近日,北京、广东、天津、四川等省(市)网信办陆续发布通知,要求本省汽车数据处理者开展2022年度汽车数据安全管理情况的年度报送工作(以下简称“汽车数据年报”)。此前,全国信息安全标准化技术委员会于10月19日正式发布GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》(以下简称《汽车数据要求》),这是继《汽车数据安全管理若干规定)(试行)》(以下简称《若干规定》)出台后,首次从国标层面针对汽车数据处理者如何落实《若干规定》提出了全方位的要求。
本文全方位解读《汽车数据要求》,以期在进一步明晰《若干规定》所提出的监管要求的同时,讨论汽车数据处理活动的合规实践方案,助力车企更好地理解监管关切,以顺利通过汽车数据年报工作。
一、定位:提供企业落实《若干规定》的良好实践和监管侧重参照
从效力性质上看,“GB/T”意味着《汽车数据要求》系推荐性国家标准,并不会直接对汽车数据处理者产生法律上的强制约束力。然而,以汽车数据场景下敏感个人信息处理活动为例,对比《若干规定》与《汽车数据要求》,可发现该国标所提出的绝大部分合规要求并非现有规则之外的创设,而是对《若干规定》等上位法的细化与解释:
表1:《汽车数据要求》与《若干规定》关于敏感个人信息处理规则对比表
《若干规定》自去年发布以来,业内对于其部分规则的理解引发了诸多讨论,例如,何谓“增强行车安全的目的”[1],如何理解“无法征得同意”与“向车外提供车外个人信息”以及“匿名化处理”[2]的顺序和逻辑,一直成为实务中困扰车企的难题。从上表可以看出,《汽车数据要求》针对由《若干规定》引发的实务难题一一展开回应。可见,尽管其作为推荐性国标并非强制性适用,但可为车企落实《若干规定》提供重要参考和指引。
此外,对比《汽车数据要求》与各省近期发布的汽车数据安全管理情况报告模板的结构(以第三节为例),也可发现二者存在高度相似性。
表2:《汽车数据要求》与汽车数据年报模板对比表
结合《汽车数据要求》第1条“本文件适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估”,车企对《汽车数据要求》的完整实施对于顺利通过汽车数据年报的重要性已不言自喻。
二、适用:科研与定型实验活动的例外
(一)
适用范围
根据《汽车数据要求》,其适用于汽车数据处理者的汽车数据处理活动。其中,汽车数据指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据;汽车数据处理者指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。
从数据类型上讲,并非车企在汽车设计、生产、销售、使用、运维等过程中产生的全部与汽车相关的数据均属于《汽车数据要求》所规制的“汽车数据”,而仅考虑其中涉及个人信息和重要数据的部分,这与《若干规定》采取了相同的规制逻辑。关于个人信息[3]及重要数据[4]的定义,亦沿用了《若干规定》的表述。车企在判断自身合规风险时,可优先识别所处理的数据是否含个人信息或重要数据,以快速判定自身是否需适用汽车数据层面的合规要求。
从适用主体上讲,《汽车数据要求》明确其适用于包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业在内的主体,此等表述与《若干规定》一致。不过,实践中的出行服务企业,往往基于特殊行业监管要求或安全保障需要,在特定情形下难以履行《若干规定》的要求。据此,《汽车数据要求》明确提出了多种豁免场景,例如出租汽车和公共汽车等营运车辆向监管机构传输数据,不受“座舱数据不得向车外提供”的限制;正在提供出行服务的公共汽车持续收集座舱数据,不受“驾驶人选择终止收集座舱数据后,应关闭相应收集部件”的限制,这也体现了《汽车数据要求》的实践贴合性。
(二)
排除范围
《汽车数据要求》第8条还特别明确了三种排除场景:
警车、消防车、救护车以及工程救险车等执行紧急任务时的汽车数据处理活动;
装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车数据处理活动;
测试车辆在封闭场地开展科研以及定型试验等活动时的汽车数据处理活动。
