2月20日,國家安全部於公眾號上發布了安全提醒。在該文中,國家安全部指出,個別境外地圖公司利用採集地圖數據換取虛擬貨幣獎勵的方式,誘使境內人員購買並使用專用設備進行地圖“打卡”,非法採集敏感地理空間信息數據,並實時上傳至境外伺服器,甚至針對特定區域開出高額獎勵,吸引「採集者」進行重點採集。個別境內人員國家安全意識淡薄,被地圖打卡賺錢的形式所誘惑,在不知不覺中被別有用心的境外公司利用,成為了其非法蒐集竊取地理空間數據的“幫兇”。

尤其,近來DePIN賽道Hivemapper計畫的發展引人注目。自該計畫成立以來,僅在一年的時間裡就繪製了9,100萬公里的公路地圖,涵蓋全球道路總里程的10%。不可否認,隨著大數據、區塊鏈等前沿科技的運用推廣,地理空間資訊資料被廣泛收集,讓地理導航定位更加精準,人們日常出行更加便利。但同時,有關敏感資訊資料外洩的風險也隨之增加。

因此,本文特以Hivemapper為例,在詳細介紹該專案的運作原理的基礎上,分析其運作過程中存在的資料安全風險,立足於當前我國資料安全保護法律規範體系,為相關企業的合規建設,尤其針對資料出境安全合規提出建議。

Hivemapper的運作原理

Hivemapper是一個基於區塊鏈的地圖網絡,貢獻者透過安裝Hivemapper的行車記錄器就可以進行數據收集,同時賺取代幣$HONEY作為獎勵,代幣的發放、結算都在Solana網絡上。 Hivemapper中行車記錄器類似於礦機,與Hivemapper的應用銜接,將街景影像上傳為資料。該計畫以一種新穎的方式建構地圖,讓全球的人們透過汽車行車記錄器擷取影像,協同完成世界地圖的建構。

從計畫的名字來看,Hivemapper(蜂巢地圖),象徵每隻蜜蜂飛行採集花蜜,共同製造出美味的蜂蜜,而Hivemapper則是透過集結成千上萬的用戶,共享他們的努力成果:一份全新、詳細的世界地圖。

以Hivemapper專案為例,來看行車資料出境安全風險及合規要點

從配套應用程式來看,Hivemapper適用於Android和iOS,與行車記錄器連接,傳輸資料。使用者可以購買汽車行車記錄器參與資料收集以及AI的訓練,賺取HONEY,同時,使用者還可以提供地圖影像API、地圖功能API、偵測地方的變更、客製化服務,適用於給無人駕駛、路況檢測等提供即時地圖數據。即其主要運作原理為:

  1. 使用行車記錄器駕駛並繪製地圖;
  2. 玩AI訓練遊戲來訓練地圖AI引擎;
  3. 跟隨Hivemapper Explorer觀察地圖的發展;
  4. 使用我們的API建立一些很酷的地圖和地理事物。

其獨特之處在於,傳統的Google地圖僅使用昂貴的相機、車輛和人力來繪製地圖。 Hivemapper 則利用大量在日常工作中經常開車的人來收集街道圖像,具有以下優點:

一是較低成本的地圖- 使用Hivemapper 地圖繪製是副產品,而不是主要活動(人們已經為他們的主要職業開車)。這樣做的主要結果是存取資料的服務成本更低。

二是更多最新的地圖- 由於任何人都可以通過購買相對便宜的硬體來加入Hivemapper,因此對地圖做出貢獻的貢獻者越多,同一位置的地圖繪製就越頻繁。

三是更高品質的地圖- 對於許多位置,Google地圖每隔幾年才會經過某個特定位置一次。如果大氣和照明條件不理想,可能需要數年時間才能獲得更好的影像。

此外,在Hivemapper社區,每位參與者都有機會獲得代幣HONEY。只要他們的行動能讓地圖更有價值,就能獲得這種加密代幣。取得Hivemapper的地圖資料的唯一方法就是消耗HONEY,因此,這種代幣具有實際的價值。這個過程就像是一種「Dirve to Earn」模式,只要駕駛、擷取影像,就有可能獲得獎勵。

事實上,Hivemapper一推出,就開始鑄造40億個HONEY代幣,並將其分發給貢獻者作為獎勵。每週鑄造的代幣的確切數量由全球地圖進度決定。每週鑄造的90%的蜂蜜作為獎勵發給貢獻者,10%給Hivemapper網路持續運作的「營運獎勵」。

