題21-1_畫板 1 副本FA957310F08241619B67FAAC4823E9AE.png)
題21-1_畫板 114202E035D7D448C854A98012E0CB5BF.png)
1、輔助駕駛與OTA監(jiān)管走向縱深:智能網(wǎng)聯(lián)產(chǎn)品召回、生產(chǎn)一致性與宣傳規(guī)范
2025年8月13日,國(guó)家市場(chǎng)監(jiān)督管理總局(“市場(chǎng)監(jiān)管總局”)公開征求對(duì)《市場(chǎng)監(jiān)管總局 工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)新能源汽車產(chǎn)品召回、生產(chǎn)一致性監(jiān)督管理與規(guī)范宣傳的通知(征求意見稿)》(“通知草案”)的意見。[Ⅰ]通知草案落實(shí)了《缺陷汽車產(chǎn)品召回管理?xiàng)l例》《關(guān)于進(jìn)一步加強(qiáng)智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入、召回及軟件在線升級(jí)管理的通知》(工信部聯(lián)通裝〔2025〕45號(hào),“工信部45號(hào)文”)相關(guān)要求,與《廣告法》《反不正當(dāng)競(jìng)爭(zhēng)法》銜接。
通知草案從監(jiān)管方向上的信號(hào)意義在于:監(jiān)管部門對(duì)于輔助駕駛功能,監(jiān)管視野從產(chǎn)品規(guī)格管理全面走向產(chǎn)品全生命周期監(jiān)管。
用戶可感知的輔助駕駛產(chǎn)品“全生命周期”分為四個(gè)階段:裝載階段,宣傳階段,使用階段,售后階段。
A. 裝載階段:強(qiáng)化生產(chǎn)一致性監(jiān)督管理,關(guān)注OTA升級(jí)與關(guān)鍵信息填報(bào)
通知草案提出,工業(yè)和信息化部、市場(chǎng)監(jiān)管總局將加強(qiáng)協(xié)調(diào)管理,發(fā)現(xiàn)企業(yè)未按照要求補(bǔ)充報(bào)送有關(guān)技術(shù)參數(shù)及驗(yàn)證材料、車輛性能與報(bào)送技術(shù)參數(shù)不一致、未經(jīng)備案開展軟件在線升級(jí)(“OTA升級(jí)”)活動(dòng)、實(shí)際OTA升級(jí)活動(dòng)與備案不一致的,依照有關(guān)規(guī)定進(jìn)行處理。另外,對(duì)頻繁開展OTA升級(jí)活動(dòng)的企業(yè),市場(chǎng)監(jiān)管總局將進(jìn)行重點(diǎn)抽查和專項(xiàng)核查。
若干年之前,OTA升級(jí)主要意在提升車機(jī)系統(tǒng)能力(特別是infotainment車載信息和娛樂系統(tǒng)功能)、修補(bǔ)車機(jī)系統(tǒng)常見漏洞。近年,隨著新能源汽車和智能駕駛、輔助駕駛功能滲透率提升,OTA升級(jí)逐漸被部分主機(jī)廠主要用于升級(jí)、修正輔助駕駛能力,升級(jí)電源管理系統(tǒng)以及優(yōu)化車控操作。 由此帶來的問題也同樣明顯:主機(jī)廠可能通過頻繁進(jìn)行OTA升級(jí),推出、改進(jìn)、修補(bǔ)甚至取消部分穩(wěn)定性并不十分完善的功能,甚至可以通過OTA升級(jí)直接覆蓋產(chǎn)品缺陷。作為現(xiàn)象之一,部分主機(jī)廠OTA升級(jí)頻率大幅度增加,引起了監(jiān)管機(jī)構(gòu)的關(guān)注。通知草案相當(dāng)一部分內(nèi)容,意在針對(duì)這一問題,進(jìn)行監(jiān)管規(guī)范。 對(duì)此,企業(yè)應(yīng)當(dāng)注意: 在機(jī)動(dòng)車合格證系統(tǒng)中完整、準(zhǔn)確填報(bào)組合駕駛輔助系統(tǒng)、儲(chǔ)能裝置單體及總成等關(guān)鍵信息。 嚴(yán)格執(zhí)行OTA升級(jí)活動(dòng)分類管理要求,未經(jīng)備案不得開展OTA升級(jí)活動(dòng),不得將未經(jīng)充分測(cè)試驗(yàn)證的軟件版本推送給用戶,不得通過OTA方式隱瞞缺陷。 確保生產(chǎn)的搭載組合駕駛輔助系統(tǒng)的智能網(wǎng)聯(lián)新能源汽車產(chǎn)品與準(zhǔn)入產(chǎn)品一致,并承擔(dān)產(chǎn)品安全責(zé)任。 企業(yè)需要關(guān)注建立OTA升級(jí)的“備案—測(cè)試—推送—記錄”全流程管理制度,明確每個(gè)環(huán)節(jié)的責(zé)任部門,并限定升級(jí)頻率。
B. 宣傳階段:加強(qiáng)企業(yè)宣傳行為監(jiān)督,整治夸大宣傳,避免誤導(dǎo)消費(fèi)者
