自动驾驶汽车数据安全的系统化思考 ——兼评《汽车数据安全管理若干规定(征求意见稿)》
一、前言:汽车行业的系统化变革
首先引用一段钱学森1985年的文章《法制建设中的现代科学技术》的内容,“……我们的法制和法治是可以用科学的方法来检验的。所谓科学的方法,就是要科学地建立一个庞大的体系并运转这个复杂的体系。现在有一门技术叫做系统工程,就是干这件事的。”所以,用系统工程的技术方法,可以对法制体系中的一个呈现:《汽车数据安全管理若干规定(征求意见稿)》(下称“《规定》”)做一个分析尝试。但能力有限,本文的分析远未触及系统科学和工程技术的要旨。
汽车行业毫无疑问是这个变局时代关注的焦点之一。无论是入局者扎堆,还是技术路线纷争,都体现出汽车智能化,以至自动驾驶汽车已经成为汽车行业必须实现的中期目标。然而,自动驾驶汽车也同样是当前系统工程最大的挑战之一。这不仅是因为自身系统的复杂性,还是因为自动驾驶汽车是更大的道路系统,乃至智慧城市的一个子(系统)部分。
二、对《规定》的系统化评价
本文尝试对《规定》主要内容的十个方面进行粗浅的系统化(要素)评价,读者可以自行得出《规定》在系统工程下演进的大致阶段。
1、定位和依据
《规定》的定位是规范汽车数据处理活动,在制定目的上写明了维护国家安全和公共利益,保护个人信息和重要数据。
2、适用对象
从数据流程上,《规定》将“收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据”纳入调整范围。从主体上,《规定》界定了“汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等”适用主体。也形成了“境内设计、生产、销售、运维、管理汽车” 的产业链思考。
3、对个人信息主体的车内数据原则
如果说《规定》的立法目的、适用对象“中规中矩”,接着的个人信息和重要数据的约束原则就值得商榷。
《规定》将个人信息主体规定为“个人信息包括车主、驾驶人、乘车人、行人等”,结合上下文,(除行人数据外)我们可以称之为个人信息主体的车内数据(处理)原则。
4、重要数据的车外数据原则
从《规定》的重要数据列举看,这些重要数据,包括将《网络安全审查办法》(修订草案)规定的“掌握超过100万用户个人信息”所可能形成的重要数据主要的都位于车外,因此可称之为重要数据(处理)的车外数据原则。
从系统化的角度看,尽管我们的认识无法准确的发现哪里不对,但显然这些规定不够“系统”。例如,从企业的角度,无法根据《规定》对车内承载的数据重要性进行界定和约束。其无法识别车内处理的非重要数据如何达到重要数据的“临界”,甚至可能简单的得出车内无重要数据的结论。
5、汽车数据处理的比例原则
在《规定》的运营者处理个人信息和重要数据五大原则中,除了车内处理原则的系统性问题外,可能还需要考虑其他原则的适当性问题。
例如作为比例原则重要组成的“精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率”,这里就存在系统性的难题和矛盾。一方面汽车行驶的安全强制性规定存在对车外环境更高精度的要求,另一方面,《规定》要求对“自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理”。
《规定》意识到了这一症结,但却难以在《规定》层面给出法律解决路径。特别是随着安全研究的突飞猛进,现有的车载安全技术措施脆弱性持续发掘,轮廓化处理可能不断暴露着安全漏洞的重大风险,这对汽车数据收集的范围、准确、实时提出了更高要求,但却不断面临严格的个人信息保护的限制,急需汽车“系统”的外部性(匿名化处理能力,因此也不能将汽车作为IoT简单处理)的介入。
6、汽车数据处理的默认不收集原则
自动驾驶汽车的演进意味着不断的数据输入感知和输出反馈,《规定》明确以默认不收集为原则,将可能会阻碍汽车智能化的发展。甚至恰恰相反,默认收集可能是自动驾驶的一般原则,但应限定在“本次驾驶”的范围内。