Hivemapper專案涉及的資料安全風險

近年來,智慧汽車的普遍尤其是自動駕駛技術的出現創新了交通出行的方式,改善了道路交通安全,提高了乘客體驗感和行駛效率,將物理空間的交通與數位化的信息緊密結合,致使大量資料的累積和開放共享。

Hivemapper正是在這一背景下得以誕生,該計畫的核心在於汽車數據獲取及流動的無國邊界性,即使得汽車行駛所產生的各類數據在世界範圍內流動、共享,讓全球範圍內的人們透過汽車行車記錄器擷取影像,協同完成世界地圖的建構。然而,汽車資料的跨境流動引發人們對資料安全保護和監管的擔憂。

以Hivemapper為例,其運作過程中可能收集到的汽車數據包括但不限於以下數據,本文首先透過從分類層面,對各類數據進行整理:

以Hivemapper專案為例,來看行車資料出境安全風險及合規要點

由上表可知,基於Hivemapper運作過程中可能收集的資料承載資訊種類的多樣性與資料跨境流動的高度動態性,其所帶來的風險體現為縱橫雙向:

縱向風險

首先,從縱向來看,Hivemapper專案運作過程中可能收集的資料跨國流動的安全風險在縱向上從危及個人權益不斷跨越到企業發展與經濟社會秩序乃至國家安全層面,呈現出多重性特徵:

其一,從個人資訊安全層面來看。在汽車資料安全領域,根據《汽車資料安全管理若干規定(試行)》對汽車領域的個人資訊的規定,個人資訊是,以電子或其他方式記錄的與已識別或可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息,不包括匿名化處理後的信息。具體而言,個人資訊可分為直接可識別的個人資訊和間接可識別的個人資訊。直接可辨識的個人資訊是指,可以單獨、直接辨識出自然人的資訊。例如,駕駛員的姓名、身分證字號等。間接可識別的個人資訊是指,透過與其他資料結合,從而識別出自然人的資訊。例如,透過與車輛識別號碼(VIN)結合,一輛車行駛旅程的細節、車輛使用行為數據、技術數據、車輛狀況數據等都可能被認定為是個人資訊。在實務中,間接可辨識的個人資訊容易被忽視,容易引發合規風險。此外,根據個人資訊的敏感度不同,個人資訊還包括敏感個人資訊、生物辨識特徵資訊等保護要求較高的類型。根據《汽車資料安全管理若干規定(試行)》,敏感個人資訊是指一旦洩漏或非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或人身、財產安全受到嚴重危害的個人訊息,包括車輛行踪軌跡、音訊、視訊、影像和生物辨識特徵等資訊。

其二,從企業發展層面來看。對於汽車產業領域的企業而言,數據是創造數位知識並形成決策的重要組成部分。一方面,駕駛者各類數據的收集與分析是企業了解客戶需求、提供客製化服務及開發新的市場空白的前提,是提升企業核心競爭力的關鍵,往往涉及車輛開發、生產企業的商業秘密,與企業的競爭發展有緊密聯繫。

其三,從國家安全層面來看。地理空間資訊資料是經濟社會發展的生產要素和資料資源。其中包含的交通路網、重要基礎設施以及軍事設施等敏感資訊一旦洩露,並經過技術分析和處理,將對國家安全造成嚴重威脅。因此,非法收集和跨境傳輸地理空間資訊資料的行為危害我國家主權、安全、發展利益。涉事境外公司、境內個人未取得我境內測繪業務資質,有關資料擷取行為涉嫌違反《反間諜法》《測繪法》《資料安全法》中的相關規定。根據《反間諜法》規定,境外機構、組織、個人實施或指使、資助他人實施,或境內機構、組織、個人與其相勾結實施的竊取、刺探、收買、非法提供關係國家安全和利益的數據,屬於間諜行為。

橫向風險

對於「資料出境」的涵義,目前《網路安全法》《個人資訊保護法》《資料安全法》等相關法律並未做出明確具體的定義。根據2022年8月31日發布的《資料出境安全評估指南》對於資料出境的定義,以下情況屬於資料出境行為:

1. 資料處理者將在境內運作中收集和產生的資料傳輸、儲存至境外;

2. 資料處理者收集和產生的資料儲存在境內,境外的機構、組織或個人可以查詢、調取、下載、匯出;

