当前,车联网作为汽车、电子、信息通信和道路交通跨界融合的典型领域,相关技术及产业处于快速发展阶段。随着汽车网联化、智能化程度不断提高,在方便用户操作、提升驾驶体验给人们生活带来便利的同时,网络攻击、数据泄露等风险会日益加大,一旦车辆被远程控制或恶意攻击,将严重危害用户人身和财产安全,甚至威胁国家和社会安全。因此,国家正在加强对智能汽车数据安全监管、保障产业安全健康发展,坚持安全与发展并重,将加强安全管理和用户个人信息保护作为推动汽车产业高质量发展的重要保障。近年来,相关部门高度重视以智能汽车为主体的车联网安全监管,开展了一系列立法和执法工作。鉴于此,汽车行业的数据合规工作日显重要。本文分三个部分,第一部分梳理相关法律法规及规范性文件,第二部分和第三部分将从七个方面总结汽车行业2022年度数据合规重点内容。本篇作为文章第二部分,将从数据分类分级、数据收集和处理两个方面总结相关重点内容。
在车联网和智能网联汽车产业中,“数据”扮演了重要的角色,包括汽车设计、生产、销售、使用、运维等过程中的个人信息数据和重要数据。《汽车数据安全管理若干规定(试行)》(以下简称“《规定》”)针对汽车行业的特点对上位法做了细化规定,具体地规定了汽车行业“重要数据”的范围:重要数据是指⼀旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,并以列举方式将六类重要数据予以明确:(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(2)车辆流量、物流等反映经济运行情况的数据;(3)汽车充电网的运行数据;(4)包含人脸信息、车牌信息等的车外视频、图像数据;(5)涉及个人信息主体超过10万人的个人信息;(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。[1] 在汽车数据的分类方面,《车联网信息服务 数据安全技术要求》第5部分基于数据属性或特征更为具体地将车联网信息服务数据分为六大类,并在六大类中细分若干小类,包括:(1)基础属性类数据,是指车联网信息服务相关主体的基础属性数据,可细分为车辆基础属性数据、车联网移动终端应用软件基础属性数据和车联网服务平台基础数据等;(2)车辆工况类数据,是从车联网信息服务角度出发,与车辆实际运行特征或车辆实际系统操作有关的数据,包括但不限于动力系统、底盘系统、车身系统、舒适系统、电子电器等相关的运行状态、系统工作参数,以及整车控制器等相关的工况数据。车辆工况类数据从车辆运行特征的角度划分,分为车辆运行工况类数据和车辆静态工况类数据;(3)环境感知类数据,主要是与车辆所处外部环境相关,包括车联网信息服务中与车辆进行通信或交互的外部设备、终端、行人等相关的数据信息,包括但不局限于车-车通信中的车辆位置、行驶速度,红绿灯信息、道路基础设施相关的测速雷达、摄像头等采集的信息,道路行人的具体位置、行驶和运动的方向、行驶和运动状态、速度、距离、有无发生碰撞的可能相关的状态数据,以及针对电动汽车获取的充电桩等设备相关的数据;(4)车控类数据,是指车联网信息服务过程与对车辆操控直接相关的指令数据,主要包括两类:智能决策车控类数据、车辆远程操控类数据;(5)应用服务类数据,其与车联网各主体间的信息交互密切相关,是指除了基础属性类数据、车辆自身状态类数据、环境感知类数据、控制类数据和用户个人数据之外,与车联网信息服务相关的数据,包括但不限于信息娱乐类数据、交通安全管控类数据,以及涉车服务类数据等。 在汽车数据的分级方面,根据《车联网信息服务 数据安全技术要求》[2] 第6部分规定,依据车联网信息服务数据的安全目标、重要性以及在发生安全事件时可能造成的影响范围与严重程度不同,将与车联网信息服务相关的数据划分为不同的敏感度等级,并按照等级的不同实施相应的安全保护措施。该标准将车联网信息服务数据敏感性划分为一般数据、重要数据和敏感数据。一般数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的一般性、能公开获取或能在一定范围内公开的数据,这些数据出现泄露会对与车联网信息服务相关的汽车厂商、零部件供应商、4S店、维修厂、第三方供应商、车联网服务提供商、用户等造成一定影响,但影响范围与程度有限,不会对财产和人身安全构成危害。