有关车联网数据分类的问题,在报告《毕马威-车联网行业:车联网数据安全监管制度研究报告2022》中可以找到答案,具体以原报告内容为准,下面的内容也出自该报告。
环境数据的采集与处理是网联汽车实现自动 驾驶的基础,包括实时交通数据、地图数据、 周边环境感知数据和高级驾驶辅助系统 (ADAS)状态数据。环境数据中涉及数据 安全的是地图数据。高精定位技术下,采集 自然地理信息的行为很大程度上会落入《测 绘法》第 2 条所规定的测绘范围。
鉴于高精地图涉及国家安全,由此可能引发以下问题:1)数据出境方面,这类数据可能涉及《网络安全法》《数 据安全法》《汽车数据安全管理若干规定》中重要数据的规定,在数据出境方面受到严格限制,包括通过国 家网信部门组织的安全评估;2)数据采集方面,测绘行为在我国实行的是资质准入,测绘活动的开展应以 拥有测绘资质证为前提;3)数据管理上,根据《测绘地理信息管理工作国家秘密范围的规定》《导航电子地 图安全处理技术基本要求》《测绘资质管理规定》《测绘资质分级标准》等相关规定,测绘地理信息可能会涉 及不同层级的国家秘密。4)根据《外商投资准入特别管理措施(负面清单)(2020 年版)》,测绘地理信息 属于外资禁入的负面清单。5)根据《测绘法》等规定,我国实行测绘成果汇交制度,测绘项目完成后,向 主管部门汇交测绘成果资料。属于基础测绘项目的,应当汇交测绘成果副本;属于非基础项目的,应当汇交 测绘成果目录。因此地图数据在采集、管理上都应当是车联网企业所应重点关注的数据类型。
此外,智能网联汽车还需收集道路周边情况协助驾驶,在此过程中可能会拍摄到周围行人。此时对行人进行 告知并获取同意的方案并不可行。因此,当不可避免收集到行人相关个人信息时,车联网应用软件提供者需 在达到收集目的后及时删除或进行匿名化处理。比如拍摄周围行人是为了降低行人碰撞风险,当汽车行驶过 该路段后,该行人个人信息即不再必要,需及时删除或进行匿名化处理。
汽车自身数据包括座舱数据、运行数据和位置轨迹数据。智能汽车电子构架变革路径是从 ECU 到域控制器, 再到超级计算机。因此,智能汽车电子架构一般划分为五个域 : 驾驶辅助 / 自动驾驶域、智能座舱控制域、 车身控制域、底盘控制域、动力总成域。其中驾驶辅助 /自动驾驶域、智能座舱控制域与汽车数据安全直接相关。 根据《车联网信息服务 用户个人信息保护要求》车辆基本资料和设备、系统或平台信息属于个人重要信息。
而在《智能网联汽车数据安全共享模型与规范(征求意见稿)》中将大量的车辆数据分级为第Ⅰ级,即完全公 开数据,遭到篡改、破坏或泄露后,不存在潜在的负面影响,可以面向大众公开;也有大量的数据被定义为 第Ⅳ级,即遭到篡改、破坏或泄露后,潜在的影响大较大,对个人与车厂利益产生特别严重的损害,宜在车 厂和相关主体的严密监控下使用。总结来看,可以从两个维度进行判断,一是与个人的关联度,与个人关联 度越高,这类数据安全等级应当越高;二是静态数据与动态数据的区分,动态数据的安全等级应当高于静态 数据。但一般认为,这些数据收集是围绕车辆的基本驾驶功能开展,是实现车辆驾驶的必备数据,此外互联 网时代的车辆监测、快速维修的需要也使得这类数据的收集具有必要性。因此,这类数据的收集使用可以达 到必要性的要求。
用户数据包括个人车内活动数据,如车主和乘客信息(如姓名、身份证、电话)、消费与生活习惯信息、用 户部分生理数据(体温、心跳频率等)、车主、乘客图像及语音数据,以及驾驶活动数据,如驾驶员习惯、 车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行驶轨迹)等。
根据《车联网信息服务 用户个人信息保护要求》车辆基本资料和设备、系统或平台信息属于个人重要信息。 此处的重要信息不同于重要数据,在个人信息安全保护要求中,重要信息属于第二档,即一般信息—重要信 息—敏感信息。对于个人重要信息应实施必要的技术和管理措施,保护用户的知情权和选择权,保护用户个 人信息的机密性和完整性,确保用户个人信息访问控制安全,建立用户个人信息安全管理规范,一般只需符 合个人信息保护的基本要求。身份证、电话等传统敏感信息在个人信息保护领域已经有了相对完善的规定, 车联网场景中遵守个人信息保护中关于敏感信息规定即可。车联网领域中特殊的用户数据包括地理信息和生 物识别信息。
为了保证车辆安全,高精地图需要反映参与交通主体的地理信息,包括位置、速度、行驶方向、路线等,以 实现 “车—人” 实时交互。地理位置数据能够揭露数据主体的生活状态和生活习惯,包括家庭住址、工作地 址以及活动范围等信息,涉及到隐私侵犯。另一类敏感信息是生物识别信息,在使用生物识别信息时,应当 保证数据主体对其涉及的数据具有完全的控制权限。一方面,不能将生物识别作为认证的唯一方案,应当提 供非生物识别的替代方案,且不会向个人数据主体施加额外的约束条件。另一方面,对生物识别信息采用本地、 加密方式存储,不使用外部终端处理。而对构成生物识别模板和用于用户验证的原始数据进行实时处理时, 坚决不存储原始生物识别数据。遵循生物识别数据相关的其他要求,例如避免存储原始数据,对构成生物 识别模板和用户验证的原始数据进行实时处理。因此,信息处理者在处理地理信息和生物识别信息时,应当 严格遵守个人信息保护领域相关原则,最重要的是最小必要原则和知情同意原则。
