实测!车内摄像头合规隐忧
车内摄像头隐忧(上)
“
中国市场上的哪些汽车品牌安装了车内摄像头?这些摄像头如何拍摄及存储数据?是否联网或被传输?
本文字数6414,阅读时长约21分
文|财经E法 张 剑 杨 柳(实习生)
樊 朔 樊 瑞 姚佳莹
编辑|郭丽琴
伴随自动驾驶技术的崛起,摄像头——这个在传统车时代较少受关注的部件开始发挥越来越多的作用。
自动驾驶汽车在运行中需要实时监测车辆内外的数据,与其他车辆或基础设施保持数据交换,以这些数据为基础完成数据处理、分析并决策,最终展示出完整的驾驶行为。这些都需要通过摄像头来完成基础数据的搜集。
在新功能不断开启的同时,一旦这些涉及乘客个人信息或隐私的数据被泄露或不当使用,可能会对当事人带来难以挽回的伤害。
4月初,有媒体爆出,2019年至2022年,有特斯拉美国员工在该公司内网私下分享车主摄像头拍摄的视频和图片,其中包括一名全裸走进一辆特斯拉的男子,以及车祸视频。该报道称,特斯拉在美国加州圣马特奥的办公室,大多数员工是20岁-30岁的年轻人,分享有趣的视频或图片是他们的日常习惯。
此外,虽然北美特斯拉的“客户隐私通知”表示,“车辆摄像头的记录是匿名的,不会与你或你的车辆相联系。”但该报道称,受访人证实,系统可以显示视频记录的位置,这极有可能揭示特斯拉车主的居住地。
放眼全球,以特斯拉为代表,智能驾驶系统已是车辆标配:安装在车内、车外的摄像头、雷达等均是智能驾驶的组成部分。特斯拉被曝不当处理车主隐私的议题,也再次将车辆摄像头的安全风险暴露在公众面前。
中国市场上的哪些汽车品牌安装了车内摄像头?
4月11日至5月3日,财经E法探访了北京、上海、重庆三地18家4S店,其中包括9个新能源车与燃油车品牌,了解了这些品牌安装和使用车内摄像头的情况。
此外,财经E法还查阅了这些品牌的官方网站、App、个人隐私政策、汽车隐私政策、驾驶指南、用户手册等文件。
综合相关信息,财经E法发现,9个品牌中有一个品牌全系车内无摄像头,一个品牌使用了红外线传感器检测驾驶员状态,其他7个品牌全部装有车内摄像头。
那么,这些摄像头如何工作?拍摄的视频或图片如何存储,又是否会被联网或被传输?
01
在北京市东部某商场的小鹏汽车体验中心,财经E法查看了G3i和G9两款车型。
销售人员表示,G9目前是小鹏品牌辅助驾驶功能最完善、智能化程度最高的车型。
进入G9车内,在方向盘左侧有一部类似摄像头的装置。小鹏线上客服表示,这一装置是疲劳检测摄像头,当驾驶员出现轻微的疲劳或分神时,车辆通过组合仪表、提示音进行提醒,当驾驶员出现严重的疲劳或分神时,车辆通过拉紧安全带进行提醒。
小鹏汽车App中G9用户手册亦显示,该装置为疲劳检测摄像头(车内摄像头),点击车内中控屏中的车辆设置可以打开或关闭车内摄像头。车内摄像头仅在使用辅助驾驶相关功能时才启用,关闭后,使用智能辅助驾驶功能时将无法对驾驶员进行疲劳、分神检测提醒,影响行车安全,用户请谨慎关闭。
但是,不同门店的三位线下销售人员均对财经E法介绍,此装置为红外线传感器,是辅助驾驶功能的一部分,主要功能是感应驾驶者状态,防止疲劳驾驶。
在G3i车内,财经E法未发现摄像头,这款车的用户手册亦显示,车内未安装摄像头。但小鹏汽车线上客服则表示,部分G3i车型同样具有防疲劳驾驶预警系统。
根据《小鹏汽车隐私政策》,当用户使用智能辅助驾驶功能时,小鹏汽车会按照监管要求对驾驶员疲劳或分神状态进行实时监测提醒,此时会通过车内主驾摄像头识别驾驶员是否存在面部转向/闭眼等行为,这些数据处理均在车端完成,不会传输至车外。
小鹏G9的车内摄像头位于左侧A柱上
小鹏汽车官网《小鹏汽车隐私政策》对车内摄像头数据处理的规定
小鹏汽车App在线客服表示,车内安装了疲劳检测摄像头
在一家理想4S店,财经E法查看了L9车型。销售人员称,这款车没有安装车内摄像头,只有两个传感器。第一个传感器位于车内后视镜上方,可以感知驾驶员的注意力状态,比如低头打瞌睡等,用于提醒司机安全驾驶。车主可以在中控屏设置中点击“通用”,选择“隐私”,点击“舱内感知传感器”,选择开启或关闭传感器;第二个传感器位于后排座椅前上方,用于娱乐屏手势交互,提升娱乐体验。
理想车机端中控屏的《舱内感知服务隐私保护声明》显示,车内两个传感器所获取的数据在车端本地进行处理。
销售人员表示,L2级别自动驾驶无需车内摄像头,依靠车外摄像头即可实现。
理想L9的两处车内传感器的位置
02
在一家特斯拉体验店,财经E法看到,Model Y在车内后视镜上方有一个摄像头。销售人员表示,该摄像头没有启用,不具有任何作用。Model Y用户使用手册亦显示,驾驶室摄像头(如果配备)目前未激活。如果未来的安全功能使用到驾驶室摄像头,特斯拉将在推出该功能后通过软件更新通知用户。销售人员还表示,特斯拉的车内语音交互只能识别一些特定的指令,并不会收集、存储用户录音。
