文:上海君倫律師事務所
前言
2024年11月14日,第三十一届中國汽車工程學會年會暨展覽會(SAECCE2024)成功召開,其中“汽車行業資料安全合規與關鍵技術”論壇備受矚目。
當下,智慧網聯汽車賽道蓬勃發展,網絡和資料安全能力及保障是智慧網聯汽車企業及產品的主要准入條件之一。
數據作為數字經濟時代新型生產要素,已成為汽車行業數位化轉型的核心資產,智慧網聯汽車存在大量數據互動場景,極易引發個人資訊洩露、車控類數據被篡改、重要數據非法跨境傳輸等數據安全問題。 據路透社2023年4月6日報導,9名前特斯拉員工爆料在2019年至2022年期間,特斯拉員工通過內部系統私下分享了一些車主車載攝像頭記錄的隱私視頻和影像。
為應對類似的風險,2024年8月23日,全國汽車標準化技術委員會正式發佈了GB/T44464-2024《汽車數據通用要求》,並於發佈之日起生效實施,標準詳細規定了汽車處理個人資訊和重要數據的一般要求、對個人資訊保護的要求和對於重要數據在收集、存儲、使用、傳輸、處理等各個環節中的保護要求以及稽核評估及試驗要求等。
本文從智慧網聯汽車數據全生命週期安全管理、智慧網聯汽車其他合規建議著手,介紹智慧網聯汽車的數據合規要求。
一、智慧網聯汽車法律法規和數據範圍
中國汽車數據安全保護制度包括法律、行政法規、部門規章等法律規定以及具體行業通用實踐的標準。 在法律法規方面,中國近幾年出臺了多部法律,如《數據安全法》《網絡安全法》《個人信息保護法》; 同時也出臺了多部行業法規和指導檔案,例如《汽車數據安全管理若幹規定(試行)》《關於加强智能網聯汽車生產企業及產品准入管理的意見》《關於加强車聯網網路安全和資料安全工作的通知》等。 除了法律法規方面,中國針對智慧聯網汽車也存在多個規範標準,如《車聯網信息服務用戶個人信息保護要求》《汽車采集數據處理安全指南》等。
為提供更好的用戶體驗,智慧網聯汽車及其後臺支持系統每時每刻都在處理海量數據。 這些數據除了使用車輛時產生的數據,如車輛運行數據、路况資訊、位置資訊、車載應用操作資訊等,還包括汽車設計、生產、銷售、使用、運維等過程中涉及的個人資訊數據和車輛數據(參《汽車資料安全管理若干規定(試行)》、GB/T41871-2022《汽車采集數據處理安全指南》、YD/T3751-2020《車聯網信息服務數據安全技術要求》)。
某智慧網聯汽車《小程序隱私保護指引》中,涉及資訊包括但不限於客戶的位置資訊、監視器、手機號、微信昵稱、頭像相册(僅寫入)許可權、身份證號碼、訂單資訊、剪切板等,且收集的管道也與個人生活息息相關,所以十分值得關注。 具體內容如下圖:
節選自某智慧網聯汽車《小程序隱私保護指引》
智慧網聯汽車所涉及的數據可分為個人資訊數據和車輛數據兩部分,具體內容如下:
1
個人資訊數據
個人基本資訊、車載應用連絡人資訊、個人生物識別資訊、個人常用設備資訊、個人虛擬身份和鑒權資訊、訂購注册註銷資訊、個人位置資訊、個人終端、雲存儲資料數據、交通出行資訊、車輛基本標識資訊、車載應用瀏覽記錄及其他數據。
2
車輛數據
車輛基礎内容數據、車聯網服務平臺基礎内容數據、車輛靜態工况類數據、車輛運行工况類數據、駕駛員操作數據、遠程監測、操作數據、系統決策數據、預測規劃數據、車輛外部環境感知數據及其他數據。
二、智慧網聯汽車數據全生命週期安全管理
