【AutoCS】车企出海之欧盟网络安全与隐私合规（下）｜iLaw

2020年1月28日，欧盟数据保护委员会（European Data Protection Board，EDPB）发布的《在联网车辆和出行相关环境下处理个人数据的指南（公开征求意见稿）》，2021年《车联网个人数据保护指南》正式发布。

车联网环境下的个人数据潜在风险有以下六点：一、汽车个人信息更具敏感性、动态性、复杂性、隐蔽性；二、个人数据过度收集；三、个人数据的处理没有获得权限；四、同意机制考虑不全面；五、个人数据主体对其个人数据缺乏控制以及信息不对称；六、个人数据的安全风险较高。

案例：丰田服务器中人为导致的云配置错误致使从2012年注册丰田云服务的用户的车辆位置信息等敏感个人信息可未经授权访问。

某大型跨国汽车公司2021年6月12日披露，未经授权的第三方获取了其北美地区约330万车主及潜在客户的个人信息。这批泄露的数据来自2014年至2019年期间收集到的销售及市场调查信息，包括：车主及潜在客户姓名、地址、电子邮箱、电话号码。还有部分受到影响的数据包括：买卖、租赁或查询车辆信息，如车辆识别号（VIN码）、品牌、型号、年份、颜色和装饰套件等。此外，超过95%遭到泄露的敏感数据均涉及驾照号码，也有极少数涉及出生日期、社保或保险号码、银行账号或贷款号码以及税务识别号。

沿用GDPR一贯的“可识别性”的标准，车联网环境下的个人数据可以定义为与联网车辆交互所产生的大部分数据可以识别到特定的自然人或与识别自然人有关。

具体包括：在车内处理的个人数据；车辆和与之相连的设备（例如车主、驾驶员或乘客的智能手机）之间交换的个人数据；在车内收集并为进一步处理而向外部实体（如：汽车制造商、保险公司、汽车维修商等）输出的个人数据。已排除范围包括：车联网应用环境下基于雇佣关系产生的个人数据、车辆内置WiFi相关的个人数据以及协同智能驾驶系统（Cooperative Intelligent Transport Systems，C-ITS）相关的个人数据（受《C-ITS系统授权法案》管辖）。

1.重点关注三类个人数据

（1）位置数据

①充分评估收集的频率、细节程度等；

②充分告知个人数据主体针对其位置数据进行处理的详细信息；

③若处理位置数据的活动需以个人数据主体的同意作为法律基础，应当征得其有效同意；

④仅当个人数据主体要求启动必需获取车辆地理位置的功能时，方可激活地理位置的收集，不可在车辆启动时以默认和持续的方式启动收集行为，同时应当为个人数据主体提供可随时禁用地理位置的选项；

⑤以图标等明显的方式告知个人数据主体地理位置已被激活合理可能（reasonably likely）标准：综合考虑技术、成本、时间等因素，数据控制者或其他人采用了所有合理可能的方法，仍无法直接或间接识别数据主体。

（2）生物识别数据

参与各方应当为个人数据主体提供不需要收集生物识别的替代方案，且不会向个人数据主体施加额外的约束。

参与各方在收集生物识别数据后，应当通过以下方式充分保障数据的安全：

①仅在本地以加密形式存储和比对生物识别模板，确保生物识别数据不会被外部的读取/对比终端处理；

②确保所使用的生物识别传感器及解决方案具备充分的安全能力；

③避免存储原始数据，对构成生物识别模板和用于用户验证的原始数据进行实时处理。

（3）可揭露犯罪行为或交通违法的数据

参与各方采取本地处理的方式，确保个人数据主体对所涉数据具有完全的控制权，同时保护数据免于非法访问、修改和删除。除某些特殊的例外情形，禁止参与各方对可揭露犯罪行为或交通违法的数据进行外部处理。

同时须严格遵循目的限制原则及数据最小化原则。

2.实现设计和默认的数据保护（DPbDD）

尽量采取本地处理的方式，避免依赖不必要的外部云能力。如果数据必须传输至车辆以外，应当在传输之前对个人数据进行匿名化处理。

建议参与各方进行个人数据保护影响评估（Data Protection Impact Assessment,DPIA），在推出新技术之前将风险分析的结果纳入设计过程。

3.保障个人数据主体权利

参与各方需要在处理个人数据之前充分告知数据主体关于数据控制者的具体身份、处理目的、数据接收方、数据存储期限以及数据主体所享有的权利等详细信息。

在间接收集的场景下（例如，车辆制造商可能会依靠经销商来收集数据主体的个人数据以便提供紧急路边援助等服务），上述信息可通过车辆销售合同、服务合同等书面文件或车载显示屏展示的条款告知个人数据主体。