此外,用户可以通过车机系统选择是否将数据上传。根据特斯拉官网的隐私声明,在符合当地法律的条件下,特斯拉收集的车辆数据包括:车速信息、里程表读数、车辆组件信号、互联网连接状态、安全相关数据和摄像头图像(包括关于车辆 SRS 辅助防护系统、制动和加速系统、安全系统和电子制动器的信息)、事故短视频片段等以及其他用于帮助识别问题和分析车辆性能的数据。
特斯拉ModelY的车内摄像头位置
在一家广汽埃安4S店,财经E法查看了2款埃安销量最大的车型——V Plus和Y Plus。
其中,有的款型配备了两个车内摄像头,一个位于方向盘与仪表显示屏之间,另一个位于后视镜附近的智能模块区左侧。
销售经理称,方向盘处的摄像头是车辆驾驶员监控系统的组成部分,功能是监测驾驶员状态,出现疲劳或各类分神(接打手机或长时间向车外看)时,将通过仪表盘的指示灯进行提醒, 为行车提供安全保障。摄像头仅具备人脸识别功能,不具备实时拍摄后存储功能。
智能模块旁的摄像头主要用来识别车内其他乘客,提供一些智能服务。比如,当识别出有乘客在吸烟,将自动适度落下吸烟乘客旁的车窗,促进烟气尽快排到车外。“这两款摄像头都不能实时拍摄后存储,也不会上传云端,更不会存储人脸识别信息。”销售经理专门强调了埃安车内摄像头的安全性问题。
此外,与其他智能网联汽车类似的是,埃安也设置了前视、后视、左视、右视四个方向的车外摄像头,均属于智能驾驶系统的组件。其中,前视摄像头有两处,一处在车内后视镜的后方,一处在车头,均为向外拍摄的。
埃安的用户手册和隐私政策与销售经理的介绍大体一致。
用户手册显示,智能感知系统是通过车内的摄像头检测驾乘人员状态及行为特征等,实现如抽烟通风、通话中降低媒体音等功能,提升用车体验。用户手册还明确,智能感知系统不会记录或上传与驾驶员相关的任何图像、视频、声音等信息。
埃安部分车型的车内摄像头位置
03
根据财经E法的探访,共有四个品牌的车内摄像头有拍摄和存储功能,分别为蔚来、宝马、极氪和比亚迪。其中,蔚来和宝马可以将车内拍摄的内容上传至云端,还可在移动设备上显示。
在北京市东部两家蔚来展示店,销售人员介绍,目前蔚来主打的三款车型分别是ET5、ET7和ES7,这三款车均安装了两个车内摄像头。其中一个位于方向盘正前方,处于自动开启状态,用于检测司机是否疲劳驾驶,主要通过识别司机的面部表情进行判断,不会拍照,不存储也不会上传数据。具体来说,如果检测到驾驶员的注意力等级处于临界值或者驾驶时间过长,会通过语音等方式发出提醒。
蔚来主打的三款车型均安装了两个车内摄像头
蔚来上述三款车型的用户手册也显示,增强型驾驶员感知会在行驶过程中监测驾驶员的驾驶状态。开启后,满足功能激活条件,一旦监测到驾驶员有疲劳或分心的行为,蔚来车载语音助手NOMI会根据不同等级,通过表情和声音进行提醒,数字仪表也会同步提醒专注驾驶,守护驾驶员的行车安全。用户手册显示,该摄像头不会记录或共享图像、音频或视频。
另一个摄像头位于车内后视镜上方,销售人员称,这个摄像头主打娱乐功能,通过蔚来车载人工智能系统NOMI,可唤醒并拍照或拍摄视频,“用来记录车内精彩瞬间”。销售人员强调,这处摄像头默认关闭。拍摄的照片会上传到图库中,可以中控屏上查看。
销售人员演示了如何传输图片,有两种途径,一种是用U盘拷贝,另一种是将图库中的图片传输至蔚来App云相册,用户可在手机上的蔚来App中浏览。
蔚来《用户手册》也介绍,在车内可让NOMI为车主进行自拍,拍好的照片或视频存储于相册应用内,可使用USB 数据线导出(并未提及App云相册)。
但自2020年2月20日起,蔚来新增相册可选择上传到蔚来App云相册功能,财经E法在蔚来车机端中控屏查看到的《蔚来车联网服务条款》显示,通过相册产品应用软件,可上传图片至用户账户的云端空间,并可实现在设备上浏览已上传图片的功能。
蔚来车主可选择将车内摄像头拍摄的内容上传至云相册
将图片传输至云相册的过程中,是否有除用户外的其他人访问?销售人员表示,销售端不具体负责这个问题,“正常情况下,后台肯定会有存储,但一般情况下也不会轻易调取”。
事实上,该摄像头还是车内智能感知系统的组成部分。财经E法查阅蔚来车机端中控屏的使用说明,“智能车内感知”一项显示,当打开这一功能后,车内摄像头将持续工作,通过AI视觉感知提供智能检测等能力。关闭后,车内AI感知功能将受限或不可用。
据蔚来销售人员介绍,蔚来不同车型均有该配置。打开智能车内感知系统,在车辆锁闭的情况下,系统会通过摄像头来检测车内情况,如果发现车内有小朋友或动物,会报警。这是否意味着只要打开该功能,车内的所有情况都会被记录?
