【汽车数据合规系列】汽车个人信息重点处理环节的合规浅析之收集存储篇
发布时间:2023.07.14
来源:
浏览量:2231
作者:龚琳、钱榕
一、 前言
《汽车数据安全管理若干规定(试行)》(下称“若干规定”)所规制的汽车数据包含了在汽车设计、生产、销售、使用、运维等过程中所涉及个人信息数据和重要数据两大类[1]。本文将《若干规定》中汽车数据项下的个人信息简称为“汽车个人信息”。
相较于传统语境下的个人信息,在智能网联汽车的场景下,由于单一运营主体所采集的自动驾驶数据往往难以满足企业的技术研发和优化需求,自动驾驶数据的流转通常涉及自动驾驶科技企业、整车企业、车队运营企业、数据平台运营企业、交通监管部门等多个主体,因此汽车个人信息更具敏感性、动态性、复杂性、隐蔽性。这些特性加剧了汽车产业链相关企业超范围采集信息的风险和汽车个人信息被滥用的风险。去年12月至今,蔚来、法拉利先后遭遇黑客以泄漏用户信息为由的高额勒索,今年5月,丰田服务器中人为导致的云配置错误致使从2012年至今注册丰田云服务的用户的车辆位置信息等敏感个人信息可未经授权访问[2]。类似案例频频引发关注。另一方面,监管侧压力日趋增长,通用领域层面,《个人信息保护法》第66条的双罚制对企业而言不足小觑。行业垂直监管层面,部门规章、行业标准频出,《若干规定》为汽车个人信息的保护定下了基调;行业标准《车联网信息服务 用户个人信息保护要求》YD/T3746-2020(下称“3746标准”)将汽车用户个人信息进行分类分级整理,为车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中个人信息保护工作提供参考细则;工业和信息化部办公厅于2022年2月发布《车联网网络安全和数据安全标准体系建设指南》,在数据安全部分特别将个人信息保护单列,提出将在智能网联汽车、车联网平台、车载应用服务等领域明确个人信息保护要求。汽车领域个人信息保护的重要地位可见一斑。本文承接系列上篇【汽车数据的分类分级规则】,聚焦汽车数据中的汽车个人信息,对其生命周期中的收集和存储两个重点环节的合规要点进行梳理探析,以期提供一些合规思路。汽车个人信息在收集阶段的合规要求主要包括“默认不收集[3]”、“告知同意”、“目的限制[4]”与“最小必要[5]”。然而,在智能网联汽车场景下的告知同意,受制于参与主体众多(包括车内驾驶人、乘客,车外行人等),一定程度上缺乏实施条件等原因,向来是汽车个人信息合规的重点与难点。关于如何在兼顾行车安全的前提下,使告知的履行与同意的获取行之有效,《信息安全技术 个人信息安全规范》GB/T 35273-2020(下称“35273标准”)、《信息安全技术 汽车数据处理安全要求》GB/T 41871-2022(下称“41871标准”)以及即将实施的《信息安全技术 个人信息处理中告知和同意的实施指南》GB/T 42574-2023(下称“42574标准”)等各类标准均为企业提供了一定参考。
依据42574标准中所列示的告知与同意方式,企业可根据处理活动对个人信息的风险程度和告知实施的客观情况,设计适宜的告知同意机制。例如,可以尝试将汽车个人信息主体所处的空间(车内或车外),以及是否存在书面合同法律关系等作为划分标准。表2为我们提供的汽车个人信息告知与同意机制示例,仅供参考。
注:41871标准4.2汽车数据处理者为语音识别功能需要处理语音数据,取得个人信息主体单独同意时,可为个人信息主体提供单次、七天、三个月和一年等选项。处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”。
最后,企业应根据《信息安全技术 个人信息安全工程指南》GB/T 41817-2022(下称“工程指南标准”)等有关国家标准,通过个人信息安全工程等方法,对处理个人信息的系统架构设计进行充分评估,及时调整。相关测试记录,也能为企业向监管机构证明自身产品或服务合规时提供有力证明。依据工程指南标准,个人信息安全工程是“将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程”,与《网络安全法》下“同步规划、同步建设和同步使用”的原则相衔接,也与欧盟《通用数据保护条例》下的“Privacy by Design(隐私设计)”原则异曲同工。个人信息安全工程的阶段应围绕产品服务建设生存周期安排,通常可分为需求、设计、开发、测试与发布。个人信息安全工程中若涉及处理敏感个人信息、委托处理个人信息等场景,需开展个人信息安全影响评估。个人信息安全影响评估之于个人信息安全工程不仅仅是一项工具,也是标尺与指导,从需求阶段对需求的评估、设计阶段对设计方案的评估再到测试阶段对实际个人信息保护功能的评估,个人信息安全影响评估贯穿于个人信息安全工程的各个阶段,通过识别风险、修正措施,以保障安全工程的实践不偏离方向。结合2020年11月发布的《信息安全技术 个人信息安全影响评估指南》GB/T39335-2020,在落实个人信息安全工程时,对告知同意机制的关注重点如下:需求阶段:个人信息需求既包括处理需求,也包括安全需求。