楼主 比亚迪“千里眼”的合规问题 ---如何理解信息的“收集”?
据媒体“IT之家”3月31日报道,一些比亚迪车主反映,可远程查看车载摄像头影像的“千里眼”功能突然无法使用了,在比亚迪汽车 App 中打开此功能会提示“根据国家最新法规要求,车外影像功能正在升级,敬请期待”。
“千里眼”是比亚迪汽车app中给用户提供的一个功能,可以通过此功能远程查看车载摄像头,用以观察或者录像、拍摄车辆周围的环境。
而就在3月30日,东风日产也发布公告,于3月31日关闭日产智联APP远程拍照功能、车机端DVR中照片分享和上传功能。
通知中提醒用户,在功能关闭前及时下载云端保存的图片资料。
到底是什么样的法规,使得两家车企不约而同地关闭了“千里眼”功能?
是不是所有能远程查看车载摄像头的功能都是违规的?
2021年10月1日起施行的《汽车数据安全管理若干规定(试行)》这样规定,第八条:
“汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。
因保证行车安全需要,无法征得个人同意采集到车个人息且向车外供的,应当进行匿化处理,包括删除含有能够识别自然人画面,或者对画面的人脸信息进行局部轮廓化处理等。”
违这一的可性最,因为“千里眼”功能符合该条法规中描述的个条件:
“因保证行车全需要”
动车辆前保证车况好,行车全的个重要方面。行车录仪、远程摄像头、哨兵式都为了察车辆环境和状况,监控偷盗、破坏等影响车况的行为而存的,这些功符合这一条提到“保证行车全”这个目。
“无法征得个人同意”
“里眼”是一种远程控制功,而且查看和拍摄时机具有很的随机性和偶然性,用户没办法使用之前提获得人的许可,没办法远程系路人获得许可。“千里眼”功也符合法规的这特点。
“采集到外个人信息”
用户使用“千里眼”功有时候难免看到辆周的路人,所就有可能通拍照或者录像功能,记录路人人脸。这种况就符合这条里到的“采集到车外个人息”。
但如果仅仅因此就认为车企违规的话,以此类推,任何有记录、拍照功能的电子产品的生产商都有违规的可能。
手机拍摄街景、行车记录仪拍摄路况,都难免会记录到路人的面部,这些功能更应该禁止。
所以这一条法规中的个关键附加件,才是判车企否违的关键。
“且向外提的”
什么叫向“外”供,向车主供算算向外?
如果把向车主提供理解为向“外”,那么车记录仪就再也没有存在必要。哨兵、记录仪就为了监控有没有破坏行为和事故,这些记录人脸追责重要证据,如果记录这些都需要匿名化话,那还不如不记录。
以笔认为这里的“车外”是不包括主的,否则就完全和这些功能的存在意义背道而驰。
那么既然向主提拍摄画面不需要匿化也算违的话,车企为什么要关闭“千里眼”功呢?
以东风日产的通知为例,可以看出车机端禁用的是上传相关的功能。
而手机端远程拍摄的照片,是要通过云端下载的,而不是直接储存在本地,因此存在一个远程拍照首先上传到云端的过程,从而触发了“向车外提供”这个“buff”。
目前依然有一些车辆的远程拍照功能没有因为违规而禁用的,笔者特地尝试了一下,发现这类车辆的远程拍照的照片确实都是直接存储在本地的,如果这种功能之后还是能长期使用的话,那么就能进一步验证笔者的判断。
无论是“千里眼”功能,还是我们日常使用手机拍摄功能,通过类比思考,可以发现此类个人信息合规的关键都在于“收集”。
一件工具或者功能的使用,对信息的“收集”来说其实是有两个层面的,一个是工具的生产者或者功能提供,一是工具的使者。工具的使用者拍摄到路人存在地,未必意着生产者也收集到这个人的人脸信息。
《个法》施行之,有部国推荐标准对“收集”有更加详的注解。《息安全技术人信息安全范》(GB/T35273-2020)对“收集”注释2这样解释:
“如产品或服务提供提供工具供人信息主体使用,供者对个人信息进行访问的,则不属本标所称收集。例如,离线航软件在终端获取人信息主体置信息后,如果不回传至软件提者,则不属个人息主体位置息的收集。”
笔比较同意这解释思路,只要车记录仪、载摄像头、机摄像头,拍摄到内容只是本地储存而不上传给生产商,那么生产商就能算收集个人息,就不存在违。
至于工具的使者自己是否侵害别人的个人信息,这本可以用户人层针对户的人行为加以范,但这种范不应该成为完全禁止工具的理由。刀具可以来切,但能因为可能有人用来犯罪就完全禁止使刀具。