蔚来销售人员强调,车内行为“不会被监控”。该工作人员解释,这一功能的触发条件必须是锁车断电,“我认为,您不会把自己锁在车里边儿钥匙拿走,然后还在车里待着”。据他介绍,摄像头本身不联网,车辆是通过座椅的重量感应以及车内的温度感应,再通过摄像头视觉计算得知车内是否有宠物或者小朋友,进而发出警报。
然而蔚来的另一位在线客服的介绍有所不同,她称,目前开启智能车内感知系统后,只能用于儿童对话,至于红外感知车内遗留的儿童和宠物进行报警功能,需要等待后续OTA升级,暂时无法使用。
北京海淀区的蔚来车主王一新(化名),在几个月前刚购置了一辆蔚来。据王一新回忆,印象中,销售并未向其介绍车内有两个摄像头,“当时销售主要介绍的是驾驶、安全等功能,我也是看车友群里讨论才知道有车内摄像头。”他坦言,对车内存在的摄影头有担忧,“还是有些担心隐私问题,因此我一般都不使用这些功能,尤其是后视镜上方的摄像头”。
对于车内及车外摄像头拍摄的影像资料,蔚来汽车车机端中控屏《隐私政策》称,将严格按照“最小使用、车内处理”的原则处理这些影像资料,且仅在法律法规允许的有限的场景下会被上传到蔚来云端。
蔚来的车载人工智能系统NOMI可以存储用户信息。车主通过与NOMI对话,可控制一些功能的开闭。用户手册显示,蔚来会以假名化的方式在云端保留车主与 NOMI的对话音频与语音识别文本,至多30日。但用户可选择开启或关闭 NOMI。
蔚来用户手册显示,用户与NOMI对话的内容最多会在云端保存30天
此外,蔚来汽车隐私政策显示,“为实现车辆驾乘及使用相关产品/服务的目的”,会收集和使用NOMI互动的音频信息、车内及车外摄像头的影像资料等。但未说明具体的收集和使用形式。
蔚来的隐私政策
宝马IX为当前宝马新能源的旗舰车型。在北京市大兴区、重庆九龙坡区的4S店,财经E法查看了2023款宝马IX标配版,据销售人员介绍,该款车型只有一个摄像头,为选装功能。若选配,该摄像头将位于组合仪表盘的中间位置,主要作用是监测驾驶员是否疲劳驾驶、分神等。
财经E法未在宝马App、宝马官网查到相关用户手册,核实销售人员上述说法。对此,宝马App在线客服表示,根据国家相关规定要求,应用商店正在进行合规性审查,驾驶指南暂时从应用商店下架。
多位宝马销售人员告诉财经E法,目前只能通过购车后获得随车附带的纸质版用户手册,4S店内无法查阅。
目前宝马的驾驶指南暂时从应用商店下架
财经E法通过查看宝马IX中控屏,可查阅到《产品使用指南》。《产品使用指南》显示,2023款宝马IX标配款最多有两个车内摄像头,一个为上述销售提及的驾驶员注意力摄像头,为选配功能;此外还有一个标配的车内摄像头,位于顶棚控制区域,有记录功能,如作为内部摄像头进行单拍、连拍等,还可在移动设备上显示远程车内视图,作为防盗记录仪。其中,防盗记录仪功能的触发条件是车辆已停驻并上锁。
2023款宝马IX有一个标配的车内摄像头
关于该摄像头的数据处理,《产品使用指南》显示,是否允许记录以及使用取决于使用该系统的国家的法律规定。车辆制造商建议首次使用前检查在相应国家或地区不存在法律或官方限制,定期检查系统使用的合法性,此外,在转交车辆时应告知该系统的相关信息。
在数据传输和存储方面,当用户在BMW应用上操作预览或保存时,数据才会通过WIFI传输到移动设备,否则该摄像头拍摄数据将保存在车辆中。
《产品使用指南》显示,用户可在“车内摄像头”内的“设置”中,停用或启动摄像头以及数据传输功能。
在海淀区一家极氪4S店,销售人员介绍,目前销量最大的是极氪001,这一车型安装了2部车内摄像头。
根据销售人员的演示,极氪001的车内摄像头位置布局与埃安基本一致。销售人员表示,驾驶座前的摄像头主要通过人脸识别方式监测驾驶员状态,保证安全驾驶。该摄像头不能拍摄图片,也不能存储数据或将车内数据传出。