在《汽车数据要求》出台之前,实践中常见的场景是,车企因自身研发目的而需要处理汽车数据,但同时受限于《若干规定》中较为严格的合规限制,例如“处理敏感个人信息应基于直接服务于个人的目的”[5],进而导致车企研发场景下驾驶产生的座舱数据(可能含敏感个人信息),用于算法训练、产品提升等处理活动陷入困境(难以论证算法训练、产品提升等研发行为目的系“直接服务于个人”)。
《汽车数据要求》第8条所针对测试车辆及封闭场所等情形下的豁免,即为解决上述困境。在此等测试及封闭场所下,其所涉及的地域范围通常有限,所针对的测试人员通常也充分知情,故该场景下风险可控,且其他规范例如《智能网联汽车道路测试与示范应用管理规范(试行)》已就封闭测试区(场)环境下的汽车数据处理进行特殊规制,故不必再通过《汽车数据要求》进行规制。
考虑到《汽车数据要求》效力位阶仅为推荐性国标,而《若干规定》并未规定此等豁免情形,故其尚无法直接作为车企豁免《若干规定》合规要求的法律依据。然而,考虑到《汽车数据要求》已是充分结合实践的产物,其立法结构亦与《若干规定》及汽车数据年报高度相似,可以理解为监管部门对本次国标中上述豁免规定持认同态度,或至少意味着,测试及封闭场所下的研发活动的监管风险将弱于商用场景。
三、合规要求:座舱数据+车外数据全方位规制
(一)
通用处理规则
1. 如何告知个人信息处理规则
整体上,《汽车数据要求》与《若干规定》中关于告知要求保持一致,明确告知方式可包括用户手册单独章条提示、语音播放、车载显示面板单独弹窗提示、汽车使用相关应用程序交互、汽车销售协议单独章条提示、维修服务协议单独章条提示或出行服务应用程序交互等,并要求使用清晰易懂的文字向个人信息主体说明收集个人信息的具体情境和必要性。
不同之处在于,《若干规定》仅规定要求告知“保存地点、保存期限,或者确定保存地点、保存期限的规则”,实践中不少企业据此采用了“实现处理目的所必要的最小期限”等模糊表述,且大多数未告知在国内的具体存储地点。本次《汽车数据要求》则要求告知各类型个人信息的保存期限时应当具备且明确,例如30天或1年等;并要求所告知的保存地点应当精确到地级市,并且应当告知所有保存地点。
合规提示:考虑到告知文本具有外部性,通常会成为监管重点,建议车企应及时梳理自身数据资产,制定数据存储管理规范,并及时更新隐私政策、弹窗提示等告知文本,以应对上述要求。
2. 如何处理敏感个人信息
《汽车数据要求》针对敏感个人信息处理提出了一系列增强要求,不过,对比《汽车数据要求》与《若干规定》(如上表1),可以发现其中大部分规则均存在上位法依据,而并非创设新的规则。其中值得关注的要点包括:
针对敏感个人信息的同意期限,不应设置为“始终允许”或“永久”,并且明确提出“为语音识别功能需要处理语音数据,取得个人信息主体单独同意时,可为个人信息主体提供单次、七天、三个月和一年等选项”。
合规提示:目前,市面上连接智能车载系统的汽车大多均具备语音识别功能,根据前述规定,用户开启语音识别功能时应当同时向其提供明确的同意期限,而不能一经开启后即视为永久允许。当下,不少车企所提供的语音识别功能仍为一经开启后则始终保持开启状态,此规定或意味着大多数车企应据此针对自身语音识别界面设计及功能开展整改。
原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。此处关于处理敏感个人信息的目的限制,可能意味着即使在已取得个人同意的情况下,如何不能建立明确的必要性,也不得基于上述目的处理敏感个人信息。
合规提示:目前业内不少网络产品服务提供者,均通过隐私政策+弹窗等形式告知并获得用户授权同意,以收集其个人信息以用于提升产品功能、改善服务质量等与本次服务无直接关联的场景。根据上述要求,未来车企将无法将通过商用场景下所获取的敏感个人信息直接用于产品改善或研发目的。不过,《汽车数据要求》采用了“原则上”的表述,未来何种情形属于此处例外,比如是否可对敏感个人信息进行脱敏处理后再行利用,仍有待监管进一步明确。
处理生物识别特征信息应当具有增强行车安全的目的和充分的必要性,增强行车安全的目的包括身份验证以及驾驶人状态监测等。《若干规定》第九条就处理生物识别特征信息提出了“增强行车安全的目的”的要求,但业界对于何谓行车安全目的一直没有定论。
合规提示:本次《汽车数据要求》明确提出“行车安全目的”即指“身份验证”和“驾驶人状态监测”,或将意味着基于其他目的而处理生物识别特征信息将很难再被论证为基于“行车安全目的”,也将进一步限缩车企处理生物识别特征信息的场景。
3. 哪些数据需要在境内存储?