監(jiān)管機(jī)構(gòu)關(guān)注的重點(diǎn)之一,是智能駕駛、輔助駕駛功能普及率“飆升”的背后,為提升車輛銷量,部分主機(jī)廠對(duì)輔助駕駛功能進(jìn)行重點(diǎn)宣傳甚至“夸大宣傳”,暗示具備高階智能駕駛甚至“自動(dòng)駕駛”能力。但與此同時(shí),目前市場(chǎng)上普遍理解量產(chǎn)乘用車并未標(biāo)配L3或以上級(jí)別自動(dòng)駕駛功能(在產(chǎn)品和駕駛事故責(zé)任承擔(dān)方面尤其如此)。產(chǎn)品宣傳、實(shí)際功能與法律責(zé)任承擔(dān)一定程度上“脫節(jié)”。最嚴(yán)重的是,這一做法不利于保障駕乘安全。
因此,通知草案提出,市場(chǎng)監(jiān)管總局將加大對(duì)企業(yè)廣告活動(dòng)和商業(yè)宣傳行為中夸大組合駕駛輔助功能、欺騙或誤導(dǎo)消費(fèi)者等情形的監(jiān)督檢查力度,組織召回技術(shù)機(jī)構(gòu)開展過度宣傳等問題的技術(shù)認(rèn)定工作,并會(huì)同工業(yè)和信息化部開展專項(xiàng)聯(lián)合調(diào)查,依法做好整治規(guī)范工作。
對(duì)此,企業(yè)應(yīng)當(dāng)關(guān)注: 向消費(fèi)者提供有關(guān)智能網(wǎng)聯(lián)新能源汽車駕駛自動(dòng)化等級(jí)、系統(tǒng)能力、系統(tǒng)邊界等信息時(shí),應(yīng)當(dāng)真實(shí)、全面,不得做虛假、夸大系統(tǒng)能力或引人誤解的宣傳,確保消費(fèi)者正確理解和駕駛智能網(wǎng)聯(lián)新能源汽車。 在組合駕駛輔助系統(tǒng)或功能命名及營(yíng)銷宣傳中,不得暗示消費(fèi)者可以視其為自動(dòng)駕駛系統(tǒng)、具備實(shí)際上并不具備的功能,防止駕駛員濫用。 避免夸大宣傳車輛駕駛性能,誤導(dǎo)消費(fèi)者以不合理的高速駕駛車輛。 注意涉及駕駛輔助功能、自動(dòng)化等級(jí)的宣傳文案(包括廣告片、官網(wǎng)文案、銷售人員話術(shù)等)經(jīng)法律審核后使用。
C. 使用階段:加大缺陷調(diào)查與召回管理力度,聚焦駕駛輔助安全與網(wǎng)絡(luò)安全
在用戶使用輔助駕駛功能階段,需要通過車書等車輛說明媒介,得到關(guān)于輔助駕駛功能的準(zhǔn)確說明,有利于避免用戶誤解、準(zhǔn)確使用產(chǎn)品。使用階段,用戶可能因高度信賴輔助駕駛功能,產(chǎn)生駕駛懈怠,出現(xiàn)雙手脫離方向盤甚至休息打盹等影響駕乘安全的操作,主機(jī)廠需要通過產(chǎn)品設(shè)計(jì),有效防范此類風(fēng)險(xiǎn)。此外,智能網(wǎng)聯(lián)系統(tǒng)也可能受到各類攻擊、發(fā)現(xiàn)各種漏洞,主機(jī)廠需要作為責(zé)任主體,對(duì)系統(tǒng)網(wǎng)絡(luò)安全準(zhǔn)備充分的預(yù)案。
因此,通知草案提出,市場(chǎng)監(jiān)管總局將對(duì)存在因安全提示和使用說明不完善、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞等安全事件開展缺陷調(diào)查,必要時(shí)督促企業(yè)通過召回方式進(jìn)行改進(jìn)。同時(shí),市場(chǎng)監(jiān)管總局將對(duì)駕駛員監(jiān)測(cè)、警示和處置功能不足的問題開展專項(xiàng)調(diào)查,必要時(shí)納入缺陷分析與調(diào)查工作。
對(duì)此,企業(yè)應(yīng)當(dāng)關(guān)注: 在車輛APP、車載信息交互系統(tǒng)顯著位置和用戶手冊(cè)中顯示組合駕駛輔助系統(tǒng)的安全提示和使用說明,以便于消費(fèi)者閱讀、理解和操作,避免駕駛員將組合駕駛輔助功能視為自動(dòng)駕駛功能使用。 開發(fā)、使用安全優(yōu)先的駕駛員監(jiān)測(cè)、警示和處置功能,密切監(jiān)測(cè)駕駛員的駕駛狀態(tài),在駕駛員出現(xiàn)脫手、睡眠等脫離動(dòng)態(tài)駕駛?cè)蝿?wù)的情形時(shí),及時(shí)采取語音警告、方向盤震動(dòng)、限速、靠邊停車、組合駕駛輔助功能禁用等警示或控制措施,以便駕駛員及時(shí)接管車輛和降低安全風(fēng)險(xiǎn)。并且,不得通過用戶操作或系統(tǒng)邏輯主動(dòng)關(guān)閉駕駛員監(jiān)測(cè)、警示和處置功能。 強(qiáng)化智能網(wǎng)聯(lián)新能源汽車缺陷信息監(jiān)測(cè),減少網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅和漏洞引發(fā)的車輛事故風(fēng)險(xiǎn)。 企業(yè)需要注意嚴(yán)格落實(shí)相關(guān)合規(guī)義務(wù),避免因產(chǎn)品出現(xiàn)安全提示不顯著、監(jiān)測(cè)功能缺失或可關(guān)閉、網(wǎng)絡(luò)安全漏洞未及時(shí)處理等問題,導(dǎo)致市場(chǎng)監(jiān)管總局啟動(dòng)相應(yīng)的缺陷調(diào)查,最終可能面臨召回整改以及隨之而來的經(jīng)濟(jì)損失和品牌聲譽(yù)損害。
