|
近年来,新一轮科技革命和产业变革深入发展,全球汽车产业也在不断转型升级,“电动化、智能化、网联化、共享化”成为汽车产业的未来发展方向。 随着信息通信、人工智能、大数据等领域相关技术与汽车产业的高度结合,知识产权成为整车企核心竞争力的重要来源,加强自主品牌创新能力、提升专利质量,是我国新能源车企共同的目标。 
在此背景下,知产前沿新媒体于近日举办“2022汽车知识产权网络研讨会”直播活动,特别邀请到中伦律师事务所权益合伙人陈际红,陈际红律师擅长TMT领域的法律事务,包括电子商务、电信、网络安全与数据保护、互联网知识产权保护、计算机软件等。 陈律师在本次研讨会上总结了汽车行业数据合规监管现状、立法现状和未来趋势,解读了重点法规和热点问题,并提供了汽车行业企业数据合规的方法论。 知产前沿新媒体现将陈律师的发言整理成文供业内参考交流,本次直播的视频回放请关注“知产前沿”公众号,后台回复“2022汽车知识产权”获取。 2、自动驾驶涉及的分心驾驶以及产品责任承担合规风险数据监管同国家安全与网络安全、个人信息与隐私保护,以及企业生存发展息息相关。数据时代,数据应用应当合法合理,数据滥用应当得到规制。从世界范围内察看,全球网络安全及数据监管的立法不断加强,各国数据监管要求有一定差异,欧美地区要求相对严格。从国内范围察看,2017年生效的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、2021年生效的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)共同构成我国网络空间管理和数据保护“三驾马车”。三部法律的重点内容如下表所示:从广义的规范层面来看,我国基本的、层次性的网络安全及数据保护法律渊源和部门监管权责设定较为复杂,企业数据合规工作有一定难度。具体法律框架如下表所示(相关规范仅为示例):聚焦于汽车行业,在汽车行驶过程中,车联网会不断收集各类数据(包含敏感信息)。对此,国家加强政策性立法、标准化建设,强化汽车行业数据安全和网络安全要求。具体而言,截止2022年4月,企业应当重点关注以下监管文件:汽车行业相关APP的开发与应用需要逐步回应各机构的监管要求。汽车行业的数据合规主要监管机构有互联网信息办公室(以下简称“网信办”)、公安部、工业和信息化部(以下简称“工信部”)和国家市场监督管理总局及地方各级市场监督管理局(以下简称“市监局”),各机构权责分明、各司其职,其中,以网信办为主要执法部门。各机构的监管职责重点具体如下表所示:近年来,上述监管机构也针对汽车行业发起了多项监管行动。《汽车数据安全管理若干规定(试行)》第十三条规定:“汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省,自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。”据此,北京、上海等地网信办相继开展了年度汽车数据安全管理情况报送常态化监管活动。工信部则于2021年9月发布《关于开展汽车数据安全、网络安全等自查工作的通知》,要求企业对照《关于加强智能网联汽车生产企业及产品准入管理的意见》要求,开展自我核查、填写并报送《汽车数据安全、网络安全等情况自查表》。该自查表包括企业情况、数据安全和网络安全情况、汽车数据处理情况、数据安全管理情况、汽车网络安全情况、网络安全管理情况、在线升级情况、驾驶辅助功能情况等须填报信息。此外,工信部亦强化对OTA(空中下载技术,Over-the-Air Technology)的管理。2021年7月,工信部发布《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》,明确智能网联汽车生产企业应:落实安全漏洞管理责任,需用户采取软件升级措施修补漏洞的,应及时将相关消息告知用户,并提供必要技术支持;加强OTA安全和漏洞检测评估。