2月20日,國家安全部在公眾號發布了一篇安全提醒,指出個別境外地圖公司利用提供虛擬貨幣獎勵換取地圖數據,引誘境內人員購買專用設備進行地圖打卡,非法採集敏感地理資訊數據。近期Hivemapper專案的發展引人關注,透過區塊鏈建構地圖網絡,讓使用者透過汽車行車記錄器擷取影像。然而,資料安全風險也隨之增加。針對此問題,文章詳細介紹了Hivemapper專案的運作原理,並提出了資料出境安全合規建議。建議企業制定數據分類分級表、出境風險自評機制,動態監測數據,並關注法律政策環境評估。
2月20日,國家安全部在公眾號上發布了安全提醒。在該文中,國家安全部指出,個別境外地圖公司利用採集地圖數據換取虛擬貨幣獎勵的方式,促使境內人員購買和使用專用設備進行地圖“打卡”,非法採集敏感地理空間信息數據,並實時上傳至境外伺服器,甚至針對特定區域開出高額獎勵,吸引「採集者」進行重點採集。被地圖打卡賺錢的形式所誘惑,在不知不覺中被其他有用心的境外公司利用,成為其非法採集地理空間資料的「幫兇」。
尤其是,近來DePIN此次Hivemapper計畫的發展引人注目。由於該計畫成立以來,僅在一年的時間內就相當於了9,100萬公里的公路地圖,涵蓋全球道路總里程的10%。不可否認,隨著著大數據、區塊鏈等前沿科技的運用推廣,地理空間資訊資料被廣泛收集,讓地理導航定位更加精準,人們出行出行更加便利。但同時,有關敏感資訊資料外洩的風險也隨之而來增加。
因此,本文特以Hivemapper為例,詳細介紹該專案的運作原理的基礎上,分析其運作過程中存在的資料安全風險,立足於當前我國資料安全保護法律規範體系,為相關企業的合規建設,尤其針對資料出境安全合規提出建議。
Hivemapper的運作原理
Hivemapper 是一個基於區塊鏈的地圖網絡,貢獻者透過安裝Hivemapper 的行車記錄器就可以進行數據收集,同時獲得代幣$HONEY 作為獎勵,代幣的發放、結算都在Solana 網路上。 Hivemapper 中行車記錄器就像礦機,與Hivemapper的應用銜接,將街景影像資料作為上傳。該計畫以一種新穎的方式建構地圖,讓全球的人們透過汽車行車記錄器擷取影像,順利完成世界地圖的建構。
從計畫的名字來看,Hivemapper(巢地圖),象徵著每一隻蜜蜂飛行採花蜜,共同製造出美味的幸福,而Hivemapper則透過集蜂結了成千上萬的用戶,分享了他們的努力成果:全新、詳細的世界地圖。
從配套應用程式來看,Hivemapper適用於Android和iOS,與行車記錄器連接,傳輸資料。使用者可以購買汽車行車記錄器參與資料收集以及AI的訓練,取得HONEY,同時,使用者還可以提供地圖影像API、地圖功能API、偵測位置變更、客製化服務,適用於給無人駕駛、路況偵測等提供即時地圖資料。即其主要工作原理為:
使用行車記錄器駕駛並缺乏地圖; 玩AI訓練遊戲來訓練地圖AI引擎; 緊接著Hivemapper Explorer觀察地圖的進展; 使用我們的API 建立一些非常酷的地圖和地理事物。
其獨特的地點,傳統的谷歌地圖僅使用昂貴的相機、車輛和人力來獲取地圖。 Hivemapper則大量利用在日常工作中經常開車的人來收集圖像街道,具有以下優點:
一是地圖成本較低– 使用Hivemapper 地圖相當於副產品,而不是主要活動(人們已經為他們的主要職業驅動)。這樣做的主要結果是存取資料的服務成本原始。
二是比較最新的地圖-由於任何人都可以透過購買相對便宜的硬體來加入Hivemapper,因此對地圖貢獻做出的貢獻者越多,同樣位置的地圖對峙。
三是更高品質的地圖– 對於許多位置,Google 地圖每隔幾年就會經過某個特定位置一次。如果大氣和照明條件不理想,可能需要數年時間才能獲得更好的影像。
另外,在Hivemapper 社區,每個參與者都有機會獲得代幣HONEY。只要他們的行動能讓地圖獲取價值,就能獲得這種加密貨幣代幣。取得Hivemapper 的地圖資料的唯一方法就是消耗HONEY ,因此,這種代幣具有實際的價值。這個過程就像是一種「Dirve to Earn」模式,只要進行操作、擷取影像,就可能獲得獎勵。