D. 售后階段:強(qiáng)化事件事故報(bào)告與深度調(diào)查,明確報(bào)告義務(wù)與責(zé)任追究
通知草案提出,市場(chǎng)監(jiān)管總局將聯(lián)合工業(yè)和信息化部等有關(guān)部門加強(qiáng)事故深度調(diào)查與分析,并對(duì)企業(yè)事故報(bào)告情況進(jìn)行監(jiān)督檢查,一經(jīng)發(fā)現(xiàn)企業(yè)未按要求報(bào)告事故信息的,將向社會(huì)公開通報(bào)并督促整改。對(duì)企業(yè)在事件事故報(bào)告中存在隱瞞或遺漏重大事實(shí)的,市場(chǎng)監(jiān)管總局、工業(yè)和信息化部將進(jìn)行專項(xiàng)核查。
現(xiàn)實(shí)中出現(xiàn)了若干與輔助駕駛功能相關(guān)的嚴(yán)重事故,是本輪針對(duì)智能駕駛/輔助駕駛功能進(jìn)行密集監(jiān)管的直接導(dǎo)火索。對(duì)此,企業(yè)應(yīng)當(dāng)注意按照工信部45號(hào)文的要求,在獲知其生產(chǎn)銷售的智能網(wǎng)聯(lián)汽車產(chǎn)品發(fā)生組合駕駛輔助系統(tǒng)失效導(dǎo)致功能退出等事件或搭載組合駕駛輔助系統(tǒng)車輛發(fā)生碰撞等事故的,應(yīng)當(dāng)根據(jù)有關(guān)要求向工業(yè)和信息化部、市場(chǎng)監(jiān)管總局報(bào)告。
2、汽車數(shù)據(jù)安全合規(guī)檢測(cè):標(biāo)準(zhǔn)更新,安全加碼
2025年8月18日,中國(guó)汽車工業(yè)協(xié)會(huì)等發(fā)布第三批次關(guān)于汽車數(shù)據(jù)處理5項(xiàng)安全要求檢測(cè)情況的通報(bào)(“第三批通報(bào)”)[Ⅱ]。部分車型存在如下數(shù)據(jù)安全問題:
車端匿名化處理的視頻圖像中人臉目標(biāo)的匿名化檢出率低于90%;
處理敏感個(gè)人信息的同意期限設(shè)置為始終允許或者永久;
持續(xù)收集敏感個(gè)人信息時(shí),未通過車載顯示面板圖標(biāo)或信號(hào)裝置指示燈的閃爍或長(zhǎng)亮等方式提示收集狀態(tài);
車載系統(tǒng)上的應(yīng)用程序缺乏隱私政策等。
另外,相較于2025年1月發(fā)布的第二批通報(bào)[Ⅲ],第三批通報(bào)對(duì)檢驗(yàn)標(biāo)準(zhǔn)與檢驗(yàn)方法進(jìn)行了調(diào)整,具體可見如下對(duì)比表格。
關(guān)于汽車數(shù)據(jù)處理4項(xiàng)安全要求檢測(cè)情況的通報(bào)(第二批) 檢測(cè)標(biāo)準(zhǔn)與方法(2025年1月7日) | 關(guān)于汽車數(shù)據(jù)處理5項(xiàng)安全要求檢測(cè)情況的通報(bào)(第三批) 檢測(cè)標(biāo)準(zhǔn)與方法(2025年8月18日) |
檢測(cè)依據(jù):根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》有關(guān)要求,按照 GB/T 41871-2022《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》、GB/T 44464-2024《汽車數(shù)據(jù)通用要求》和 TC260-PG-20241A《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南 - 車外畫面局部輪廓化處理效果驗(yàn)證》相關(guān)技術(shù)標(biāo)準(zhǔn)組織實(shí)施。 | |
檢測(cè)對(duì)象:截至2024年9月27日前,按照《關(guān)于組織開展數(shù)據(jù)安全合規(guī)車型測(cè)評(píng)活動(dòng)的通知》(中汽協(xié)函字【2024】440號(hào)),汽車制造商自愿向中國(guó)汽車工業(yè)協(xié)會(huì)和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心送檢的汽車。 | 檢測(cè)對(duì)象:截至2025年5月8日前,按照《關(guān)于組織開展數(shù)據(jù)安全合規(guī)車型測(cè)評(píng)活動(dòng)的通知》,汽車制造商自愿向中國(guó)汽車工業(yè)協(xié)會(huì)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息通信研究院、國(guó)家工業(yè)信息安全發(fā)展研究中心等送檢的汽車。 |