2022年4月15日,工信部装备工业发展中心发布《关于开展汽车软件在线升级备案的通知》,明确汽车整车生产企业实施OTA升级活动,应:确保符合法律要求,保障汽车产品生产一致性,并依次完成企业管理能力备案、车型及功能备案和具体升级活动备案;在OTA升级执行前,履行向车辆用户告知义务;支持实施升级追溯管理。近年来,公安部、市监局等也对汽车企业违反网络安全与数据保护规定、侵害个人信息等行为进行监管执法,作出多项行政处罚决定。《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”)是适用于汽车行业的“特殊法”,应当作为首要规范予以重视。- 从效力性质上看,该规定属于部门规章。在《若干规定》征求意见阶段,尚未明确其文件性质和效力位阶。《若干规定》以《网络安全法》《数据安全法》等法律法规为上位法,由网信办、国家发展和改革委员会、工信部、公安部、交通运输部联合以首长令的形式发布,说明其属于部门规章,是我国《立法法》规定的正式立法渊源之一,效力高于部门发布的规范性文件。
- 从适用范围上看,《若干规定》适用属地管辖原则,适用于中华人民共和国境内开展的汽车数据处理活动及其安全监管。
- 从监管对象上看,《若干规定》监管汽车全产业链的数据处理者,一般包括汽车制造商、零部件商、软件供应商、行业经销商、维修机构和如出行服务企业等其他企业。
- 从监管行为上看,《若干规定》监管汽车数据处理行为,包括数据采集、传输、存储、使用、共享、销毁、备份和恢复。
关于汽车行业所涉各类“数据”的定义内涵,如下表所示:应当注意,《若干规定》中的几个重要条文明确了汽车数据处理者应当重点履行的合规义务。首先,《若干规定》第4、5、6条规定了汽车数据处理的基本原则,其中第4、5条规定了强制性原则,第6条规定了倡导性原则。倡导性原则主要考虑的是目前汽车企业的能力问题。其次,第7、8、15、17条落地了汽车领域的数据安全保护基本义务。再次,第10-14条规定了汽车领域重要数据处理相关特殊义务。最后,第9条规定了汽车领域敏感个人信息处理相关特殊义务。将上述义务总结成《若干规定》下的汽车企业重点数据合规义务体系,如下图所示: 今年,网信办加快了数据跨境配套法规,如《数据出境安全评估办法》的落地。从下半年开始,数据跨境就进入了有法可依、强监管的时代。在数据跨境场景下,汽车数据处理者所负义务为综合性义务。一般数据出境机制下,数据处理者接受数据跨境监管,首先需要识别其是否属于关键信息基础设施运营者这类特殊主体,其次需要识别跨境的数据是否为重要数据,只要涉及特殊主体或者重要数据之一,均需通过国家网信部门组织的数据出境安全评估,同时,应对重要数据处理活动定期开展风险评估,并向有关主管部门报送评估报告。在不涉及特殊主体或者重要数据的数据跨境情形下,应当考察所处理的个人信息数量,当涉及处理100万人以上个人信息,或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息等三类情形的,也应当通过网信部门组织的数据出境安全评估。此外,涉及个人信息出境的,个人信息处理者还应当向个人信息主体告知出境情况、取得单独同意(合法基础为同意时)并开展个人信息保护影响评估。对于非上述三类情形下的个人信息跨境,个人信息处理者可以选择按照国家网信部门的规定经专业机构进行个人信息保护认证、与境外接收方签订国家网信部门制定的标准合同等其他途径实施数据跨境合规。2021年,某品牌车主驾驶品牌产品车辆疑因刹车失灵发生事故,随后车主要求该品牌提供相应的行车数据,并表示,不认同该品牌所称的驾驶人以118.5km/h的车速行驶,并对该品牌提供的行车数据的真实性持怀疑态度。车主提出,其曾多次向品牌方面要求提供车辆事故前的行车数据,但均被拒绝。对此,当地市监局曾三次组织调解。该品牌一开始因担心数据被当事人用来炒作宣传造成不良影响,而拒绝提供相关数据;而后提出三个前提条件,包括签订协议约定数据用途及共同委托第三方检测公司检测刹车系统是否存在质量问题等,方同意将相关行车数据完整提供给车主。事件后期,该品牌表示愿意全力配合,提供事发前半小时的车辆原始数据给第三方鉴定机构或政府指定的技术监管部门或者消费者本人。