全国信息安全标准化技术委员会(“信安标委 ”)归口编制的《信息安全技术 个人信息安全规范》 ( GB/T 35273-2020)(“ 《个人信息安全规范》 ”)于2020 年 3月6 日由国家市场监督管理总局、国家标准化管理委员会发布,将于 2020年10 月 1日实施。《个人信息安全规范》为适用于全行业和全场景的综合性国家标准,自动驾驶场景在适用《个人信息安全规范》时,具有不同于其他行业的特征。
中国《网络安全法》于2016年11月 7日发布, 2017年6 月 1日实施。《网络安全法》从网络运行安全和网络信息安全两大方面,制定了国家、公民、法人和其他组织在建设、运营、维护和使用网络的规则,以及网络安全的监督管理。《网络安全法》由全国人民代表大会常务委员会制定,为仅次于《宪法》和刑事、民事等基本法律之外的法律,其效力位阶决定了《网络安全法》的内容多为原则性规定。
在《网络安全法》实施以后,国家网信办和各部委(工信部、市场监督管理总局、公安部等)陆续出台多项部门规章等文件,对关键信息基础设施、等级保护、服务和产品采购中的网络安全审查、数据安全管理、儿童个人信息和个人信息出境等做出具体规定。《个人信息安全规范》全面系统地设计了个人信息保护的制度体系与全生命周期管理,为企业数据安全体系建设提供了实操指引。《个人信息安全规范》(GB/T 35273-2017 )最早于2017年12月 29日发布,2018年5 月 1日实施,在实施过程中逐渐验证和新形成的行业最佳实践被陆续采纳,体现在将于2020年 10 月1日实施的新《个人信息安全规范》之中。
目前关于“自动驾驶”的名称并无统一规定,同时也被称为 “智能汽车”、“ 智能网联汽车 ”、“无人驾驶汽车” 。自动驾驶从 “云-管- 端 ”三方面体现智能化及网联化。通过云服务平台的海量数据存储和处理能力(“云 ” ),将车内网、车云网、车际网融合(“管”),使用诸如立体摄影机、雷达等传感器终端( “端”),感知环境和识别危险,最终实现通信协同感知和云端智能控制。其核心为感知、决策、控制和通信 4 大功能模块,也包括服务和娱乐等其他辅助功能模块。(中国电子信息产业发展研究院编著:《智能网联汽车测试与评价技术》,中国工信出版集团 人民邮电出版社2017年版, p.5-11 。)
笔者援引2018年1月 2日河北省《保定市人民政府关于做好自动驾驶车辆道路测试工作的指导意见》(保政发〔2018〕 1 号),对自动驾驶的描述为:作为人工智能领域的集大成者,自动驾驶涉及感知、分析、决策、控制、交互等多项尖端技术,是未来人工智能领域市场最大、前景最好的项目之一,蕴含着巨大的经济效益和社会效益,正引领人民生活进步和人类社会变革。非常精炼而准确的描述了自动驾驶的技术路径、产业前景和社会意义。
《个人信息安全规范》从基本原则、收集、存储、使用、个人信息主体权利、数据流转(委托处理、共享、转让、披露、第三方接入、跨境传输等)、安全事件和组织和管理八个方面,对个人信息收集和处理活动进行了规定。本文选取自动驾驶行业场景,对新《个人信息安全规范》下增强自动驾驶场景数据安全体系健壮性提出建议。
一、个人信息收集内容和方式与自动驾驶场景数据合规
《个人信息安全规范》根据《网络安全法》确立的“合法、正当、必要” 原则,对收集和处理个人信息的内容与方式做出规定,其核心要求为在个人信息主体(用户)知情同意的前提下仅收集满足提供服务的最少个人信息。保障个人信息主体知情同意权主要通过个人信息(隐私)保护政策实现,仅收集满足提供服务的最少个人信息的要求也包括对采集信息的频率和存储信息的时间要求。
互联网场景下收集个人信息主要通过手机移动互联网应用程序(APP)、笔记本电脑网站主页、小程序等进行,在用户使用服务或者访问网站前,商家展示个人信息(隐私)保护政策或者 Cookie政策,由用户主动勾选表示同意,从此商家可以正当地通过要求用户提供更多个人信息和收集用户使用服务中的产生的更多信息。自动驾驶涉及的个人信息收集行为发生在物联网场景下,收集个人信息介质和用户来源更加多元。不仅仅包括手机移动互联网应用程序(APP )、笔记本电脑网站主页、小程序等,还包括摄像头、传感器、智能设备、激光雷达等;不仅包括APP用户,还包括不使用APP 的司机、乘客、行人等。