《汽车数据要求》第4.6条明确规定,涉及座舱数据、位置轨迹数据、车外视频和车外图像数据,以及涉及个人信息主体超过10万人的个人信息,应当依法在境内存储,此乃《汽车数据要求》所设定的“本地化”要求。此前《若干规定》第十一条仅要求构成重要数据的汽车数据应当在境内存储,确需向境外提供的,应当向网信办申报安全评估。
合规提示:针对车外视频、图像(如含人脸、车牌)以及超过10万人的个人信息,其本就构成重要数据;但对于座舱数据和位置轨迹数据,结合信安标委于10月8日发布的《汽车采集数据处理安全指南》(TC260-001)[6]要求,由于其通常具有较高敏感性,故亦被要求纳入本地化存储的范畴。值得注意,近期各省发布的汽车数据年报模板亦要求明确“汽车数据保存地点与期限情况”,并要求披露“向境外提供汽车数据情况”。据此,车企开展自身数据资产盘点及汽车数据年报梳理时,建议应充分考虑上述规定,避免触发监管红线。
除上述具体合规要求外,《汽车数据处理安全要求》亦在第4.7条明确了兜底式的原则要求。即处理重要数据,一般应当在完成脱敏处理后再进行其他处理;处理个人信息,一般应在匿名化处理或去标识化处理后再进行其他处理。
(二)
车外数据处理
近两年,由于车外拍摄功能引起的数据安全事件屡屡出现,比如某品牌车企曾被爆出拥有“车车互联”功能,导致陌生车主可以看到其他车端所拍摄的车外画面;前段时间部分车企作为试点,其360哨兵功能/环视等功能被监管部门要求关停,更是将“车外数据匿名化”推上了各大车企开展合规整改的日程。基于此,《汽车数据要求》在《若干规定》基础上针对车外数据处理提出了一系列细化要求。
1. 向车外提供车外数据需先匿名化
《若干规定》第八条对此问题的规定为“因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理”。而《汽车数据要求》第5条规定,“车外数据未完成匿名化处理前,不应向车外提供”,没有设置例外情形。
2. 如何开展车外数据匿名化
根据《汽车数据要求》,经过匿名化处理的视频以及图像应无法复原且无法关联个人信息主体,包括完整删除包含个人信息的图像或帧,或局部轮廓化处理个人信息,如擦除区域或替换为其他无法关联个人信息主体且不可复原的其他图像。
合规提示:中国汽车工业协会发布的团标T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》可作为车企执行具体技术的参考,如人脸区域替换可直接擦除原图上像素级别数据,确保擦除后的数据信息不可逆和不可复原(见下图):
图1:人脸脱敏示意图
3. 匿名过程应当限定处理目的
《汽车数据要求》第5 c)条对此问题进一步明确,“匿名化处理过程中,除分析确定包含人脸以及车牌等个人信息的区域,以及对这些区域进行删除或局部轮廓化处理外,不应进行人脸比对、步态分析以及语音识别等其他处理。”《汽车数据要求》的逻辑在于,此等车端处理行为仍属于个人信息处理活动,需要具备合法性基础(例如获得同意),而由于此等场景下不具有征得车外人员同意的可能性,故据此否认了车端处理的方式。
合规提示:《汽车采集数据处理安全指南》中曾提出需要通过远程信息服务平台实时执行匿名化处理操作的情形可作为车外个人信息对外提供的例外。我们理解,监管可能会容忍此方式的企业实践,前提是数据传输到平台后以匿名化处理作为唯一目的,保证数据安全且在匿名化处理后得到彻底删除。
(三)
座舱数据处理
根据《汽车数据处理安全要求》,座舱数据指通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,以及对其进行加工后产生的数据。结合《汽车采集数据处理安全指南》,座舱数据不包括对汽车采集数据处理产生的操控记录数据。
考虑到座舱数据较其他数据对主体权益的影响更大,且其构成敏感个人信息的可能性较大(可能包括驾驶员和乘员的人脸、声纹、指纹、心律等数据),因此,《汽车数据处理安全要求》第6条就座舱数据处理提出了增强的安全要求:
默认不收集,除非驾驶员通过实体按键或触摸按键等方式主动选择,否则汽车应默认设定为不收集座舱数据的状态;
原则上应车内处理,除非属于例外情形,可大致分为三类:1)取得个人信息主体同意后,为实现语音识别功能以实时判断汽车控制指令,且实现功能后立即删除原始数据及处理结果;2)取得个人信息主体同意后,为实现远程查看车内情况或云存储功能,向使用者提供数据,且应采取安全措施并确保除使用者之外的其他组织和个人无访问权限;3)基于执法、监管要求向有关公权力机关传输数据;
向用户提供便利的终止收集活动的方式,如实体按键、语音控制、触摸按键以及汽车使用相关应用程序等;在某些涉及公共利益的特定场景下,为保证行车安全及人身安全,可不关闭相关部件。