略显遗憾的是,本应特别“出彩”的规定何为“本次驾驶”,但《规定》却只是点到为止的规定了“驾驶人离开驾驶席”为本次驾驶结束,由于无法定义“自动驾驶”系统,这一就驾驶结束的规定自身也存在争议。
7、针对敏感和执法数据的特别规定
《规定》区分一般数据、敏感数据、敏感个人信息和重要数据,符合系统化的一般认识,但对“敏感”的运用区分了敏感数据(涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据中提到敏感区域,可归入敏感数据范畴)和敏感个人信息两种场景,则容易让企业产生困惑——在中国法的一般应用中,敏感通常与个人信息相结合。敏感而非秘密信息,是美国法上的惯常表述。
更为重要的是,《规定》在做敏感数据和执法数据的区分时,其第8条采用的是“运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等(敏感信息),以及可以用于判断违法违规驾驶的数据(执法数据)等”的表述,这就导致了敏感数据与执法数据的分离,但在第16条,又规定执法数据属于敏感数据。
显然,在对系统诸要素界定和多结构关联上,《规定》有必要回应重要数据、敏感数据等基础范畴问题。而其实在司法实践中,如何从执法、司法数据中“抽离”敏感“信息”,已经有相当成熟的程序化解决。
8、境外提供的单向规定
在《规定》起草的宏观背景下,境内汽车企业因境外经营活动而产生的向“境内提供”已经是无法回避的重大问题。缺少从境内外数据流动的通盘考虑,至少不符合对汽车数据系统化思考的要求。
由于缺少数据流动的整体性考虑(其实也有《规定》的苦衷),因此对《规定》第14条“运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任”的解读,也只能局限于境内用户,这就又会成为企业的苦衷。
9、用于自动驾驶目的的数据利用
《规定》第16条是为数不多的直接针对智能化“规范”的条款。其回应的是实务中的SLAM问题。除了上述提及的第8条和第16条的冲突,以及可能的数据残留外,本条还存在的问题是对“科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据”的误读。这一条款容易产生数据境内存储强制,和对“前手清洁”原则的阻断。
10、运营者总体报告义务
在整体上对运营者义务规定中,《规定》第17条提出的年度报告义务,主要面临和需要协调的系统化问题包括:(1)如何与《网络安全审查办法》(修订草案)规定的100万用户个人信息衔接;(2)如何与企业审计的时限匹配,从而实现在当年12月25日之前,也即年度审计报告等之前“优先”提供数据安全报告;(3)进一步而言,该条可能还存在与《网络安全法》第38条的年度网络安全评估报告的冲突问题。
结合上述分析和《规定》的其他部分,我们尝试对《规定》的系统化程度做以下小结:
(为体现对比,简单用√、×形式。但并不表示对条款的否定)
三、总结:系铃与解铃
在将系统工程的方法论非常粗浅的应用到《规定》上后,我们认为未来运营者的主体将会持续延伸,在法律责任上也会出现一个驾驶责任从再模糊化到再认定的过程——对于《规定》而言,缺少法律责任将会是不可思议的事情。
系统工程的分析可以得出对《规定》的科学评价(尽管本文没有实现这个目标),并直指问题的一个可能根源:一个快速形成和发展中的“子系统”的自动驾驶汽车,如果其周遭的道路系统(更不用提智慧城市的远景)尚不具备自动化的基础和实现,则子系统自己就会成为整个道路系统的问题,就会成为规制对象。
但同样,这一根源的提出本身也自带“解药”:解决路径有赖于与“更大”的道路系统环境的互动和智能化。当安全的自动驾驶这一“最小化”目的得以实现,则对汽车数据的“最大化”处理便不是问题。
(本文是2021年7月ACSEC会议上提交报告的文字版,感谢奥创科技刘老师和上海国际问题研究院许老师支持成文,也感谢与会者耐心和容忍简陋的演示。NXP的李老师对部分技术概念进行了指导,在此一并感谢!)