檢測(cè)標(biāo)準(zhǔn):檢測(cè)采用相同的測(cè)試要求、測(cè)試環(huán)境、技術(shù)標(biāo)準(zhǔn)和測(cè)試流程,包括車外人臉信息等匿名化處理、座艙數(shù)據(jù)不出車、座艙數(shù)據(jù)默認(rèn)不收集以及處理個(gè)人信息顯著告知4項(xiàng)要求。檢測(cè)標(biāo)準(zhǔn)如下: | 檢測(cè)標(biāo)準(zhǔn):檢測(cè)采用相同的測(cè)試要求、測(cè)試環(huán)境、技術(shù)標(biāo)準(zhǔn)和測(cè)試流程,包括車外人臉信息等匿名化處理、座艙數(shù)據(jù)車內(nèi)處理、默認(rèn)不收集座艙數(shù)據(jù)、處理個(gè)人信息顯著告知以及精度范圍適用5項(xiàng)要求。檢測(cè)標(biāo)準(zhǔn)如下: |
1.車外人臉信息等匿名化處理要求 a.車外數(shù)據(jù)未完成匿名化處理前,不應(yīng)向車外提供; b.車端匿名化處理的視頻、圖像中的人臉目標(biāo)和汽車號(hào)牌目標(biāo)的匿名化檢出率均應(yīng)大于或等于90%。 | |
2.座艙數(shù)據(jù)不出車要求 a.通過攝像頭、紅外傳感器、指紋傳感器和傳聲器從汽車座艙采集包含個(gè)人信息的數(shù)據(jù),以及對(duì)其進(jìn)行加工后產(chǎn)生的數(shù)據(jù)應(yīng)取得個(gè)人信息主體同意后向車外提供; b.為遠(yuǎn)程查看、云存儲(chǔ)等功能,向使用者提供數(shù)據(jù),應(yīng)取得個(gè)人同意、限制他人訪問并采取安全措施; c.在選定的測(cè)評(píng)環(huán)境中測(cè)試車輛不應(yīng)直接向境外傳輸個(gè)人信息。 | 2.座艙數(shù)據(jù)車內(nèi)處理要求 a.為實(shí)現(xiàn)語音識(shí)別功能以實(shí)時(shí)判斷汽車控制指令,需要將語音指令數(shù)據(jù)在車外處理的功能,應(yīng)取得個(gè)人信息主體同意,功能實(shí)現(xiàn)后即時(shí)刪除原始數(shù)據(jù)及處理結(jié)果; b.為遠(yuǎn)程查看、云存儲(chǔ)等功能,向使用者提供數(shù)據(jù),應(yīng)取得個(gè)人同意、限制他人訪問并采取安全措施; c.在選定的測(cè)評(píng)環(huán)境中測(cè)試車輛不應(yīng)向車外提供其他座艙數(shù)據(jù); d.在選定的測(cè)評(píng)環(huán)境中測(cè)試車輛不應(yīng)直接向境外傳輸個(gè)人信息等數(shù)據(jù)。 |
3.座艙數(shù)據(jù)默認(rèn)不收集要求 a.除非駕駛?cè)俗灾髟O(shè)定,汽車應(yīng)默認(rèn)設(shè)定為不收集座艙數(shù)據(jù)的狀態(tài); b.汽車數(shù)據(jù)處理者應(yīng)提供便利的終止收集座艙數(shù)據(jù)的方式; c.在保證行車安全以及人身安全的情況下,駕駛?cè)诉x擇終止收集后,應(yīng)關(guān)閉車內(nèi)傳聲器和攝像頭等收集座艙數(shù)據(jù)的部件; d.處理敏感個(gè)人信息時(shí),應(yīng)對(duì)每項(xiàng)敏感個(gè)人信息取得個(gè)人信息主體單獨(dú)同意; e.取得敏感個(gè)人信息主體單獨(dú)同意時(shí),處理敏感個(gè)人信息的同意期限不應(yīng)為“永久”或“始終允許”。 | 3.默認(rèn)不收集座艙數(shù)據(jù)要求 a.除非駕駛?cè)俗灾髟O(shè)定,車輛應(yīng)默認(rèn)設(shè)定為不收集個(gè)人信息的狀態(tài); b.處理個(gè)人信息應(yīng)取得個(gè)人同意,處理敏感個(gè)人信息應(yīng)取得單獨(dú)同意; c.提供自主設(shè)定處理敏感個(gè)人信息同意期限的途徑,具備同意和拒絕的方式,且期限不應(yīng)設(shè)置為始終允許或永久; d.應(yīng)提供撤回個(gè)人同意的途徑; e.撤回個(gè)人同意,不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力; f.在保證行車安全以及人身安全的情況下,駕駛?cè)诉x擇終止收集座艙內(nèi)圖像/視頻數(shù)據(jù)后,應(yīng)關(guān)閉車內(nèi)攝像頭等收集座艙內(nèi)圖像 /視頻數(shù)據(jù)的部件; g.應(yīng)具有刪除車端存儲(chǔ)的座艙數(shù)據(jù)的途徑; h.汽車數(shù)據(jù)處理者處理敏感個(gè)人信息,個(gè)人要求刪除的,汽車數(shù)據(jù)處理者應(yīng)當(dāng)在十個(gè)工作日內(nèi)刪除。 |