智慧網聯汽車的資料安全合規在數據生命週期中至關重要,GB/T44464-2024《汽車數據通用要求》在一般要求中規定汽車資料處理者應建立汽車資料安全管理體系,並明確管理體系中數據全生命週期安全管理的具體內容。
三、智慧網聯汽車其他合規建議
基於現有法律法規及行業規範的分析,我們除了上述風險提示和合規建議外,還補充提示以下資料安全合規建議,為行業內企業提供參攷。
1
落實資料安全合規管理體系
設計符合現行法律法規要求、契合行業特點的管理制度與組織架構,構建全面、系統且可落地的資料安全合規管理體系。 通過有效機制推動資料安全在公司及關聯企業中的普及與落地執行,為企業合規運營提供堅實保障。
2
尊重個人主體權利
用戶數據主體享有對其個人數據的查閱權。 我們提倡企業考慮用戶權利,從實用性角度出發,確立“告知-知情-同意”全鏈條許可模式,通過設計個人資訊下載功能等管道,方便用戶瞭解已填寫的個人資訊。
3
介面資訊脫敏
為盡可能防止數據洩露,我們提倡企業在用戶端對用戶數據進行脫敏後展示,若客戶需要查看完整資訊,可以通過各類驗證管道查看。
4
明確資料安全與隱私保護戰畧
企業應以清晰的願景、目標和承諾為基礎,構建資料安全與隱私保護戰畧。 該戰畧需為合規框架的建立與執行指明方向,同時彰顯企業對資料安全的責任與合規文化。
5
推行默認隱私設計
默認隱私設計原則應貫穿業務設計、產品開發、流程執行等環節,將隱私保護內嵌於業務流程,降低合規風險和調整成本,强化企業的合規能力與市場競爭力。
結語
資料安全不僅是合規的底線,更是企業贏得市場信任的基石。 智慧網聯汽車作為未來交通與科技融合的先鋒領域,蘊藏著巨大的市場潜力,也面臨嚴峻的資料安全與合規挑戰。 在行業蓬勃發展的同時,如何在創新與合規間取得平衡,將是每一家企業必須直面的課題。
未來,我們期望看到更多企業以嚴謹的態度落實數據保護要求,同時推動智慧網聯汽車行業的健康發展。 君倫內設數字經濟法律研究中心,將持續關注汽車行業動態,為車企提供精准的合規支持,助力構建安全、透明的智能汽車生態。
數字經濟法律研究中心
Legal Research Center for Digital Economy
君倫數字經濟法律研究中心是君倫內設的從事數字經濟法律研究和服務的專業部門,主要負責人為上海數據交易所數據合規師金昌華律師,致力於為數字經濟領域的各主體提供最優商業解決方案。
君倫是上海區塊鏈技術協會的理事單位,擔任上海長三角區塊鏈產業促進中心的法律顧問組織,上海數據交易所和深圳數據交易所的首批數據合規評估服務商。 長期深耕區塊鏈法律服務,連獲《商法》China Business Law Journal“金融科技及區塊鏈”行業領域2022年度、2023年度卓越律所大獎,上海區塊鏈技術協會“2020年度協會工作貢獻獎”,以及第二届區塊鏈法治高峰論壇的“區塊鏈法治優秀服務獎”。
憑藉深耕各數字經濟領域的專業經驗和對行業實務的深刻理解,為區塊鏈、元宇宙、數位版權等領域,數據確權、流通、跨境等領域,新媒體、互聯網、人工智慧等領域以及個人資訊的保護、跨境傳輸、企業管理體系的搭建和隱私保護領域提供全流程、全方位的法律服務。 服務內容包括但不限於數據資產管理(數據資產入錶和資本化)、企業常規法律合規服務,主體架構搭建、交易結構設計、個人資訊安全評估等法律服務,主體設立、行銷、商業合作等法律服務以及交易稅務籌畫、盡職調查、投融資、政策分析、爭議解决等專項法律服務。
