5月12日,中国国家互联网信息办公室发布了关于《汽车数据安全管理若干规定(征求意见稿)》(以下简称“意见稿”)公开征求意见的通知,将禁止未经允许向境外传输用户数据以及由车载摄像头、传感器所搜集到的数据。此举或将对特斯拉在国内的运营造成不利影响。
近期,受“河南特斯拉女车主维权事件”影响,全球知名电动车厂牌特斯拉(Tesla)备受“刹车失灵”等负面声音的质疑,虽然目前该事件尚未最终确定是否真的是特斯拉汽车质量问题,但是特斯拉中国大陆的销量似乎已经受到了影响。
据乘联会发布的4月份国内新能源汽车销量情况显示,当月特斯拉中国的批发销量为25845辆,相比上个月35478辆的销量,4月特斯拉销量环比下降27%,直接下降了近万辆。不过,也有分析称,特斯拉销量下滑,与其上海超级工厂Model Y生产线在4月份曾停产两周升级产线设备,以及加大出口量有关。
此外,作为全球自动驾驶技术的领军企业,随着特斯拉汽车及其自动驾驶功能在中国的销量的持续攀升,其收集的大量数据而带来的数据安全问题,也一直业内关注的焦点。
目前,绝大多数的智能电动汽车为了实现辅助自动驾驶功能,都配备了众多传感器,比如卫星导航信号接收器、摄像头、毫米波雷达、超声波雷达、激光雷达等,每天汽车行驶在路上,可以通过这些传感器收集到大量的数据。而这其中很多的数据都会上传到汽车厂商的数据服务器。
以特斯拉Model 3为例,其就配备了8个摄像头、1个雷达和12个超声波雷达。有用户就曾表示,特斯拉启用辅助自动驾驶功能,行驶一天(里程不详),共计有3.9GB数据上传。虽然很少有驾驶一整天且均启用自动驾驶的场景。但特斯拉显然收集了GPS信号、行车轨迹、驾驶习惯、车辆所有操作,还可能搜集了一些与驾驶无关的信息。
此外资料显示,特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项。
虽然,目前特斯拉在国内有将数据存放在21世纪互联以及光环新网的IDC上,但每天仍有大量数据需要传送至美国进行处理。这也引发了对于国内特斯拉汽车数据安全的担忧,特别是在中美关系日益紧张的当下。
虽然,特斯拉首席执行官埃隆·马斯克(Elon Musk)曾公开表示,特斯拉绝不会向美国政府提供其在中国或其他国家所收集的任何车辆和用户数据。但是特斯拉毕竟是美国公司,受美国政府管理,马斯克的这种承诺在大国博弈之下,只能是一句空话。
目前全球各国监管机构们也普遍要求跨国科技公司,要将数据处理和存储均保留在当地,严格限制将数据传输至境外。甚至此前美国还曾以信息安全为由强制TikTok出售了其美国业务。
此前,国内已有部分政府机构、军事等敏感区域开始禁止特斯拉汽车入内。此举动表明,中国正在预防可能无意间泄露政府机构、军事设施,以及其他敏感地区的相关数据。在近期“河南特斯拉女车主维权事件”影响下,特斯拉汽车的数据安全问题也再度成为了业内关注的焦点。
5月12日,网信办发布的《意见稿》指出,本规定的制定是为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。
《意见稿》明确要求运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。
《意见稿》强调,个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
《意见稿》还要求,运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
对于网信办的针对“汽车数据安全管理”的意见稿,5月12日,特斯拉通过官方微博转发该意见稿,并表示:“我们支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展。”
有分析称,中国政府此举是担心随着特斯拉汽车在中国销量持续增长,特斯拉汽车在中国道路上所收集的数据将会越来越丰富,其中将不可避免的会包含这一些敏感数据,如果这些数据会被美国政府利用,将会对中国的国家安全构成影响。现在通过汽车数据安全管理的相关法规,对于汽车的数据的收集、分析、存储、传输、查询、利用、删除以及向境外提供个人信息或重要数据进行严格管理,也是必然。
至于此事对于特斯拉的影响,有业内人士人表示,从短期来看,此举恐将打击特斯拉在国内的竞争力。但是从长期来看,随着特斯拉对于国内特斯拉汽车及用户的数据处理和存储变得更加的合规,将有助于打消一直以来外界对于特斯拉汽车数据安全的质疑,从而提升在国内市场的竞争力。
附件:汽车数据安全管理若干规定(征求意见稿)
国家互联网信息办公室
2021年5月12日
汽车数据安全管理若干规定
(征求意见稿)
第一条:为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。
第二条:运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。
第三条:本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。
本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。
本规定所称重要数据包括:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
第四条:运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。
第五条:运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。
第六条:倡导运营者处理个人信息和重要数据过程中坚持:
(一)车内处理原则,除非确有必要不向车外提供;
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
第七条:运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息:
(一)收集每种类型数据的触发条件以及停止收集的方法;
(二)收集各类型数据的目的、用途;
(三)数据保存地点、期限,或者确定保存地点、期限的规则;
(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。
第八条:运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:
(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;
(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;
(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;
(四)驾驶人能够随时、方便地终止收集;
(五)允许车主方便查看、结构化查询被收集的敏感个人信息;
(六)驾驶人要求运营者删除时,运营者应当在2周内删除。
第九条:运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
第十条:仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。
第十一条:运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
第十二条:个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。
第十三条:运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。
第十四条:运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。
第十五条:运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。
第十六条科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。
第十七条处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括:
(一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式;
(二)处理数据的类型、规模、目的及必要性;
(三)数据的安全防护和管理措施,包括保存地点、期限等;
(四)与境内第三方共享数据情况;
(五)数据安全事故及处理情况;
(六)与个人信息和数据相关的用户投诉及处理情况;
(七)国家网信部门明确的其他数据安全情况。
第十八条:如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况:
(一)接收者的名称和联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)国家网信部门明确的向境外提供数据需要报告的其他情况。
第十九条:国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。
参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。
第二十条:运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。
第二十一条:本规定自2021年 月 日起施行。
编辑:芯智讯-浪客剑 资料来源:网信办