4.處理個(gè)人信息顯著告知要求 a.取得個(gè)人同意時(shí),應(yīng)通過至少一種顯著方式向個(gè)人告知。處理個(gè)人信息的種類、處理各類個(gè)人信息的必要性,包括目的、用途、方式等; b.應(yīng)使用清晰易懂的文字向個(gè)人信息主體說明收集個(gè)人信息的具體情境和必要性; c.應(yīng)向個(gè)人信息主體告知各類型個(gè)人信息的保存期限,應(yīng)具體且明確,例如30天或1年等,或保存期限的規(guī)則; d.應(yīng)向個(gè)人信息主體告知其個(gè)人信息保存地點(diǎn),應(yīng)將保存地點(diǎn)位置精確到地級(jí)市并告知所有保存地點(diǎn),或明確的保存地點(diǎn)規(guī)則; e.應(yīng)為個(gè)人信息主體提供便捷的查閱、復(fù)制和刪除等個(gè)人信息管理功能;個(gè)人信息管理功能應(yīng)為交互式,且其功能入口應(yīng)處于個(gè)人信息主體容易察覺的顯著位置; f.應(yīng)設(shè)置用戶權(quán)益事務(wù)聯(lián)系人,并對(duì)外告知準(zhǔn)確有效的姓名和聯(lián)系方式,聯(lián)系方式包括電話號(hào)碼、郵箱地址、網(wǎng)址或即時(shí)通信平臺(tái)賬號(hào)等;不便對(duì)外告知真實(shí)姓名的,應(yīng)告知長(zhǎng)期且固定使用的別名。 | …… 新增: (2)汽車數(shù)據(jù)處理者持續(xù)收集敏感個(gè)人信息需應(yīng)通過車載顯示面板圖標(biāo)或信號(hào)裝置指示燈的閃爍或長(zhǎng)亮等方式提示收集狀態(tài),提示方式應(yīng)根據(jù)信息類型的不同做到差異明顯且清晰易懂。 |
5.精度范圍適用要求 a.收集個(gè)人信息時(shí),汽車數(shù)據(jù)處理者應(yīng)根據(jù)所提供功能服務(wù)對(duì)數(shù)據(jù)精度的要求確定攝像頭、雷達(dá)等的覆蓋范圍、分辨率; b.因同一數(shù)據(jù)收集設(shè)備支持多個(gè)功能服務(wù)且所需數(shù)據(jù)精度要求不同時(shí),至少應(yīng)有一個(gè)功能服務(wù)符合精度適用要求,對(duì)不符合精度適用要求的功能應(yīng)做出合理說明。 | |
檢測(cè)方法:針對(duì)不同車型(區(qū)分年款)的各項(xiàng)數(shù)據(jù)處理功能,在相同的標(biāo)準(zhǔn)下進(jìn)行4項(xiàng)合規(guī)要求的檢測(cè),并根據(jù)相關(guān)功能的技術(shù)特點(diǎn)采取不同的檢測(cè)方法。具體包括: | 檢測(cè)方法:針對(duì)不同車型(區(qū)分年款)的各項(xiàng)數(shù)據(jù)處理功能,在相同的標(biāo)準(zhǔn)下進(jìn)行5項(xiàng)合規(guī)要求的檢測(cè),并根據(jù)相關(guān)功能的技術(shù)特點(diǎn)采取不同的檢測(cè)方法。具體包括: |
1.車外人臉信息等匿名化處理的檢測(cè)方法:企業(yè)提供第三方測(cè)試機(jī)構(gòu)出具的車端匿名化報(bào)告,由技術(shù)人員從車端進(jìn)行數(shù)據(jù)采樣,并進(jìn)行匿名化效果分析和報(bào)告審核確認(rèn); | 1.車外人臉信息等匿名化處理的檢測(cè)方法:企業(yè)提供第三方測(cè)試機(jī)構(gòu)出具的車端匿名化報(bào)告,由技術(shù)人員從車端進(jìn)行數(shù)據(jù)采樣,并進(jìn)行匿名化效果分析。 |
2.座艙數(shù)據(jù)不出車的檢測(cè)方法:在車端進(jìn)行車輛對(duì)外通信數(shù)據(jù)的抓取和分析; | |
3.座艙數(shù)據(jù)默認(rèn)不收集的檢測(cè)方法:在車內(nèi)進(jìn)行各項(xiàng)座艙數(shù)據(jù)收集功能的符合性確認(rèn); | |
4.處理個(gè)人信息顯著告知的檢測(cè)方法:在企業(yè)官方網(wǎng)站、車載應(yīng)用程序或移動(dòng)通信終端應(yīng)用程序上進(jìn)行《用戶隱私協(xié)議》或其他告知方式內(nèi)容的符合性確認(rèn)。 | |
5.精度范圍適用的檢測(cè)方法:企業(yè)提供功能清單及相關(guān)技術(shù)資料,技術(shù)人員對(duì)功能及技術(shù)資料進(jìn)行功能符合性確認(rèn)。 |
檢測(cè)標(biāo)準(zhǔn)的變化反映了監(jiān)管邏輯由“框架性合規(guī)”向“全流程細(xì)節(jié)合規(guī)”轉(zhuǎn)變。具體而言: A. 細(xì)化座艙數(shù)據(jù)處理要求:“原則上車內(nèi)處理+特定場(chǎng)景例外”規(guī)則延續(xù) 新增語音指令數(shù)據(jù)車外處理規(guī)則,明確了智能座艙語音控制功能的合規(guī)義務(wù)——要求車外處理需個(gè)人同意,功能實(shí)現(xiàn)后即時(shí)刪除原始數(shù)據(jù)及處理結(jié)果。新增禁止測(cè)試車輛“向車外提供其他座艙數(shù)據(jù)”要求,擴(kuò)大了管控范圍(如座艙內(nèi)環(huán)境數(shù)據(jù)、駕駛?cè)瞬僮髁?xí)慣數(shù)據(jù)等)。 