2023 年 7 月 31 日,加州隐私保护局(CPPA,California Privacy Protection Agency)执法部门宣布,依据《加州消费者隐私法》(CCPA)对联网汽车(Connected Vehicles)制造商及相关车载技术的数据隐私实践启动审查。CPPA 执行主任 Ashkan Soltani 把现代汽车形容为”装有轮子的互联计算机”,指其通过内置应用、传感器和摄像头收集车内与车辆附近的大量信息。这是这家美国首个独立数据保护机构针对特定行业发起的专项调查,指向车企在收集、使用消费者数据时是否遵守加州法律。
TL;DR
CPPA 的审查建立在三个概念之上。CCPA 最初于 2018 年通过,赋予加州居民知晓企业收集哪些个人信息、删除该信息、停止出售或共享的权利。CPPA 由 2020 年加州选民批准的第 24 号提案(即 CPRA)设立,是美国第一个独立数据保护机构,负责实施与执行 CCPA。联网汽车则指使用车载传感器、定位与通信技术与周围环境交互的车辆,SAE International 与 NHTSA 将自动驾驶分为五个级别,Level 5 为最高。
许多车企当前把重心放在把产品推向市场,其数据隐私实践尚不完善。例如通过生物识别监控驾驶员警觉性的系统,会收集每位驾驶员的人脸数据,本应受美国数据隐私法监管。
联网汽车的风险主要来自两个方面。其一,智能汽车运行是持续、伴随大量数据收集处理的过程,每一步都需与实时数据库交换数据:持续、大量的处理使数据主体更易被识别和追踪,也加大了泄露风险。其二,数据复杂性使”个人数据”与”非个人数据”的界限变得模糊——哪些车辆数据能识别到具体车辆,能识别到车辆是否等于识别到个人,行车路线、运行参数、维修与服务信息的法律属性都需进一步分析。数据控制者的不确定性还带来责任主体的混乱。
美国由 FTC 管理数据隐私,各州也在自行立法。加州的 CCPA 处于领先地位,弗吉尼亚和科罗拉多的法律于 2022 年生效,另有多个州在推进立法。近期得州也已就 车企违规处理驾驶员数据发起诉讼,显示监管正从加州向其它州扩散。
无论起草隐私政策还是构建隐私保护计划,都可以沿数据生命周期与数据保护原则来落地:
在处理包括生物识别特征在内的敏感个人信息时,企业须遵循知情同意、最小必要、目的限制三大原则,且处理敏感数据须有特定目的与充分必要性、取得单独同意。生物识别数据的具体合规判断,可参考 英国 ICO 生物识别数据指南对特殊类别数据的界定。CCPA 下退出机制如何真正生效,则可对照 加州对迪士尼 275 万美元 CCPA 罚单揭示的退出权执行标准。
欧盟立法同样强调加密与可信认证。欧盟 C-ITS(协同智能交通系统)平台 2017 年的研究报告认为,建立基于 PKI 双重授权证书的信任机制、以及可更换授权票据的假名化机制,可有效防止攻击并降低被追踪的风险;但该机制仍需交叉检查或公共机构定期审查认证机构运作等额外措施来加强信任。
从传统车企 AWS 服务器配置不当导致约 5000 名用户信息暴露,到新能源车企信息娱乐系统被曝隐私泄露风险,联网汽车正在收集比手机更多的数据。对进入美国市场的 B2B 运输与车载技术企业而言,联邦与州法规仍在成型,但监管方向已明确:在产品设计阶段就采取技术手段防范数据安全隐患,即”Security by Design”,比事后整改成本更低。想系统了解加州框架的合规要点,可参考 《加州隐私权法案 CPRA》合规指南。