但两位不同4S 店的销售人员均强调,极氪001的所有配置车型,后视镜附近智能模块处的车内摄像头目前均未开启,仅为展示。未来如果开启,主要是用于安全和环境监测,但他们并未详细讲解具体怎么用。
销售人员称,极氪001后视镜附近智能模块处的车内摄像头目前均未开启
极氪App中的参数配置显示,其各款车型的鹰眼视觉融合感知系统包含两个车内检测摄像头。但在App中的用车指南、个人信息保护政策中,财经E法并未找到“摄像头”相关表述。
北京海淀区一家比亚迪4S店的销售人员介绍,比亚迪汉EV安装了两个车内摄像头。
在使用左侧A柱的摄像头之前,需要打开镜头滑盖,以监测驾驶员是否疲劳驾驶和分心驾驶。比亚迪的《隐私政策》提到,驾驶员监测辅助系统摄像头,会收集驾驶员的注视区域、疲劳、情绪、唇动、唇语等面部信息,摄像头拍摄的原始照片将在车辆本地提取特征值后删除,特征值仅保存在车辆本地,不会将原始面部照片和特征值上传至云端。
使用比亚迪汉EV的驾驶员监测辅助系统摄像头时,需要打开镜头滑盖
另一个摄像头位于车内后视镜正上方,同样需要先打开滑盖才能拍摄。这一摄像头的拍摄视阈覆盖前舱和后舱乃至车身周围的环境。综合销售人员及车机端中控屏《隐私政策》的说法,该摄像头属于比亚迪“千里眼”功能的一部分,可以远程在手机App上监测车内是否有遗留儿童或查看车内遗留物品。但受监管要求,该车内摄像头的“千里眼”功能仍处于停用状态,目前仅支持类似于手机自拍的拍照与摄像功能,拍摄的画面存储在本地。
比亚迪汉EV的“千里眼”功能并未启用,目前仅支持自拍,拍摄的画面存储在本地
04
除了新能源品牌,德系传统高端燃油车品牌也配备了智能驾驶系统。
在北京市大兴区的一家奥迪4S店和一家宝马4S店,财经E法分别查看并向销售人员了解燃油车和新能源车的情况。奥迪销售人员表示,目前该品牌全系均未安装车内摄像头。虽然设置了驾驶员疲劳监测功能,但均是通过驾驶员方向盘的使用、踩油门、刹车的力度和调度,综合判断驾驶员是否疲劳驾驶。
据介绍,目前奥迪一些车型安装了前视摄像头,对车外拍摄,安装在车外前挡玻璃上方的正中位置,作用是与雷达相互配合,探测前方路况。一名奥迪车主向财经E法表示,车内可能进行录音。对此,销售人员称,车主在新车激活接入系统后,将默认开启个性化推荐,该功能会自动推荐车主多次提及的地点。但“个性化推荐”可自主关闭。
车内摄像头隐忧(下)
“
车内安装摄像头或许可以更好保障驾驶人和车辆安全、提供更好的用户体验,但代价却是让乘车人的个人信息和隐私面临风险。这一利益冲突,仍待寻求破解之道。
本文字数7781,阅读时长约25分钟
文末小调查:你和车内摄像头那些事儿
欢迎参与~
文|财经E法 樊朔 姚佳莹 张剑 樊瑞
实习生 杨柳
编辑|郭丽琴
步入自动驾驶时代,汽车作为新生代智能终端设备,汇聚了丰富的数据。在车企不断创新以提升竞争力之时,如何有效保护消费者个人信息、个人隐私乃至国家安全,已成为多方关注的议题。
不难理解,车企为实现自动驾驶功能而在车外布置摄像头,已引发数据安全风险,中国也于去年出台了相应法规。2022年上半年,比亚迪、小鹏以及东风日产旗下汽车应国家数据安全法规的要求,均暂停了部分车外数据采集功能。但车内摄像头因何设置,收集并处理了哪些数据,以及这些数据的最终流向,却较少为公众所知。
此前,财经E法在北京、上海、重庆三地18家4S店,通过实地了解,以及查阅用户手册、隐私政策等文件,客观呈现了9个新能源车与燃油车品牌安装和使用车内摄像头的情况。(详见车内摄像头隐忧(上))
与此同时,财经E法通过采访资深技术及产业人士、接近政策制定的专家学者,试图梳理出一条创新与监管互动的脉络。
01
非装不可吗?
