近日,百度旗下“萝卜快跑”作为自动驾驶出行领域的先锋,频繁登上热搜榜单,高效便捷的自动驾驶技术在重塑大众出行体验的同时,也引发了大众对于个人信息保护与数据安全、事故责任认定、潜在引发就业矛盾等争议问题的广泛讨论。上海兰迪律师事务所资深律师、专利代理师陈梦园在日前举办的人工智能进程中数据安全的合规问题研讨会上表示,自动驾驶过程中必然伴随着海量数据的收集与处理,这些数据蕴含着城市道路状况、车辆运行参数及用户行为等关键信息。敏感数据是否安全合规使用,直接关系到道路交通安全乃至社会的整体稳定。
陈梦园介绍称,智能网联汽车涉及采集大量汽车数据,有关汽车企业应尽快建立健全数据安全合规管理体系。比如在处理地理信息时,内资企业应依法取得相应测绘资质,或委托具有相应测绘资质的单位开展相应测绘活动;属于外商投资企业的,应委托具有相应测绘资质的单位开展相应测绘活动,由被委托的测绘资质单位承担收集、存储、传输和处理相关空间坐标、影像、点云及其属性信息等业务及提供地理信息服务与支持。
企业该如何在法律规定范围内做好智能网联汽车数据处理?在陈梦园看来,企业需要遵循以下四项原则:车内处理原则、脱敏处理原则、默认不收集原则、精度范围适用原则。
“车内处理原则指的是企业应主要处理和车辆相关的数据,不收集其他数据。脱敏处理原则是指对于车辆运行过程中的人脸、其他汽车号牌等数据匿名程度要达到90%。”陈梦园表示,比亚迪曾于2019年推出了“千里眼”功能,车主可以通过APP远程操控车上的多个摄像头,支持毫秒级的传输速率、高清播放画质和图像本地存储,以实现遗落物品检查、车位信息查看、车内外情况监控等功能。2022年,比亚迪暂停了“千里眼”功能。对此,比亚迪客服回应称,根据最新的法规要求,汽车在收集车外视频、图像数据并向车外提供时,应在车端对数据中的人脸、车牌信息进行匿名化处理。
默认不收集原则指除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态,当驾驶人通过实体按键或触摸按键等方式主动选择后才能开始收集,汽车可根据驾驶人设定,保持驾驶人选择的状态或恢复默认状态。陈梦园强调,如果汽车数据处理者想要处理个人信息,应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人处理信息种类、用途等相关事项。
精度范围适用原则要求汽车数据处理者根据提供的功能服务对数据精度的要求,合理确定摄像头、雷达等传感器的覆盖范围和分辨率。汽车收集的数据应当与其功能直接相关,避免过度收集。“随着智能汽车技术的成熟,数据处理更加精细化,既满足了功能需求,又避免了不必要的数据收集。”陈梦园说。
尽管汽车数据安全保护问题频繁出现,但“萝卜快跑”兴起带来的自动驾驶问题,仍存在一定的合规难点。陈梦园表示,企业需要保证自动驾驶汽车的训练数据来源合法。车辆外部应有“测试车辆”或“数据采集车辆”及所属单位的显著标识,且驾驶人员为具备授权的特定人员。
2024年2月,据外媒报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。随后宝马公司对此事做出了回应,证实了此次数据泄露确实影响了基于存储开发环境的微软Azure存储桶。宝马方表示,公司迅速解决了这一问题,并将继续与合作伙伴一起监控情况,以防止类似事件的再次发生。此前,奔驰也曝出了类似的安全问题。公司安全部门从一名员工的代码仓库中发现了GitHub私钥,这一私钥可访问奔驰企业内部GitHub服务器上的全部代码,奔驰马上阻止了相关非法访问。“这不仅影响消费者对于品牌的信任,还可能面临数据安全处罚。”陈梦园建议企业,设立汽车数据安全管理组织架构及负责人,并建立健全安全事件应急处置机制和汽车数据安全投诉响应机制,加强对整个产业链上供应商的数据安全审核及定期监督,以更好地做好数据安全保护工作,防范相关风险。
鲁公网安备 37130202371416号