2月20日,国家安全部于公众号上发布了一篇安全提醒。在该文中,国家安全部指出,个别境外地图公司利用采集地图数据换取虚拟货币奖励的方式,诱使境内人员购买并使用专用设备进行地图“打卡”,非法采集敏感地理空间信息数据,并实时上传至境外服务器,甚至针对特定区域开出高额奖励,吸引“采集者”进行重点采集。个别境内人员国家安全意识淡薄,被地图打卡赚钱的形式所诱惑,在不知不觉中被别有用心的境外公司利用,成为了其非法搜集窃取地理空间数据的“帮凶”。

尤其,近来DePIN赛道Hivemapper项目的发展引人注目。自该项目成立以来,仅在一年的时间里就绘制了9100万公里的公路地图,覆盖全球道路总里程的10%。不可否认,随着大数据、区块链等前沿科技的运用推广,地理空间信息数据被广泛收集,让地理导航定位更加精准,人们日常出行更加便利。但与此同时,有关敏感信息数据泄露的风险也随之增加。

因此,本文特以Hivemapper为例,在详细介绍该项目的运行原理的基础上,分析其运行过程中存在的数据安全风险,立足于当前我国数据安全保护法律规范体系,为相关企业的合规建设,尤其针对数据出境安全合规方面提出建议。

Hivemapper的运行原理

Hivemapper是一个基于区块链的地图网络,贡献者通过安装 Hivemapper的行车记录仪就可以进行数据采集,同时赚取代币$HONEY作为奖励,代币的发放、结算都在Solana网络上。Hivemapper中行车记录仪就类似于矿机,与Hivemapper的应用衔接,将街景图像作为数据上传。该项目以一种新颖的方式构建地图,让全球范围内的人们通过汽车行车记录仪采集图像,协同完成世界地图的构建。

从项目的名字来看,Hivemapper(蜂巢地图),象征每只蜜蜂飞行采集花蜜,共同制造出美味的蜂蜜,而Hivemapper则是通过集结成千上万的用户,共享他们的努力成果:一份全新、详细的世界地图。

以Hivemapper项目为例,来看行车数据出境安全风险及合规要点

从配套应用程序来看,Hivemapper适用于Android和iOS,与行车记录仪连接,传输数据。用户可以购买汽车行车记录仪参与数据采集以及AI的训练,赚取HONEY,同时,用户还可以提供地图图像API、地图功能API、检测地方的变化、定制化服务,适用于给无人驾驶、路况检测等提供实时地图数据。即其主要运作原理为:

使用行车记录仪驾驶并绘制地图;玩AI训练游戏来训练地图AI引擎;跟随Hivemapper Explorer观察地图的发展;使用我们的API构建一些很酷的地图和地理事物。

其独特之处在于,传统的谷歌地图仅使用昂贵的相机、车辆和人力来绘制地图。Hivemapper 则利用大量在日常工作中经常开车的人来收集街道图像,具有以下优点:

一是较低成本的地图 - 使用 Hivemapper 地图绘制是副产品,而不是主要活动(人们已经为他们的主要职业开车)。这样做的主要结果是访问数据的服务成本更低。

二是更多最新的地图 - 由于任何人都可以通过购买相对便宜的硬件来加入 Hivemapper,因此对地图做出贡献的贡献者越多,同一位置的地图绘制就越频繁。

三是更高质量的地图 - 对于许多位置,Google地图每隔几年才会经过某个特定位置一次。如果大气和照明条件不理想,可能需要数年时间才能获得更好的图像。

此外,在Hivemapper社区,每一位参与者都有机会获得代币 HONEY。只要他们的行动能使地图更具价值,就能获得这种加密代币。获取Hivemapper的地图数据的唯一方式就是消耗HONEY,因此,这种代币具有实际的价值。这个过程就像是一种“Dirve to Earn”模式,只要驾驶、采集图像,就有可能获取奖励。

事实上,Hivemapper一经推出,就开始铸造40亿个HONEY代币,并将其分发给贡献者作为奖励。每周铸造的代币的确切数量由全球地图进度决定。每周铸造的90%的蜂蜜作为奖励发给贡献者,10%给Hivemapper网络持续运行的“运营奖励”。

Hivemapper项目涉及的数据安全风险

近年来,智能汽车的普遍尤其是自动驾驶技术的出现创新了交通出行的方式,改善了道路交通安全,提高了乘客体验感和行驶效率,将物理空间的交通与数字化的信息紧密结合,致使大量数据的累积和开放共享。

Hivemapper正是在这一背景下得以诞生,该项目的核心在于汽车数据获取及流动的无国边界性,即使得汽车行驶所产生的各类数据在世界范围内流动、共享,让全球范围内的人们通过汽车行车记录仪采集图像,协同完成世界地图的构建。然而,汽车数据的跨境流动引发人们对数据安全保护和监管的担忧。

以Hivemapper为例,其运行过程中可能收集到的汽车数据包括但不限于以下数据,本文首先通过从分类层面,对各类数据进行整理:

