本文来自微信公众号:财经E法 (ID:CAIJINGELAW),作者: 樊朔、姚佳莹、张剑、樊瑞、实习生杨柳,编辑:郭丽琴,头图来源:视觉中国
步入自动驾驶时代,汽车作为新生代智能终端设备,汇聚了丰富的数据。在车企不断创新以提升竞争力之时,如何有效保护消费者个人信息、个人隐私乃至国家安全,已成为多方关注的议题。
不难理解,车企为实现自动驾驶功能而在车外布置摄像头,已引发数据安全风险,中国也于去年出台了相应法规。2022年上半年,比亚迪、小鹏以及东风日产旗下汽车应国家数据安全法规的要求,均暂停了部分车外数据采集功能。但车内摄像头因何设置,收集并处理了哪些数据,以及这些数据的最终流向,却较少为公众所知。
此前,财经E法在北京、上海、重庆三地18家4S店,通过实地了解,以及查阅用户手册、隐私政策等文件,客观呈现了9个新能源车与燃油车品牌安装和使用车内摄像头的情况。(详见车内摄像头隐忧(上))
与此同时,财经E法通过采访资深技术及产业人士、接近政策制定的专家学者,试图梳理出一条创新与监管互动的脉络。
一、非装不可吗?
近年来,特斯拉频频因车内摄像头带来的隐私问题引发全球关注,并波及中国市场。
据媒体2023年4月初报道,2019年至2022年,特斯拉美国员工在内部消息系统中,私下分享了车主摄像头拍摄的视频和图片。北美特斯拉“客户隐私通知”中表示,“车辆摄像头的记录是匿名的,不会与你或你的车辆相联系。”但该报道称,受访人证实,系统可以显示视频记录的位置,这极有可能揭示特斯拉车主的居住地。
此外,该报道援引一位特斯拉的前雇员称,几年前,如果车主同意了分享数据,即便这些车辆处于关闭状态,特斯拉公司也会收到来自这些车辆的视频记录。但后来就没这么做了。财经E法发现,特斯拉官网的Model 3车主手册仍显示,默认情况下,驾驶室摄像头采集的图像和视频不会离开车辆本身,也不会传输给任何人(包括 Tesla),除非用户启用数据分享。
此前的2021年4月6日,“特斯拉车内摄像头高清画面”曾登上微博热搜。一名黑客提取到特斯拉车内摄像头的拍摄画面。从视频中可以看出,摄像头拍摄的画质清晰,拍摄范围涵盖主副驾驶位。特斯拉此后回应称,驾驶室摄像头目前在北美以外的市场并没有激活。即使是在美国,车主也可以自由选择是否开启使用。
2021年3月,特斯拉CEO埃隆·马斯克(Elon Musk)首次承认,特斯拉通过车内摄像头来监视驾驶员,这也引发了众多车主对侵犯隐私的担忧。彼时,马斯克在推特发布消息称,将收回一些车主的FSD beta版(直译为“全自动驾驶”的驾驶辅助系统测试版,由于仍需人类驾驶员来关注路况,该名称一直受到争议)的试用权限。原因是这些车主在使用特斯拉的 FSD Beta版功能时,没有对道路情况给予足够的关注。
有用户通过社交媒体向马斯克询问,特斯拉的车内摄像头,是否可以检测车主的目光?对此,马斯克直接回答“Yes”。2021年5月,多家媒体报道称,特斯拉汽车对其车机系统进行了新软件更新,使其可以在用户使用自动驾驶功能时通过汽车内部摄像头对司机进行监控。
2021年3月,马斯克首次承认,特斯拉通过车内摄像头来监视驾驶员
但就在2019年,马斯克接连在社交媒体上回应用户询问时表示,特斯拉的车内摄像头并未启用,只是专为未来的无人驾驶出租车(Robotaxi)设计的。
2019年,马斯克回应用户疑问时称,特斯拉的车内摄像头并未启用
据财经E法了解,在中国,目前不少汽车厂商都在产品中安装了车内摄像头,并实现多种功能。
中国欧洲经济技术协会智能网联汽车分会秘书长林示总结,目前车内摄像头主要有三个功能:第一,人脸识别,即通过人脸识别可以启动车辆、调节座椅;第二,监测驾驶状态,识别驾驶员的疲劳状态,如果疲劳驾驶,车就会报警提醒;第三,拍照摄像。