事實上,Hivemapper 一推出,就開始鑄造40 億個蜂蜜代幣,並將其發放給貢獻者作為獎勵。每週鑄造的代幣的預期數量由全球地圖進度決定。每週鑄造90% 的蜂蜜作為獎勵發給貢獻者,10% 給予Hivemapper 網路持續運行的「營運獎勵」。
Hivemapper專案涉及資料安全風險
近來,智慧汽車的普及尤其是自動駕駛技術的出現創新了交通出行的方式,改善了道路交通安全,提高了乘車體驗感和出行效率,將物理空間的交通與數位化的信息緊密結合,致使大量數據的上漲和開放共享。
Hivemapper正是在這樣的背景下誕生的,該計畫的核心在於汽車數據獲取及流動的無國界性,即使得汽車產生的流動數據在全球範圍內流動、共享,讓全球範圍內的人們通過汽車行車記錄器擷取影像,順利完成世界地圖的建構。然而,汽車資料的跨境流動引發了人們對資料安全保護和監管的擔憂。
以Hivemapper為例,其運作過程中可能收集到的汽車數據包括但不限於以下數據,本文首先透過從分類層面,對各類數據進行整理:
由上表可知,基於Hivemapper運作過程中可能收集的資料承載資訊種類的多樣性與資料邊界流動的高度動態性,其所帶來的風險體現為縱橫機構:
縱向風險
首先,從縱向專案來看,Hivemapper運作過程中可能收集到的跨境資料流動的安全風險在縱向上從及危險個人權益不斷覆蓋到企業發展與經濟社會秩序因此國家安全層面,呈現出槓桿性特徵:
其中一,從個人資訊安全方面來看。在汽車資料安全領域,根據《汽車資料安全管理若干規定(試行)》對汽車領域的個人資訊的規定,個人資訊是,以電子或其他方式記錄的與已識別或可識別的車主、駕駛人、乘車人、車外人員等相關的各種訊息,不包括匿名化處理後的資訊。具體而言,個人資訊可分為直接可識別的個人資訊和間接可識別的個人資訊。直接可辨識的個人資訊是指,可以單獨、直接辨識出自然人的資訊。例如,所有者的姓名、身分證號碼等。間接可識別的個人資訊是指,透過與其他資料結合,從而識別出自然人的資訊。例如,透過與車輛識別號碼(VIN)結合,一輛車行駛行程的細節、車輛使用行為資料、技術資料、車輛狀況資料等都可能被識別為是個人資訊。在實務中,相關可辨識的個人資訊容易被重視,容易引發合規風險。此外,根據個人資訊的敏感度不同,個人資訊還包括敏感個人資訊、生物識別特徵資訊等保護要求根據《汽車安全管理規定(試行)》,敏感個人資訊一旦洩露或非法使用,可能導致車長、駕駛人、乘車人、車外人員等受到限製或人身、財產安全受到嚴重破壞的個人訊息,包括車輛行蹤軌跡、音訊、視訊、影像和生物辨識特徵等資訊。
其二,從企業發展方面來看。對於汽車產業領域的企業而言,數據是創造數位知識和形成決策的重要組成部分。一方面,駕駛者群體資料的收集與分析是企業了解客戶需求、提供客製化服務及開發新的市場空白的前提,是提升企業核心競爭的關鍵,往往涉及車輛開發、生產企業的商業機密,與企業的競爭發展有著緊密的關聯。
第三,從國家安全層面來看。地理空間資訊資料是經濟社會發展的生產要素和資料資源。其中包含交通路網、重要基礎設施以及軍事設施等敏感信息,一旦洩露,並經技術分析和處理因此,非法掠奪和邊境運輸地理空間信息數據的行為損害了我國家主權、安全、發展利益。涉事境外公司、境內個人未取得我境內測繪業務資質,有關資料涉嫌違反《反間諜法》《測繪法》《資料安全法》中的相關規定。根據《反間諜法》規定,境外機構、組織、個人實施或指使、資助他人實施,或境內機構、組織、個人與勾結實施的竊取、刺探、收買、非法關係提供國家安全和利益的數據,屬於間諜行為。
橫向風險
對於「資料出境」的涵義,目前《網路安全法》《個人資訊保護法》《資料安全法》等相關法律已經做出了明確的具體規定。根據2022年8月31日發布的《資料出境安全》評估指南》對於資料出境的定義,以下情況屬於資料出境行為:
