随着科技的飞速发展,伴随着汽车行业的数字化转型,智能网联已经成为了当前汽车发展的重要趋势。新时代的智能网联车辆不仅具备了传统汽车的功能,还配备了各种传感器、通信设备和计算能力,使它们能够实现自动驾驶、实时交通信息获取、远程诊断等功能。然而,随着智能网联汽车的普及以及智能化程度的提高,用户的隐私问题也逐渐凸显,引起广泛关注。那么,就让我们一起讨论一下智能网联汽车隐私保护的问题:
第一个问题:什么是智能网联汽车?
目前可以查询到在政策法规中明确提及“智能网联汽车”概念的,主要有4部:
1、由国家由国家工业信息安全发展研究中心牵头编制的《智能网联汽车数据安全评估指南》团体标准中对智能网联汽车的概念描述为:指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与x(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现安全、高效、舒适、节能行驶,并最终可实现替代人来操作的新一代汽车。
2、《上海市智能网联汽车测试与应用管理办法》中明确的智能网联汽车,是指搭载先进的车载传感器、控制器、执行器等装置,融合现代通信与网络技术,实现车与人、车、路、云端等进行智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,最终可替代人操作的新一代汽车。
3、《重庆市智能网联汽车道路测试与应用管理试行办法》中所称智能网联汽车,是指搭载先进的车载传感器、控制器、执行器等装置,融合现代通信与网络技术,实现车与人、车、路、云端等进行智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可以实现安全、高效、舒适、节能行驶,并最终可以实现替代人操作的新一代汽车。
4、《深圳经济特区智能网联汽车管理条例》描述相对简单,具体指可以由自动驾驶系统替代人的操作在道路上安全行驶的汽车,包括有条件自动驾驶、高度自动驾驶和完全自动驾驶三种类型。
通过上述定义,我们可以看出智能网联汽车具备的典型特征是搭载数据相关硬件,可实现数据采集、交换、传输、共享、存储等具体处理活动,最终实现替代人操作的汽车。为了实现这一目标,需要大规模的数据收集和传输,然而,正是由于这种大规模的数据收集和传输,智能网联汽车引发了一系列用户隐私问题。
第二个问题:智能网联汽车会带来哪些用户隐私问题?
1、地理位置跟踪
智能网联汽车需要定期报告其位置信息,以提供导航和交通信息。尽管这有助于提高驾驶体验,但也可能导致用户的地理位置被不当跟踪或滥用。例如,恶意人士可能会使用这些数据来监视车主的活动,或者用于盗车、跟踪或其他非法目的。
2、驾驶行为分析
智能网联汽车还可以收集有关驾驶员行为的数据,如加速、刹车、转弯等。尽管这些数据可用于改善驾驶技巧和安全性,但也可能泄露个人驾驶行为,涉及用户的隐私。此外,这些数据也可能被用于定价保险,从而影响用户的保险费用。
3、个人偏好和习惯
智能网联汽车还可以收集关于用户的个人偏好和习惯的数据,如音乐选择、目的地选择、电话通话记录等。这些信息可能被用于广告定位和个性化推荐,但也可能被滥用或不当使用,侵犯用户的隐私。
4、数据泄露和黑客攻击
由于智能网联汽车与互联网连接,它们面临着数据泄露和黑客攻击的风险。如果恶意黑客入侵汽车系统,他们可以访问车辆数据,包括用户的个人信息、驾驶记录等。这不仅会对用户的隐私造成威胁,还可能危及他们的安全。
5、数据共享和第三方访问
许多智能网联汽车制造商与第三方公司合作,共享车辆数据以改进服务和功能。然而,用户通常对这些数据的共享和使用没有充分的控制权,可能不清楚哪些公司可以访问他们的数据,以及如何使用它们。这可能导致用户的隐私权受到侵犯。
第三个问题:解决用户隐私问题目前存在哪些挑战?
