车内摄像头隐忧|汽车数据处理,须跳出“互联网思维”依赖

作者 | 傅鹏 海问律师事务所合伙人 编辑 | 郭丽琴  

2023年05月14日 17:22  

本文5752字,约8分钟

源于“互联网思维”而设置的影像分享、影像导出或其他“强互动”“万物互联”功能,与汽车行业特有的数据安全和个人隐私保护场景之间如何进行调和适配,将持续引发讨论。

当下,随着汽车智能化、网联化、自动化渐成浪潮,行业巨头特斯拉早已获得“有轮子的iPhone”称号,诸多互联网人士也将智能汽车形容成“四个轮子上的一部超级手机”。

但汽车毕竟不是手机,汽车不仅在数据收集的场景维度、数据涵盖的空间范围等方面与手机大不相同,汽车还涉及驾驶等“强安全”场景,因此智能网联车辆场景下的产品设计和数据处理如何在借鉴“互联网思维”的基础上有所改进,一直都存在激烈的争论。这样的争论也随着多个公共事件的发生而被重复性唤醒。

近期,有媒体报道,特斯拉车载摄像头拍摄的视频和图片,被员工用于私人聊天分享。报道称,该车厂员工在内部聊天系统中分享车主高度敏感的视频与图像,一部分车内记录影像甚至是在汽车熄火后被自动录制的。

财经E法随后发布的系列文章——《车内摄像头隐忧(上)》《车内摄像头隐忧(下)》也显示,9个在中国市场销售的主流汽车品牌中仅有一个品牌全系车内无摄像头,一个品牌使用了红外线传感器检测驾驶员状态,其他7个品牌全部装有车内摄像头。文章提出,车内安装摄像头或许可以更好保障驾驶人和车辆安全、提供更好的用户体验,但同时可能引发乘车人关于其个人信息和隐私面临风险的顾虑。这一利益冲突,仍待寻求破解之道。

2022年3月,比亚迪汽车App关闭远程查看车外摄像头影像的“千里眼”功能,在比亚迪汽车App中打开此功能会提示“根据国家最新法规要求,车外影像功能正在升级,敬请期待”。公开信息显示,还有小鹏等数家整车厂关闭或调整了类似功能。

整车厂在设计或开启上述功能时,并非没有考虑到个人隐私问题,例如通过硬件(车内物理遮挡推盖)+软件(用户交互界面强提醒)的方式,充分告知用户,并甚至取得了同意。尽管如此,源于“互联网思维”而设置的影像分享、影像导出或其他“强互动”功能,与汽车行业特有的数据安全和个人隐私保护之间如何调和适配,尚有待改进,并引发了公众顾虑。

“告知同意”路径与数据处理场景难匹配

围绕智能网联车辆的数据安全和个人隐私保护,有两类主体存在顾虑与担心。

第一类主体是车主与乘客。他们可能顾虑录制的座舱影像包含隐私和其他敏感信息,并进而被不当收集和使用。正如上述媒体报道所称的场景中,整车厂员工在私人聊天中传播车主的敏感视频和图片。车主与乘客可能进一步顾虑整车厂在没有对用户进行告知,并取得同意的情况下,将较为敏感或私密的座舱数据用于个人画像、算法推荐等“侵入性”相对较强的活动。

第二类主体是路人和其他车外主体,担心人脸图像或敏感单位的位置等信息被车外摄像头记录,被车内人员或者整车厂保存并做进一步使用。

不论哪一类主体,担忧的核心都在于,车载摄像头拍摄的车外影像或座舱影像,是否将会在不经过特别处理的情况下被轻易传输出车外,甚至被用于无法预期的目的。

类似的影像收集和处理,在手机终端为主导的移动互联网场景中,有过相对成熟、基本能达到商业效果与用户法益保护效果平衡的解决方案:即依赖“告知同意”路径的数据利用,或依赖“履行合同所必须”路径的数据利用。前者会尽量在用户使用过程中详细告知影像等数据收集的方式和目的,并通过弹窗等方式获得用户同意。后者则适用于意图明显、确为履行用户作为一方的合同所必须的场景,例如用户在图像处理App中为实现修图的目的,主动上传头像照片。

但这些方法在智能网联汽车的一部分数据处理场景中,有时显得力不从心。

对于车载摄像头或其他传感器收集的座舱数据(例如座舱影像),基本难以通过“告知同意”或“履行合同所必须”,来完成所有个人信息处理场景的合法性基础构建。例如,座舱乘客时常有车主本人以外的自然人出现,例如并不熟悉的同事或朋友,私人事务中的联络人,这些人员可能没有契机得知车内摄像头或其他传感器收集其个人信息的目的,或车主将以何种方式保存和利用上述人员的个人信息。