1. 資料處理者將在境內營運中心收集並產生資料傳輸、儲存至境外;
2. 資料處理者收集和產生的資料儲存在境內,境外的機構、組織或個人可以查詢、調取、下載、匯出;
3.國家網信辦規定的其他資料出境行為。
需要強調的是,根據我國《網路安全法》、《資料安全法》、《個人資訊保護法》對資料出境的相關條文規定,資料出境活動的前提是模擬出境的資料是在境內運作過程中產生的,如《網路安全法》第三十七條規定,營運人員的關鍵資訊基礎設施在境內的營運中收集和產生的個人資訊和重要資料應在境內儲存。因業務需要,需向境內儲存境外提供的,應當依照國家網信部門會同國務院有關部門所製定的辦法進行安全評估;法律、行政法規另有規定的,依其規定。
在Hivemapper帶來的資料邊界安全風險時,首先應判斷對應資料是否在境內運作過程中產生和收集的。根據上述《資料出境安全評估指南》對境內營運的定義,境內營運是指網路業者在境內開展業務,提供產品或服務的活動。其中,未在我國境內註冊,但在我國境內開展業務,或向我國境內提供產品或服務的,屬於境內運營。因此,如Hivemapper 等境外企業專案雖然在我國境內沒有註冊實體,但向我國境內提供產品服務的,仍屬於境內運營、資料傳輸至其自身在境外設置的伺服器屬於資料出境。
而從橫向來看,資料跨境流動通常是連續的、非靜態的,涉及境內資料處理者及境外資料接收者等多方主體及資料週期生命管理的多個環節,由此也決定了資料跨境流動的安全風險去中心化在這多個休息室內,呈現出高度的動態特徵。
首先,資料收集是資料生命週期的第一階段,也是資料流動邊界的前提,許多安全問題都是從這個階段衍生而來的。資料蒐集階段主要的安全風險中心化在採集源、抓捕事件、抓捕過程中,包括抓捕階段面臨的非授權抓捕、資料分類分區模糊、敏感資料辨識模糊、資料無法追本溯源、抓到敏感資料的外洩密風險、抓捕群體的安全性以及抓捕流程的事後審計等。
其次,在資料傳輸和預存過程中。往往還存在資料損害、篡改、外洩等風險。以及在資料出境後,存在著接收方、資料處理相關方因資料儲存保障不當或資料安全措施落實不到位造成等的資料外洩風險。
此外,在資料出境後的應用階段。面臨核心資料被惡意利用、主體相關資料分析技術侵犯被去匿名化的隱私資訊以及資料未經授權的存取、修改、轉移、共享等安全風險。
汽車資料出境安全合規建議
目前主要的汽車數據包括個人資訊數據和重要數據兩大面向。其中,個人資訊資料包括一般個人資訊資料和敏感個人資訊資料(如車輛軌跡、音訊、視訊、影像生物辨識特徵、駕駛習慣、等)縱覽我國汽車資料安全保護豬肚,在政策法規方面,我國《資料安全法》《網路安全法》《個人資訊保護法》對資料安全、網路安全、個人資訊保護等問題作出了規定。產業法規與指導文件逐步落地,包括《汽車資料安全若干管理規定(試行)》《關於加強智慧網聯汽車生產企業及產品准入管理的意見》《關於加強車聯網網路安全與資料安全工作》規範在標準方面,國內正積極追蹤與版面,在智慧網聯汽車資料應用與保護方面,目前發布了《車聯網資訊服務已使用者個人資訊保護要求》《汽車擷取資料處理安全指南》 》等。
另一方面,我國目前已製定了較為完善的資料出境安全保護制度。同時,關於個人資訊出境的路徑,即資料安全評估、保護認證、標準合約配套規定了基本。具體而言,相關規範的客製化時間整理如下:
另外,關於上述個人資訊資料出境的澄清路徑,具體如下圖所示:
在此,作者團隊針對相關企業汽車資料出境安全合規性做出以下建議:
制定企業資料分類分級盤點表,審慎指導資料出境安全評估中的資料整理與辨識工作
資料分類分級既是《資料安全法》、《個人資訊保護法》下的合規要求,也是資料出境安全評估的重要基礎。對於可能涉及重要資料和掌握大量個人敏感資訊的車企來說,對不同類型、不同保護等級的資料設定不同的邊界流量管理和技術措施,有助於高效企業在落實合規要求和開展業務之間尋求平衡。
