一天收集10TB數(shù)據(jù)？你的車“看透”你了…

“車輛行駛過程中產(chǎn)生的行蹤軌跡、音頻、視頻等數(shù)據(jù)，在被車企采集分析時，有沒有進行匿名化、去標(biāo)識化等脫敏處理？”

“如果車輛生產(chǎn)國在境外，日常采集的數(shù)據(jù)是否在境內(nèi)存儲？如果因業(yè)務(wù)需要確需向境外提供，有沒有通過有關(guān)部門的安全評估？”

近年來，智能網(wǎng)聯(lián)汽車正越來越獲得市場認可，但一些安全問題也引發(fā)了用戶和行業(yè)的廣泛關(guān)注。

8月21日，國家網(wǎng)信辦、國家發(fā)改委、工信部、公安部、交通運輸部五部門公布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱《規(guī)定》），自2021年10月1日起施行。什么是汽車數(shù)據(jù)？什么是汽車數(shù)據(jù)處理活動？汽車數(shù)據(jù)處理者開展汽車數(shù)據(jù)處理活動應(yīng)當(dāng)符合哪些一般要求？為了規(guī)范重要數(shù)據(jù)處理活動，《規(guī)定》明確了哪些具體要求？小編為您詳細解讀。

智能網(wǎng)聯(lián)汽車持續(xù)高速增長，加強數(shù)據(jù)安全管理迫在眉睫

三聯(lián)屏智能座艙、跨視覺融合自動駕駛算法、5G高速網(wǎng)絡(luò)、整車智能生態(tài)解決方案……走入汽車賣場，類似的功能介紹不勝枚舉，智能網(wǎng)聯(lián)汽車顯然已經(jīng)成為新車的最大賣點。

今年7月發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展報告（2021）》顯示，2020年，我國智能網(wǎng)聯(lián)汽車銷量為303.2萬輛，同比增長107%，滲透率保持在15%左右。2021年第一季度，L2級半自動駕駛智能網(wǎng)聯(lián)汽車的市場滲透率達到17.8%，新能源車中的L2級智能網(wǎng)聯(lián)汽車市場滲透率達30.9%。預(yù)計到2025年，我國L2、L3級（在特定環(huán)境中實現(xiàn)部分自動駕駛的操作）智能網(wǎng)聯(lián)汽車銷量占全部汽車銷量的50%。

那么，一輛智能網(wǎng)聯(lián)汽車每天平均收集的數(shù)據(jù)量有多大？

國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬在2021中國汽車論壇“智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展與安全分論壇”上表示，在調(diào)研過程中獲知，一輛智能網(wǎng)聯(lián)汽車每天至少收集10TB的數(shù)據(jù)。這些數(shù)據(jù)不僅包含駕乘人員的面部表情、動作、目光、聲音數(shù)據(jù)，還包括車輛地理位置、車內(nèi)及車外環(huán)境數(shù)據(jù)、車聯(lián)網(wǎng)使用數(shù)據(jù)等。

“汽車產(chǎn)業(yè)涉及國家經(jīng)濟、裝備制造、金融、交通運輸、生產(chǎn)生活等諸多領(lǐng)域，汽車數(shù)據(jù)處理能力日益增強、汽車數(shù)據(jù)規(guī)模龐大，同時暴露出的汽車數(shù)據(jù)安全問題和風(fēng)險隱患也日益突出。”國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責(zé)人介紹說，暴露出的問題主要集中在汽車數(shù)據(jù)處理者超越實際需要，過度收集重要數(shù)據(jù)；未經(jīng)用戶同意，違規(guī)處理個人信息，特別是敏感個人信息；未經(jīng)安全評估，違規(guī)出境重要數(shù)據(jù)等。因此，亟需加強汽車數(shù)據(jù)安全管理，防范化解上述安全問題和風(fēng)險隱患。

此外，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》對數(shù)據(jù)安全、個人信息保護作了基本規(guī)定。在汽車數(shù)據(jù)安全管理領(lǐng)域出臺有針對性的規(guī)章制度，明確汽車數(shù)據(jù)處理者的責(zé)任和義務(wù)，規(guī)范汽車數(shù)據(jù)處理活動，有利于促進汽車數(shù)據(jù)依法合理有效利用和汽車行業(yè)健康有序發(fā)展。

《規(guī)定》明確汽車數(shù)據(jù)中的個人信息、敏感個人信息、重要數(shù)據(jù)的含義和類型

小長假過后，一些汽車品牌會發(fā)布旗下智能網(wǎng)聯(lián)車型的行駛軌跡、最熱門出行景區(qū)、最佳熱播歌曲等數(shù)據(jù)。每年，一些地圖提供商還會發(fā)布最擁堵城市排名、分品牌駕駛行為排名等數(shù)據(jù)。