对于车载摄像头收集的车外影像,也会遇到更棘手的难点。例如,对于车载摄像头采集的车外人像,不太可能取得车外个人的同意。而在这一处理场景中,车外个人更不太可能是其作为签约一方的某个合同的履约者。所以,《汽车数据安全管理若干规定(试行)》及其他的推荐性标准才强调,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理,并且甚至这一匿名化要求还有一个前提是“因保证行车安全需要”,而非基于任意目的。

即使在整车厂或智能网联服务提供方做好了妥当的告知,并收集了适当的用户同意之后,用户也可能担忧,整车厂或智能网联服务提供方能否严格根据授权同意的目的和方式来使用个人信息。例如媒体报道中所称的场景内,整车厂员工在私聊中分享车主图片、视频,肯定并非出于车辆和人员安全的目的,也非工作目的,更不可能是用户同意或可预见的目的。

会出现上述困惑的重要原因之一是,智能网联汽车是否应当继续高度沿袭互联网产品的设计思维。

在智能网联汽车就是“手机+四个轮子”的认知下,汽车被认为是手机在出行场景下的放大加强版本。因此,延续移动互联网产品而形成的汽车产品设计理念,可能容易走向通过“告知同意”等方式尽量收集更为丰富的个人信息,期待实现更精准的用户画像,并在此基础上,通过打开车机、车载机器人(虚拟人)等更多互动入口,实现更多场景下的广告加载开启及更精准的流量分发与变现。这一思路的基础是希望依赖“告知同意”,通过多场景的告知和强提醒,并通过弹窗等途径,取得用户的“同意”,从而完成上述整个链路的合规闭环。

在智能手机场景下,上述以“告知同意”作为核心驱动的路径本身虽然也存在争议,但基本还能实现相对的平衡。而当这一思路移植到智能网联汽车的车机端和智能座舱场景,特别是加入了汽车行业独有的驾驶安全性考虑之后,似乎出现了更明显的适配难题。

例如,智能网联汽车尽管不断意在提高“智能化”程度和“网联”能力,但作为一辆汽车,主要使用场景依旧是驾驶出行,而驾驶出行的首要考量必然是安全性。安全性是否可以因为“告知同意”而得到妥协,并非是一个能够受到广泛认同的路径。

例如,如果汽车驾驶员在行车导航过程中,导航页面加载了相对大面积的广告弹窗,很可能影响驾驶人的注意力,进而影响驾乘安全。在这一场景中,即使通过单独弹窗由用户确认允许在导航页面进行大幅弹窗,也不一定是合理的产品设计思路。所以“告知同意”路径在“强安全”要求的车辆驾乘场景下,不宜作为合规闭环的“万能钥匙”。

探索“互联网思维”与“车内处理”的适配

展望未来,以上问题,必将随着智能网联汽车技术的不断发展,以及更前沿的生成式人工智能(AIGC)等技术的引入,而引发更深层次或更广范围的潜在数据安全与个人隐私顾虑。

例如,汽车智能化水平及车载硬件规格必将不断提高,摄像头规格将持续提升,其采集影像的能力(如影像清晰度、采集范围、采集时间等),也将进一步提高。这种能力跃升所带来的隐私顾虑也将加深,例如可以在更长时间范围内,采集更广视域内的更加高清的图像。

再如,座舱智能化程度将不断提升,趋势之一是屏幕增多和增大,进而带来多屏互动、多终端互动(例如车车互动,车机与手机互动,智能眼镜与车机互动)的能力提升、场景增加。这使得座舱内通过摄像头、其他传感设备或硬件收集的数据种类和数量空前增加,敏感性提升。趋势之二是,随着生成式人工智能技术、自动驾驶技术等前沿技术的飞速发展,未来,车机和车载机器人(虚拟人)的互动能力将实现指数级提升,人机互动和多轮复杂沟通对话的能力、完成复杂任务的能力远胜今日。辅助驾驶甚至L3级别以上自动驾驶技术的快速发展,也将使驾乘人员花费在车辆座舱中的时间延长。

综合以上两类技术,驾乘人员交给座舱与车机处理的任务性质可能发生质变。今后驾乘人员可能将座舱作为办公和重度娱乐的场所之一。在这一功能转变的过程中,车内摄像头、其他传感器以及智能座舱系统本身收集到的数据敏感性和数据量都将急剧增长。前述提到的数据安全和个人信息保护顾虑也将进一步凸显。  

正是由于上述原因,《汽车数据安全管理若干规定(试行)》很早就确立了“车内处理”原则,即国家倡导汽车数据处理者(在不同的场景中有所不同,但典型如整车厂、智能网联服务提供方等)在开展汽车数据处理活动中,除非确有必要,不向车外提供汽车数据。这一原则在《信息安全技术 汽车数据处理安全要求》等推荐性标准和其他文件中也被多次重复与强调。然而,实践中对“车内处理”原则的把握,也出现了一定程度的分歧与困惑。