因此,对需求的分析也分为识别预期业务场景下所需的个人信息以及梳理预期服务需满足的个人信息安全合规要求,例如是否涉及对未成年人的告知,是否涉及向合作方提供个人信息和拟采取的约束措施等,为搭建告知与同意的基本框架打下基础。评估个人信息需求的常见方法包括但不限于个人信息保护影响评估、个人信息保护合规评估、数据安全风险评估等。在后续个人信息安全工程阶段,可通过需求跟踪系统等手段,跟进个人信息需求的实现情况。设计阶段:针对已确定的个人信息需求,设计对应的个人信息安全功能实现方案,例如通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图[7]等。测试阶段:测试包括需求符合性以及安全合规性两个侧面。企业可参照35273标准、42574标准、《App违法违规收集使用个人信息行为认定方法》等,结合开发完成的技术方案,核查告知同意机制是否能实现各项处理及安全的需求,例如告知方式和告知内容是否友好可达,获得汽车信息主体同意的交互过程是否有效可行等。关于测试方式,依据工程指南标准9.4.2 第5)和第6)项,对个人信息保护政策的符合性测试可采用人工或自动方式,对个人信息保护政策公开、告知同意机制、个人信息主体权利等功能的实现效果进行测试则应采用人工方式。
汽车个人信息收集的目的在于后续使用,而在合法合规合理使用之前,解决好汽车个人信息的存储问题是关键。因为汽车个人信息的个人信息处理者在主体性质、行业特性等方面的特殊性,故在分类分级、存储地点、保存期限和保障措施等方面存在特别的合规要求。提及汽车场景下个人信息的分类分级,《若干规定》将汽车个人信息分为一般个人信息、敏感个人信息与重要数据。除《若干规定》外,工信部发布的团体标准《车联网信息服务 数据安全技术要求》YD/T 3751-2020(下称“3751标准”)、3746标准亦为汽车个人信息的分类分级提供了指引。3751标准将车联网信息服务数据分为六大类:基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据和用户个人信息。3746标准进一步基于数据内容及用途将用户个人信息细分为用户身份证明类信息,车联网信息服务用户数据和服务内容信息,以及用户服务相关信息。在分级方面,3746标准基于车联网信息服务中用户个人信息的敏感程度和在发生用户个人信息泄露或滥用等事件后对用户人身和财产等方面的危害程度,将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。3751标准则依据车联网信息服务数据的安全目标、重要性以及发生安全事件时可能造成的影响范围与严重程度不同,将车联网信息服务数据划分为一般数据、重要数据和敏感数据。对汽车个人信息的划分并非静态的,泾渭分明的,其他汽车数据类型在某些条件下仍可能因为具备对特定个人的识别性而成为汽车个人信息。企业对数据的分类是一种概括性的,可动态变化的分类,而非确定性的。这是由个人信息的定义以及数据分类采取的不同维度所决定的,不同于其他数据类型系基于应用场景划分的,不会产生既落入环境感知类数据,又落入车控类数据的情形,但个人信息的处理是跨场景的,其完全可能在“车、路、人、云”多端同时涉及。这使得企业设计个人信息的识别规则时非常有挑战性,也对企业在存储区域规划、访问控制、匿名化处理等方面提出了较高要求。一些汽车个人信息处理者很有可能被认定为关键信息基础设施运营者。根据《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。此外,《若干规定》明确将涉及个人信息主体超过10万人的个人信息作为汽车重要数据,应在我国境内存储;41871标准第4.6条提出,座舱数据、位置轨迹数据应在境内存储。实践中,越来越多汽车厂商以搭建数据中心的方式,将用户数据留存在境内。如特斯拉已将所有在中国大陆市场销售车辆所产生的数据,全部存储在境内。[8]依据《个人信息保护法》第十九条,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。我们梳理了目前规范与推荐性国标中明确的汽车个人信息保存期限要求,汇总如下:
梳理上述规范可见,从信息类型来看,特殊保存期限主要针对事件记录数据(或称“EDR数据”)、为实现缺陷产品召回的车主信息记录以及网约车平台合法收集的个人信息等。
事件记录数据的特殊规定让人不禁联想起频繁发生的车主与车企间就EDR数据的拉锯战。2021年4月,郑州某车主因向某品牌多次讨要事故前行车数据被拒而在上海国际汽车展进行“车顶维权”,后该品牌在郑东新区市场监管局责令下,无条件向车主提供了该车发生事故前半小时完整行车数据。[9]今年2月,因购买的车辆在正常行驶过程中突然加速,致乘客重伤,车主想通过EDR数据鉴定查明事故原因却遭到厂家拒绝和拖延。[10]似乎车主向车企讨要事故记录数据仍困难重重。事件记录数据,例如制动时间、转向角大小、车体速度等数据,属于《消费者权益保护法》中规定的“商品性能”信息,“郑州车主车顶维权”事件中,郑东新区市监局曾就“纯电动轿车在使用(行驶)过程中产生的行车数据是否属消费者知情权”这一问题向上级部门请示,得到的肯定批复也证实了这一点。因此,对营运车辆事件记录数据的特殊保存期限规定可能也有保障消费者知情权的目的。