近年来,特斯拉频频因车内摄像头带来的隐私问题引发全球关注,并波及中国市场。
据媒体2023年4月初报道,2019年至2022年,特斯拉美国员工在内部消息系统中,私下分享了车主摄像头拍摄的视频和图片。北美特斯拉“客户隐私通知”中表示,“车辆摄像头的记录是匿名的,不会与你或你的车辆相联系。”但该报道称,受访人证实,系统可以显示视频记录的位置,这极有可能揭示特斯拉车主的居住地。
此外,该报道援引一位特斯拉的前雇员称,几年前,如果车主同意了分享数据,即便这些车辆处于关闭状态,特斯拉公司也会收到来自这些车辆的视频记录。但后来就没这么做了。财经E法发现,特斯拉官网的Model 3车主手册仍显示,默认情况下,驾驶室摄像头采集的图像和视频不会离开车辆本身,也不会传输给任何人(包括 Tesla),除非用户启用数据分享。
此前的2021年4月6日,“特斯拉车内摄像头高清画面”曾登上微博热搜。一名黑客提取到特斯拉车内摄像头的拍摄画面。从视频中可以看出,摄像头拍摄的画质清晰,拍摄范围涵盖主副驾驶位。特斯拉此后回应称,驾驶室摄像头目前在北美以外的市场并没有激活。即使是在美国,车主也可以自由选择是否开启使用。
2021年3月,特斯拉CEO埃隆·马斯克(Elon Musk)首次承认,特斯拉通过车内摄像头来监视驾驶员,这也引发了众多车主对侵犯隐私的担忧。彼时,马斯克在推特发布消息称,将收回一些车主的FSD beta版(直译为“全自动驾驶”的驾驶辅助系统测试版,由于仍需人类驾驶员来关注路况,该名称一直受到争议)的试用权限。原因是这些车主在使用特斯拉的 FSD Beta版功能时,没有对道路情况给予足够的关注。有用户通过社交媒体向马斯克询问,特斯拉的车内摄像头,是否可以检测车主的目光?对此,马斯克直接回答“Yes”。2021年5月,多家媒体报道称,特斯拉汽车对其车机系统进行了新软件更新,使其可以在用户使用自动驾驶功能时通过汽车内部摄像头对司机进行监控。
2021年3月,马斯克首次承认,特斯拉通过车内摄像头来监视驾驶员
但就在2019年,马斯克接连在社交媒体上回应用户询问时表示,特斯拉的车内摄像头并未启用,只是专为未来的无人驾驶出租车(Robotaxi)设计的。
2019年,马斯克回应用户疑问时称,特斯拉的车内摄像头并未启用
据财经E法了解,在中国,目前不少汽车厂商都在产品中安装了车内摄像头,并实现多种功能。
中国欧洲经济技术协会智能网联汽车分会秘书长林示总结,目前车内摄像头主要有三个功能:第一,人脸识别,即通过人脸识别可以启动车辆、调节座椅;第二,监测驾驶状态,识别驾驶员的疲劳状态,如果疲劳驾驶,车就会报警提醒;第三,拍照摄像。
“其中,第二个的功能还是很有必要存在的。”林示表示。
广汽埃安用户手册对车内监控摄像头的描述
360车联网咨询顾问胡俊进一步介绍,实现高级辅助驾驶功能,一般需要使用前视、侧视、后视、内置摄像头。其中,内置摄像头属于驾驶员监测系统(DMS),主要用于检测驾驶员是否疲劳、闭眼等。这类摄像头主要采集的是人脸信息,如通过驾驶员眼睛睁闭、眨眼的频率和时长等判断驾驶员是否疲劳驾驶。
但也有受访专家认为,不安装摄像头也能实现监测驾驶员状态的功能,三个功能的摄像头都不是必需的。车企安装车内摄像头可能有标准、商业等多角度考量。
ICMA智联出行研究院副院长罗为认为,车内摄像头的主要功能是解决驾驶安全问题,但这个功能的实现路径不一定必须通过摄像头。“只能说是一些汽车厂商为解决司机疲劳驾驶问题而选择的一种技术手段,并不是必然的方案。”罗为表示。
财经E法在实地探访中也发现,有汽车品牌并未安装摄像头或传感器,也能实现监测驾驶员状态的目的。《车内摄像头隐忧(上)》显示,在北京市大兴区的一家奥迪4S店,奥迪销售人员表示,目前该品牌全系均未安装车内摄像头,但也配备了驾驶员疲劳监测功能,但均是通过方向盘的使用、踩油门、刹车的力度和调度,综合判断是否疲劳驾驶。
一位不愿具名的汽车智能座舱工程师则分析,解决驾驶安全问题确实有多种实现路径。例如,最早可以通过安装压力传感器判断驾驶员操作方向盘的方式来确认安全驾驶状态。但用视觉方式确认驾驶员的疲劳状态是当前汽车产业的发展趋势。
该工程师解释说,目前,不论是世界三大汽车安全机构之一的欧洲新车安全评鉴协会(E-NCAP),还是中国汽车技术研究中心(C-NCAP),都对驾驶员监测系统进行了规定,需要用摄像头判断用户是否分心疲劳。因此,“从车企安全达标角度,会有更多的车型依照两个标准配置摄像头。”他说。
此外,该工程师认为,一个摄像头同时满足多种功能,对车企是最具性价比的选择。从成本角度,增加一个摄像头(包含线束、硬件外设)成本为数百元,在此基础上,通过软件增加其他功能仅为几块钱。“软件功能做的越多,摄像头配置方案的性价比越高。”他说。
车企也需在商业利益与合规之间做平衡。罗为补充说,目前国内车企、尤其新能源汽车产商竞争激烈,客户的驾驶体验也是车企在开发、配置功能时的重要考量和销售亮点。“所以在产品论证时,他们往往需要做风险评估”。
02
信息泄漏风险几何
据中南大学交通运输研究中心研究员时蔚然了解,特斯拉可以采集车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等在内的200多项信息,国内智能汽车厂商也能采集170多项。
如果车企选择安装并启用车内摄像头,会搜集到哪些信息?
