自動駕駛汽車數據安全的系統化思考 ——兼評《汽車數據安全管理若干規定(征求意見稿)》
一、前言:汽車行業的系統化變革
首先引用一段錢學森1985年的文章《法制建設中的現代科學技術》的內容,“……我們的法制和法治是可以用科學的方法來檢驗的。所謂科學的方法,就是要科學地建立一個龐大的體系并運轉這個復雜的體系。現在有一門技術叫做系統工程,就是干這件事的。”所以,用系統工程的技術方法,可以對法制體系中的一個呈現:《汽車數據安全管理若干規定(征求意見稿)》(下稱“《規定》”)做一個分析嘗試。但能力有限,本文的分析遠未觸及系統科學和工程技術的要旨。
汽車行業毫無疑問是這個變局時代關注的焦點之一。無論是入局者扎堆,還是技術路線紛爭,都體現出汽車智能化,以至自動駕駛汽車已經成為汽車行業必須實現的中期目標。然而,自動駕駛汽車也同樣是當前系統工程最大的挑戰之一。這不僅是因為自身系統的復雜性,還是因為自動駕駛汽車是更大的道路系統,乃至智慧城市的一個子(系統)部分。
二、對《規定》的系統化評價
本文嘗試對《規定》主要內容的十個方面進行粗淺的系統化(要素)評價,讀者可以自行得出《規定》在系統工程下演進的大致階段。
1、定位和依據
《規定》的定位是規范汽車數據處理活動,在制定目的上寫明了維護國家安全和公共利益,保護個人信息和重要數據。
2、適用對象
從數據流程上,《規定》將“收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統稱處理)個人信息或重要數據”納入調整范圍。從主體上,《規定》界定了“汽車設計、制造、服務企業或者機構,包括汽車制造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等”適用主體。也形成了“境內設計、生產、銷售、運維、管理汽車” 的產業鏈思考。
3、對個人信息主體的車內數據原則
如果說《規定》的立法目的、適用對象“中規中矩”,接著的個人信息和重要數據的約束原則就值得商榷。
《規定》將個人信息主體規定為“個人信息包括車主、駕駛人、乘車人、行人等”,結合上下文,(除行人數據外)我們可以稱之為個人信息主體的車內數據(處理)原則。
4、重要數據的車外數據原則
從《規定》的重要數據列舉看,這些重要數據,包括將《網絡安全審查辦法》(修訂草案)規定的“掌握超過100萬用戶個人信息”所可能形成的重要數據主要的都位于車外,因此可稱之為重要數據(處理)的車外數據原則。
從系統化的角度看,盡管我們的認識無法準確的發現哪里不對,但顯然這些規定不夠“系統”。例如,從企業的角度,無法根據《規定》對車內承載的數據重要性進行界定和約束。其無法識別車內處理的非重要數據如何達到重要數據的“臨界”,甚至可能簡單的得出車內無重要數據的結論。
5、汽車數據處理的比例原則
在《規定》的運營者處理個人信息和重要數據五大原則中,除了車內處理原則的系統性問題外,可能還需要考慮其他原則的適當性問題。
例如作為比例原則重要組成的“精度范圍適用原則,根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率”,這里就存在系統性的難題和矛盾。一方面汽車行駛的安全強制性規定存在對車外環境更高精度的要求,另一方面,《規定》要求對“自然人的畫面,或對這些畫面中的人臉等進行局部輪廓化處理”。
《規定》意識到了這一癥結,但卻難以在《規定》層面給出法律解決路徑。特別是隨著安全研究的突飛猛進,現有的車載安全技術措施脆弱性持續發掘,輪廓化處理可能不斷暴露著安全漏洞的重大風險,這對汽車數據收集的范圍、準確、實時提出了更高要求,但卻不斷面臨嚴格的個人信息保護的限制,急需汽車“系統”的外部性(匿名化處理能力,因此也不能將汽車作為IoT簡單處理)的介入。
6、汽車數據處理的默認不收集原則
自動駕駛汽車的演進意味著不斷的數據輸入感知和輸出反饋,《規定》明確以默認不收集為原則,將可能會阻礙汽車智能化的發展。甚至恰恰相反,默認收集可能是自動駕駛的一般原則,但應限定在“本次駕駛”的范圍內。