上述場(chǎng)景,一方面呼應(yīng)了越來越多大模型“上車”場(chǎng)景的監(jiān)管關(guān)注。大模型“上車”最高頻觸發(fā)的使用增強(qiáng)場(chǎng)景,是強(qiáng)化了智能座艙內(nèi)部乘客語音交互理解的準(zhǔn)確性和豐富度。 這也給究竟是進(jìn)行“車內(nèi)”數(shù)據(jù)處理還是“車外”數(shù)據(jù)處理帶來一定難題。大模型需要一定算力,較多場(chǎng)景當(dāng)中以數(shù)據(jù)中心云端統(tǒng)一處理并回傳作為主要手段,本次明確車外處理的合規(guī)路徑方案,有利于助推大模型在智艙內(nèi)的廣泛應(yīng)用,促進(jìn)智能場(chǎng)景協(xié)同發(fā)力。 針對(duì)上述要求,企業(yè)需要關(guān)注在技術(shù)層面設(shè)置“自動(dòng)刪除觸發(fā)機(jī)制”并留存刪除記錄。同時(shí)企業(yè)需要關(guān)注梳理“座艙數(shù)據(jù)清單”,明確哪些數(shù)據(jù)屬于“不應(yīng)向車外提供”的范疇。 B. 細(xì)化默認(rèn)不收集座艙數(shù)據(jù)的要求:明確用戶同意與數(shù)據(jù)刪除義務(wù) 將車輛默認(rèn)設(shè)定為不收集“座艙數(shù)據(jù)”收縮至默認(rèn)不收集“個(gè)人信息”,清晰界定了管控范圍,突出保護(hù)個(gè)人信息權(quán)益。 此外,在個(gè)人信息主體行權(quán)響應(yīng)方面,與《個(gè)人信息保護(hù)法》的要求對(duì)齊,明確個(gè)人有權(quán)撤回同意,撤回不影響撤回前的個(gè)人信息合法處理,新增企業(yè)需提供落實(shí)敏感個(gè)人信息同意期限禁止“始終允許/永久”的途徑。 此外,進(jìn)一步與《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》要求對(duì)齊,新增企業(yè)需提供車端數(shù)據(jù)刪除途徑,汽車數(shù)據(jù)處理者還需落實(shí)敏感個(gè)人信息10個(gè)工作日刪除時(shí)限要求。 C. 細(xì)化“處理個(gè)人信息顯著告知”要求:保障用戶知情權(quán) 新增敏感個(gè)人信息收集狀態(tài)提示要求,要求通過車載顯示面板圖標(biāo)或信號(hào)裝置指示燈的閃爍或長(zhǎng)亮等方式實(shí)時(shí)提示收集狀態(tài)(如麥克風(fēng)開啟時(shí)亮燈),符合個(gè)人信息處理的公開、透明原則,建議企業(yè)在技術(shù)層面增設(shè)相關(guān)狀態(tài)提示功能。 D. 新增“精度范圍適用”要求:避免過度收集 要求攝像頭、雷達(dá)等設(shè)備的覆蓋范圍、分辨率匹配“功能服務(wù)對(duì)數(shù)據(jù)精度的要求”,且當(dāng)同一設(shè)備支持多功能時(shí),至少1項(xiàng)功能符合精度要求,不符合的功能需“合理說明”。 該要求符合《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》的精度范圍適用原則,建議企業(yè)針對(duì)每一項(xiàng)數(shù)據(jù)收集設(shè)備展示“功能—數(shù)據(jù)精度匹配說明”。
3、手機(jī)端APP和小程序的個(gè)人信息保護(hù):合規(guī)關(guān)注依舊涵蓋汽車行業(yè)
2025年8月5日,上海市通信管理局發(fā)布關(guān)于侵害用戶權(quán)益行為移動(dòng)應(yīng)用(“APP”)和小程序的通報(bào)。[Ⅳ]其中,涉及汽車零部件公司、汽車銷售公司等運(yùn)營(yíng)的APP和小程序,所涉問題包括違規(guī)收集個(gè)人信息、未明示個(gè)人信息處理規(guī)則、超范圍收集個(gè)人信息和賬號(hào)注銷難。
目前,汽車企業(yè)越來越多地通過APP和小程序?yàn)橛脩籼峁┓?wù),如車輛遠(yuǎn)程控制、售后服務(wù)預(yù)約、汽車資訊推送等,收集了大量用戶的個(gè)人信息,包括姓名、聯(lián)系方式、車輛識(shí)別碼、行駛軌跡等。 上述場(chǎng)景收集的個(gè)人信息類型相對(duì)敏感,使用場(chǎng)景和目的相對(duì)重要。在部分提供車控功能的APP中,APP功能甚至可能成為第三方非法獲得車輛控制權(quán)的媒介。在部分二手車交易環(huán)節(jié),新舊車主也可能因?yàn)檐嚳亍v史記錄等信息,產(chǎn)生個(gè)人信息不當(dāng)交互甚至泄露,進(jìn)而產(chǎn)生針對(duì)主機(jī)廠的客訴,影響用戶體驗(yàn)和個(gè)人信息安全。 因此,企業(yè)在處理個(gè)人信息前,需要特別關(guān)注以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限等事項(xiàng);遵循合法、正當(dāng)、必要的原則,不收集與所提供服務(wù)無關(guān)的個(gè)人信息;提供賬號(hào)注銷渠道等,保障個(gè)人信息主體行權(quán)通暢。