一般数据包括但不限于:(1)车辆的车牌号、车辆品牌、车辆型号;(2)移动终端应用软件的品牌、型号、操作系统类型等;(3)车联网服务平台主机或操作系统的品牌、型号等;(4)车内空调使用数据等车辆使用过程中的一般性动态数据;(5)车辆一定时间内的平均行驶速度、年行驶里程等;(6)道路情况、道路限速情况、信号灯分布情况、信号灯状态信息、路灯状态信息、道路拥堵情况、 交通事故情况等,以及车辆行驶周边可能公交车站点、地铁站点、酒店、商厦、公共设施等公共交通、公共服务的位置信息,以及其他自然环境相关的例如车辆出行时的天气情况等;(7)倒车辅助中倒车提示声音数据;(8)与车联网远程监控相关的一般读取类数据;(9)车联网信息服务的天气预报推送数据;(10)道路交通前方拥堵提醒、交通事故实时提醒数据等;(11)与车载娱乐系统等使用、操作等信息相关的记录相关的娱乐系统使用行为数据。重要数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的数据,通过这些数据能一定程度标识或识别到特定的车联网信息服务的主体、对象或其重要特征,且这些数据一旦泄露,会对与车联网信息服务相关的汽车厂商、零部件供应商、4S店、维修厂、第三方供应商、车联网服务提供商、用户造成较大影响,在一定范围内影响经济效益或造成财产损失,或会对人身和财产安全造成较大影响。
重要数据包括但不限于:(1)车辆的车架号、发动机号、标识等数据;(2)移动终端应用软件唯一标识码等;(3)车联网服务品台的主机及软件配置信息;(4)发动机转速、发动机输出频率、节气门开度及档位使用和变化情况等;(5)车辆在特定时间特定路线内的车辆停车次数或制动次数等;(6)与车-车通信场景相关的临近车辆的物理位置、经纬度、更新时间、行驶速度、前进方向、变道信息等数据信息,与车-行人通信场景下的,例如临近行人的位置数据、与临近行人的距离、行人的行驶速度和运动状态,行人的行驶方向、有无发生碰撞的可能等相关的数据;(7)智能辅助驾驶的车道保持应用中,车辆趋于偏离行驶车道时发送的方向盘抖动、仪表盘红灯或绿灯指示等提醒指令;(8)车辆远程开关门锁、远程开关空调、远程鸣笛和闪灯等远程启动或制动车辆等相关指令;(9)多媒体下载、网页购物浏览记录、收听的广播等;(10)车辆列队行驶中因前方车辆急停而采取的车辆碰撞预警数据;(11)与汽车驾驶行为密切相关的车辆行为数据。敏感数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的数据,通过这些数据能唯一标识或识别到特定的车联网信息服务主体、对象或其敏感特征,且这些数据与汽车厂商、零部件供应商、4S店、维修厂、第三方供应商、车联网服务提供商等企业利益密切相关,或直接关系到用户的个人隐私,这些数据一旦未经授权泄露、丢失、滥用、篡改或销毁,会造成严重后果。
敏感数据包括但不限于:(1)与车辆设计相关的核心数据;(2)移动终端应用软件的身份鉴权信息;(3)车联网平台网络及系统运行状态信息、网络及系统运行维护日志等信息;(4)基于某个或多个数据可唯一标识或识别出特定品牌车辆核心属性的动态数据;(5)基于某个或多个数据可唯一标识或识别出特定品牌车辆核心属性的静态工况类数据;(6)车-车通信场景中相邻车辆一定时间段内的出行路线、位置、时间、停车信息等,或驾驶员的身体健康状況等数据;(7)智能泊车系统中的自动泊车确认指令;(8)通过车联网服务平台实现对车队规模的多辆汽车进行远程操控相关的指令;(9)语音服务的通话和视频记录等;(10)道路交通车辆远程监控数据;(11)基于车辆出行时间、路线、位置,以及信息娱乐系统使用行为数据等分析出的车主某些个人喜好、行为习惯类数据,或基于车辆自身状态和环境感知数据等分析识别出的某些车辆核心参数数据。除了关系到用户个人隐私、公共安全等相关的数据必须划分为重要数据或敏感数据外,车联网服务相关企业可以根据自身业务情况自行划分数据敏感性等级。在涉及汽车的个人信息方面,《个人信息保护法》对于个人信息的定义,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[3] ;而敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息[4] 。具体到汽车数据里的个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息;敏感个人信息是指⼀旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。