不少消費者會問，汽車能夠收集駕乘者哪些數(shù)據(jù)？如果在數(shù)據(jù)采集、使用等環(huán)節(jié)缺乏有效管理，車企隨意采集車內(nèi)駕乘人員語音圖像、車輛位置及周邊環(huán)境等信息，會不會造成個人信息泄露、濫用，甚至危及公共安全、國家安全？《規(guī)定》對汽車數(shù)據(jù)中的個人信息、敏感個人信息、重要數(shù)據(jù)的含義和類型進行了明確界定。

《規(guī)定》首先明確，汽車數(shù)據(jù)是指汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)；汽車數(shù)據(jù)處理，包括汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等，涉及汽車數(shù)據(jù)處理的全生命周期。

《規(guī)定》進一步明確了汽車數(shù)據(jù)中的個人信息、敏感個人信息、重要數(shù)據(jù)以及汽車數(shù)據(jù)處理者的含義和類型。

——個人信息，是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛?cè)�、乘車人、車外人員等有關(guān)的各種信息，不包括匿名化處理后的信息。

——敏感個人信息，是指一旦泄露或者非法使用，可能導(dǎo)致車主、駕駛?cè)�、乘車人、車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

——重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)，包括：

（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；

（二）車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；

（三）汽車充電網(wǎng)的運行數(shù)據(jù)；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網(wǎng)信部門和國務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P(guān)部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。

《規(guī)定》提出，汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中應(yīng)堅持如下原則，包括堅持安全和發(fā)展并重，倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持“車內(nèi)處理” “默認不收集” “精度范圍適用” “脫敏處理”等原則，減少對汽車數(shù)據(jù)的無序收集和違規(guī)濫用，鼓勵汽車數(shù)據(jù)依法合理有效利用，促進汽車行業(yè)健康有序發(fā)展。

“車內(nèi)處理原則，就是要求除非確有必要不向車外提供；默認不收集原則，即除非駕駛?cè)俗灾髟O(shè)定，每次駕駛時默認設(shè)定為不收集狀態(tài)；精度范圍適用原則，就是根據(jù)所提供功能服務(wù)對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；脫敏處理原則，要求盡可能進行匿名化、去標(biāo)識化等處理。”國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責(zé)人解釋說。

告知義務(wù)、征得同意義務(wù)、匿名化處理，汽車數(shù)據(jù)處理者應(yīng)更好地履行個人信息保護責(zé)任

“智能網(wǎng)聯(lián)汽車收集數(shù)據(jù)，駕乘者有沒有知情權(quán)？有沒有否決權(quán)？”

“駕乘者能不能關(guān)閉相關(guān)數(shù)據(jù)采集功能？”

“駕乘者的敏感信息，是不是必須進行脫敏處理？”

……

面對上述疑問，《規(guī)定》明確了處理個人信息、敏感個人信息的具體要求。

針對個人信息，一是告知義務(wù)，汽車數(shù)據(jù)處理者處理個人信息應(yīng)當(dāng)告知處理個人信息種類、收集情境、停止收集方式途徑等相關(guān)信息。二是征得同意義務(wù)，汽車數(shù)據(jù)處理者處理個人信息應(yīng)當(dāng)取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形。三是匿名化要求，因保證行車安全需要，無法征得個人同意采集到個人信息且向車外提供的，應(yīng)當(dāng)進行匿名化處理。

針對敏感個人信息，在履行告知、征得個人單獨同意等義務(wù)基礎(chǔ)上，汽車數(shù)據(jù)處理者處理敏感個人信息還應(yīng)當(dāng)滿足限定處理目的、提示收集狀態(tài)、為個人終止收集提供便利等具體要求。針對個人生物識別特征信息，明確汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性方可收集。

“《規(guī)定》要求的限定處理目的，是指具有直接服務(wù)于個人的目的，包括增強行車安全、智能駕駛、導(dǎo)航等；提示收集狀態(tài)，包含通過用戶手冊、車載顯示面板、語音以及汽車使用相關(guān)應(yīng)用程序等顯著方式告知必要性以及對個人的影響；還應(yīng)當(dāng)取得個人單獨同意，個人可以自主設(shè)定同意期限；還要在保證行車安全的前提下，以適當(dāng)方式提示收集狀態(tài)，為個人終止收集提供便利；此外，個人要求刪除的，汽車數(shù)據(jù)處理者應(yīng)當(dāng)在十個工作日內(nèi)刪除。”國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責(zé)人補充說，汽車數(shù)據(jù)處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息。

為規(guī)范重要數(shù)據(jù)處理活動，《規(guī)定》還明確了五項具體制度，包括風(fēng)險評估報告制度，出境安全評估制度，抽查核驗制度，年度報告制度，以及年度補充報告制度。此外，《規(guī)定》還對明確了違反規(guī)定的罰則：由省級以上網(wǎng)信、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P(guān)部門依照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律、行政法規(guī)的規(guī)定進行處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。