4、APP違法違規(guī)收集個(gè)人信息監(jiān)管行動(dòng):繼續(xù)關(guān)注車載應(yīng)用
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心于2025年8月13日發(fā)布《國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心檢測(cè)發(fā)現(xiàn)70款違法違規(guī)收集使用個(gè)人信息的移動(dòng)應(yīng)用》,檢測(cè)發(fā)現(xiàn)70款A(yù)PP存在違法違規(guī)收集使用個(gè)人信息情況[Ⅴ]。其中再度提及部分車端應(yīng)用存在違法違規(guī)收集使用個(gè)人信息的情形。
A. 監(jiān)管對(duì)“車端”形成常態(tài)化關(guān)注 在過去多年的APP違法違規(guī)收集個(gè)人信息執(zhí)法活動(dòng)中,監(jiān)管部門幾乎很少關(guān)注車端應(yīng)用本身的個(gè)人信息保護(hù)問題。即使監(jiān)管對(duì)一些主機(jī)廠的應(yīng)用進(jìn)行過檢測(cè)、提出過批評(píng)或者通報(bào),也集中在主機(jī)廠的手機(jī)端APP。 今年以來,在多批APP違法違規(guī)收集個(gè)人信息的通報(bào)中,提及車端應(yīng)用,既涉及預(yù)裝應(yīng)用,也涉及通過車載應(yīng)用市場(chǎng)下載的應(yīng)用。 在智能網(wǎng)聯(lián)車場(chǎng)景下,車端應(yīng)用也通過移動(dòng)網(wǎng)絡(luò)(4G、5G等)連接和提供服務(wù)。相當(dāng)一部分應(yīng)用的核心運(yùn)營(yíng)內(nèi)容以及對(duì)個(gè)人信息的處理方式與手機(jī)端高度相似,只是在交互邏輯、車端操作體驗(yàn)和行車安全性方面進(jìn)行適配修改。 因此,對(duì)于個(gè)人信息保護(hù)和數(shù)據(jù)安全方面而言,車端應(yīng)用的底層監(jiān)管關(guān)注與手機(jī)端不應(yīng)存在本質(zhì)區(qū)別。主機(jī)廠和智能網(wǎng)聯(lián)服務(wù)提供商應(yīng)當(dāng)更加關(guān)注車機(jī)端應(yīng)用在個(gè)人信息保護(hù)方面的合規(guī)性,對(duì)標(biāo)手機(jī)APP、小程序的個(gè)人信息保護(hù)實(shí)踐標(biāo)準(zhǔn),提升告知的透明度,獲得用戶的適當(dāng)同意,在個(gè)人信息處理的一些細(xì)節(jié)方面嚴(yán)格對(duì)照監(jiān)管要求,進(jìn)行優(yōu)化或整改。 B. 車端應(yīng)用個(gè)人信息處理常見問題 本次通報(bào)主要涉及的合規(guī)問題如下: 合規(guī)問題一: 多款車機(jī)預(yù)裝APP以及車機(jī)應(yīng)用商店中的APP無隱私政策。經(jīng)過多年APP違法違規(guī)收集個(gè)人信息的整改,目前手機(jī)端相當(dāng)大部分主流APP以及小程序標(biāo)配隱私政策,且大多可以實(shí)現(xiàn)單獨(dú)成文。完全缺失隱私政策的情形在手機(jī)端越來越少。 但是,相當(dāng)一部分場(chǎng)景的車機(jī)應(yīng)用往往針對(duì)車機(jī)操作習(xí)慣進(jìn)行修改,一部分主機(jī)廠也往往要求CP(內(nèi)容供應(yīng)方和服務(wù)方)針對(duì)具體車型做專門適配。在此開發(fā)過程中,由于過往對(duì)車機(jī)應(yīng)用的個(gè)人信息保護(hù)合規(guī)重視力度不夠,一些開發(fā)修改過程可能忽略對(duì)于隱私政策的適當(dāng)納入、放置,忽略適當(dāng)?shù)碾[私政策彈窗及取得同意設(shè)計(jì),最終導(dǎo)致個(gè)人信息保護(hù)方面存在嚴(yán)重瑕疵(例如完全缺失隱私政策等情況)。 合規(guī)問題二: 車機(jī)端APP在APP首次運(yùn)行時(shí)未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則;以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意;隱私政策難以訪問;個(gè)人信息處理者在處理個(gè)人信息前,未以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息處理者的名稱或者姓名、聯(lián)系方式、個(gè)人信息的保存期限等。 該問題的出現(xiàn)與上述“合規(guī)問題一”提及的開發(fā)流程和定制也存在關(guān)系。由于一些車機(jī)端應(yīng)用需要針對(duì)車端環(huán)境(甚至具體車型)進(jìn)行適配修改,修改過程中沒有充分重視個(gè)人信息保護(hù)功能和流程的設(shè)置,導(dǎo)致例如“未通過彈窗等明顯方式提示用戶閱讀隱私政策”這類明顯的合規(guī)瑕疵出現(xiàn)。