合规提示:针对第一种例外场景,即为实现语音识别功能并用于实时判断汽车控制指令,可在取得同意的前提下向车外提供座舱数据(语音数据)。根据该要求,也可从反面作进一步解释,即:除语音数据之外的其他任何座舱数据,原则上必须在车端完成处理,例如,为完成身份验证而收集的人脸或指纹信息。
针对第二种例外场景,此处服务功能的接受主体是“使用者”,主要是指“使用者”可能并非实际驾驶人员或乘坐人员(即“个人信息主体”)的情况下,通过APP等远程查看车内情况,或将座舱数据存储在云盘供自身使用等场景,要事先获得所涉个人信息主体同意。车企为“使用者”提供此等远程访问或云存储功能时,应采取充分的技术措施以确保除使用者外的其他个人或组织无权访问此等数据。
四、管理要求:构建汽车数据合规管理体系
除前述针对具体数据处理活动的合规要求外,《汽车数据要求》还提出了如下具体管理要求:
开展汽车数据风险评估。包括汽车数据识别、数据处理活动识别、汽车数据安全风险识别和风险分析及评价等。根据《若干规定》第十条,此等风险评估系专门针对重要数据,且应当向省级网信办和有关部门报送风险评估报告。
指定汽车数据安全管理负责人及用户权益事务联系人。此等角色设定系《若干规定》的法定要求,《汽车数据要求》进一步明确汽车数据安全管理负责人应由汽车数据处理者主要负责人或分管数据安全负责人担任,并熟悉我国数据安全和个人信息保护政策法规,且应具备安全管理工作经历;用户权益事务联系人则负责受理和处置个人信息保护方面的投诉和举报,其应具备个人信息保护和个人权益保护方面的专业知识,且应当对外告知准确有效的姓名和联系方式。
建立安全事件应急处置机制,每年至少开展一次应急演练。此前《若干规定》第十三条要求汽车数据处理者开展汽车数据年报时,应当报送汽车数据安全事件和处置情况,本次《汽车数据要求》针对处置机制建立、应急演练等作出明确要求,并提出宜通过汽车数据存证、汽车数据溯源等机制支撑安全事件发生后的取证分析。
10个工作日内处理完成汽车数据安全投诉并记录。《若干规定》第十七条明确汽车数据处理者需建立投诉渠道,并及时处理用户投诉举报,《汽车数据要求》则进一步明确“投诉渠道”即“电话或即时通信平台等方式”,“及时”即“在10个工作日内处理完成”。
汽车制造商应承担对第三方的管理义务。主要针对整车厂等汽车制造商,要求其全面掌握其生产的整车所含各零部件收集、传输数据情况,对零部件供应商处理汽车数据的行为并进行约束和监督的要求。此等第三方管理义务系《汽车数据要求》所新增,可以看出,目前监管部门仍倾向于将整车厂作为监管抓手。整车厂应尽快建立供应商管理制度,梳理第三方供应商的数据处理情况,并根据各方数据处理角色,签署数据处理协议,明晰各方之间的权利义务及法律责任,以应对监管。
五、建议:由表及里开展合规,助力汽车数据年报工作
目前,全国已超过12个省市[7]陆续发布汽车数据年报报送通知,结合前述分析,《汽车数据要求》本质上是监管部门结合《若干规定》及汽车行业实践的产物,车企关于《汽车数据要求》的合规遵循也会影响汽车数据年报的审查。据此,我们建议:
第一,针对隐私政策等告知文本、车端交互等同意界面设计等,由于其直接面向外部客户,所面临的投诉、举报风险以及监管压力较大,且此等文本、界面的整改难度通常相对可控,故建议优先对此部分参照《汽车数据要求》进行逐项整改,并及时更新相关文本。
第二,按业务场景开展数据资产梳理,采取基于数据分类分级的管控措施,并至少对个人信息(包括敏感个人信息、生物识别特征信息)、座舱数据、车外数据等《汽车数据要求》所明确的数据类型采取不同的管理要求和措施,例如,针对座舱数据,语音指令数据可在用于实现判断汽车控制指令时向车外提供,车内视频和图像数据以及其他车内音频数据仅可用于远程查看车内情况或云存储功能向“使用者”提供。
第三,车端功能全梳理,重点关注《汽车数据要求》所提出的合规要求的落地。例如,目前不少车企所提供的语音识别功能仍为一经开启后则始终保持开启状态,根据《汽车数据要求》,此等处理敏感个人信息的同意应当提供具体期限,而不应设置为“始终允许”。建议应及时对相关界面设计及功能进行整改,如尚处于设计阶段的汽车数据处理者,建议在设计之初即按照PbD的理念,以《若干规定》《汽车处理要求》等作为产品设计的指引和参照。
第四,针对汽车数据年报,考虑到《汽车数据要求》主体内容与《若干规定》及汽车数据年报模板结构的高度一致性,也反映了网信办近期关于汽车数据监管的侧重点。建议以《汽车数据要求》所明确的要点及颗粒度,作为车企填写汽车数据年报的指引和参照。如车企关于数据处理活动及业务功能的现状尚未达到《汽车数据要求》所要求的合规水准,可在“其他补充情况”[8]中明确未来将进一步整改和完善的计划,作出合规承诺等。
[注]