潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

国枫观察 | 【汽车数据合规系列】车外个人信息匿名化的合规演变及合规建议

发布时间:2024.07.12 来源: 浏览量:1682
2024年6月24日,全国信息安全标准化技术委员会(以下简称“信安标委”)发布了《网络安全标准实践指南 一键停止收集车外数据指引(征求意见稿)》(以下简称“《一键停止收集车外数据指引(征求意见稿)》”),对停止收集车外数据的按键设置、车内外状态标识等列明指引内容。


借此机会,本文就车外数据中的车外个人信息匿名化的合规演变进行梳理,并结合实践情况提供合规建议供参考。


一、 车外个人信息之于汽车数据


f43baf8a3f08d6d19b399da0aaf2b1b7.png


如上文表格中摘录的定义,《汽车数据规定》明确将汽车数据定义为个人信息数据和重要数据两类,而作为信安标委技术文件的《TC260》将汽车采集数据分为4类,并对4类中的车外数据进行了定义。最新出台的《一键停止收集车外数据指引(征求意见稿)》在沿用《TC260》定义的同时,也对车外数据定义进行了细微调整,但其本质仍然相同。


二、车外个人信息匿名化起因和法规要求


在众多造车新势力“内卷”的当下,越来越多的汽车厂商在智能网联汽车的基础上开始提供远程查看车辆内部、外部环境的功能。也逐步衍生出守卫模式、哨兵模式、寻车照片等各种可以实时或者记录车辆外部图片、视频、状况的功能。但在这些功能中,车外数据被车辆的雷达、摄像头进行了记录,出现了视频泄露、侵犯个人信息的情况。


为此,《汽车数据规定》第八条规定“汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。”提出了对于车外个人信息匿名化的要求。


当然,根据《汽车数据规定》的规定,车外数据中的个人信息数据与重要数据的边界存在交叉重叠的情况。例如,交通参与者的人脸信息、机动车车牌同时属于个人数据与重要数据;单独、少量的交通参与者信息在收集时并非重要数据,但如果这些数据累计到一定量,相关数据集整体构成重要数据。因此,在车外数据处理过程中,数据处理者必须判断收集的数据本身除是否属于个人信息外,是否明确落入重要数据的范畴。但由于《汽车数据规定》中,除设定了车内处理原则、默认不收集原则、精度范围适用原则及脱敏处理原则四项基本原则外,对于重要数据的收集、传输等的处理活动的规定,主要围绕在报送风险评估报告、境内存储、报送年度汽车数据安全管理情况等政府监管要求。因此,本文也仅就车外个人信息的匿名化进行梳理和论述。


三、 车外个人信息匿名化的合规演变

—“原则+例外+例外+例外”的匿名化要求

1. 《汽车数据规定》第八条—原则+例外+例外


从《汽车数据规定》第八条可以得出3条车外个人信息保护的要求及例外规则,即:


1)原则:处理车外个人信息需获得个人的同意,包括收集及向车外提供。


2)例外:因保证行车安全需要采集车外个人信息,但无法征得个人同意的,可以采集后本地存储。


3)例外:采集后需要向车外提供个人信息的,应当进行匿名化处理。


(为简化归纳合规演变过程,根据《个人信息保护法》第十三条其他具有合法性基础而处理个人信息的情形暂不做展开。)


前述2项例外原则尚可以找寻到《个人信息保护法》所规定的合法性基础。例如,本地存储的情况下,车机系统运营者、智能网联系统运营者可能暂未处理个人信息,此时处理车外个人信息的主体为车主或驾驶人。《个人信息保护法》第七十二条“自然人因个人或者家庭事务处理个人信息的,不适用本法”,则无需履行告知同意的要求。而匿名化处理后的信息已不属于个人信息,其传输等处理亦无需履行告知同意的要求。


2. 《TC260》第5.3条—例外规则的例外


《TC260》第5条对于传输要求的规定中,第5.1条保持了与《汽车数据规定》第八条相同的规定,但第5.3条针对车外个人信息的匿名化设定了例外情形。


《TC260》第5.3条第a款“为实现5.1所述匿名化处理功能,需要通过远程信息服务平台实时执行匿名化处理操作的情形,但应确保原始数据传输到平台后不用于其他目的,并在匿名化处理后得到删除。”第5.3条第c款”为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能,需要通过网络向用户终端设备传输数据或使用远程信息服务平台存储数据的情形,但应在传输以及存储时采取加密等措施,确保用户数据只能由用户终端设备访问,在其他设备以及远程信息服务平台上无法访问。”


从前述规定可以得出2条例外规则的例外,即:


1)为进行匿名化处理,可以将含有个人信息的数据传输至车外远程平台进行匿名化。但需确保不用于其他目的、且删除原始数据。


2)用户远程监控、云盘存储时,可以将含有个人信息的车外数据传输至车外远程平台。但需加密传输、且确保其他主体和设备无法访问。


3. 《GB/T 41871》第5条及第6条—删除例外规则


但2022年发布的《GB/T 41871》又对《TC260》的例外规则进行了调整。《GB/T 41871》第5条车外数据安全要求条款,明确车外数据未完成匿名化处理前,不应向车外提供。也即,车外数据的匿名化仅可以在本地端实施,不得通过远程平台进行匿名化处理。


