所内动态
*本文首发于LexisNexis律商联讯《中国法律透视》
引言
随着《网路安全法》《数据安全法》及《个人信息保护法》的出台,个人信息安全管理问题日益走进大众的视野,人们也更加关注自己的个人信息是否泄漏,以及如何保护自我个人信息问题。汽车产品基于其消费量大、收集个人信息能力强,以及人机交互场景较多的特点,已经成为个人信息保护问题关注的重点领域,尤其是智能网联汽车不断普及的今天,汽车消费者的个人信息保护问题已经成为一个社会热点问题。
2021年,无论是被“3.15晚会”曝光的宝马4S店,还是年底小鹏汽车被上海市市场监督管理局行政处罚的事件,都表明汽车业的个人信息保护问题已经由立法进入到执法的阶段。
2021年8月16日,国家网信办、发改委、工信部、公安部以及交通部五部门联合发布《汽车数据安全管理若干规定》,该规定于2021年10月1日正式实施,将汽车数据分为个人信息数据和重要数据,对汽车数据的收集、存储、使用、加工、传输、提供、公开等方面进行了细致的规定。
2023年5月5日,工信部装备工业一司发布了《公开征求<汽车整车信息安全技术要求>等四项强制性国家标准的意见》,在《汽车整车信息安全技术要求》(征求意见稿)(下称“《安全技术要求》”)这一国家标准中,对其中的个人信息保护问题提出了进一步细化的要求,本文将从敏感个人信息保护问题、第三方应用的个人信息保护问题,以及车辆信息清除问题这三个方面进行解读。
《汽车数据安全管理若干规定》第三条将“敏感个人信息”作为个人信息的一个特殊分支,进行了特别规定,明确敏感个人信息“是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。”也即,这类信息一旦泄漏或被非法使用,相关人员的精神层面将受到歧视,人身财产安全层面将受到严重危害。
基于对这一类信息的特殊性,《安全技术要求》8.6条要求“车辆应对发送的敏感个人信息实施保密性保护措施”。“所谓”保密性保护措施,应是区别于普通级别的保护措施。事实上,在2020年实施的国家标准《GB/T 35273-2020 信息安全技术 个人信息安全规范》中,6.3条“个人敏感信息的传输和存储”即规定:对个人信息控制者的要求包括:a)传输和存储个人敏感信息时,应采用加密等安全措施。也即,从国家标准层面来看,通过加密措施某种程度上即可实现“保密性保护”的标准。
2021年7月,工信部开展“互联网行业专项整治行动”,在威胁数据安全方面,重点整治企业在数据收集、传输、存储及对外提供等环节,未按要求采取必要的管理和技术措施等问题,包括数据传输时未对敏感信息加密、向第三方提供数据前未征得用户同意等场景,《安全技术要求》要求对相关加密算法进行测试,从监管角度来讲也是事前风险防范的一个措施。
而在《安全技术要求》附录A“车辆信息安全要求测试验证方法”中,A.3 h)条也要求测试车辆向外传输敏感个人信息的通信通道,测试的目的是验证是否做到了“保密性保护”的程度。
关于测试方法问题,《安全技术要求》A.5.6“敏感个人信息保密性保护测试方法”中要求:
测试人员应依据附录A.3 h)测试车辆向外传输敏感个人信息的通信通道,并按照如下测试方法,检验测试车辆是否满足正文8.6的要求:
a)依据车辆数据传输的方案,验证是否正确使用声明的加密算法对车辆传输的数据进行加密,并记录验证结果,应进行加密;
b)验证使用的加密算法强度是否满足需求,并记录验证结果,算法强度应满足要求。
上述两项要求均是对敏感个人信息传输的“加密算法”提出的要求,其中a)是针对加密算法的符合性进行的测试,b)是针对加密算法的强度进行的测试。针对第一项,由于每个车企对外声明的具体加密算法不尽一致,因此在测试时应比对声明的算法和实际的算法,确认是否使用了加密算法,以及实际使用的加密算法是否符合声明的算法。针对第二项,则重点关注加密算法的有效性,也即确认所使用的加密算法是否符合所传输个人信息“保密性”的要求。