[5] 在涉及汽车的个人信息分类方面,《车联网信息服务 用户个人信息保护要求》[6] 第6部分对用户个人信息进行了分类:(1)用户身份证明类信息:(a)用户自然人身份和标识信息包括用户基本资料、用户身份证明、用户生理标识;(b)用户虚拟身份和鉴权信息:普通车联网信息服务身份标识和鉴权信息、车联网交易类信息服务身份标识和鉴权信息;(2)车联网信息服务内容类用户数据信息:(a)用户服务内容信息包括驾驶及行车安全服务类信息、生活服务信息、交通出行管理服务信息、涉车服务信息、行业营运服务信息;(b)用户资料信息包括联系人信息、用户私有资料数据、信息服务内容衍生信息;(3)用户服务相关信息:(a)用户服务使用信息包括业务订购与订阅关系、服务记录、日志、交易服务信息;(b)用户车辆基本标识信息包括车辆基本资料;c)用户设备、系统和平台信息。在涉及汽车的个人信息分级方面,国家综合考虑车联网信息服务中用户个人信息的敏感程度和在发生用户个人信息泄露或滥用等事件后对用户人身和财产等方面的危害程度进行敏感性分级。将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。用户个人敏感信息是指在车联网信息服务过程中相关的用户个人信息,一旦被泄露、被非法提供或被滥用后会给用户人身和财产带来严重危害,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。如在发生用户个人信息泄露事件后,将导致个人信息主体及个人信息的收集或使用组织丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。或者某些用户个人信息泄露后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险。或者某些个人信息在被超出授权合理界限(如变更处理目的、扩大处理范围等)滥用时,可能对个人信息主体权益带来重大风险。用户个人敏感信息一般包括:(1)用户身份证明;(2)用户生理标识;(3)车联网交易类信息服务身份标识和鉴权信息。用户个人重要信息是指在车联网信息服务过程中相关的用户个人信息,在被泄露、被非法提供或被滥用后会给用户人身和财产带来较大危害,甚至一定程度上影响个人名誉和身心健康。用户个人重要信息一般包括:(1)用户基本资料;(2)普通车联网信息服务身份标识和鉴权信息;(3)驾驶及行车安全服务信息;(4)生活服务信息;(5)交通出行管理服务信息;(6)涉车服务信息;(7)行业运营服务信息;(8)联系人信息;(9)用户私有资料数据;(10)信息服务内容衍生信息;(11)服务记录;(12)日志;(13)交易服务信息;(14)车辆基本资料;(15)设备、系统或平台信息。用户个人一般信息是指在车联网信息服务过程中相关的用户个人信息,在被泄露、被非法提供或被滥用后会给用户带来一定危害,但相对影响范围和程度有限,不会对财产和人身安全构成危害。用户个人一般信息一般包括:业务订购、订阅关系。
按照《数据安全法》第三条的规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。具体到汽车数据的处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期。[7] 在汽车数据处理的过程中,汽车数据处理者应当符合以下基本要求:(1)处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关;[8] (2)利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务;(3)应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。[9] 为了减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,促进汽车行业健康有序发展,国家倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精准范围适用”、“脱敏处理”等原则。[10] 企业在实践中应当根据数据安全保护等级的划分,分级建立数据处理合规措施。