在已知车主身份的情况下,事件记录数据可能因符合35273标准中关联路径的判断,而落入个人信息的范畴。事件记录数据属于个人信息的情况下,根据法律规定,车主可依法向车企要求查阅或复制其个人信息。车企在提供该部分信息时应对信息主体权益进行适当保护,例如进行匿名化处理。结合缺陷产品召回和网约车平台经营,可以发现,从保存目的来看,多出于消费者维权、公共安全维护及科学研究。也即个人信息权益在公共安全、消费者利益和社会总体利益的利益权衡中做出了让步,表现为保存期限的下限门槛(不得少于)。仅《汽车采集数据处理安全指南》TC260-001出于个人信息保护的要求,设置了上限要求,但也留有例外空间。结合上海、江苏等地网信办发布的“汽车数据安全管理情况报告”模版,企业可明确物理、网络、主机、业务等方面的用户信息存储安全防护措施和安全策略项目。针对敏感个人信息的存储,早在2020年实施的35273标准中已有采取加密等措施的要求,工信部于2023年5月5日发布的《汽车整车信息安全技术要求》(征求意见稿)(下称“整车技术要求”)进一步提出车内存储敏感个人信息可采取安全访问技术、加密技术等保护措施,并要求对相关技术有效性进行测试。对生物特征识别信息的存储应参考《信息安全技术 生物特征识别信息保护基本要求》GB/T40660-2021第6条,如应将生物特征识别信息与用户主体身份信息以技术隔离的手段存储、不应直接存储生物识别原始信息、保证存储的不可逆性等。由于参与数据处理的主体多、行业对安全的要求高、海量个人信息的商业价值大以及其他各类主客观因素,网联汽车场景下的个人信息保护纷繁复杂。对个人信息权益的保护常需迁就行车安全、个人生命健康等更为重要的法益,这贯穿了汽车个人信息合规的始终,从同意的例外,到特殊存储期限的下限门槛等等。在汽车个人信息的合规过程中,企业应加强对处理行为的必要性论证,从产品设计阶段就纳入“保护个人信息”的考量,使汽车个人信息在依法合规使用过程中能充分发挥其应用价值。[1] 《汽车数据安全管理若干规定(试行)》第三条规定:“本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据” 。
[2] 《部分用户基本信息、车辆销售信息泄露,蔚来汽车遭黑客勒索1566万》,载“人民日报数字传播”,2022-12-21,https://baijiahao.baidu.com/s?id=1752811004635107537&wfr=spider&for=pc;《法拉利公司遭网络攻击后被勒索,拒付赎金称防助长黑客气焰》,载“南方都市报”,2023-03-22,https://www.sohu.com/a/657752277_161795;《丰田汽车:人为错误致日本215万用户的车辆数据已被公开十年,面临数据泄露风险》,载“界面新闻”,2023-05-12,https://baijiahao.baidu.com/s?id=1765695889699418971&wfr=spider&for=pc。
[3] 默认不收集原则要求除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。参见《汽车数据安全管理若干规定》第六条第(二)项。
[4] 目的限制原则要求使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。参见35273标准7.3个人信息使用的目的限制。
[5] 最小必要原则要求处理个人信息与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信息限于实现处理目的的最小范围。参见《个人信息安全工程指南》5.2b)。
[6] 42574标准9.2 个人信息处理者设计同意实施方案时,宜根据有关国家标准,通过个人信息安全工程等方法,对处理个人信息的系统架构设计进行充分评估,以支持个人通过便捷方式撤回同意、限制使用、删除个人信息等操作;
[7] 5.2.3b)6) 描述系统设计信息,包括但不限于描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图;
[8] 《马斯克谈数据安全:特斯拉中国所有数据存在中国境内》,载“中国新闻网”,2021-09-26, https://baijiahao.baidu.com/s?id=1711944777679428019&wfr=spider&for=pc。
[9] 《郑州郑东新区市监局:责令特斯拉无条件提供事故前半小时完整行车数据》,载“今日头条”,2021-04-21,https://www.toutiao.com/article/6953560022995436040/?channel=&source=search_tab&wid=1687608249507。
[10] 《消费者投诉上汽大众ID.3失控致乘客腰椎断裂 完整行车数据提取困难》,载“中国质量新闻网”,2023-05-26,https://baijiahao.baidu.com/s?id=1766924615769848788&wfr=spider&for=pc。