该事件引发了相关公众一系列疑问:车主是否有权拿到自己的行车数据?行车数据是否属于消费者知情权的范畴?行车数据是否属于个人信息?行车数据是否属于个人隐私?涉事品牌能否拒绝车主查询、复制其个人信息的请求?要解答上述问题,还需要对我国自动驾驶领域相关制度作进一步了解。首先,根据《中华人民共和国电信条例》《电信业务经营许可管理办法》等规定,信息服务的提供需满足国家对于电信服务等领域业务资质许可、市场准入等各项要求。据此,自动驾驶应用中涉及的多项信息服务需要取得电信运营资质牌照。具体而言,例如通过对车辆行使状态等数据进行分析以实现辅助驾驶功能涉及在线数据处理与交易处理业务,车载终端利用自建平台为用户提供软件、音视频、图片的下载服务等涉及信息服务业务,云服务的提供等涉及互联网资源协作服务业务,消费者可通过车载设备以语音等方式进行业务咨询、紧急呼救、请求道路救援等涉及呼叫中心业务,车载设备的电子邮件、语音信箱等功能涉及存储转发类业务,车载导航、地理位置定位等则还涉及互联网地图服务资质。其次,自动驾驶道路测试,包括模拟仿真测试、实际道路测试、软件升级测试、封闭场地测试、车辆网络安全测试、数据存储测试等,也需接受相关部门监管。从中央层面看,2018年,工信部、公安部、交通运输部联合发布《智能网联汽车道路测试管理规范(试行)》;2021年1月,工信部、公安部、交通运输部发布《智能网联汽车道路测试与示范应用管理规范(试行)》的征求意见稿;2021年4月,工信部发布《智能网联汽车生产企业及产品准入管理指南(试行)》的征求意见稿。从地方层面看,北京、上海、广州、重庆、江苏等地也相继出台了关于自动驾驶汽车道路测试的地方规定,并陆续发放了道路测试牌照。最后,根据目前我国法律体系,自动驾驶应用中数据合规利用应分为四个维度考察。维度一为个人信息,包括车辆所有者或驾驶员相关的个人信息。对个人信息的处理,须遵循《民法典》《网络安全法》《数据安全法》《个人信息保护法》《GB/T 35273-2020 信息安全技术 个人信息安全规范》等规定,重点关注自动驾驶汽车的感知设备如激光雷达及摄像头等收集的信息。维度二为车况信息,即与车辆实际运行特征或车辆实际系统操作有关的数据,以及整车控制器等相关的工况信息。对车况信息的处理,须遵循《数据安全法》《YD/T3751-2020 车联网信息服务 数据安全技术要求》等规定。维度三为测绘信息及地图数据。在此维度下须重点关注《测绘法》《关于加强自动驾驶地图生产测试与应用管理的通知》《地图管理条例》等规范对测绘资质管理制度和地图数据监管作出的相关规定。维度四是天气数据以及其他如支付、保险等服务所涉及的金融数据和其他特殊监管行业涉及的数据。《气象预报发布和传播管理办法》等对天气数据的合规利用进行了相关规定。目前,关于车况信息是否属于个人信息仍存在争议。在余某诉北京酷车易美网络科技有限公司一案中,余某认为查博士APP中付费提供的车辆历史车况报告,详细记录了车辆的行驶数据、维保数据等信息,综合反映了其本人的驾驶特征、维保行踪、消费能力、消费习惯等,可间接识别其身份,属于其个人信息及个人隐私。酷车易美公司未经其同意,擅自有偿向他人提供上述信息侵犯其个人信息及隐私。对此,广州法院认为,案涉历史车况信息是否为个人信息,关键在于该信息能否单独或者与其他信息结合识别特定自然人。考察涉案信息,从信息内容看,不能以此识别出自然人的行踪轨迹;从信息特征看,无法关联到车辆所有人等特定自然人;从信息来源看,无法通过车况信息精准识别到车辆的实际使用人是否为余某本人;从信息重新结合识别特定自然人的成本看,查博士APP使用了脱敏化技术,将车况信息与其他信息结合识别所需的技术门槛、经济成本、耗费时问等都较高。综上,广州法院认为,案涉车况信息无法被认定为个人信息。在车辆交易场景下,直接将历史车况信息纳入隐私权保护范围,有可能增加二手车交易市场的信息不对称风险和交易安全隐患。同时,但凡是自己不希望被他人知晓的信息都界定为隐私,会给社会正常交往带来不必要的负担。本案判决权衡了个人信息保护和企业运营的利益关系。2、自动驾驶涉及的分心驾驶以及产品责任承担合规风险 自动驾驶涉及的分心驾驶以及产品责任承担合规风险分为两方面问题。