蔚来信息泄露,汽车企业如何做好用户数据存储合规工作
  • 2022-12-23

据悉,近日有黑客声称破解了蔚来的内部数据,包括399000条用户身份信息、650000条用户地址信息、22800条员工信息等,并以泄露数据向蔚来勒索225万美元(约1570.5万元人民币)等额比特币。12月20日,蔚来在官方社区发布声明,承认2021年8月前的部分“用户基本信息”和“车辆销售信息”发生泄露,向用户道歉,并表示已第一时间采取调查、报告等措施,将不断加强技术力量,充分保护用户信息安全。[1]


我国汽车数智化程度的不断提升,带来数据价值利用与数据安全的双刃剑,稍有不慎,就会出现安全事件,给汽车企业带来严重负面影响。就如此次蔚来用户数据被窃取,暴露出安全存储漏洞,可能会导致公众对其失去信任,并面临法律责任。针对于此,我们来聊聊此次蔚来可能面临的法律责任,以及汽车企业如何安全合规地存储用户数据

Part I

蔚来面临怎样的法律责任?

依据我国《个人信息保护法》规定,若蔚来没能采取必要的保护措施、发生泄漏事件后立即采取补救措施、或及时通知监管部门及个人的,蔚来将可能因未履行个人信息保护义务,而承担民事赔偿责任及/或行政处罚责任。[2]

民事赔偿方面,根据《个人信息保护法》等规定,蔚来作为对用户个人信息具有安全义务的责任方,若不能证明自己没有过错,则应对用户承担损害赔偿责任。[3]但在司法实践中,由于我国侵权法下赔偿责任以损害填平为原则,而个人信息泄露的具体损失后果难以量化、因果关系证明难度大,除非有充分证据,用户提起民事诉讼后较难获得经济赔偿,大概率只能得到蔚来的赔礼道歉。

行政处罚方面,主要考虑两个因素。一是蔚来的数据安全保护措施:虽然外界很难直接了解蔚来内部的安全措施情况,但一般来说,作为强监管行业的重点企业,各地网信和工信部门已对其开展多次“汽车数据安全自查”“自动驾驶测试前安全环境评估”等工作,强化其网络数据库存储安全,就如今年5月13日蔚来在新加坡交易所二次介绍上市的文件中披露,其已获得等保三级认证,并“以加密格式存储所有用户数据,并严格限制可以访问存储用户数据的服务器的人员数量。”[4]二是蔚来的及时通知用户义务:蔚来在官方社区发布声明,显然不能达到《个人信息保护法》第五十七条要求准确通知信息被泄露的用户个人的效果,但是,一方面,蔚来若正在采取措施为有效避免信息泄露、篡改、丢失造成危害的,也可以不通知个人;另一方面,考虑到通知的可能性与成本,发生大规模用户信息泄露事件后,也鲜有企业通知每个被泄露的用户,蔚来发布公告声明,已经属于比较及时履行通知义务的行为,是否会因此受到行政处罚,目前尚无可明确参考的执法案例。

Part II汽车用户数据存储合规建议

随着我国汽车消费市场的迅速发展,海量用户数据的存储安全成为汽车企业面临的一项重要合规课题。交互场景多样、数据高度敏感、监管态势趋严等,导致汽车用户数据的存储要求严格,规范动作较多。我们结合实践经验,建议车企从安全策略、合规管理等方面落实《个人信息保护法》《汽车数据安全管理若干规定(试行)》(以下简称“管理若干规定”)等法律法规要求,重点关注以下三个维度,尽量降低用户数据泄露风险和合规责任。

一、汽车用户数据分类维度

汽车,尤其是现代智能网联汽车的设计、生产、销售、使用、运维等过程中涉及大量汽车数据(包括个人信息数据和重要数据),对其中用户数据的准确识别是安全保护的前提。实践中,车企可先从车、路、云等数据收集端口入手,结合不同的收集场景,分类梳理用户数据。可以参考工信部行业标准YD/T3751-2020《车联网信息服务 数据安全技术要求》(以下简称“车联网数据安全技术要求”)中的数据分类标准,在基础属性类、车辆工况类、环境感知类、车控类、应用服务类数据中,筛选与用户个人信息相关的数据字段。筛选后,根据YD/T3746-2020《车联网信息服务 用户个人信息保护要求》(以下简称“车联网用户个人信息保护要求”)的用户个人信息分类要求,将其分别归入“用户身份证明类”“车联网信息服务内容类”“用户服务相关类”三大用户数据信息库,形成从数据接触端口到各类用户数据的全链路识别。这样有助于车企完成用户数据的动态辨识,精准适用相应存储安全措施,也容易满足各地通管局每年度汽车数据报送中关于数据属性和数量的要求。

实践中,存在一个争议问题:汽车访客(Guest)信息是否属于用户数据?

