供应商提供数据,不属于整车厂履行合同必要,也不在获得用户同意的范围之内,属于额外利用数据的场景,所以同意便是此种场景中建立合法基础的必要路径。对于车企而言,需要做到以下几点:
1. 数据的流动要具有充分的透明性。实践中,车企在与保险公司、自动驾驶算法供应商开展合作时,要通过协议或是弹窗的方式充分告知用户合作目的与场景(目的、方式和范围)。「无知情,不同意」,充分告知是数据流动合规的前提。
2. 在充分告知的前提下,企业需要获得汽车数据权利人或汽车数据主体的同意,建立基本的法律基础。
3. 在数据流动过程中,车企和供应商之间要确定相互的法律身份,包括独立的数据处理者、共同的数据处理者,或是委托处理关系等。不同数据处理关系会带来不同的法律责任承担。在角色划分的前提下,车企和供应商需要签署数据处理协议,依托数据处理协议来定身份、定责任、定使用范围,定个体权利响应中的角色,这样就可以做到权责明确,合法使用数据。
五、车内数据和车外数据合规要点之不同
第一,对于车外数据,其特点在于很难获得同意。如车外拍摄到行人或车牌的图像,可能涉及个人信息,但是在该场景中几乎没有渠道获得个人同意。而对于车内数据,获得同意的渠道较为明确。
第二,车外数据不仅涉及个人权益,还会涉及重要数据或测绘数据,如地理地貌、车流车辆数据,以及敏感地域的相关数据。所以车外数据的复杂程度要比车内数据更高。
六、如果汽车商不进行数据本地存储,在进行云端传输时,需要关注哪些方面?
随着智能驾驶功能的发展,汽车无时无刻不在收集车内与车外数据,收集的数据量也越来越大。
此时,如果要完全贯彻车内处理原则,车企就需要加强车内本地计算能力,如通过增加芯片来做数据匿名化、个人轮廓化、车牌遮掩等措施后再将数据进行传输,这样成本会较高,且与未来云计算、边缘计算等技术发展相悖。
所以,未来的行业实践和行政监管一定是需要找到平衡点的。
一方面,数据可以出车是大势所趋,但是另一方面,数据出车的前提是保证安全和权益保护。比如说,车辆数据能传到车外,但是数据传到云端的过程是加密的,并且在传到云端的第一个场景就要做匿名化处理,最后实现将计算能力放到云端。
这不失为一种综合平衡的办法,既保证数据安全,同时又运用云计算、边缘计算等新技术,助力于车联网行业发展。
七、汽车行业和互联网行业哪个行业的监管压力更大?
汽车行业压力在今年会逐渐增加。对汽车行业而言,去年汽车数据立法压力较大,但实际的监管力度并不高。比如说,从各地年度报告来看,各地都落地了汽车数据年报制度,但是并没有真正进行行政处罚。
所以说,去年是监管摸底、探查汽车行业实际水位的一个过程。今年而言,网信办年报平台已经基本建立,监管也清楚了行业水位,所以今年可能是真正“打板子”的一年,实现车辆数据合规监管执法的落地。
而互联网行业恰恰相反。前两年,因为平台反垄断、反对资本无序扩张的大背景,监管重拳出手,处罚了很多互联网企业,而今年风向是促进平台企业的健康发展,所以对互联网企业是一种宽松的趋势。
无论监管是严是松,现在各个行业还是应当做到未雨绸缪,尽早建立合规体系,引导整个行业健康发展。
八、车企收集员工信息和银行合作办理商务卡用于差旅报销时,车企和银行是什么关系?
此时需要根据具体场景来判断。银行卡是直接发给个人,而非发给单位的,所以员工和发卡银行之间应当是数据主体和数据处理者的关系。而单位角色在于便利收集员工信息并提供给银行,由银行办理商务卡。
此时有两种可能,一种是银行委托单位去收集个人信息,在信息给到银行后,此信息与单位再无关系,此时是委托处理关系。
另一种是,单位除办银行卡外,还有其他目的,比如用于员工报销,则单位与银行构成各自独立的处理者。
九、车企可以收集 GPS 定位信息吗?如果只收集物流运输过程中的车辆定位信息可以吗?此类数据算不算重要数据?
第一, GPS 信息本身与汽车和驾驶员的位置轨迹是关联的,构成敏感个人信息,而敏感个人信息需要满足收集的必要性及知情同意。第二,收集车辆GPS信息可能构成测绘行为。在我国,对测绘行为的监管是非常严格的。车企收集此类信息,既要受个人信息合法性基础约束,可能同时要受测绘监管的法律约束。
另一个问题是,车企往往会与自动驾驶系统服务商,或者是地图供应商进行合作,进行测绘数据处理,此时测绘数据只能由图商控制,但车企往往有利用数据进行驾驶 AI 系统训练的需求,这之间存在一定矛盾。
上述为车企遇到的普遍问题。高精地图的生成与制作,以及提供电子地图导航服务,都需要企业有测绘资质。
但是,现在大部分车企均无测绘资质,所以与测绘相关的业务,一般是委托图商或牌照商来完成。
在此过程中,测绘数据本身需要图商来做收集、处理及保管。如果车企本身需要研发 AI 系统或开展智能驾驶系统训练,通常模式是车企把 AI 系统交给图商,由图商在封闭环境里跑系统,随后再将模型给到车企。
十、网约车在去年之前曾经出现恶性事件,之后各平台开始整改,包括在车内设置录音录像等,此时应怎样进行数据合规?
网约车的车内录音录像收集有些情况下是必要的。比如说,在乘客和网约车产生争端时,可以用作判定责任;在发生恶性事件时,也可以用做及时报警的安全功能支撑。但是从另一角度,录音录像本身是在收集乘客相貌、行为、举止等敏感信息,涉及对个人私密空间的侵犯。
故,判定是否应当让渡个人隐私或者个人信息权利,要从事件本身性质来考虑,设定某种阈值来控制何种情况下开启功能。比如说,在刑事案件中,录音录像功能可以打开;在正常行驶过程中,或者说司机和乘客有一般争端时,除非获得乘客的明示授权,可能都不足以具备收集个人信息的必要性。
综上,搜集录音录像信息一定要具有充分的必要性,除恶性案件、治安案件作为必要来触发录音录像功能之外,其他场景都应该以保护个人隐私为首要考量利益。
十一、跨国外资车企,研发中心遍布全球,研发数据进行共享应该注意哪些要点?
汽车数据监管落地后,无疑对国际车企冲击、影响最大。因为国际车企往往有统一的系统与研发体系,所以数据跨境是一个非常大的挑战。
在这样的大环境中,国际车企第一步要理清跨境数据的类别,明确哪些数据不能跨境,哪些数据在遵循要求后可以跨境。
第二步要理清数据处理场景,来设定数据本地化方案。对国际车企而言,数据本地化落地可能是不可避免的,区别是数据多和少的问题,尤其是构成重要数据的汽车数据应当优先考虑本地存储。
第三步,在本地化过程中,本地化IT设施和总部之间可以建立起类似认证或 SCC 之类的常态化数据合规跨境机制。
十二、工业数据分类分级指南能不能在智能汽车领域适用,如果可以,它又和汽车数据管理规定里存在什么关系?
首先是可以适用的,但是直接引用会存在一定弊端,因为工业数据分类分级指南是从研发链条的角度设计的,所以并非适用于所有车企,如有些 OEM 厂商在中国没有研发与 4S 店,只有生产环节。
所以车企可以参照工业数据分类分级指南来设定符合企业本身的商业运营架构的分类分级标准,而不一定要照搬指南。
十三、对于汽车厂家将安全隐私纳入到品牌建设进行差异化竞争,有无好的建议?
将安全隐私纳入到品牌建设进行差异化竞争的思路非常好,因为品牌管理和建设是公司核心价值的体现。对于监管重视、消费者重视等特别重要的事情,一定要纳入品牌管理。把隐私安全纳入汽车企业品牌管理,正逢其时。在传统油车向自动驾驶的转变过程中,网络安全与数据隐私保护成为公众关注重点,车企应该通过隐私保护来塑造品牌和传递价值。
如何去实现目标?