汽車資料中的個人資訊分為普通個人資訊和敏感個人資訊,敏感個人資訊中還包括自然人的生物辨識特徵。汽車產業的重要資料包括六類可能影響國家安全、公共利益或個人、組織合法權益的資料根據《資料安全法》第21條可知,除個人資訊和重要資料外,還有“國家核心資料”,實行更嚴格的管理制度。因此,對此類所涉及國家核心數據的企業一定要進行仔細甄別。
在分類的基礎上,企業應對收集的汽車資料進行分級。我國自動駕駛資料安全進出口根據自動駕駛資料被違規時所處罰的客戶體和相應客戶體的違規程度,對資料安全保護等級分為五級資料違法行為時所違法行為的客體分為公民、法人和其他組織的合法權益、社會秩序、公共利益和國家安全三類,對相應客體的行為程度分為一般損害、嚴重損害和特別嚴重損害三類因此,對上述六類重要數據,應歸類於第三級和第四級資料;個人資料應歸類於第二級,個人敏感資料應歸類於第三級;新冠疫情在全球爆發以來,人們更加認識到,生物辨識資訊一旦被非法使用,將對社會秩序和國家安全帶來重大危害,因此對生物辨識資訊依其特殊性質分類為四級資料。做好分類分級後,企業有必要符合法規要求,並設定相應的出境條件。中間三級的網聯汽車數據,附出境條件。除進行出境前的安全評估外,還應為第三級、第四級數據附加相應條件屬於國家核心數據的,應結合第五級數據,遵循數據本土化的原則,嚴格限制其出境。
特別是自動駕駛技術研發企業如果使用GPS接收設備、高清攝影機、車載感測器、雷射雷達等設備在公開道路上進行道路測試,收集車外實景影像等,則很可能被認定為從事測繪活動,從而需要額外遵守《測繪法》《中華人民共和國測繪成果管理條例》《測繪地理資訊管理工作國家秘密範圍的規定》以及自然資源部發布的與測繪地理資訊相關的規範性文件。對於涉密測繪成果以及部分非涉及密測繪地理資訊成果的,汽車企業必須經過相關測繪地理資訊主管機關核准方可向境外提供。
其他重要和個人資訊以外的其他數據,整理為一級數據,可選擇合理數據出境路徑,允許其自由流動。
制定資料出境安全評估制度、組織資料出境安全評估小組、建立企業內部資料出境自評估表格等工具,做好資料出境的規劃
汽車產業數據企業涉及的數據處理活動繁雜、數據處理者多樣化,伴隨著車聯網技術的快速迭代和車聯網應用的迅速增長,數據出境的發生頻次可能隨之出現,業務層面隨時可能觸發的數據出境安全評估需求,完善的安全評估制度和組織人員將有助於車企實現「一件事一評估」和「即時動態評估」。在建立企業內部的資料出境自評工具時,需將資料出境必要性評估與流動性作為啟動評估的重要一環,並適時調整出資料境路徑。同時,企業也應對未來一段可預見的數據規劃,出境情況進行,股票數據好出境的自評估與安全評估等工作所需時間,並與主管機關溝通通報評估中此類情況需進行突發評估或積極評估等細節問題。
建立出境風險自評機制,對出境風險容器動態監測資料進行監測
建立數據出境風險自評機制,及時掌握企業內數據出境情況的動態變化,結合總結業務特性、出境應用場景及流轉路徑,定期開展數據出境風險評估工作,及時開展合約時,應及時關注主管部門後續發布的關於數據出境的監管細則,從而有效、快速應對後續的監管活動。
另外,境外接收方駐地的法律與政策環境評估是資料出境安全評估的重點內容,也是《個人資訊出境標準合約》所規定的合約義務之一。對此,境內資料處理者應透過書面合約等方式要求境外接收方資料安全保護能力及駐地的資料安全保護法律政策及環境進行查明與提供,境外接收方也應盡最大努力提供必要的相關信息,主動履行合約義務或相關承諾,協助與配合配合資料處理方內的資料安全評估申報工作。
參考資料:
[1]吳海燕,陳樸等:《智慧網聯汽車資料安全治理機制及政策研究》,載《電信快報》2022年第9期;
[2]史躍,程夢等:《資料出境全解析之基礎概念篇》,2023年4月14日;
[3]何姍姍,黃雷等:《如何防範汽車資料出境安全法律風險》,下載《智慧網聯汽車》2022年第3期;
[4]陳思琦:《智慧網聯汽車資料跨國流動的法律問題研究》,載《網路安全技術與應用》2023年第4期。
資訊來源:0x資訊編譯自網際網路。版權歸作者鏈上法律導航所有,未經許可,不得轉載