中国目前自动驾驶仍然主要处于测试阶段(尽管武汉已经率先颁发商用牌照),国家和各省的法律规范均要求测试车辆必须配备自动驾驶测试驾驶人(司机);试乘试驾可以通过APP预约,未通过 APP预约的乘客也可以参加试乘试驾。在测试或者试乘试驾过程中,会收集包括乘客和司机在内的个人信息,需要向他们告知个人信息收集和处理规则并且征得同意。传统车企在售卖具有自动驾驶部分功能的车辆,也会涉及收集车主之外的乘客等个人信息问题。《个人信息安全规范》不仅适用于通过 APP 客户端或者网页从手机或者电脑收集个人信息,也适用于通过传感设备等其他方式和纸面方式收集个人信息。因此,需要考虑和司机签署合同或者以适当方式车内告知乘客等个人信息收集方式并获得同意。
目前国家和各省市对自动驾驶测试车辆采集的个人信息均有特殊规定。例如国家层面工信部规定应当记录反映测试驾驶人(司机)和人机交互状态的车内视频及语音监控情况(正常情况下乘客的视频和语音也有可能被收录),并自动记录和存储信息在车辆事故或失效状况发生前至少90 秒的数据,数据存储时间不少于3年。此外,自动驾驶进行测试并且优化算法的过程中,需要借助大量的训练数据,这些训练数据包括大量个人生物识别信息。《个人信息安全规范》中个人信息包括个人生物识别信息,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等,规定个人生物识别信息为敏感信息,对敏感信息尤其是个人生物识别信息均做出了许多特殊保护指引。
根据《个人信息安全规范》,自动驾驶场景在收集和处理生物识别信息时,至少应当考虑:a. 传输和存储个人敏感信息时采用加密等安全措施 ; b. 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;c. 个人生物识别信息应与个人身份信息分开存储; d. 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像; e. 个人生物识别信息原则上不应共享、转让,因业务需要,确需共享、转让的, 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
如果自动驾驶场景目前实践操作中并未包括上述全部措施,建议检视内部规程,增强个人信息保护的合规性。
二、个人信息使用和流转与自动驾驶场景数据合规
数据的生命力在于流转,大数据的特点也在于数据不断迭代和动态更新。新《个人信息安全规范》删除了“个人信息原则上不能共享、转让” 的规定(个人生物识别信息保留这一要求)。《个人信息安全规范》对数据使用的核心要求在于,使用数据的目的与范围不能超出个人信息主体在提供信息之初的合理预期,在内部存储和使用过程中内部员工和外部人员访问信息的最小授权原则(职责所需的最少够用个人信息和最小的数据操作权限),充分保障个人信息主体对个人信息控制的权利。围绕上述原则,《个人信息安全规范》对于数据通过对外转让、共享、委托处理、第三方接入等,在不同数据控制者或者处理者之间的流转做出规定,包括对外转让、共享再次征得同意,对数据接收方的数据安全能力进行评估,不能再次转让等。
自动驾驶车辆与传统车辆不同之处在于云端控制和自主控制的结合。通过车内网、车云网、和车际网“三网融合” 实现智能化,车辆可以通过云端控制平台远程控制,车辆本身成为一个大的智能终端,各网络系统、平台、终端和外部环境之间的文字、图像、数据信息等实时快速交换。当然,也有不依靠网联而仅依靠车辆自身的器件完成车辆的感知、决策与执行,从而实现自动驾驶的路径。自动驾驶产业涉及的供应链长、生态圈广,包括整车厂商、软硬件供应商、电信服务商、运营中的生态伙伴等。
在优化自动驾驶算法的过程中,需要大量的训练数据,训练数据池中的数据越多,算法越精准,因此仅依靠自动驾驶场景自身数据往往难以满足需求,需要从数据供应商获得更多数据;在数据训练过程中需要对海量数据进行标注,数据标注涉及从第三方人力资源供应商获得低成本劳动力;通过自动驾驶车辆本身收集的信息需要接入中心平台;与其他供应商和合作伙伴也存在多形态的合作模式;导航地图、车载娱乐系统、支付等接入自动驾驶车辆涉及第三方通过自动驾驶车辆提供服务。