  1. 要把隐私纳入到品牌管理
    公司一定要有隐私保护文化。如果公司本身不在意隐私保护,传播隐私文化是不可能的。只有在企业内部建立起系统的隐私保护实践,才能再进一步树立行业标杆。

  2. 要把隐私保护通过某种方式传递到社会和消费者
    让隐私保护「看得见」。车企应当把隐私保护成果与企业对消费者的承诺通过可视化方式传递出去,如隐私声明或年度白皮书。
    3. 企业应当将隐私设计理念嵌入到产品设计
    从设计之初便将隐私给予用户。通过上述操作一定可以将隐私保护转化为品牌的宣传利器。
    十四、汽车数据合规自查主要是查哪些方面?
    汽车企业进行自查需要参见各地网信办发布的汽车数据年报相关要求,包括汽车数据管理机制、管理制度、重要数据清单、个人数据清单、网络安全事件的监控评估等。
    十五、欧洲车企应当如何同时满足 GDPR 欧洲和中国的数据合规要求,有无建议?
    欧洲和中国的数据合规要求存在差异性,并且差异明显。
    欧洲车企如果在欧洲总部做过 GDPR 合规,是不能在中国直接照搬的,而是应当进行 GDPR 合规在中国的移植以实现本地化。
    本地化过程中需要关注如下问题,第一是国内制度的特殊性,如重要数据、等保制度只有中国规定。
    第二是 GDPR 与中国法律的差异之处,如 GDPR 合法基础有「合法利益」,而中国法律没有规定,所以需要重新寻找合法基础。
    对于欧盟标准高于中国的合规问题,直接适用是没有问题的;但是企业不可全部照搬 GDPR 体系进行合规,应当将中国法律作为基准来实施本地化流程。
    十六、在汽车项目里边,技术团队和律师怎么合作?
    以汽车行业个人信息保护影响评估( PIA )项目为例:
    1. 在技术层面,需要考虑数据风险发生的可能性,如数据泄露、数据滥用、技术漏洞等问题的发生概率有多高。
    2. 在法律层面,需要考虑一旦出现安全事件,对个体权益造成的影响将会有多大。
    综上,技术团队和律师会从技术安全性和法律权益两方面进行分析。技术层面要判断数据安全性和安全事件发生的概率。
    法律层面要考虑法律基础是否完备,以及发生事件之后对个体权益造成的影响,综合起来便形成 PIA 报告。
    十七、自动驾驶行业数据合规的未来展望
    第一,虽然目前汽车行业数据合规压力较大,但是智能汽车行业技术发展空间广阔。政府在制定产业政策时,会考虑数据安全和产业发展的平衡。
    可以预见,未来会在汽车行业出现利好政策,大家对汽车自动驾驶行业发展可以不用悲观。
    第二,在经历立法与监管调研之后,今年的汽车行业数据合规会落到实处,监管机构将作出落地执法行为。相比于去年的警示性作用,今年将把监管变为现实,是汽车行业数据合规的关键之年。

技术驱动法律,专业成就未来