第一个问题在于,汽车数据处理者在多大程度上需要遵守所谓“车内处理”原则。这一困惑的原因在于规范性文件的用语较为模糊,其他文件则效力层级不足。《汽车数据安全管理若干规定(试行)》作为生效的规章制度,具有约束力,但对“车内处理”原则的规定使用了国家“倡导”车内处理原则。这一术语的使用究竟意在体现国家提倡但不强制要求车内处理原则,还是因为这一规定在执行过程中必然向行为主体传导强烈的信号所以使用“倡导”一词也无妨,本身就是一个备受争议的话题。

第二个问题在于,“车内处理”本身作为一个“原则”而存在。所谓有原则必有例外,那么例外是什么。《汽车数据安全管理若干规定(试行)》也规定了“除非确有必要”。那么在复杂繁琐的智能网联车辆服务场景中,怎么理解“原则”,何为“确有必要”,有待实践和执法的检验。

例如,《信息安全技术 汽车数据处理安全要求》作为一个推荐性国家标准而非具有强制约束力的规范性法律文件,原则上呼应和强调了“车内处理”原则,列举了可以向车外传输的例外。例如对于汽车收集的座舱数据,如果是为了实现语音识别功能必须传输到车外进行识别处理,并且回传后马上删除车外数据,可以传输。

但是,上述例外本身涵盖的场景确实极其有限,是一种相对严格的规制路径。实践中,存在大量真实基于车辆用户的服务请求而产生的数据传输需求,并不在《信息安全技术 汽车数据处理安全要求》列举的可以向车外提供数据的情境中。例如随着智能网联服务不断丰富,许多车主确实需要或主动触发种类多样、场景丰富且必须向车外传输数据才可能完成的车联网服务。这些向车外传输数据的客观真实需求,并没有能够在《汽车数据安全管理若干规定(试行)》或相应的推荐性标准中得到较好的、明确的回应或解释。

应对:“场景化治理”与“敏捷式监管”

正是由于前述讨论、困境与博弈,智能网联汽车场景的数据合规治理实际上已经开启并将继续经历“场景化治理”与“敏捷式监管”这两个方向的积极探索。

首先,由于智能网联汽车的数据处理场景与智能手机显著不同,所以数据合规与数据治理方式也应当有所不同,宜持续探索更加精细化的“场景化治理”路径。

基于汽车数据处理的数量、范围、敏感程度、驾乘人员的多样性和车外人员难以充当“局外人”等特点,在智能网联汽车的相当一部分数据处理场景中,宜坚持“车内处理”原则。

但是,有原则必有例外,由于智能网联车辆数据处理场景的高度复杂性,在法规与制度供给层面,提供相对明确、符合业务需求和用户需求的可以进行车外传输的场景规定,也显得至关重要。例如,在不直接关系到驾驶安全的场景下,如果用户主动请求服务,也宜在综合考虑车外人员、其他乘坐人员法益保护的情况下,允许整车厂或智能网联服务提供方进行适当的车辆外数据交互。

其次,智能网联汽车领域也是“敏捷式监管”试验的前沿阵地。

智能网联汽车本身就是相对前沿的技术应用和监管探索领域。随着自动驾驶技术多年以来的积累,以及生成式人工智能技术的爆发式发展,智能网联汽车新技术在实践应用中的发展日新月异。传统的监管方式显得缓慢,甚至在一定程度上难以应对高速发展的技术潮流和实践应用。而恰恰在这一领域,监管机构实际体现的应对策略,就是以相对快捷的方式颁布征求意见稿甚至生效的监管规定,应对出现的热点问题。对问题回应的方式相对“小切口”,并不求大求全。一定程度上规定监管的基本原则,并进一步重在规范主要和最重要的数据处理场景。

在监管规定颁布以后,由于技术和场景都较为前沿,所以监管机构为了发现已经发布的监管规则在实践中发挥的作用和存在的问题,加强与整车厂等行业主体的互动,会通过年报、定期会议等形式补全这一环节的“信息差”。通过年报、会议等形式,监管部门得以了解快速发布的小切口规定在实践过程中存在哪些问题和不足,从而尽快发布修正和更新的规定,并逐渐以点及面,以更合理的方式完善监管的活动和场景。

例如,地方网信部门要求提交的汽车数据安全管理情况报告,以及围绕已经提交或将要提交的报告而邀约车企进行的阶段总结与指导会议,客观上就形成了较为良好的监管互动与指导,有利于促使规则监管要素为满足实践发展而形成敏捷迭代。此类实践是在高速发展的智能网联车辆领域中,对于监管方式的有益探索。