来源: 北京市高级别自动驾驶示范区
中国将成为重要的自动驾驶汽车市场。本文探讨了企业必须考虑的数据合规性潜在问题。
“车联网”的迅速发展表明智能汽车是汽车行业的未来。中国的目标是到2025年部分自动驾驶汽车占新车销售的50%。2020年3月10日,中国工业和信息化部发布《汽车驾驶自动化分级》推荐性国家标准报批公示,该标准于2021年1月1日生效。根据驾驶员控制车辆所需的介入程度对自动驾驶进行分级。
自动驾驶汽车需要依靠大规模数据收集,包括个人信息和技术信息。中国缺乏数据合规性相关的具体法律法规,这为自动驾驶汽车开发商带来了许多问题。
5月12日,国家网信办公布了《汽车数据安全管理若干规定(征求意见稿)》,向社会公开征求意见。5月25日,特斯拉称已在中国建立数据中心,以实现数据存储本地化,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。
一、收集、使用和保护个人信息
中国没有关于个人信息的专门法规。但全国人民代表大会常务委员会于2020年10月发布了一项有关个人信息的法律草案,并将很快最终确定并颁布该法律。一般法律法规对“个人信息”有不同的定义。根据《中华人民共和国网络安全法》第76条规定,“个人信息”是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息。
2020年3月发布的《信息安全技术个人信息安全规范》(以下简称《规范》)中使用的定义与第76条的定义相似,但将个人信息进一步分为个人生物识别信息和个人敏感信息。信息是否可以识别人是确定信息是否属于个人信息范畴的关键。
根据《网络安全法》和《规范》,收集个人信息需要获得个人信息主体的授权和知情同意。不应以欺诈、诱骗、误导的方式收集个人信息,不应隐瞒产品或服务所具有的收集个人信息的功能。
自动驾驶汽车技术通常涉及使用收集的信息(例如,车辆故障或事故分析)来减少驾驶风险。因此,有必要与其他公司合作。这可能会导致数据泄露。
收集个人敏感信息需要个人信息主体的明确同意。但为了收集个人生物识别信息,个人信息控制者还必须单独告知个人信息主体收集该信息的目的、方法和使用范围。根据《规范》,汽车服务提供商不能存储个人生物识别信息。如有必要,应在收集终端上获得该信息。一旦确定了个人信息主体,汽车服务提供商应收集并删除个人生物识别信息。
尽管汽车服务提供商可以通过事先征得个人信息控制者的授权,获得其明确同意,但当驾驶员在驾驶车辆时,通常无法获得信息收集授权。汽车服务提供商应避免制定全面授权计划,应明确在各个阶段收集的数据。汽车服务提供商应为驾驶员提供可访问的退出机制,或提供更改其隐私优先权的选项。
自动驾驶汽车技术通常涉及使用收集的信息(例如,车辆故障或事故分析)来减少驾驶风险。因此,有必要与其他公司合作。这可能会导致数据泄露。一个典型案例是加拿大自动化和机器人工程公司Level 1在2018年泄露了157GB的数据,包括47000个客户信息文档、工厂生产详细信息以及许多著名汽车公司的保密协议。
未经省级或省级以上相关行政主管部门批准,不得向外国的组织和个人以及在中国注册的外商独资和中外合资、合作企业提供、共享地图数据。
个人信息控制者委托第三方处理个人信息时,双方应订立协议确定责任和义务。个人信息控制者应对第三方进行安全审核,准确记录和存储由第三方处理的个人信息,并在公司内部建立标准化程序以实施授权、审核和补救措施。而第三方应根据协议处理数据。如果发生安全事件或未能履行合同,则第三方应立即通知个人信息控制者并采取相应的补救措施。
二、隐私政策和用户协议
车辆与驾驶员之间的互动通常是通过驾驶员的智能移动设备实现的,而APP已成为收集和处理用户个人信息的主要途径。例如,驾驶员必须下载APP才能执行某些车辆功能。
尽管中国没有关于通过APP收集数据的具体法规,但2019年在全国范围内开展了活动,打击通过APP非法收集和使用个人信息的行为。因此,汽车服务提供商应重视隐私政策,并以简单易懂的方式向个人信息主体充分披露安全措施和退出机制。提供用户协议时,汽车服务提供商还应遵守上述要求。
三、用户画像合规性
在推荐用户画像并提供个性化产品和服务时,通常会涉及用户隐私。在这方面,《规范》提出了许多限制,包括消除明确身份指向性、避免精确定位到特定个人。应显著区分个性化展示的内容和非个性化展示的内容,并应建立自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。《规范》鼓励汽车服务提供商在将来开发产品功能时,充分考虑用户的隐私和自主权。
四、数据出境和跨境传输
自动驾驶技术发展可能需要跨境合作。在开发此类技术时,跨国汽车公司可能需要从本地子公司获取信息并收集数据。中国对个人信息和重要数据传输有严格的规定。
根据《数据安全管理办法(征求意见稿)》,重要数据包括大面积人口数据和地理数据,一旦泄露可能直接影响国家安全和公共安全等领域的安全。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。网络运营者向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
外国自动驾驶汽车开发商将受中国其他数据法规的约束。
该文件还指出,网络运营者向境外提供个人信息前,应向相关省级网信部门报告个人信息传输安全评估。如果数据控制者需要向境外提供个人信息,应报相关省级网信部门进行安全评估。
五、地图测绘
根据《中华人民共和国测绘法》,测绘是指对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述以及对获取的数据、信息、成果进行处理和提供的活动。根据第22条规定,国家对从事测绘活动的单位实行测绘资质管理制度。
自动驾驶汽车地理信息来自电子地图收集的可视化实时数据。如果自动驾驶技术开发公司决定开发自己的电子地图,应获得从事测绘活动的资格。如果汽车服务提供商与第三方地图测绘服务提供商合作提供服务,必须确保第三方地图测绘服务商具备相应资格,否则会产生风险。
此外,根据《关于加强自动驾驶地图生产测试与应用管理的通知》,用于自动驾驶技术试验、道路测试的地图数据,应当按照涉密测绘成果进行管理,并采取有效措施确保数据安全,未经省级以上测绘地理信息行政主管部门批准,不得向外国的组织和个人以及在中国注册的外商独资和中外合资、合作企业提供、共享地图数据,不得在相关技术试验或道路测试中允许超出范围的人员接触地图数据。
还制定了外国投资者自动驾驶行业准入限制。《外商投资准入特别管理措施(负面清单)(2019年版)》列出了禁止外国投资的行业,包括大地测量、导航电子地图编制等。
总之,随着自动驾驶汽车技术的迅速发展,汽车服务提供商面临着巨大的挑战。同时,法律监督滞后。汽车服务商应注重法律法规的更新,满足合规要求,参与数据标准、法律法规的制定,积极推动自主驾驶技术的健康发展。
参考文献:https://www.automotiveworld.com/articles/autonomous-vehicle-developments...
本文转自:北京市高级别自动驾驶示范区,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