“其中,第二个的功能还是很有必要存在的。”林示表示。
广汽埃安用户手册对车内监控摄像头的描述
360车联网咨询顾问胡俊进一步介绍,实现高级辅助驾驶功能,一般需要使用前视、侧视、后视、内置摄像头。其中,内置摄像头属于驾驶员监测系统(DMS),主要用于检测驾驶员是否疲劳、闭眼等。这类摄像头主要采集的是人脸信息,如通过驾驶员眼睛睁闭、眨眼的频率和时长等判断驾驶员是否疲劳驾驶。
但也有受访专家认为,不安装摄像头也能实现监测驾驶员状态的功能,三个功能的摄像头都不是必需的。车企安装车内摄像头可能有标准、商业等多角度考量。
ICMA智联出行研究院副院长罗为认为,车内摄像头的主要功能是解决驾驶安全问题,但这个功能的实现路径不一定必须通过摄像头。“只能说是一些汽车厂商为解决司机疲劳驾驶问题而选择的一种技术手段,并不是必然的方案。”罗为表示。
财经E法在实地探访中也发现,有汽车品牌并未安装摄像头或传感器,也能实现监测驾驶员状态的目的。《车内摄像头隐忧(上)》显示,在北京市大兴区的一家奥迪4S店,奥迪销售人员表示,目前该品牌全系均未安装车内摄像头,但也配备了驾驶员疲劳监测功能,但均是通过方向盘的使用、踩油门、刹车的力度和调度,综合判断是否疲劳驾驶。
一位不愿具名的汽车智能座舱工程师则分析,解决驾驶安全问题确实有多种实现路径。例如,最早可以通过安装压力传感器判断驾驶员操作方向盘的方式来确认安全驾驶状态。但用视觉方式确认驾驶员的疲劳状态是当前汽车产业的发展趋势。
该工程师解释说,目前,不论是世界三大汽车安全机构之一的欧洲新车安全评鉴协会(E-NCAP),还是中国汽车技术研究中心(C-NCAP),都对驾驶员监测系统进行了规定,需要用摄像头判断用户是否分心疲劳。因此,“从车企安全达标角度,会有更多的车型依照两个标准配置摄像头。”他说。
此外,该工程师认为,一个摄像头同时满足多种功能,对车企是最具性价比的选择。从成本角度,增加一个摄像头(包含线束、硬件外设)成本为数百元,在此基础上,通过软件增加其他功能仅为几块钱。“软件功能做的越多,摄像头配置方案的性价比越高。”他说。
车企也需在商业利益与合规之间做平衡。罗为补充说,目前国内车企、尤其新能源汽车产商竞争激烈,客户的驾驶体验也是车企在开发、配置功能时的重要考量和销售亮点。“所以在产品论证时,他们往往需要做风险评估”。
二、信息泄漏风险几何
据中南大学交通运输研究中心研究员时蔚然了解,特斯拉可以采集车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等在内的200多项信息,国内智能汽车厂商也能采集170多项。
如果车企选择安装并启用车内摄像头,会搜集到哪些信息?
时蔚然表示,从技术实现来说,车企想获取车主在行驶过程中的各类信息非常容易。他介绍说,智能网联汽车基本都会主打增强用户的个性化体验、与其他智能终端设备之间的互联;未来还可能实现与整个交通网络之间的资源共享等交互信息。在采集、存储数据后,车企还会将其运用于车辆制造、出行服务等,就会涉及数据分析。
世辉律师事务所合伙人、律师王新锐对财经E法指出,无论是朝向车外还是车内的摄像头,其采集的数据类型主要取决于具体包含的内容。车内摄像头采集的信息中可能同时包含个人信息数据、敏感个人信息和重要数据。
具体到今年4月特斯拉员工泄露用户视频事件,北京航空航天大学法学院副教授赵精武指出,事件中遭泄露的视频属于个人信息。他认为,如果摄像头拍摄的内容涉及到驾驶人在驾驶活动中的全程数据,可能属于敏感个人信息。
那么,处理这些数据的过程中,泄漏个人信息和隐私的风险有多大?