5、自動(dòng)駕駛倫理指引:不同階段的企業(yè)責(zé)任
2025年7月23日,國(guó)家科學(xué)技術(shù)部公布由國(guó)家科技倫理委員會(huì)人工智能倫理分委員會(huì)研究編制的《駕駛自動(dòng)化技術(shù)研發(fā)倫理指引》(“《指引》”)[Ⅵ],在《汽車駕駛自動(dòng)化分級(jí)》(GB/T 40429-2021)的既有分級(jí)基礎(chǔ)上強(qiáng)化倫理規(guī)范要求。
《指引》提出了以人為本、增進(jìn)福祉,安全優(yōu)先、尊重生命,公平公正、避免偏見,知情保障、信息公開的基本原則,明確駕駛自動(dòng)化技術(shù)的研究開發(fā)和應(yīng)用需做到合法合規(guī)、效益提升、控制風(fēng)險(xiǎn)、及時(shí)調(diào)整、保護(hù)隱私五大要求。
《指引》將駕駛自動(dòng)化技術(shù)類型化,分為先進(jìn)駕駛輔助階段(2級(jí)及以下的駕駛自動(dòng)化,包括“應(yīng)急輔助”“部分駕駛輔助”和“組合駕駛輔助”);有限制階段的自動(dòng)駕駛(3級(jí)和4級(jí)駕駛自動(dòng)化,包括“有條件自動(dòng)駕駛”“高度自動(dòng)駕駛”);無限制階段的自動(dòng)駕駛(5級(jí)的駕駛自動(dòng)化,即“完全自動(dòng)駕駛”),并相應(yīng)提出倫理規(guī)范要求。
對(duì)于先進(jìn)駕駛輔助階段,駕駛自動(dòng)化系統(tǒng)在有限制的設(shè)計(jì)運(yùn)行范圍內(nèi)發(fā)揮輔助作用,責(zé)任主體通常是人類駕駛員。《指引》對(duì)企業(yè)提出了安全性要求、便利用戶要求、保障用戶知情權(quán)要求、技術(shù)邏輯透明可追溯要求、主動(dòng)建立倫理審查機(jī)制要求。
對(duì)于有限制階段的自動(dòng)駕駛,責(zé)任主體因具體運(yùn)行場(chǎng)景而異。當(dāng)自動(dòng)駕駛系統(tǒng)作為自動(dòng)駕駛責(zé)任主體時(shí),應(yīng)當(dāng)能夠根據(jù)有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)向相關(guān)自然人主體或法人主體(包括但不限于自動(dòng)駕駛系統(tǒng)開發(fā)者、自動(dòng)駕駛系統(tǒng)生產(chǎn)商、自動(dòng)駕駛汽車權(quán)利人、自動(dòng)駕駛系統(tǒng)用戶,下同)清晰追責(zé)。本階段除需遵循前一個(gè)階段的要求之外,《指引》提出企業(yè)還需確保對(duì)影響自動(dòng)駕駛系統(tǒng)功能的重大變更進(jìn)行記錄并確保可被監(jiān)管部門審查、自動(dòng)駕駛決策行為可追溯審查、行車策略變更主動(dòng)告知用戶、決策邏輯體現(xiàn)普遍社會(huì)認(rèn)同、避免決策偏見。
對(duì)于無限制階段的自動(dòng)駕駛,除非特殊情況下有用戶主動(dòng)介入操作,否則無限制階段自動(dòng)駕駛的責(zé)任主體以自動(dòng)駕駛系統(tǒng)為主。當(dāng)自動(dòng)駕駛系統(tǒng)作為自動(dòng)駕駛責(zé)任主體時(shí),應(yīng)當(dāng)能夠根據(jù)有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)向相關(guān)自然人主體或法人主體清晰追責(zé)。本階段除需遵循前兩個(gè)階段的要求之外,《指引》提出企業(yè)還需確保系統(tǒng)安全性不低于優(yōu)質(zhì)人類駕駛員、決策邏輯具備時(shí)空一致性和行業(yè)一致性、預(yù)判用戶意圖時(shí)合法合規(guī)、對(duì)危害行為以合理方式及時(shí)干預(yù)。
《指引》作為國(guó)家科技倫理委員會(huì)主導(dǎo)的規(guī)范,后續(xù)可能轉(zhuǎn)化為監(jiān)管依據(jù)。建議企業(yè)在研發(fā)、生產(chǎn)、銷售、運(yùn)維全鏈條嵌入倫理規(guī)范,提前布局合規(guī)。
[Ⅲ]參見http://www.caam.org.cn/search/con_5236617.html。 [Ⅳ]參見https://mp.weixin.qq.com/s/UsNF45FRAPt9ape5Zv8D4A。 [Ⅴ]參見:https://www.cverc.org.cn/zxdt/report20250813.htm。 [Ⅵ]參見https://www.most.gov.cn/kjbgz/202507/t20250723_194082.html。
Beijing ICP No. 05019364-1 Beijing Public Network Security 110105011258