目前,主流汽车车型在数个车主ID之外,会提供“访客用户(Guest)”的选项,供代驾、试驾、洗车等临时驾驶场景使用。通常来说,该场景下汽车虽然记录了车控信息、位置轨迹信息、座舱数据等,由于不能直接识别或关联到特定自然人,大部分车企认为访客模式下不涉及中国法律项下的用户数据处理活动,也就没有提供访客隐私告知同意、访客数据单独存储安全等功能但是,如果存在车内摄像头开启、眼动追踪(监测预警)等场景,汽车收集到访客的生物识别信息,可直接识别到特定自然人,此时访客相关的车辆信息均可能成为用户数据,需进行存储安全保护。我们建议,车企在数据分类识别时,建立数据字段联动的动态模式,默认不处理访客模式下的相关数据,若开启车内摄像头等功能时,启动收集指令,将其归入用户数据库。

二、汽车用户数据分级维度

根据数据属性及发生数据安全事件的危害后果不同,汽车用户数据可能构成一般个人信息敏感个人信息重要数据,对应不同的存储合规要求。车企应根据法律法规规定,将存储的用户数据进行分级识别,形成本单位的数据目录,并满足相应的存储安全要求。

(一)一般个人信息

根据工信部于12月13日最新发布的《工业和信息化领域数据安全管理办法(试行)》要求,车企作为工业信息化领域数据处理者,在存储用户数据之前,应当依据法律规定或者与用户约定的方式和期限存储数据

依据《个人信息保护法》《管理若干规定》等规定,车企在存储用户数据时,应遵循:(1)最小够用的存储原则,设定最小化的存储范围;(2)车内存储原则,除非确有必要不在车外存储;(3)脱敏存储原则,尽可能对用户数据匿名化、去标识化等处理后再存储。

在安全技术层面,结合各地网信办对汽车数据安全管理年度报送的要求,车企应明确相应的用户数据存储安全防护措施。如上海、江苏等地网信办发布的“汽车数据安全管理情况报告”模版中,列举了物理、网络、主机、业务等方面的安全防护措施和安全策略项目,要求车企详细填报。

(二)敏感个人信息

在用户与汽车或车企产生信息交互的过程中(如驾驶汽车、售后服务等),“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”是用户数据中的敏感个人信息,包括汽车数据和非汽车数据两类。

根据《管理若干规定》,“汽车数据中的敏感个人信息”是指:“一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。”对于“非汽车数据中的敏感个人信息”,车企可结合GB/T35273-2020《个人信息安全规范》附录B“个人敏感信息判定举例”、YD/T3746-2020《用户个人信息保护要求》第7条“用户个人信息敏感性分级”的列举内容进行识别。前述两者共同构成用户敏感个人信息。车企在制定本单位的用户敏感个人信息目录后,应先符合前述一般个人信息的存储要求,并满足如下合规要求:

1.事前评估,留存记录

我国《个人信息保护法》明确规定,涉及敏感个人信息的处理活动,应事前进行个人信息保护影响评估,并留存相关记录至少三年,其中自然也包括敏感个人信息的存储活动。个人信息保护影响评估应至少包括以下三项内容:

(a)个人信息的处理目的、处理方式等是否合法、正当、必要;(b)对个人权益的影响及安全风险;(c)所采取的保护措施是否合法、有效并与风险程度相适应。

2.境内存储

关于存储地点,《管理若干规定》仅要求汽车重要数据应当在我国境内存储,对用户敏感个人信息未做境内存储要求。但一方面,超过10万人的用户信息本身就构成重要数据,应依法在境内存储。另一方面,信安标委技术性文件《汽车采集数据处理安全指南》(TC260-001)第7.1条、以及今年10月出台的推荐性国家标准GB/T41871-2022《信息安全技术 汽车数据处理安全要求》第4.6条均提出,座舱数据、位置轨迹数据应在境内存储。实践中,越来越多汽车厂商以搭建数据中心的方式,将用户数据留存在境内。如特斯拉在去年已将所有在中国大陆市场销售车辆所产生的数据,全部存储在境内。