据罗为介绍,一般车机端的数据处理包含三种模式:一是“即用即清”,例如表达了一个语音指令:打开车窗,系统会识别指令并传达到相关功能模块,在动作完成后便删除语音数据;二是存在车内;三是存在云端,如需要远程查看车内景象的场景。
林示介绍,数据在上传云端后最容易被泄露,例如被黑客攻击获取客户数据。赵精武补充说,那些具备上传云端相册功能的摄像头,其信息泄露风险既来源于上传行为本身,又包括云端服务提供者能否确保数据安全。
近期特斯拉被曝光事件则新增另一种数据泄露情形:车企员工私下分享了车主摄像头拍摄的视频和图片。对此,林示认为,监管部门需加强监管,让所有上传到云端的数据只有车辆所有人可以解锁查看,厂家或其他任何人都无权调取。此外,隐私保护的重点在于,厂家在设置方面不要留有后门,例如厂家不能自动操控车内摄像头开启,消费者可以自行关闭车内摄像头。
罗为补充说,云端存储数据的风险主要看:首先,车企或者软硬件供应商能否直接进入用户账户调取数据?一般用户数据是不可直接调取的,即使为实现某项功能,也不该存储原始信息。其次,如果存储的是原始文件,是否加密、加密程度是否与数据重要程度相匹配。
对此,王新锐表示,特斯拉此次事件若发生在中国,则涉嫌违法。在中国销售产品的车企均需遵守《个人信息保护法》《数据安全法》等法律及规范性文件等设定的数据安全管理义务。对违法行为,相关法律均规定了警告、没收违法所得、责令暂停或终止提供服务、罚款等处罚措施。此外,中国的《刑法》也规定了侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、帮助信息网络犯罪活动罪等相关罪名,以打击相关数据违法行为。
在财经E法的调查中,部分厂商采用了无实时拍摄或无存储功能的摄像头,这是否能够规避个人信息或隐私泄露的风险?
赵精武告诉财经E法,无论哪种摄像头或传感器都存在数据泄露的风险,现有的网络攻击模式中,均可通过联网的摄像头(即便该摄像头没有存储功能)以及传感器进行远程非法访问并控制,进而窃取相关的语音、图像以及驾驶数据。
三、监管落地难题
过去数年,中国陆续出台了相关法律和国家标准规范车辆数据处理,包括《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》等法规。
更全面的车辆数据安全的规范体系,还包括《信息安全技术 汽车数据处理安全要求》和《信息安全技术 网联汽车采集数据的安全要求》(标准草案)两部推荐性国家标准,以及《汽车传输视频及图像脱敏技术要求与方法》《车联网信息服务数据安全技术要求》《车联网信息服务用户个人信息保护要求》等团体标准。
其中,2021年4月28日公布的《信息安全技术 网联汽车采集数据的安全要求》标准草案规定,未经被收集者的单独同意,网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。网联汽车不得通过网络、物理接口向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据。
已于2023年5月1日实施的《信息安全技术 汽车数据处理安全要求》(下称《安全要求》)对座舱数据(cabin data)给出的定义是,通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,以及对其进行加工后产生的数据。
《安全要求》中第6节“座舱数据安全要求”规定:除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态,包括不打开车内的摄像头、传声器、红外传感器和指纹传感器等部件;汽车数据处理者应提供便利的终止收集座舱数据的方式。
更为重要的是,《安全要求》要求除了五种特殊情形,汽车不应向车外提供座舱数据。其中一种特殊情形为,为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,除使用者外的其他组织和个人不能访问。