车辆制造商可以考虑在车辆内部安装用户配置文件管理系统作为实现其权利的途径。

4.加强数据安全保障

须确保数据的安全性和保密性。例如：对通信通道进行加密、为每辆车设置独立的加密密钥管理系统、验证数据接收设备。

5.汽车制造商安全措施要求

①区分车辆的重要功能与完全依靠通信能力的功能（例如娱乐功能）；

②实施技术措施确保能够在车辆的整个使用周期内能够迅速修复安全漏洞；

③须设置防止车辆系统遭受网络攻击的预警系统；

④存储访问车辆信息系统的日志记录等。

1.《数据服务法》

数字服务（或“在线服务/线上服务/网络服务”）包括主要适用于提供接入、缓存、托管等服务提供商，以及在前述基础上组合而实现的搜索引擎、论坛等服务。

《数字服务法》（DSA）要求平台保护用户知情权,明确公示其条款条规，建立的受信举报者(trusted flaggers)制度将允许用户对涉嫌违法违规的商家或行为进行标记。

根据法条表述,车载智能网联系统中的用户有很大概率被视为接受托管服务的用户。

2.《数据市场法》

《数字市场法》（DMA）设立了适用于向欧盟境内企业及终端用户提供平台服务的大型平台守门人（gatekeeper）的监管，禁止不公平竞争行为。针对市场规模和用户规模较大的车企需要关注。

守门人主要特征有市场影响、中介属性、固定和持久的市场地位三大特征。市场影响指在欧盟市场上过去三年的年度营业额均达到或超过750万欧元，或过去一年的平均市值或公允价值达到7500万欧元，并且在至少3个欧盟成员国提供核心平台服务。中介属性指在过去一年拥有欧盟境内至少4500万月活终端用户，或至少1万家年度活跃商家用户。固定和持久的市场地位指：过去3年内曾保持了相对稳定的发展，或过去3年均达到了第二项中描述的用户数量。

随着人工智能产业的爆发，以及在车企的广泛应用，AI的监管也成为企业需要关注的重要合规内容之一。欧盟也是目前全球AI合规理念最具代表的法域。

1.立法概况

（1）提出“可信任的人工智能”理念

2018年，欧洲政治战略中心发布《人工智能战略》，成立人工智能高水平专家小组，提出符合欧盟价值观和利益的“可信任的人工智能”理念。

专家小组于2020年7月发布的一项文件提出应当分行业（公共部门、卫生、制造业和物联网）对AI予以不同程度监管。

2019年，欧盟发布《可信AI伦理指南》正式确立“以人为本”的人工智能发展及治理理念，提出的可信人工智能三大要素也进而成为世界范围内较为通行的人工智能评估准则。

（2）建立算法规则

2019年《算法的可问责和透明的治理框架》发布，确立了人工智能的算法问责机制及透明义务的规则。

（3）AI产品责任

2022年9月28日，欧盟委员会发布的《人工智能责任指令》提案规定了AI引发的侵权损害责任，以使受害者在使用AI产品时可依法获得侵权损害救济。

（4）人工智能治理立法

2020年，欧洲委员会发布了《面向卓越和信任的欧洲人工智能发展之道》和《欧洲数据战略》等政策文件，推动了人工智能领域的治理和法规修订。

欧洲议会于2023年6月14日以压倒性多数通过了《人工智能法案》的授权草案。预计该法案将于2024年正式生效。

2.规范特点

（1）数据来源合法

要实现数据来源合法，可以记录机器学习模型的训练和评估数据，实时监控数据的动机、组成、收集、收集、标签、使用目的和数据维护过程。

（2）AI算法模型要具有透明性、可解释性和可追责性

要明晰驾驶系统相关的机器产品的制造者、代理、进口商、经销商的责任划分，防止AI算法模型脱离人类意志、违背安全驾驶的决策机制，如汽车自动驾驶的边缘案例。

3.监管措施

欧盟采取了CE合格标识和监管沙盒的监管措施。获得CE合格标识意味着人工智能系统符合法案对高风险系统的规定要求。监管沙盒能够减轻中小企业和初创企业的合规负担，提升监管效力。

4.一些业内争论的问题

（1）风险分级逻辑与实际应用脱钩风险

（2）风险评估可能出现自行规避问题

（3）技术上遵守存在困境

（4）数据主体保护及责任承担机制不完善

（5）统一的法律框架存在局限性

（6）与GDPR的衔接不清

通过外观对标衔接+充分内部评估+整合，助力企业出海数据合规体系建设。

– E N D –