根据《个人信息安全规范》,在自动驾驶场景运营过程中,涉及的数据流转环节至少应当考虑:a. 对外共享、转让数据时征得个人信息主体(车主、测试人、乘客、司机等)同意,如果从第三方获得数据需要确保第三方已经获得个人信息主体对收集和转让共享的同意; b. 确保共享、转让数据的接收方、接收委托处理数据的供应商以及第三方接入方的数据安全能力,并通过审计等方式进行动态管理;c. 在合同中明确权限与责任。
三、非个人信息数据与自动驾驶场景数据合规
根据《网络安全法》和《个人信息安全规范》的规定,匿名化的数据不属于个人信息。在自动驾驶产业中,不仅涉及个人信息,还涉及大量非个人数据。
自动驾驶车辆本身会产生车辆数据(车辆控制模式、车辆位置、车辆速度、加速度等运动状态、环境感知与响应状态、车辆灯光、信号实时状态等);自动驾驶系统高度依赖激光雷达等传感数据、卫星导航定位数据和高精地图,对自动驾驶车辆进行感知和定位,涉及测绘和地图数据;一定条件下的测绘和地图数据属于涉密信息,达到标准的需要按照国家秘密进行保管和使用,属于《网络安全法》下广义的重要数据。
根据《关于导航电子地图管理有关规定的通知 》、《关于加强自动驾驶地图生产测试与应用管理的通知》和《关于进一步加强导航电子地图数据保密管理工作的通知》等规定,自动驾驶地图属于导航电子地图的新型种类和重要组成部分,对于数据的采集、编辑、加工、制作、共享等均有资质要求和限制性规定,例如原则上不得共享、尤其是不得和有外资成分的公司共享。
对于自动驾驶的测绘和地图数据,除共享的特殊要求外,法律对采集和表达的要求也有严格的规定。例如,根据《导航电子地图安全处理技术基本要求》(GB20263-2006),导航电子地图不得采集重力数据、测量控制点、高压电信、植被覆盖、行政区域界线等地理空间信息,可以采集但是不能在地图上表达的信息包括军事设施、监狱、铁路等基础设施数据。
如果涉及实景地图,根据《关于进一步加强实景地图审核管理工作的通知》,必须遵守《公开地图内容表示若干规定》、《公开地图内容表示补充规定(试行)》、《遥感影像公开使用管理规定(试行)》、《基础地理信息公开表示内容的规定(试行)》等有关公开地图管理规定,不得表示正面或内部结构清晰可见的各种军事设施、涉及国家安全的要害部门或单位、与公共安全相关的单位和涉及国家经济命脉的民用设施等,以及这些单位、设施的指示牌、标牌等特征符号;不得表示重要桥梁、隧道、水库、高压电线等的属性信息标牌等。
除上述关于测绘、地图信息采集、表达和共享的特殊规定,用于自动驾驶技术试验、道路测试的地图数据(包括在传统导航电子地图基础上增添内容、要素或精度提升的 ),应当按照涉密测绘成果进行管理,并采取有效措施确保数据安全。根据《测绘资质分级标准 》- 导航电子地图制作专业标准,保密管理条件需要经国家测绘地理信息局考核合格,符合以下要求: 1.保密机构健全,人员、职责明确落实; 2 .保密制度完善,使所属人员知悉与其工作有关的保密范围和各项保密制度; 3.保密要害部门制定严格的保密防范措施,并组织实施。配备必要的保密设备和设施;4 .涉密设备和网络必须与互联网物理隔离;5.经常进行测绘保密检查,发现问题及时解决;6 .在数据制作区域,禁止使用无线网络,并能够自动识别外来设备入网;生产办公设备禁止在互联网上使用,作业用计算机的USB端口、串口、并口必须封闭;7 .数据生产环节中的数据必须使用经加密处理的自有格式。上述保密管理条件的规定和《个人信息安全规范》中关于网络和数据安全规定的整体思路和路径是一致的。
总结:2020年3 月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据和土地、资本、劳动力和技术要素市场并列;将来生效的《民法典》和《个人信息保护法》也将对个人信息保护做出更加具体的规定。国家层面的政策和法律层面的规定根据其规则位阶及功能定位,仍然以指导性和原则性的规定居多,《个人信息安全规范》将始终对自动驾驶场景的数据安全体系建设具有重要的指导和参考作用。根据《全国信息安全标准化技术委员会 2020年度工作要点》,拟支持的数据安全管理标准包括数据分级分类、重要数据识别、网络平台数据安全(网络预约汽车、网络支付、网上购物、即使通信、快递物流、网络广播等)、App 个人信息安全等,值得跟进关注。
(作者:王源)