根据《车联网信息服务 数据安全技术要求》对车联网信息服务数据敏感性的分级标准,将车联网信息服务数据安全保护划分为两个等级:基本级和增强级。分级保护的基本原理是,在不同的处理环节,处理任何敏感等级数据都必须满足基本级安全保护要求;重要数据和敏感数据的处理则均需额外满足增强级安全保护要求。基本级规定了车联网信息服务数据安全保护的基本要求,包含了基本级应支持的安全能力集合,其保护的是车联网信息服务中敏感等级为一般的数据。基本级安全保护具体要求为:(1)在数据采集时,应根据车联网应用场景下的数据价值和合规需求来判断数据的敏感度,并根据数据敏感度进行分类分级;(2)在数据传输时,应能够检测到数据在传输过程中完整性受到破坏;(3)在数据存储时,应符合如下要求:(a)应支持实现数据存储的保密性;(b)应能够检测到数据在存储过程中完整性受到破坏,防止数据被篡改、删除和插入等操作。在数据完整性遭到破坏时,应提供授权用户可察觉的告警信息;(4)在数据使用时,应符合以下要求:(a)应对数据的使用进行授权和验证;(b)应确保数据使用的目的和范围符合《网络安全法》等国家相关法律法规的要求;(5)在数据共享时,应符合以下要求:(a)应进行数据共享前的网络安全能力评估,保证数据共享的安全实施;(b)应保证数据在不同数据设备之间共享不影响业务应用的连续性;(c)数据共享中应做好数据备份及恢复相关工作;(6)在数据销毁时,应符合以下要求:(a)应建立数据销毁策略和管理制度,明确销毀对象和流程;并建立数据销毁审批机制,设置销毁相关监督角色,监督操作过程;(b)能够提供手段协助清除因不同设备间共享、业务终止、自然灾害、合同终止等遗留的数据,对日志的留存期限应符合国家有关规定;(c)应提供手段清除数据的所有副本;(7)在数据备份与恢复时,应符合以下要求:(a)应提供本地数据备份与恢复功能,进行定期备份,或提供多副本备份机制;(b)备份数据应与原数据具有相同的访问控制权限和安全存储要求。而增强级规定了车联网信息服务数据安全保护应满足基本级要求以外,还应满足的增强的安全要求,包含了增强级应支持的安全能力集合,其保护的是车联网信息服务数据敏感性分级为重要数据或敏感数据的数据类型。增强级安全保护具体要求为:(1)在数据采集时,除满足一般数据安全保护要求之外,还应符合以下要求:(a)应对数据源的真实性进行验证;(b)在确认真实数据源的基础上,应对数据源进行身份验证;(2)在数据传输时,除满足一般数据安全保护要求之外,还应符合以下要求:(a)应采用技术措施保证数据传输的保密性(如鉴别信息(指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统的账号和密码、服务密码等)、车控类重要数据和敏感数据等);(b)应能够检测到数据在传输过程中完整性受到破坏,并能够在检测到完整性遭到破坏时采取必要的措施恢复或重新获取数据;(3)在数据存储时,除满足一般数据的安全保护要求之外,还应符合以下要求:(a)应支持采用密码技术支持的保密性保护机制对存储数据的保密性提供保护,针对敏感级数据应支持密钥管理机制对敏感数据进行加密;(b)应能够检测到数据在存储过程中完整性受到破坏,防止数据被篡改、删除和插入等操作。在数据完整性遭到破坏时,应提供授权用户可察觉的告警信息,并在检测到完整性错误时采取必要的恢复措施;(c)应设置数据访问规则,非授权用户不能访问和更改数据的访问权限;(4)在数据使用时,除了满足一般数据的安全保护要求之外,还应符合以下要求:(a)应对敏感数据的使用进行审计,并形成审计日志;(b)应支持敏感数据使用过程中的动态脱敏;(5)在数据共享时,应制定共享方案,并进行共享方案可行性评估与风险评估,确定制定数据共享风险控制措施;(6)在数据销毁时,除了满足一般数据的安全保护要求之外,还应符合以下要求:(a)应确保文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全消除;(b)应提供手段禁止被销毁数据的恢复;(7)在数据备份与恢复时,除了满足一般数据的安全保护要求之外,还应符合以下要求:(a)应提供身份认证等安全认证措施,确保仅授权用户知情或控制下才能执行本地和远程备份和恢复数据的操作;(b)备份数据应进行加密存储。关于个人信息的处理,按照《个人信息保护法》第四条的规定,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。