时蔚然表示,从技术实现来说,车企想获取车主在行驶过程中的各类信息非常容易。他介绍说,智能网联汽车基本都会主打增强用户的个性化体验、与其他智能终端设备之间的互联;未来还可能实现与整个交通网络之间的资源共享等交互信息。在采集、存储数据后,车企还会将其运用于车辆制造、出行服务等,就会涉及数据分析。
世辉律师事务所合伙人、律师王新锐对财经E法指出,无论是朝向车外还是车内的摄像头,其采集的数据类型主要取决于具体包含的内容。车内摄像头采集的信息中可能同时包含个人信息数据、敏感个人信息和重要数据。
具体到今年4月特斯拉员工泄露用户视频事件,北京航空航天大学法学院副教授赵精武指出,事件中遭泄露的视频属于个人信息。他认为,如果摄像头拍摄的内容涉及到驾驶人在驾驶活动中的全程数据,可能属于敏感个人信息。
那么,处理这些数据的过程中,泄漏个人信息和隐私的风险又多大?
据罗为介绍,一般车机端的数据处理包含三种模式:一是“即用即清”,例如表达了一个语音指令:打开车窗,系统会识别指令并传达到相关功能模块,在动作完成后便删除语音数据;二是存在车内;三是存在云端,如需要远程查看车内景象的场景。
林示介绍,数据在上传云端后最容易被泄露,例如被黑客攻击获取客户数据。赵精武补充说,那些具备上传云端相册功能的摄像头,其信息泄露风险既来源于上传行为本身,又包括云端服务提供者能否确保数据安全。
近期特斯拉被曝光事件则新增另一种数据泄露情形:车企员工私下分享了车主摄像头拍摄的视频和图片。对此,林示认为,监管部门需加强监管,让所有上传到云端的数据只有车辆所有人可以解锁查看,厂家或其他任何人都无权调取。此外,隐私保护的重点在于,厂家在设置方面不要留有后门,例如厂家不能自动操控车内摄像头开启,消费者可以自行关闭车内摄像头。
罗为补充说,云端存储数据的风险主要看:首先,车企或者软硬件供应商能否直接进入用户帐户调取数据?一般用户数据是不可直接调取的,即使为实现某项功能,也不该存储原始信息。其次,如果存储的是原始文件,是否加密、加密程度是否与数据重要程度相匹配。
对此,王新锐表示,特斯拉此次事件若发生在中国,则涉嫌违法。在中国销售产品的车企均需遵守《个人信息保护法》《数据安全法》等法律及规范性文件等设定的数据安全管理义务。对违法行为,相关法律均规定了警告、没收违法所得、责令暂停或终止提供服务、罚款等处罚措施。此外,中国的《刑法》也规定了侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、帮助信息网络犯罪活动罪等相关罪名,以打击相关数据违法行为。
在财经E法的调查中,部分厂商采用了无实时拍摄或无存储功能的摄像头,这是否能够规避个人信息或隐私泄露的风险?