一方面,若出现分心驾驶导致的交通事故,消费者与产品及服务提供者(制造商及车机系统提供商)之间的责任如何划分?根据《中华人民共和国道路交通安全法》《中华人民共和国道路交通安全法实施条例》规定,驾驶员不得分心驾驶,否则驾驶员应承担罚款、扣分等相应法律责任;任何人不得强迫、指使、纵容驾驶人违反道路交通安全法律、法规和机动车安全驾驶要求驾驶机动车。故当自动驾驶出现分心驾驶时,制造商及车机系统提供商可能会被视为纵容驾驶员进行违反安全要求的行为而违反法律规定。另一方面,在高度自动或完全自动驾驶汽车的场景下,发生事故时的责任如何承担?根据“侵权责任法”的基本法理,在该场景下的侵权主体应当被认定为是智能驾驶系统的开发者、制造者,但是目前尚无相关法律规定确定二者责任能力。归责原则的适用也存在困难。因判断自动驾驶汽车的主观态度难度很大,何种情形下自动驾驶汽车存在主观故意或过失,可能与传统情形有所不同。在责任形式的确定上,自动驾驶汽车如何承担人身责任、财产责任与传统方式也存在不同,是否可以针对自动驾驶汽车创设如断电、更换芯片等新的责任形式亦值得讨论。从《深圳经济特区智能网联汽车管理条例》的部分内容可以窥探目前较为试验性的做法。《深圳经济特区智能网联汽车管理条例》对智能网联汽车及自动驾驶进行了界定。根据该条例规定,条例所称智能网联汽车,是指可以由自动驾驶系统替代人的操作在道路上安全行驶的汽车,包括有条件自动驾驶、高度自动驾驶和完全自动驾驶三种类型:(1)有条件自动驾驶,是指自动驾驶系统可以在设计运行条件下完成动态驾驶任务,在自动驾驶系统提出动态驾驶任务接管请求时,驾驶人应当响应该请求并立即接管车辆;(2)高度自动驾驶,是指自动驾驶系统可以在设计运行条件下完成所有动态驾驶任务,在特定环境下自动驾驶系统提出动态驾驶任务接管请求时,驾驶人应当响应该请求并立即接管车辆;(3)完全自动驾驶,是指自动驾驶系统可以完成驾驶人能够完成的所有道路环境下的动态驾驶任务,不需要人工操作。从该条例来看,前述自动驾驶涉及的分心驾驶以及产品责任承担问题可分为三层次解答:- 一是有驾驶人的智能网联汽车发生交通违法或者有责任的事故,由驾驶人承担违法和赔偿责任;
- 二是完全自动驾驶的智能网联汽车在无驾驶人期间发生交通违法或者有责任的事故,原则上由车辆所有人、管理人承担违法和赔偿责任,但对违法行为人的处罚不适用驾驶人记分的有关规定;
- 三是交通事故中,因智能网联汽车存在缺陷造成损害的,车辆驾驶人或者所有人、管理人依照上述规定赔偿后,可以依法向生产者、销售者请求赔偿。
企业应提前分析自动驾驶应用并预防相关法律风险,特别注意:- 确保可能涉及使用的第三方产品、服务或内容已获得了充分的知识产权许可;
- 通过参与建立车联网知识产权风险应对机制、车联网领域知识产权产业化孵化系统、车联网领域专利公共信息数据库等推动行业的整体发展。
一个成功的汽车数据合规项目须重点围绕8个关键词实施。一是“Awareness”,企业应当重视汽车数据合规工作,通过合规创造价值。二是“资源和授权”,企业应通过组织、授权、协同整合资源。三是把握“合脚的鞋子”,企业应明白,合规永远是个“度”的问题。四是“Quick-win v. Comprehensive”,企业开展汽车数据合规项目应以Risk-based为基点考虑。五是“技术v.法律”,企业应明白没有法律指引的技术实施是盲目的,没有技术支持的法律方案是虚空的。六是“商业v.合规”,在企业数据合规工作的开展中,商业妥协是常态,合规红线是基准。七是“制度v.落地”,企业应通过明确Check-point、责任与处罚,开展审计实施等实现制度落地。八是“敏捷治理”,在数字技术和市场的快速迭代,法律环境的密集更新的时代下,企业应时刻保持前沿性和灵敏性。作者:陈际红
编辑:Sharon
点击图片查看文章
扫码购买观看(长期有效)
(www.pharmaip.cn)
(www.caiips.com) (www.meddeviceip.com) (www.giips.cn) (www.ipforefront.com)
|