3. 國家網信辦規定的其他資料出境行為。

需要強調的是,根據我國《網路安全法》、《資料安全法》、《個人資訊保護法》對資料出境的相關條文規定,資料出境活動的前提在於擬出境的資料是在境內運作過程中產生的,如《網路安全法》第三十七條規定,關鍵資訊基礎設施的運作者在中華人民共和國境內運作中收集和產生的個人資訊和重要資料應在境內儲存。因業務需要,確需向境外提供的,應當依照國家網信署會同國務院有關部門所製定的辦法進行安全評估;法律、行政法規另有規定的,依其規定。

在考慮Hivemapper帶來的資料跨境安全風險時,首先應判斷相應資料是否在境內運作過程中產生和收集的。根據上述《資料出境安全評估指南》對境內營運的定義,境內營運是指網路業者在中華人民共和國境內開展業務,提供產品或服務的活動。其中,未在我國境內註冊,但在我國境內開展業務,或向我國境內提供產品或服務的,屬於境內運營。因此,如Hivemapper等境外企業項目,雖然在我國境內沒有註冊實體,但向我國境內提供產品服務的,仍屬於境內運營,數據傳輸至其自身在境外設置的伺服器屬於數據出境。

而從橫向來看,資料跨境流動通常是連續的、非靜態的,涉及境內資料處理者及境外資料接收者等多方主體及資料生命週期管理的多個環節,由此也決定了資料跨境流動的安全風險分散於這多個環節內,呈現高度動態特性。

首先,資料收集是資料生命週期的第一個環節,也是資料跨境流動的前提,許多安全問題都是從這個階段衍生而來的。概括起來,在資料擷取環節主要的安全風險集中在擷取來源、擷取終端、擷取過程中,包括擷取階段面臨的非授權擷取、資料分類分級不清、敏感資料辨識不清、資料無法追本溯源、採集到敏感資料的洩密風險、採集終端的安全性以及採集過程的事後審計等。

其次,在資料傳輸和預存過程中。往往還存在著資料損害、篡改、外洩等風險。以及在資料出境後,存在著接收方、資料處理相關方因資料儲存不當或資料安全保障措施落實不到位等造成的資料外洩風險。

此外,在資料出境後的應用階段。面臨核心資料被惡意使用、相關主體濫用資料分析挖掘技術侵犯被去匿名化的隱私資訊以及資料未經授權的存取、修改、轉讓、共享等安全風險。

汽車資料出境安全合規建議

目前汽車數據主要包括個人資訊數據和重要數據兩個大的面向。其中,個人資訊資料包括普通個人資訊資料和敏感個人資訊資料(如車輛軌跡、音訊、視訊、生物辨識特徵、駕駛習慣、影像等)。縱覽我國汽車資料安全保護豬肚,在政策法規方面,我國《資料安全法》《網路安全法》《個人資訊保護法》對資料安全、網路安全、個人資訊保護等議題做出了規定。產業法規和指導文件也逐步落地,包括《汽車資料安全管理若干規定(試行)》《關於加強智慧網聯汽車生產企業及產品准入管理的意見》《關於加強車聯網網路安全和資料安全工作的通知》等。在規範標準方面,國內也積極追蹤與佈局,在智慧網聯汽車資料應用與保護方面,目前已發布了《車聯網資訊服務使用者個人資訊保護要求》《汽車擷取資料處理安全指南》等。

以Hivemapper專案為例,來看行車資料出境安全風險及合規要點

另一方面,我國目前已形成較完善的資料出境安全保護制度。同時,關於個人資訊資料出境的三種路徑,即資料安全評估、保護認證、標準合約配套規定基本形成。具體而言,相關規範的推出時間整理如下:

以Hivemapper專案為例,來看行車資料出境安全風險及合規要點

此外,關於上述個人資訊資料出境的三種路徑,具體差異如下圖所示:

以Hivemapper專案為例,來看行車資料出境安全風險及合規要點

在此,筆者團隊針對相關企業汽車資料出境安全合規提出以下建議:

制定企業資料分類分級盤點表,審慎指導資料出境安全評估中的資料整理與辨識工作

資料分類分級既是《資料安全法》、《個人資訊保護法》下的合規要求,也是資料出境安全評估的重要基礎。對於可能涉及許多重要數據和掌握大量個人敏感資訊的車企來說,對不同類型、不同保護等級的資料設定不同的跨境流動管理和技術措施,有助於企業在落實合規要求和高效開展業務之間尋求平衡。