《安全要求》还提出,汽车数据处理者处理重要数据,一般应在完成脱敏处理后再进行其他处理;处理个人信息,一般应在匿名化处理或去标识化处理后再进行其他处理。
但在这些规定的落地过程中,也面临多个难题。
首先,多位专家认为,合规保护责任的合理边界是确保用户的知情权,即要让用户知晓自己的数据如何被采集、以何种方式被处理等重要事项,并作出是否同意采集的决定。
“车企基本都在用户手册、车机端中控屏或手机App上设立隐私条款,提示给车主,车主勾选同意。”时蔚然说。这也与财经E法实地探访的情况一致。
但告知-同意-勾选在现实中可能变得复杂。时蔚然指出,在智能汽车应用中,其收集的车内数据可能涉及不同的个人信息主体,既有车主,还会包括实际驾驶人、乘客。车主、实际驾驶人还有可能先了解隐私条款,然后同意-勾选,但乘客就可能无法接触到这个环节,除非乘客的个人信息保护意识强。但是告知每个乘客,征求其同意,几乎是不可能的。“这就要求在制定隐私政策时,应该考虑针对不同的个人数据主体,设计不同的数据处理机制。”时蔚然指出。
其次,多位受访业内人士指出,对行业产生了直接影响的是2021年10月1日施行的部门规章——《汽车数据安全管理若干规定(试行)》(下称《试行规定》)。《试行规定》第六条规定,国家倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理原则”:除非确有必要不向车外提供。但有不愿具名的人士指出,目前各家车企并没有完全执行到位。
华诚律师事务所高级合伙人吴月琴告诉财经E法,“车内处理原则”不是强制性规定。
财经E法的探访也发现,蔚来可以将车内拍摄的内容上传至云端;此外,蔚来和宝马两个品牌还可以在移动设备上显示车内拍摄内容。
这其中有整体落地的困难。时蔚然指出,根据接触到的行业信息,每辆智能车辆每天采集的数据一定是TB级别的。而车端的存储卡虽然大小不一,一般都是GB级别的。因此,在现有技术条件下,上云是全球绝大多数车企/消费者不得不做出的选择。
此外,根据时蔚然的介绍,智能网联车采集并上传到云端存储的数据主要包含三类,第一类占比最大,是行驶中通过传感器、雷达、车外摄像头采集到的环境感知数据、运行控制数据等。第二类是通过App收集到的车主信息、车辆信息等基础数据。第三类是座舱内数据,比如由车内摄像头拍摄的影像和图片,但第三类较前两类数据规模较小。
时蔚然指出,目前广泛应用的自动驾驶技术,如果选择了云存储服务,就是由车辆统一采集相关数据后全部上传到云端,用于各类算法学习训练。“现有的云存储场景没听说过把座舱内数据单独拿出来的情况。”时蔚然说。
王新锐也表示,在车端处理数据肯定更安全,但对芯片算力的要求也更高,完全靠车端芯片的算力不一定够用,所以车企确实存在云端进行数据处理的需求。
王新锐认为,这也是《信息安全技术 汽车数据处理安全要求》中对座舱数据车内处理使用“原则上”规定的原因。王新锐对财经E法表示,车企对车内摄像头数据处理的规定和国标还是普遍高度重视的,但在落地中有时会面临各类要求不能兼得的问题。此外,他指出,《试行规定》只是“试行”,这在数据类立法中并不是普遍现象,这也反映了监管层面考虑了很多现实问题,也需要在实践中摸索。
此外,实际操作中也可能存在对车内数据合规不如车外合规重视的情况。
吴月琴告诉财经E法,基于《试行规定》第八条要求,国内已销售的新能源汽车、智能网联功能车辆出于合规化要求关闭了部分车外采集功能,但车企公开披露的信息并未涉及车内摄像头搜集处理数据。
四、仍待寻求破解之道
虽然各方高度关注,但受访专家认为,要规避车内摄像头的数据安全风险依然面临较大挑战。
一方面,智能网联汽车在发展的进程中,为了应对复杂多样的路况和行车场景,不可避免地要进行数据的收集与分析使用;另一方面,个人信息、隐私切实关乎个人权益。
在吴月琴看来,车内摄像头客观上在保证驾驶人和车辆安全、用户体验等方面可以带来不少便利,但不应以让渡个人信息和隐私为代价,面对这一利益冲突时,法律的天平应倾向于保护个人权利。