处理个人信息时应遵循以下要求:(1)遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息[11] ;(2)具有明确、合理的目的要求,并应当与处理目的直接相关,采取对个人权益影响最小的方式,即应当限于实现处理目的的最小范围,不得过度收集个人信息[12] ;(3)遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围[13] ;(4)保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响[14] ;(5)对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全[15] ;(6)不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。[16] 与其他数据处理者一样,汽车数据处理者处理个人信息应遵循告知同意原则,告知的方式应当显著。具体告知方式包括:用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式。[17] 告知的内容包括:(1)处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;(2)收集各类个人信息的具体情境以及停止收集的方式和途径;(3)处理各类个人信息的目的、用途、方式;(4)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;(5)查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;(6)用户权益事务联系人的姓名和联系方式;(7)法律、行政法规规定的应当告知的其他事项。在落实用户同意的规定时,针对汽车行业在实际操作中确实存在个别无法完全符合“取得用户同意”的特殊情况,如在自动驾驶技术中,需要集成大量的摄像头、雷达、测速仪、导航等各类传感器,通过实时获取路况、环境、车辆及用户数据等数据来完成,在此过程中,无法避免地会收集到行人的个人信息,而要取得行人的明示同意在实践操作中是不可能完成的。为此,《规定》给出的解决方案是[18] :“因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等”。在处理敏感个人信息时,企业应当注意处理的目的应当具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等,而不能仅仅为了企业自身的利益。处理时,需要通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响,并且应当取得个人单独同意,给予个人自主设定同意期限的实现手段。另外,在保证行车安全的前提下,在处理敏感个人信息时,应当以适当方式提示收集状态,为个人终止收集提供便利。如果个人要求删除敏感个人信息时,汽车数据处理者应当在十个工作日内删除。如果需要收集指纹、声纹、人脸、心律等生物识别特征信息,需要特别注意,汽车数据处理者只有在具有增强行车安全的目的和充分的必要性前提下,方可收集。[1] 《汽车数据安全管理若干规定(试行)》第三条
[2] 《车联网信息服务数据安全技术要求》是工业和信息化部批准2020年8月批准的行业标准。
[3] 《个人信息保护法》第四条
[4] 《个人信息保护法》第二十八条
[5] 《汽车数据安全管理若干规定(试行)》第三条
[6] 《车联网信息服务用户个人信息保护要求》是工业和信息化部批准2020年8月批准的行业标准。
[7] 《汽车数据安全管理若干规定(试行)》第三条
[8] 《汽车数据安全管理若干规定(试行)》第四条
[9] 《汽车数据安全管理若干规定(试行)》第十七条
[10] 《汽车数据安全管理若干规定(试行)》第六条
[11] 《个人信息保护法》第五条
[12] 《个人信息保护法》第六条
[13]《个人信息保护法》第七条
[14]《个人信息保护法》第八条
[15]《个人信息保护法》第九条
[16] 《个人信息保护法》第十条
[17] 《汽车数据安全管理若干规定(试行)》第七条
[18] 《汽车数据安全管理若干规定(试行)》第八条