对于《TC260》第5.3条第c款用户远程监控、云盘存储等情况下向车外传输车外数据的要求,在《GB/T 41871》中仅适用于座舱数据对外提供时的例外情形,且明确了仍需取得个人信息主体同意。《TC260》第5.3条第c款中“为实现用户远程监控车内外情况、使用云盘存储用户数据等……”中的“车外情况”在《GB/T 41871》中进行了删除。


而如果回顾《GB/T 41871》的起草及征求意见过程可以发现,在征求意见稿阶段,《GB/T 41871》的标准名称为“汽车采集数据的安全要求”[5],其整体内容与《TC260》几乎完全一致。在最终发布的标准中,则将标准名称从“汽车采集数据的安全要求”修改为“汽车数据处理安全要求”,并删除了两项例外规则。作为信安标委发布的第一项汽车行业数据合规国家标准,有着显著的意义。


四、 实践情况


《TC260》及《GB/T 41871》两份文件均归口于信安标委,《TC260》是“国内首个汽车数据安全技术文件”[6],《GB/T 41871》则是“国家首个汽车数据安全标准”[7]。合规演变过程也体现了标准牵头人及参与制定者对于《汽车数据规定》及《个人信息保护法》更深入的理解。虽没有强制约束力,但也是汽车数据合规参考的重要依据。我们也注意到《TC260》及《GB/T 41871》有着共同起草单位。通过对某些共同起草单位的隐私政策、产品手册的查询,我们在其某款汽车产品的产品手册[8]中,就车辆远程查看车外实况、守卫模式的功能描述,均提及了《汽车数据规定》以及《GB/T 41871》做列出的要求,包括:

1)视频或图像在传输时已被加密。

2)人脸、车牌等敏感信息会进行脱敏打码的匿名化处理。

3)只有授权的设备可以使用远程查看车外实况的功能,其他包括厂商在内的第三方和设备均无法查看。

4)当车端关闭远程车外实况功能,所有人都将无法查看。

除了参与《TC260》及《GB/T 41871》起草单位的车企,我们也注意到其他车企在提供寻车照片功能时,手机端可查看的停车位置照片中的其他车辆车牌已主动打码匿名化[9]。中国汽车工业协会及国家计算机网络应急技术处理协调中心也已在今年4月份,基于《汽车数据规定》及《GB/T 41871》,“按照企业自愿送检原则,组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况(车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求)进行检测” [10],共有 6家企业的76款车型符合汽车数据安全4项合规要求。《关于汽车数据处理4项安全要求检测情况的通报(第一批)》所附的检测标准中,对于车外人脸信息等匿名化处理的检测标准包含2条:(1)车外数据未完成匿名化处理前,不应向车外提供;(2)车端匿名化处理的视频、图像中的人脸目标和汽车号牌目标的匿名化检出率均应大于等于 90%。

五、 合规建议


综上,对于车外个人信息匿名化,特别是提供远程查看车外实况、照片功能的汽车品牌,我们总结了以下合规建议:


1)在制度层面,在隐私政策、产品手册中针对寻车照片、辅助驾驶、远程车外实况、哨兵模式等的服务功能、收集数据、匿名化处理、功能开关方式等进行明确说明。


2)在交互层面,除非驾驶人自主开启并设定,否则每次驾驶时默认设定为不开启此类服务功能、不收集车外个人信息的状态。


3)在车辆层面,通过对车载芯片、车机算法等软硬件的准备,为车内处理、车内匿名化处理提供客观条件。


4)在技术层面,在车内完成车外个人信息匿名化处理,匿名化检出率应大于等于 90%,且提供技术方式绑定可以唯一查看车外数据的设备。


脚注


[1] 《汽车数据安全管理若干规定(试行)》原文:https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm

[2] 《汽车采集数据处理安全指南》TC260-001原文:https://www.tc260.org.cn/file/jswj01.pdf

[3] 《信息安全技术 汽车数据处理安全要求》GB/T41871-202原文:http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4D3C5BB193E079AD54294E5845749B8F

[4] 《网络安全标准实践指南 一键停止收集车外数据指引(征求意见稿)》原文:https://www.tc260.org.cn/front/postDetail.html?id=20240624102728

[5] 《信息安全技术 汽车采集数据的安全要求》征求意见稿原文:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20211019200233&norm_id=20210907000001&recode_id=44165

[6] “国内首个汽车数据安全技术文件”:https://www.tc260.org.cn/front/postDetail.html?id=20211021191401

[7] “国家首个汽车数据安全标准”:https://mp.weixin.qq.com/s/Rbu78Q-OBTX8-bPBW68hBg

[8] 某车型产品手册:https://www.nio.cn/cdn-static/www/user-instructions/20231122/ES6/index.html#TUM249747

[9] 汽车头条:https://www.qctt.cn/news/1446439

[10] 关于汽车数据处理4项安全要求检测情况的通报(第一批):http://www.caam.org.cn/search/con_5236385.html


图片.png