来源界面汽车
中国国家互联网信息办公室在5月12日晚间发布通知称,将针对《汽车数据安全管理若干规定(征求意见稿)》(以下简称为“征求意见稿”)公开征求意见。
对于这份《征求意见稿》,特斯拉在5月12日当晚通过其官方认证微博称:“支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展”。
福特汽车则在发给界面新闻的一份回应中表示:“福特始终将个人信息安全放在首位,并致力于保障用户隐私。因此,福特会明确告知用户收集、存储和使用用户个人信息、用车数据的行为及目的,并获得用户授权。福特完全按照中国的法律法规等要求收集和存储用车数据和用户个人信息。”
Stellantis集团则对此表示:“Stellantis中国极其重视用户的隐私保护及数据安全,我们会严格遵守国家网信办及有关部门的法律法规要求,并将积极的进一步推进在此方面的工作和部署”。
刚对外公布用户权益不久的上汽集团旗下高端智能电动汽车品牌——智己汽车则向界面新闻表示,已经制定出IDPP数据隐私及保密计划,通过一系列的高科技手段和监管机制,将用户数据隐私与安全置于运营首位。
智己汽车称,在人工智能时代,数据是品牌和产品的核心驱动力,用户数据隐私和保护非常重要。
据该公司介绍,在用户数据安全保护的物理层面,智己汽车将和包括阿里达摩院在内的全球顶级互联网巨擘合作,应用包括零知识证明、差分隐私、数据库防火墙技术在内的前沿科技,保护用户数据安全。
此外,智己汽车制定了用户数据隐私伦理的监管机制。比如,在经过消费者同意之后采集消费者数据信息;在消费者生物信息采集层面,智己汽车将杜绝采用人脸识别、声纹识别、指纹识别等涉及用户隐私的综合性生物信息,仅利用智能识别技术采集更加安全的单独特征信息。
智己汽车还将在体系层面上与个人信息进行脱敏。所有用户数据,都会首先由权益平台进行清洗,再交付到数据工厂进行计算。随着法律法规进一步细化或者严格后,智己汽车会将其界限划定得更为清晰。
智己汽车告诉界面新闻,在他们看来,车企不仅应该做好用户数据安全与隐私的保护,同时也不应随便使用用户数据。用户行驶数据的所有权应归属于用户,数据的价值不应该被免费攫取。该企业正在推进其行业首创的CSOP用户数据权益计划,划出4.9%的股权收益回馈用户的数据贡献,以期对用户数据价值做出对等的认同。
造车新势力小鹏汽车也向界面新闻表示,“小鹏汽车会一如既往响应和支持国家相关部门工作,协助推动行业健康发展。”
对于国家网信办此次发布的这份《征求意见稿》,益普索研究总监叶盛对界面新闻表示,从内容来看,对用户来说是件非常好的事情。应该说是以个人为出发原点,将切实起到保护用户数据安全的作用。叶盛认为,用户(车主)应该拥有对数据的绝对支配权。
据5月12日,国家网信办发布的《征求意见稿》内容显示,国家网信办将针对运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据的行为做出规定。
规定中所述的“运营者”指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。而“个人信息”则包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。
此外,规定中所称的重要数据包括军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;高于国家公开发布地图精度的测绘数据;汽车充电网的运行数据;道路上车辆类型、车辆流量等数据;包含人脸、声音、车牌等的车外音视频数据,以及国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
根据规定,运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关,同时落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。
在处理个人信息和重要数据过程中,运营者应当坚持五项原则。
首先是车内处理原则,除非确有必要,运营者不应向车外提供,同时坚持匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理。运营者还应根据所提供功能服务分类型确定数据保存期限,遵循最小保存期限原则。而根据精度范围适用原则,运营者应当根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。同时运营者应遵循默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
在处理个人信息时,运营者应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等。
除此之外,运营者还需提供收集每种类型数据的触发条件以及停止收集的方法;收集各类型数据的目的、用途;数据保存地点、期限,或者确定保存地点、期限的规则;删除车内、请求删除已经提供给车外的个人信息的方法步骤。
当运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下6项要求。其中包括以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;驾驶人能够随时、方便地终止收集;允许车主方便查看、结构化查询被收集的敏感个人信息;驾驶人要求运营者删除时,运营者应当在2周内删除。
规定明确指出,运营者仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,运营者方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。
运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。
运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全,同时还应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。
根据规定,运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
当处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,运营者应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。
违反上述规定的运营者,将由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。
对于《汽车数据安全管理若干规定(征求意见稿)》的发布,福特中国表示,正在研究《汽车数据安全管理若干规定(征求意见稿)》和评估其对公司业务的潜在影响。