我们建议,车企在每年度汽车数据年报工作中,应认真梳理各类用户数据的保存地点及期限情况,对座舱、位置轨迹中的用户敏感信息、和超过10万人的用户信息以境内存储为原则,制定严格的敏感信息出境评估制度。

3.存储期限

关于存储期限,车企应设置完善的数据库逻辑,实现到期自动删除及根据用户指令及时删除两项功能。具体而言:

(1)在实现处理目的所必要的最短期限届满后,车企应对用户数据进行删除或匿名化处理。

(2)《管理若干规定》第九条第一款(五)要求汽车数据处理者应在收到用户删除请求后10个工作日内删除敏感个人信息,《汽车数据处理安全要求》第4.2c)条在此基础上进一步要求车企建立个人信息结构化目录,实现敏感个人信息可溯源管理。

4.安全技术

特别是对于生物识别信息,车企应采取一定的安全技术措施保障存储安全。重点应参考GB/T40660-2021《信息安全技术 生物特征识别信息保护基本要求》第6条的内容,如应将生物特征识别信息与用户主体身份信息以技术隔离的手段存储、不应直接存储生物识别原始信息、保证存储的不可逆性等。

此外,很多车企常忽略的一个问题:用户App端涉及的大量非汽车数据的敏感个人信息的存储期限

随着汽车数智化时代的到来,越来越多汽车企业将App打造为“强交互性”的超级用户终端,不仅提供用车功能,还构建车主社区私域生态,处理大量敏感性的数据。尤其是新能源汽车品牌,注重全链路的用车体验,App普遍功能集成度较高、社交属性较强。

例如,蔚来为意向车主提供一站式汽车金融服务,若选择此项服务,用户可在蔚来App中“我的证件”这一栏上传身份证、护照、薪资、社保、公积金、房产证、行驶证、驾驶证、购车额度证明、购车指标等更为隐私的个人信息

此类个人信息常在车主购车时提供,实践中,部分车企内部仅考虑信息收集渠道,将其统一归为“汽车产品初次销售的车主信息”,并根据《缺陷汽车产品召回管理条例》规定,将此类信息的保存期限设定为10年以上。但是,应考虑数据属性及App监管要求,降低存储必要期限。一般而言,汽车App仅向金融贷款机构或金融消费公司提供购车人信息,其自身没有处理该类个人金融信息的必要,也不存在金融机构敏感个人信息的存储义务,故其运营者应及时删除相关个人信息。并且,还应考虑监管部门对App侵害用户权益的整治力度,加强App存储个人信息的必要性审查。近两年,国家和地方网信部门对App超过最小必要时间存储、未提供删除功能等违法存储个人信息的行为,已展开多次执法活动,通报数百款App。

(三)重要数据

根据《数据安全法》第二十一条规定,各行业、领域的数据分类分级、重要数据具体目录由各地区、各部门按照数据分类分级保护制度确定。随着《管理若干规定》的出台,汽车行业已经明确了行业内重要数据的范围,即:

(a)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(b)车辆流量、物流等反映经济运行情况的数据;

(c)汽车充电网的运行数据;

(d)包含人脸信息、车牌信息等的车外视频、图像数据;

(e)涉及个人信息主体超过10万人的个人信息;

(f)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

其中,驾驶习惯数据可能会涉及重要敏感地区的人员流量数据,以及超10万人次的用户数据,构成汽车行业的重要数据。车企在存储该类数据时,应符合如下合规要求:

1.安全技术措施

根据《工业和信息化领域数据安全管理办法(试行)》第十五条规定,存储重要数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。

2.严格限制存储期限

应以最短存储期限为原则,尤其针对车外位置的存储方式,建议车企参考信安标委《汽车采集数据处理安全指南》第2.4条内容,非特殊场景下,在远程信息服务平台(TSP)等车外位置中保存时间不应超过14天。