赵精武告诉财经E法,无论哪种摄像头或传感器都存在数据泄露的风险,现有的网络攻击模式中,均可通过联网的摄像头(即便该摄像头没有存储功能)以及传感器进行远程非法访问并控制,进而窃取相关的语音、图像以及驾驶数据。
03
监管落地难题
过去数年,中国陆续出台了相关法律和国家标准规范车辆数据处理,包括《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》等法规。
更全面的车辆数据安全的规范体系,还包括《信息安全技术 汽车数据处理安全要求》和《信息安全技术 网联汽车采集数据的安全要求》(标准草案)两部推荐性国家标准,以及《汽车传输视频及图像脱敏技术要求与方法》《车联网信息服务数据安全技术要求》《车联网信息服务用户个人信息保护要求》等团体标准。
其中,2021年4月28日公布的《信息安全技术 网联汽车采集数据的安全要求》标准草案规定,未经被收集者的单独同意,网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。网联汽车不得通过网络、物理接口向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据。
已于2023年5月1日实施的《信息安全技术 汽车数据处理安全要求》(下称《安全要求》)对座舱数据(cabin data)给出的定义是,通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,以及对其进行加工后产生的数据。
《安全要求》中第6节“座舱数据安全要求”规定:除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态,包括不打开车内的摄像头、传声器、红外传感器和指纹传感器等部件;汽车数据处理者应提供便利的终止收集座舱数据的方式。
更为重要的是,《安全要求》要求除了五种特殊情形,汽车不应向车外提供座舱数据。其中一种特殊情形为,为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,除使用者外的其他组织和个人不能访问。
《安全要求》还提出,汽车数据处理者处理重要数据,一般应在完成脱敏处理后再进行其他处理;处理个人信息,一般应在匿名化处理或去标识化处理后再进行其他处理。
但在这些规定的落地过程中,也面临多个难题。
首先,多位专家认为,合规保护责任的合理边界是确保用户的知情权,即要让用户知晓自己的数据如何被采集、以何种方式被处理等重要事项,并作出是否同意采集的决定。
“车企基本都在用户手册、车机端中控屏或手机App上设立隐私条款,提示给车主,车主勾选同意。”时蔚然说。这也与财经E法实地探访的情况一致。
但告知-同意-勾选在现实中可能变得复杂。时蔚然指出,在智能汽车应用中,其收集的车内数据可能涉及不同的个人信息主体,既有车主,还会包括实际驾驶人、乘客。车主、实际驾驶人还有可能先了解隐私条款,然后同意-勾选,但乘客就可能无法接触到这个环节,除非乘客的个人信息保护意识强。但是告知每个乘客,征求其同意,几乎是不可能的。“这就要求在制定隐私政策时,应该考虑针对不同的个人数据主体,设计不同的数据处理机制。”时蔚然指出。
其次,多位受访业内人士指出,对行业产生了直接影响的是2021年10月1日施行的部门规章——《汽车数据安全管理若干规定(试行)》(下称《试行规定》)。《试行规定》第六条规定,国家倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理原则”:除非确有必要不向车外提供。但有不愿具名的人士指出,目前各家车企并没有完全执行到位。
华诚律师事务所高级合伙人吴月琴告诉财经E法,“车内处理原则”不是强制性规定。
财经E法的探访也发现,蔚来可以将车内拍摄的内容上传至云端;此外,蔚来和宝马两个品牌还可以在移动设备上显示车内拍摄内容。
这其中有整体落地的困难。时蔚然指出,根据接触到的行业信息,每辆智能车辆每天采集的数据一定是TB级别的。而车端的存储卡虽然大小不一,一般都是GB级别的。因此,在现有技术条件下,上云是全球绝大多数车企/消费者不得不做出的选择。
此外,根据时蔚然的介绍,智能网联车采集并上传到云端存储的数据主要包含三类,第一类占比最大,是行驶中通过传感器、雷达、车外摄像头采集到的环境感知数据、运行控制数据等。第二类是通过App收集到的车主信息、车辆信息等基础数据。第三类是座舱内数据,比如由车内摄像头拍摄的影像和图片,但第三类较前两类数据规模较小。
时蔚然指出,目前广泛应用的自动驾驶技术,如果选择了云存储服务,就是由车辆统一采集相关数据后全部上传到云端,用于各类算法学习训练。“现有的云存储场景没听说过把座舱内数据单独拿出来的情况。”时蔚然说。
王新锐也表示,在车端处理数据肯定更安全,但对芯片算力的要求也更高,完全靠车端芯片的算力不一定够用,所以车企确实存在云端进行数据处理的需求。