汽車資料中的個人資訊分為一般個人資訊和敏感個人資訊,敏感個人資訊中又包含自然人的生物辨識特徵。汽車產業的重要數據包括六類可能影響國家安全、公共利益或個人、組織合法權益的資料。由《資料安全法》第21條可知,除個人資料和重要資料外,還有“國家核心資料”,實行更嚴格的管理制度。因此,對此類所涉國家核心數據企業務必進行仔細甄別。

在分類的基礎上,企業應對收集的汽車資料進行分級。我國自動駕駛資料安全白皮書根據自動駕駛資料被侵害時所侵害的客體及對相應客體的侵害程度,將資料安全保護等級分為五級。資料被侵害時所侵害的客體分為公民、法人和其他組織的合法權益,社會秩序、公共利益和國家安全三類,對相應客體的侵害程度分為一般損害、嚴重損害和特別嚴重損害三種程度。因此,對上述六類重要數據,應歸類於第三級和第四級數據;個人數據應歸類於第二級,個人敏感數據歸類於第三級;新冠疫情在全球爆發以來,人們更認識到,生物辨識資訊一旦被非法使用,將對社會秩序和國家安全帶來重大損害,因此對生物辨識特徵根據其特殊性質歸類於第四級資料。做好分類分級後,企業有必要依據法令要求,設定相應的出境條件。中間三級的網聯汽車數據,附條件出境。除進行出境前的安全評估外,還應為第三級、第四級資料附加相應程度的升級保障措施。屬於國家核心數據的,應歸類於第五級數據,遵循數據本地化的原則,嚴格限制其出境。

尤其自動駕駛技術研發企業若使用GPS接收設備、高畫質攝影機、車載感測器、光達等設備在公開道路上進行道路測試,收集車外實景影像等,則很可能被認定為從事測繪活動,因此需要額外遵守《中華人民共和國測繪法》《測繪成果管理條例》《測繪地理資訊管理工作國家秘密範圍的規定》以及自然資源部發布的與測繪地理資訊相關的其他規範性文件。對於涉密測繪成果以及部分非涉密測繪地理資訊成果,汽車企業必須經過相關測繪地理資訊主管機關核准方可向境外提供。

其他重要數據和個人資訊以外的其他數據,歸類為第一級數據,可合理選擇前述出境路徑,允許其自由流動。

制定資料出境安全評估制度、組織資料出境安全評估小組、建立企業內部的資料出境自評估表單等工具,做好資料出境的規劃

汽車產業數據企業涉及的數據處理活動繁雜、數據處理者多樣,伴隨著車聯網技術的快速迭代和車聯網應用的迅速增長,數據出境的發生頻次可能較高,面對業務層面隨時可能觸發的數據出境安全評估需求,完善的安全評估制度和組織人員將有助於車企做到「一事一評估」和「即時動態評估」。在建立企業內部的資料出境自評工具時,需將資料出境必要性評估與論證作為啟動評估的重要一環,並適時調整資料出境路徑。同時,企業也應對未來一段可預見的時間內,數據出境情況進行規劃,預估好數據出境的自評估與安全評估等工作所需時間,並積極與主管機關溝通申報評估中諸如對於相同場景需進行一次性評估還是個案評估等細節問題。

建立出境風險自評機制,對資料出境風險予以動態化監測

建立資料出境風險自評機制企業應建立資料出境風險自評估機制,及時掌握企業內資料出境狀況的動態變化,結合所處業務特性、出境應用情境及流轉路徑,定期進行風險評估工作,及時開展合規自查和整改工作。同時, 應及時關注主管機關後續發布的關於數據出境的監管細則,從而有效、快速應對後續的監管活動。

此外,境外接收者所在地的法律與政策環境評估是資料出境安全評估的重點內容之一,也是《個人資訊出境標準合約》所規定的合約義務。對此,境內資料處理者應透過書面合約等方式要求境外接收方資料安全保護能力及其所在地的資料安全保護法律及政策環境進行查明與提供,境外接收方也應盡最大努力提供了必要的相關信息,主動履行合約義務或相關承諾,協助與配合境內資料處理方的資料安全評估申報工作。

參考資料:

[1]吳海燕,陳樸等:《智慧網聯汽車資料安全國內外治理機制及政策研究》,載《電信快報》2022年第9期;

[2]史躍,程夢等:《資料出境全解析之基礎概念篇》,2023年4月14日;

[3]何姍姍,黃雷等:《如何防範汽車資料出境安全法律風險》,載《智慧網聯汽車》2022年第3期;

[4]陳思琦:《智慧網聯汽車資料跨國流動的法律問題研究》,載《網路安全技術與應用》2023年第4期。