略顯遺憾的是,本應特別“出彩”的規定何為“本次駕駛”,但《規定》卻只是點到為止的規定了“駕駛人離開駕駛席”為本次駕駛結束,由于無法定義“自動駕駛”系統,這一就駕駛結束的規定自身也存在爭議。
7、針對敏感和執法數據的特別規定
《規定》區分一般數據、敏感數據、敏感個人信息和重要數據,符合系統化的一般認識,但對“敏感”的運用區分了敏感數據(涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據中提到敏感區域,可歸入敏感數據范疇)和敏感個人信息兩種場景,則容易讓企業產生困惑——在中國法的一般應用中,敏感通常與個人信息相結合。敏感而非秘密信息,是美國法上的慣常表述。
更為重要的是,《規定》在做敏感數據和執法數據的區分時,其第8條采用的是“運營者收集和向車外提供敏感個人信息,包括車輛位置、駕駛人或乘車人音視頻等(敏感信息),以及可以用于判斷違法違規駕駛的數據(執法數據)等”的表述,這就導致了敏感數據與執法數據的分離,但在第16條,又規定執法數據屬于敏感數據。
顯然,在對系統諸要素界定和多結構關聯上,《規定》有必要回應重要數據、敏感數據等基礎范疇問題。而其實在司法實踐中,如何從執法、司法數據中“抽離”敏感“信息”,已經有相當成熟的程序化解決。
8、境外提供的單向規定
在《規定》起草的宏觀背景下,境內汽車企業因境外經營活動而產生的向“境內提供”已經是無法回避的重大問題。缺少從境內外數據流動的通盤考慮,至少不符合對汽車數據系統化思考的要求。
由于缺少數據流動的整體性考慮(其實也有《規定》的苦衷),因此對《規定》第14條“運營者向境外提供個人信息或者重要數據的,應當接受和處理所涉及的用戶投訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相應責任”的解讀,也只能局限于境內用戶,這就又會成為企業的苦衷。
9、用于自動駕駛目的的數據利用
《規定》第16條是為數不多的直接針對智能化“規范”的條款。其回應的是實務中的SLAM問題。除了上述提及的第8條和第16條的沖突,以及可能的數據殘留外,本條還存在的問題是對“科研和商業合作伙伴需要查詢利用境內存儲的個人信息和重要數據”的誤讀。這一條款容易產生數據境內存儲強制,和對“前手清潔”原則的阻斷。
10、運營者總體報告義務
在整體上對運營者義務規定中,《規定》第17條提出的年度報告義務,主要面臨和需要協調的系統化問題包括:(1)如何與《網絡安全審查辦法》(修訂草案)規定的100萬用戶個人信息銜接;(2)如何與企業審計的時限匹配,從而實現在當年12月25日之前,也即年度審計報告等之前“優先”提供數據安全報告;(3)進一步而言,該條可能還存在與《網絡安全法》第38條的年度網絡安全評估報告的沖突問題。
結合上述分析和《規定》的其他部分,我們嘗試對《規定》的系統化程度做以下小結:
(為體現對比,簡單用√、×形式。但并不表示對條款的否定)
三、總結:系鈴與解鈴
在將系統工程的方法論非常粗淺的應用到《規定》上后,我們認為未來運營者的主體將會持續延伸,在法律責任上也會出現一個駕駛責任從再模糊化到再認定的過程——對于《規定》而言,缺少法律責任將會是不可思議的事情。
系統工程的分析可以得出對《規定》的科學評價(盡管本文沒有實現這個目標),并直指問題的一個可能根源:一個快速形成和發展中的“子系統”的自動駕駛汽車,如果其周遭的道路系統(更不用提智慧城市的遠景)尚不具備自動化的基礎和實現,則子系統自己就會成為整個道路系統的問題,就會成為規制對象。
但同樣,這一根源的提出本身也自帶“解藥”:解決路徑有賴于與“更大”的道路系統環境的互動和智能化。當安全的自動駕駛這一“最小化”目的得以實現,則對汽車數據的“最大化”處理便不是問題。
(本文是2021年7月ACSEC會議上提交報告的文字版,感謝奧創科技劉老師和上海國際問題研究院許老師支持成文,也感謝與會者耐心和容忍簡陋的演示。NXP的李老師對部分技術概念進行了指導,在此一并感謝!)