王新锐认为,这也是《信息安全技术 汽车数据处理安全要求》中对座舱数据车内处理使用“原则上”规定的原因。王新锐对财经E法表示,车企对车内摄像头数据处理的规定和国标还是普遍高度重视的,但在落地中有时会面临各类要求不能兼得的问题。此外,他指出,《试行规定》只是“试行”,这在数据类立法中并不是普遍现象,这也反映了监管层面考虑了很多现实问题,也需要在实践中摸索。
此外,实际操作中也可能存在对车内数据合规不如车外合规重视的情况。
吴月琴告诉财经E法,基于《试行规定》第八条要求,国内已销售的新能源汽车、智能网联功能车辆出于合规化要求关闭了部分车外采集功能,但车企公开披露的信息并未涉及车内摄像头搜集处理数据。
04
仍待寻求破解之道
虽然各方高度关注,但受访专家认为,要规避车内摄像头的数据安全风险依然面临较大挑战。
一方面,智能网联汽车在发展的进程中,为了应对复杂多样的路况和行车场景,不可避免地要进行数据的收集与分析使用;另一方面,个人信息、隐私切实关乎个人权益。
在吴月琴看来,车内摄像头客观上在保证驾驶人和车辆安全、用户体验等方面可以带来不少便利,但不应以让渡个人信息和隐私为代价,面对这一利益冲突时,法律的天平应倾向于保护个人权利。
从更大的角度,“汽车数据的安全需要技术、法律、市场、标准等治理工具的综合保护” 赵精武说。
时蔚然介绍,从技术角度,智能汽车的数据泄露主要有三种可能:第一是黑客攻击,直接进入车辆信息控制系统,从而控制车辆的一些功能并窃取数据;第二是通过特制芯片及非法的“黑卡”,连接到车辆CAN总线系统,再通过无线通信网等控制汽车所有控制域的部件,也可以窃取数据;第三是破解密码,窃取车主使用的解锁App等各类密码,进而定位车辆并窃取相关个人隐私信息和车辆控制信息。
同样从技术的角度,赵精武认为,绝对的数据安全是不存在的。他分析说,数据攻击、数据窃取的技术成本远低于数据保护成本,现阶段车联网数据安全风险无法完全避免。因此,立法者和企业只能尽可能降低数据安全风险。
林示分析说,虽然目前厂家在隐私条例中都会声明严格隐私和个人信息保护,但在实际执行过程中,有很多数据外泄的风险。中国很多数据泄露的案例,归根结底是接触数据的人太多了。“如果能在接触数据的人方面加强管理,是可以避免这一问题的。”林示说。
垦丁律师事务所创始合伙人麻策正从事智能网联车数据合规工作。在他看来,相比于传统智能手机类数据,汽车数据作为新生代终端数据,数量和类型更丰富,更易引起黑灰产的觊觎,智能网联车数据合规的复杂程度也呈几何级倍数增加。在参与主体上包括品牌车企、制造商、智能座舱供应商、智能路网建设方等不同主体,数据缠绕关系十分复杂;在汽车功能上涉及到座舱系统、辅助驾驶、OTA升级、驾驶监控等不同功能;在数据类型上涉及到车外数据、座舱数据、雷达传感器、音视频,不乏重要数据参杂其中。
麻策同时指出,在智能网联汽车领域,目前市场竞争导向仍然远大大于数据安全导向。有待法律法规的完善,以形成完整有效的落地标准,而更清晰的数据合规规则还有赖实践探索。
附1:国内汽车个人信息泄露案例
2022年12月20日,蔚来在其官方社区发布声明称,12月11日,公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
2022年5月6日,微博博主“@李老鼠说车”发布视频称,在高合汽车HiPhi X的“车车互联”功能,点击“wifi发射”选项,可以接收其他同类型高合车辆的行车记录仪实时画面。高合汽车被质疑泄漏个人隐私。5月7日,高合汽车针对此事发布声明:“该事件提到的功能属于车队出行、车路协同系统的组成部分,出厂时默认关闭,需用户在车辆上电后,打开设置中的功能选项,并通过二次确认隐私条款弹窗才能开启。车辆下电后该功能无法启用,也无法远程开启。此功能在开发之初就充分考虑到了用户隐私的保护,并设置了多种保护及确认措施,无任何存储。不存在泄露用户隐私,请广大用户放心。”5月7日当天,“@李老鼠说车”发现,高合汽车取消了“车车互联”的“wifi发射”功能。
2022年3月,比亚迪和东风日产旗下汽车称停用了远程查看车载摄像头功能。
2022年5月23日,小鹏汽车称暂停了“App端远程查看车外摄像头”功能。
2023年4月19日,小鹏汽车客服向财经E法回应称,根据《汽车数据安全管理若干规定(试行)》要求,小鹏汽车暂停了App远程查看摄像头功能,目前还没有收到相关的替代方案或升级优化通知。
2023年4月19日,比亚迪客服向财经E法表示,目前比亚迪远程查看车载摄像头的“千里眼”功能还未恢复。其原因是,根据最新法规要求,汽车收集车外视频、图像数据,如需向车外提供,应在车端对数据中的人脸、车牌信息进行匿名化处理,“千里眼”功能正在基于该项法规要求进行优化,所以暂时无法提供千里眼调用车外影像服务。厂家已经参照《汽车传输视频及图像脱敏技术要求与方法》,完成了方案优化,优化后还需经过监管部门审核,审核通过后将立即开放功能。
DPOHUB招募兼职研究助理
申请条件:在数据隐私、数据安全及数据治理等方面具有丰富的理论积累或实践经验;并具有全英文写作的能力。 优先条件:发表过数据法或科技法相关论文的优先;有英文期刊发表经验的优先。 申请方式:请将您的简历和代表作发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者