除了对加密算法进行测试之外,《安全技术要求》A.7.2还对敏感个人信息的存储地址测试进行了要求,具体而言,敏感个人信息的保护存储有两种方式,一是安全访问技术,二是加密技术,前者应确认不可非授权访问敏感个人信息,后者存储方式应为密文存储。
在个人信息保护问题方面,汽车产品的特殊之处在于,不仅仅汽车本身的相关数据需要符合个人信息保护的相关法律规定及相关要求,汽车产品同时还作为一个应用平台,可以搭载第三方应用,而对于所搭载的第三方应用,汽车生产厂家也仍然负有防止其侵犯汽车消费者个人信息保护相关权益的义务。
对于第三方应用,《安全技术要求》根据该应用是否经授权分为“授权的第三方应用”和“非授权的第三方应用”。针对前者,《安全技术要求》7.2.1规定,“应对授权的第三方应用的真实性和完整性进行验证。”针对后者,7.2.2规定,“应对非授权的第三方应用的安装运行进行提示,并对已安装的非授权的第三方应用进行访问控制,避免此类应用直接访问系统资源、个人信息等。”也即,针对非授权的第三方应用,《安全技术要求》特别要求了应避免该类应用直接访问个人信息。
关于第三方应用的测试信息问题,《安全技术要求》采用了跟上文一致的验证标准,即A.3 b)规定,a) 测试车辆授权第三方应用真实性和完整性校验方式;b) 测试车辆非授权第三方应用的访问控制机制。
为实现避免非授权第三方应用直接访问个人信息的问题,《安全技术要求》A.4.2.2规定应对非授权第三方应用采用访问控制测试方法,即“测试人员应依据附录A.3 c) 测试车辆非授权第三方应用的访问控制机制,并按照如下测试方法,检验测试车辆是否满足正文7.2.2的要求:a) 尝试安装并执行非授权第三方应用,测试车辆是否进行提示,并记录测试结果,应有明确提示;b) 尝试使用非授权第三方应用程序访问超出访问控制权限的资源,并记录测试结果,应不可访问控制权限外的资源。”
上文所提到的“控制权限外的资源”,则有可能包括要被保护的个人信息资源。
对于个人信息的保护,不仅仅限于收集及使用阶段,还包括信息使用完毕的删除阶段。《个人信息保护法》第四十七条对个人信息处理者应当删除个人信息的情形进行了规定,包括信息使用完毕不再需要的、保存期限届满的、个人撤回同意的等等。也即,并非个人信息一经授权同意使用,个人信息处理者则可以无限期地任意使用,而是有一定的限制。
汽车消费者的个人信息的收集、使用等,应当仅限于占有、使用该车辆期间,若某车主将车辆销售给他人,该车辆所存储的原车主信息应当被清除。《安全技术要求》10.6条对该问题则进行了规定,即“车辆应具备个人信息清除功能及防恢复机制,便于在转售、租借或报废时清除个人信息。”
关于测试内容问题,《安全技术要求》A.3 q)条要求,“测试车辆个人信息清除功能及防恢复机制。”也即一方面,要确认从功能上是否达到消除的效果,另一方面还要确认是否可以防止恢复。
关于测试的方法问题,《安全技术要求》A.7.6条规定,测试人员应依据附录A.3 q) 测试车辆个人信息清除功能及防恢复机制,并按照如下测试方法,检验测试车辆是否满足正文10.6的要求:a) 尝试使用测试车辆个人信息清除功能,清除车辆内存储的个人信息,并记录测试结果,应可以被删除。b) 尝试恢复被删除的个人信息,并记录测试结果,应不可被恢复。
上述测试方法确认,车辆个人信息的清除功能应当可以实现删除所存储个人信息的效果,并不可被恢复。前者确保删除的功能性,后者确保删除的彻底性。
智能网联汽车的高速发展,使得社会各界更加关注汽车消费者的个人信息保护问题,监管机构也将会对汽车生产制造企业、以及汽车流通企业提出更多更具体的要求。
《安全技术要求》从个人信息安全保护的内容、测试的内容、以及测试的方法等各个方面进行了规定,一方面为监管机构提供了执法的依据,另一方面也为车企提供了个人信息保护的合规指引及合规路径。