从更大的角度,“汽车数据的安全需要技术、法律、市场、标准等治理工具的综合保护” 赵精武说。
时蔚然介绍,从技术角度,智能汽车的数据泄露主要有三种可能:第一是黑客攻击,直接进入车辆信息控制系统,从而控制车辆的一些功能并窃取数据;第二是通过特制芯片及非法的“黑卡”,连接到车辆CAN总线系统,再通过无线通信网等控制汽车所有控制域的部件,也可以窃取数据;第三是破解密码,窃取车主使用的解锁App等各类密码,进而定位车辆并窃取相关个人隐私信息和车辆控制信息。
同样从技术的角度,赵精武认为,绝对的数据安全是不存在的。他分析说,数据攻击、数据窃取的技术成本远低于数据保护成本,现阶段车联网数据安全风险无法完全避免。因此,立法者和企业只能尽可能降低数据安全风险。
林示分析说,虽然目前厂家在隐私条例中都会声明严格隐私和个人信息保护,但在实际执行过程中,有很多数据外泄的风险。中国很多数据泄露的案例,归根结底是接触数据的人太多了。“如果能在接触数据的人方面加强管理,是可以避免这一问题的。”林示说。
垦丁律师事务所创始合伙人麻策正从事智能网联车数据合规工作。在他看来,相比于传统智能手机类数据,汽车数据作为新生代终端数据,数量和类型更丰富,更易引起黑灰产的觊觎,智能网联车数据合规的复杂程度也呈几何级倍数增加。
在参与主体上包括品牌车企、制造商、智能座舱供应商、智能路网建设方等不同主体,数据缠绕关系十分复杂;在汽车功能上涉及到座舱系统、辅助驾驶、OTA升级、驾驶监控等不同功能;在数据类型上涉及到车外数据、座舱数据、雷达传感器、音视频,不乏重要数据参杂其中。
麻策同时指出,在智能网联汽车领域,目前市场竞争导向仍然远大于数据安全导向。有待法律法规的完善,以形成完整有效的落地标准,而更清晰的数据合规规则还有赖实践探索。
番外:重要背景动向
附1:国内汽车个人信息泄露案例
2022年12月20日,蔚来在其官方社区发布声明称,12月11日,公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
2022年5月6日,微博博主“@李老鼠说车”发布视频称,在高合汽车HiPhi X的“车车互联”功能,点击“wifi发射”选项,可以接收其他同类型高合车辆的行车记录仪实时画面。高合汽车被质疑泄漏个人隐私。
5月7日,高合汽车针对此事发布声明:“该事件提到的功能属于车队出行、车路协同系统的组成部分,出厂时默认关闭,需用户在车辆上电后,打开设置中的功能选项,并通过二次确认隐私条款弹窗才能开启。车辆下电后该功能无法启用,也无法远程开启。此功能在开发之初就充分考虑到了用户隐私的保护,并设置了多种保护及确认措施,无任何存储。不存在泄露用户隐私,请广大用户放心。”5月7日当天,“@李老鼠说车”发现,高合汽车取消了“车车互联”的“wifi发射”功能。
附2:部分车企“车外数据的收集和处理”的整改进展
2022年3月,比亚迪和东风日产旗下汽车称停用了远程查看车载摄像头功能。
2022年5月23日,小鹏汽车称暂停了“App端远程查看车外摄像头”功能。
2023年4月19日,小鹏汽车客服向财经E法回应称,根据《汽车数据安全管理若干规定(试行)》要求,小鹏汽车暂停了App远程查看摄像头功能,目前还没有收到相关的替代方案或升级优化通知。
2023年4月19日,比亚迪客服向财经E法表示,目前比亚迪远程查看车载摄像头的“千里眼”功能还未恢复。其原因是,根据最新法规要求,汽车收集车外视频、图像数据,如需向车外提供,应在车端对数据中的人脸、车牌信息进行匿名化处理,“千里眼”功能正在基于该项法规要求进行优化,所以暂时无法提供千里眼调用车外影像服务。厂家已经参照《汽车传输视频及图像脱敏技术要求与方法》,完成了方案优化,优化后还需经过监管部门审核,审核通过后将立即开放功能。
本文来自微信公众号:财经E法 (ID:CAIJINGELAW),作者: 樊朔、姚佳莹、张剑、樊瑞、实习生杨柳,编辑:郭丽琴