3.原则上应境内存储

我国法律法规明确要求,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。建议车企对于本地存储的数据,需对数据存储硬件设备、存储网络环境进行安全检查,并做必要的物理隔离;对于存储在云端的数据,需严格审查数据云端存储相关协议,并评估云端服务提供商的数据安全保护能力,防止重要数据非法出境的风险。

三、存储主体维度

按不同存储主体划分,常见的用户数据存储方式有三种:(1)车企直接收集并存储;(2)零部件供应商收集处理后,车企存储处理后的数据;(3)云端存储。对于第一种存储方式,应落实前述合规要求;对于后两种存储主体,可能存在一些特殊情形。

(一)零部件供应商与车企之间的数据存储安排

若汽车零部件收集用户数据后,并不直接传输给车企进行存储,而是提供处理后的数据,车企可能不会承担个人信息存储的合规义务。比如,车内摄像头进行用户人脸识别的,摄像头设备存储用户面部特征信息,进行识别比对后,仅向车机提供识别结果信息。再如,自动驾驶模块收集的车控类信息可关联用户的驾驶习惯,通过机器学习不断提高“车-路-人”的适应能力,若此类数据直接由自动驾驶服务供应商收集并处理,仅将完善后的车控策略回传汽车,也避免了汽车存储该类用户数据。

我们理解,通过此种安排,零部件供应商或服务商执行用户数据的收集、使用、存储活动,车企类似于受托方,仅使用匿名化后的数据,车企可减少个人信息存储的责任义务。《个人信息保护法》规定,无权决定数据使用、存储的受托方不是个人信息处理者,不承担因处理个人信息造成损害赔偿责任。同时,该法第五十九条规定,受托处理数据的受托人的义务仅为采取必要措施保障所处理个人信息的安全,对数据处理者应承担的广泛的义务,仅有协助义务。也就是说,此场景下如果发生用户数据泄露、被篡改、窃取等安全事件,车企只需明确其与零部件供应商之间的数据存储安排、委托处理关系等,而无需证明其安全保障措施的实施情况,即可免除责任。

(二)云端存储

从产业发展来看,随着辅助驾驶、自动驾驶功能进化,汽车单位时间内采集的数据量成倍增加,以及车辆用户的社交需求迅速增长,都使车企面临海量数据存储的需求难题。越来越多车企通过租用方式,将用户数据上传至公有云,甚至是搭建专有云,实现数据安全存储,也获取用户数据分析、个性化服务等算法支持

在此模式下,车企与云服务商之间应为个人信息委托处理行为车企通常有权决定用户数据的处理目的和方式,属于处理者,而云服务商提供用户数据的存储功能,属于受托处理者。基于委托处理的归责原则,尽管用户数据已存储至第三方云平台,车企仍是数据安全的第一责任方,仍应积极履行安全合规义务

我们建议,车企首先应对云服务商的安全保障能力进行评估,包括个人信息分级保护能力、网络安全等级保护制度、网络运行状态、网络安全事件的技术措施等。其次,应以书面协议的形式约定委托存储的目的、方式、范围、用户数据类型、期限、保存地点、敏感程度等,约定云服务商的存储活动不得超出约定的处理目的、处理方式等,尤其不得转委托处理(在云计算场景中,常出现转委托第三方提供算力支持的情况)。最后,由于云服务存储地“位置无关”的特性,易出现云系统在境外搭建的场景,会出现个人信息出境的安全风险,车企需事前严格审查云系统的底层搭建情况,避免在不知情的情况下出现数据违法出境问题。

随着智能驾驶、车联网技术、绿色能源的进步,我国汽车工业发展迅速,汽车消费市场不断扩大,汽车企业面临前所未有的市场机遇和安全挑战。尤其新能源车企掌握大量汽车相关数据,涉及用户个人信息、测绘地理信息等高敏感度数据,发生数据泄露的后果较严重。此次蔚来汽车数据泄露敲响了警钟,车企应从数据分类、级别属性、存储方式等方面,场景化分析如何安全合规地存储用户数据,设计详细的合规方案。

[1]新闻来源:网易[2]《个人信息保护法》第五章[3]《个人信息保护法》第66条、第69条[4] NIO Inc. - Introductory Document(13 May 2022), P.259.


本文作者:王梓旭、许立昕

4d163a969256364e2e214a0a8bbdb7b7.png


版权所有 上海融孚律师事务所 Copyright 2010 沪ICP备10203098号

关注我们