数据保护热度升温 汽车流通行业数据安全合规迫在眉睫
近日,智能汽车时代的数据安全问题,被再次敲响警钟,这也让汽车业对于数据安全合规工作的重视程度进一步加深。
“从智能汽车制造商、供应商、经销商到出行服务商,其中所涉及的数据安全及个人隐私信息保护问题应引起高度重视。”中国汽车流通协会副秘书长郎学红在接受《中国汽车报》记者采访时表示,无论哪个环节都应该有依法保护的自觉意识,并遵循非必要不采集的原则,依法谨慎采集,规范合理使用。
数据保护热度升温
随着汽车智能化、数字化的发展,与汽车相关的数据安全及个人隐私信息保护事件时有发生。
很多人还记得,2021年的央视“3·15”晚会中,曝光了某汽车经销商4S店私自安装违规的人脸识别系统,未经同意使用自行采集的人脸信息,来分析客户的年龄、性别、心情状态等信息,并识别出同行、职业打假人、记者等列入4S店黑名单。而根据我国相关法律法规,采集人脸信息需要征得该自然人或者监护人的同意。
其实在汽车销售服务环节,普遍存在利用大数据收集客户信息的情况。如所谓的“精准营销”,就是车企或经销商借助大数据,对潜在客户的网络搜索、浏览偏好等做客户群体画像分析,帮助厂商完成广告推送、获取“售车线索”。在当前直连消费者大潮下,无论汽车厂家还是经销商,都在试图通过数字化工具,与消费者建立更多触点的连接,通过客户大数据更好地支持销售。还有些汽车经销商集团的App已经非常成熟,其中涵盖了客户从买车到用车的全生命周期业务服务,甚至还会将其他生态整合进来,收集大量客户信息。
“当下,从汽车设计、研发、生产、销售、使用、运维等整个产业链,都不可避免会收集大量的个人信息和重要数据。”中国汽车流通协会专家委员会法律专家武峰律师表示,数据和个人信息保护的依据包括民法典、《个人信息保护法》、《网络安全法》和《数据安全法》及相关法规。根据规定,公民个人指纹、声纹、人脸、心率等识别特征都属于敏感的个人信息。曾经有行业经销商员工把客户个人信息出售给其他商家,触犯刑法253条中侵犯公民个人信息罪,被追究刑事责任。
值得注意的是,今年咨询机构罗兰贝格发布的《软件定义汽车下的个人隐私保护:场景驱动模式落地》报告中,结合一些现实案例进行了分析。
“汽车相关数据及个人隐私屡屡被泄露,其中原因是多方面的。”罗兰贝格合伙人兼大中华区副总裁时帅在接受《中国汽车报》记者采访时表示,首先,随着汽车智能化水平的提升,自动驾驶、智能座舱都有监控车内驾乘人员的摄像头,也包括语音识别、手势识别、指纹识别以及实时联网等功能,一辆车每天产生的数据要以TB计,其中既有影像,也有声纹,这些海量的数据都有泄露的风险;其次,相关政策法规的限制也越来越明确,原来可能不会触犯法律红线的行为现在可能会触线;三是消费者越来越敏感,以前也许不在意,但如今其对数据安全及个人隐私信息的依法保护意识越来越强。
破解难题亟待立法
无论是汽车制造商、经销商,还是消费者,如今对于汽车相关的数据安全及个人隐私信息保护意识日益增强。与此同时,汽车行业数据立法也在加严,不断推动完善汽车行业数据保护立法。
在现实中,很多汽车经销商都在从数字化营销中受益。中国汽车流通协会会员部主任文思婧介绍,广汇集团通过数字化手段,对所有客户进行分群分层,解决了集团要标签、品牌要标签、门店也要标签等自定义标签较难的问题。由此,其营销可以做到智能化、精细化,结合客户人群画像,制定了千人千面的营销策略。从而不再依赖个人经验,减少了对一线管理人员的管控和内耗,还能调动一线门店人员的服务意识和服务能力,共同为客户创造价值。
在经销商的数字化过程中,的确有需要注意的问题。武峰指出,一是敏感个人信息的存储时间应当最小化,存储要有合规性;二是对于存储个人信息要有适当的控制措施,如果经销商店里的每一名员工都能随意调取、共享或转让,就是不合理的;三是依据法规,展示个人信息应当脱敏化、去标识化,不能打上具有识别性的标签,如这是什么品牌的车主XXX等;四是不应违规使用个人信息。例如,去年媒体报道过的案例中就包括,多个品牌车主反映其二手车交易之后,原车主仍然能够通过访问App获取车辆的相关信息,相当于新车主的信息被泄露。武峰建议,在二手车交易时,销售方要对原车主的敏感个人信息进行脱敏化、去标识化,同时屏蔽原车主的再次访问。
对于推动完善汽车数据安全法规方面,时帅表示,一是要继续推动相关法律法规的健全与完善,其中不仅要有原则性规定,也要对如何保护、达到什么标准进行定义;二是要从技术方面发展数据安全硬件技术的作用,来破解数据安全及个人隐私信息保护的硬件难题;三是建议保护法规进一步趋严;四是应对车企与零部件供应商之间的合作设计数据安全部分进行明确的约束,不管是合同规定还是权责界限的规定,谁负责要写清楚;五是要及时把一些行之有效的标准上升为法律法规。
规避风险有何“秘诀”
眼下,随着车企和经销商的数字化转型日益深入,如何持续推进合规以规避风险?
“在车端,建议车企把远程摄像头功能关闭,否则车辆都可收集到车牌信息、人脸信息、地理信息等,如果违规收集,将来就有可能被执法机关所处罚。”武峰建议,根据现行法规,汽车数据要遵循的规范是,一是车内处理,除非确有必要,不能向车外提供。二是默认不收集,如果要收集个人信息一定要征得信息主体的明确同意,才能收集人脸、指纹、心率等信息。三是精度范围适用,不管是摄像头、车载雷达等,并不是精度越高、分辨率越高越好,而是按照法规的要求,够用即可,只要能够保证行车安全,就不必过度追求它的精度和分辨率,因为这涉及到数据安全及个人隐私信息保护。四是要进行脱敏处理,如经销商在接触到个人信息时,对车主、潜客的姓名、身份证号码、家庭住址,要进行脱敏,也就是匿名化或者去标识化,像身份证号码不能全部公开,这也是维护公共安全、保护个人信息的需要。
武峰介绍,随着行业对数据安全重视程度的提升,企业也开始自行纠正一些不规范行为,如某车载导航电子地图供应商曾经针对豪华品牌车主做过大数据分析,利用从车主经常光顾的场所到出行时段等数据进行用户画像,在遭到大批车主的反对后,立即进行了整改。
无论是车企还是经销商,在售后服务环节都应对数据安全及个人隐私信息保护做到守法合规。时帅谈到,一方面,如果经销商在对车辆进行维修保养时,工程师把车载数据系统打开后看到了个人隐私信息,对此,就需要车企对经销商给予指导,在车主个人隐私保护方面哪些能做、哪些不能做。另一方面,如果车主自行去专门的第三方保养店,工程师在检测车辆时同样也能看到车主的个人信息,但谁来约束第三方保养店,尚没有明确的规定。因此,这是专门的汽车售后服务商、出行服务商可能都会面临的问题。“对此,我们希望通过法律法规的完善,涵盖从主机厂到经销商,以及各大出行公司、出行服务平台,使消费者相关的数据安全及个人隐私信息都能得到依法保护。”时帅表示。