5 月 12 日,国家互联网信息办公室(网信办)发布了《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》),并向社会公开征求意见。
意见稿明确了“运营者”在我国生产销售汽车过程中,收集、分析、存储个人信息数据的相关规定,其中“运营者”包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。
《规定》中提及了地图的测绘数据、汽车充电网的运行数据、道路上车辆类型、车辆流量等数据、包含人脸、声音、车牌等的车外音视频数据,以及数据境内存储等。
具体实施上,《规定》首先限制了个人数据的收集范围,提出了“最小保存期限原则”,运营者应当根据功能所需确定摄像头、雷达等的覆盖范围、分辨率,同时遵循默认不收集原则。
用户个人对数据收集的掌控度也提升了。《规定》提出,在处理个人信息时,运营者应当通过用户手册、车载显示面板或其他适当方式,告知负责人的联系方式以及收集数据的类型。此外,用户能够随时、方便地终止收集;并能查看、结构化查询被收集的敏感个人信息;驾驶人要求运营者删除时,运营者应当在2周内删除。
对于这份《征求意见稿》,特斯拉在5月12日当晚通过其官方认证微博称:“支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展”。
上汽集团旗下智能电动汽车品牌智己汽车则对外表示,已经制定出IDPP数据隐私及保密计划,通过一系列的高科技手段和监管机制,将用户数据隐私与安全置于运营首位。
汽车行业数据管理立法明确方向,将对智能汽车行业发展影响深远。
汽车数据安全开始受到重视
此次规定明确了运营者应当落实网络安全等级保护制度,汽车数据安全和网络安全问题开始受到重视。
可以预料的是,智能汽车的加速发展之下将面临一系列安全问题,汽车安全、车联网安全将成为网络安全的重要一环。根据大数据文摘报道,今年 4 月,在 CanSecWest 会议上,一个视频描述了一次针对特斯拉汽车的实验,研究人员针对特斯拉智能系统的漏洞,用无人机通过 Wi-Fi发动攻击。结果显示,无人机可以从 100 米的距离上成功控制特斯拉的信息娱乐系统,完成开车门、改变座位的位置、播放音乐、控制空气调节,并改变方向盘和加速模式等一系列动作。
在不久前的特斯拉上海车展事件中,特斯拉提供的30分钟数据遭到网络上对于数据真实性质疑。虽然特斯拉竭尽全力解释车辆数据的来源和不可修改,仍然没有取得舆论信服。
舆论压力下,特斯拉在5月初宣称计划在2021年于国内建成数据平台,以供车主查询车辆行驶数据,不过特斯拉暂未明确向车主开放的具体数据种类。
在特斯拉数据纷争的背景下,本次规定的很多细则有一定的实践性,法规不断完善的环境下,数据更加透明,关于车辆数据的争议也将有法可依。
软件定义汽车的大趋势下,汽车行业将成为下一个数据爆发式行业,汽车可获取的信息越来越多。车辆行驶产生的海量数据源,对智能汽车产业的发展非常有帮助。于企业而言,车辆数据的采集也能更好的帮助其完善产品与服务。
本次规定对智能汽车行业的健康发展有着重要意义,智能汽车的数据存储、数据安全和车联网网络安全有望进入更加规范的发展阶段。
作为新晋智能汽车品牌,智己汽车对《规定》的回应相比于其他车企显得更加准备充分,其在界面新闻采访中提出,在人工智能时代,数据是品牌和产品的核心驱动力,用户数据隐私和保护非常重要。在用户数据安全保护的物理层面,智己汽车将和包括阿里达摩院在内的企业合作,应用包括零知识证明、差分隐私、数据库防火墙技术在内的前沿科技,保护用户数据安全。
此外,智己汽车制定了用户数据隐私伦理的监管机制。比如,在经过消费者同意之后采集消费者数据信息;在消费者生物信息采集层面,智己汽车将杜绝采用人脸识别、声纹识别、指纹识别等涉及用户隐私的综合性生物信息,仅利用智能识别技术采集更加安全的单独特征信息。
智己汽车提出用户数据权益计划
除了数据安全问题,用户是否应该拥有对数据的绝对支配权也被提出来讨论。
智己汽车在对此次《规定》的回应中称,在他们看来,车企不仅应该做好用户数据安全与隐私的保护,同时也不应随便使用用户数据。用户行驶数据的所有权应归属于用户,数据的价值不应该被免费攫取。该企业正在推进其行业首创的CSOP用户数据权益计划,划出4.9%的股权收益回馈用户的数据贡献,以期对用户数据价值做出对等的认同。
近年来,随着数字经济的发展,数据越来越成为一项重要的生产要素。在今年初的 “头腾之争” 中。字节跳动方称:“用户对自己的数据具有绝对的、可完全控制的权利,应该远远高于平台的权利,用户数据不应该成为腾讯公司的 ‘私产’。”
过去,得益于国内 “宽松” 的数据监管政策,互联网平台才得以低成本地收集和使用用户数据,并赚取巨额利润。
如今,随着用户的数据意识觉醒,越来越多的人开始意识到,自己产生的数据正在为科技公司持续创造价值。
在数据监管这个问题上,海外发达国家的监管措施相对来说比国内成熟,近年来推出了一系列法律法规来规范互联网平台在数据收集、使用和保留等方面的行为。例如,欧盟在 2016 年通过了《通用数据保护条例》,之后又先后出台《数字服务法案》和《数字市场法案》。
我国也在近两年愈发重视个人信息保护,2020 年数据安全法、个人信息保护法、民法典等等修正案的草案,相继对数据安全和公民隐私加大监管力度,尤其对隐私侵犯、隐私泄露方面做了很大力度的处罚。
在这一趋势下,《汽车数据安全管理若干规定(征求意见稿)》的提出填补了汽车数据管理安全的法律空白,有利于在未来构建用户与汽车厂商之间的信任关系,对智能网联汽车发展有着深远意义。