1、复杂车路云环境下保障隐私安全性难点多
确保用户隐私的安全性是目前非常大的挑战。车、路、云的复杂传输链路的各个环节都必须采取适当的安全措施,以防止数据泄露和黑客攻击。这包括加密数据传输、身份验证措施、漏洞修复等,对智能网联汽车制造商和运维服务商提出了非常高的要求。
2、如何做好用户隐私收集和使用的告知和同意成为核心痛点
在汽车销售、使用、维修保养、增值服务等各个环节,具体告知哪些内容,如何告知成为亟待解决的难题。通过综合梳理对汽车行业影响较大的法规标准,《个人信息保护法》从纲领层面对告知和授权同意进行了概括性规定;《汽车数据安全管理若干规定(试行)》则从汽车行业的专业视角阐述了对告知方式和告知内容的要求;而国家推荐性标准《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)则进一步明确了相关细化要求,2023年5月发布的《信息安全技术 个人信息处理中告知和同意的实施指南》也补充了对告知和同意的具体规定。
3、汽车行业面临着复杂的数据合规监管要求
截至目前,我国已正式发布实施了《网络安全法》、《数据安全法》、《个人信息保护法》、《关基保护条例》等数据合规的基础法规制度,除此之外,智能网联汽车还需遵守汽车行业相关的政策法规,如《关于进一步加强新能源汽车企业安全体系建设的指导意见》、《汽车数据安全管理若干规定(试行)》、《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》、《关于深化汽车维修数据综合应用有关工作的通知》、《关于加强智能网联汽车生产企业及产品准入管理的意见》;汽车行业相关标准指南,如《汽车信息安全通用技术要求》(GB/T 40861-2021)、《信息安全技术 汽车采集数据的安全要求(征求意见稿)》、《电动汽车远程服务与管理系统技术规范》(GB/T32960.3-2016)、《汽车网关信息安全技术要求及试验方法》(GB/T 40857-2021)、《智能网联汽车数据安全评估指南》等,还包括涉及国家重要数据的相关规定,如《智能网联汽车道路测试管理规范(试行)》、《智能网联汽车道路测试与示范应用管理规范(试行)》、《汽车雷达无线电管理暂行规定》等。不仅如此,各地还针对性的出台了地方管理规范,如《上海市智能网联汽车测试与应用管理办法》、《深圳经济特区智能网联汽车管理条例》、《重庆市智能网联汽车道路测试与应用管理试行办法》,智能网联汽车还需充分遵守归属地区的相关合规要求。
4、智能网联汽车场景复杂,数据处理活动梳理难度大,合规义务落地难
除了销售、使用、维修保养、保险等传统场景外,智能网联汽车还需要面对自动驾驶、实施定位、驾驶数据分析等全新的数据采集使用场景,如何全面不遗漏的梳理出各场景下的数据处理活动,对汽车企业提出了巨大的挑战。与此同时,个人信息保护影响评估(PIA,Personal Information Protection Impact Assessment)、跨境销售/用车时需要进行的数据出境评估、对产业链上下游进行数据对接时所需进行的第三方管理等合规义务的落实,也成为摆在智能网联汽车企业面前的具体问题。
用九智汇解决方案
用九智汇为了帮助汽车企业高效解决用户隐私保护问题,构建了数据合规与隐私保护平台。平台基于PbD合规治理理念,将隐私保护嵌入业务流程中,并形成高效的线上协助平台,并引入知识库和数据资产盘点结果作为隐私风险的梳理依据,保障隐私风险识别、处置流程的全面闭环。具体功能包括:
1、合规知识库:
通过收录隐私保护相关的法律法规、国标、行标、地方政策、监管动态、专家解读等内容,形成企业内部隐私保护工作的参考依据,并支持按行业、场景、名称、关键字等维度进行内容查询,可进行法规内容对比及血缘关联展示。
2、数据合规评估:
该模块为高效的线上评估平台,可根据预设模版或自定义问卷执行PIA等隐私保护相关评估。平台向上与数据资产治理结果打通,能够自动关联真实的数据情况;向下与数据处理活动关联,为数据处理活动提供梳理依据。
3、数据处理活动:
依据智能网联汽车各场景收集的隐私数据盘点和处理情况,绘制数据处理活动的数据流图,并针对处理活动的各个节点进行场景认定和合规检测。处理活动能够支持从评估中选择数据流转题进行自动化绘制,还更可使用Excel模版快速导入,也支持拖拉拽形式的手动梳理绘制。
4、隐私协议中心:
提供智能网联汽车个场景隐私协议的统一管理平台,可实现隐私协议的集中管理,历史版本留存、集成发布等功能,并提供各行业头部企业的隐私相关协议订阅功能。
5、告知同意:
自定义告知样式设定,支持手机端、PC端、车机端、TV端等多端集成,交互体验符合监管合规要求,并且保持多端界面友好、体验一致、内容同步,同时提供同意日志完整记录。
6、用户行权管理(DSR):
用户行权管理模块用于保障服务场景下,当用户要求行使个人信息主体权利时确保平台以及三方服务合作对象在数据服务过程中满足个人信息权利响应(DSR,Data Subject Request)的监管合规要求。包含用户行权入口、用户行权响应、用户行权反馈等多个环节功能。