以Hivemapper项目为例,来看行车数据出境安全风险及合规要点

由上表可知,基于Hivemapper运行过程中可能收集的数据承载信息种类的多样性与数据跨境流动的高度动态性,其所带来的风险体现为纵横双向:

纵向风险

首先,从纵向上来看,Hivemapper项目运行过程中可能收集的数据跨境流动的安全风险在纵向上从危及个人权益不断跨越到企业发展与经济社会秩序乃至国家安全层面,呈现出多重性特征:

其一,从个人信息安全层面来看。在汽车数据安全领域,根据《汽车数据安全管理若干规定(试行)》对汽车领域的个人信息的规定,个人信息是,以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。具体而言,个人信息可以分为直接可识别的个人信息和间接可识别的个人信息。直接可识别的个人信息是指,可以单独、直接识别出自然人的信息。例如,驾驶员的姓名、身份证号等。间接可识别的个人信息是指,通过与其他资料相结合,从而识别出自然人的信息。例如,通过与车辆识别号(VIN)相结合,一辆车行驶旅程的细节、车辆使用行为数据、技术数据、车辆状况数据等都可能会被认定为是个人信息。在实践中,间接可识别的个人信息容易被忽视,易引发合规风险。此外,根据个人信息的敏感程度不同,个人信息中还包括敏感个人信息、生物识别特征信息等保护要求更高的类型。根据《汽车数据安全管理若干规定(试行)》,敏感个人信息是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

其二,从企业发展层面来看。对于汽车行业领域的企业而言,数据是创造数字知识并形成决策的重要组成部分。一方面,对驾驶者各类数据的收集与分析是企业了解客户需求、提供定制化服务及开发新的市场空白的前提,是提升企业核心竞争力的关键,往往涉及车辆开发、生产企业的商业秘密,与企业的竞争发展具有紧密联系。

其三,从国家安全层面来看。地理空间信息数据是经济社会发展的生产要素和数据资源。其中包含的交通路网、重要基础设施以及军事设施等敏感信息一旦泄露,并经技术分析和处理,将对国家安全造成严重威胁。因此,非法采集和跨境传输地理空间信息数据的行为危害我国家主权、安全、发展利益。涉事境外公司、境内个人未取得我境内测绘业务资质,有关数据采集行为涉嫌违反《反间谍法》《测绘法》《数据安全法》中的相关规定。根据《反间谍法》规定,境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供关系国家安全和利益的数据,属于间谍行为。

横向风险

对于“数据出境”的含义,目前《网络安全法》《个人信息保护法》《数据安全法》等相关法律并未做出明确具体的定义。根据2022年8月31日发布的《数据出境安全评估指南》对于数据出境的定义,以下情形属于数据出境行为:

1. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;

2. 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;

3. 国家网信办规定的其他数据出境行为。

需要强调的是,根据我国《网络安全法》、《数据安全法》、《个人信息保护法》对数据出境的相关条文规定,数据出境活动的前提在于拟出境的数据是在境内运营过程中产生的,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

在考虑Hivemapper带来的数据跨境安全风险时,首先应判断相应数据是否在境内运营过程中产生和收集的。根据上述《数据出境安全评估指南》对境内运营的定义,境内运营是指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。其中,未在我国境内注册,但在我国境内开展业务,或向我国境内提供产品或服务的,属于境内运营。因此,如Hivemapper等境外企业项目,虽然在我国境内没有注册实体,但向我国境内提供产品服务的,仍属于境内运营,数据传输至其自身在境外设置的服务器属于数据出境。

而从横向上来看,数据跨境流动通常是连续的、非静态的,涉及境内数据处理者及境外数据接收方等多方主体及数据生命周期管理的多个环节,由此也决定了数据跨境流动的安全风险分散于这多个环节内,呈现出高度动态性特征。

首先,数据采集是数据生命周期的第一个环节,也是数据跨境流动的前提,很多安全问题都是从这个阶段衍生而来的。概括起来,在数据采集环节主要的安全风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。

其次,在数据传输和存储过程中。往往还存在着数据损害、篡改、泄露等风险。以及在数据出境后,存在着接收方、数据处理相关方因数据存储不当或数据安全保障措施落实不到位等造成的数据泄露风险。

此外,在数据出境后的应用阶段。面临着核心数据被恶意使用、相关主体滥用数据分析挖掘技术侵犯被去匿名化的隐私信息以及数据未经授权的访问、修改、转让、共享等安全风险。

汽车数据出境安全合规建议

当前汽车数据主要包括个人信息数据和重要数据两个大的方面。其中,个人信息数据包括普通个人信息数据和敏感个人信息数据(如车辆轨迹、音频、视频、生物识别特征、驾驶习惯、图像等)。纵览我国汽车数据安全保护猪肚,在政策法规方面,我国《数据安全法》《网络安全法》《个人信息保护法》对数据安全、网络安全、个人信息保护等问题做出了规定。行业法规和指导文件也在逐步落地,包括《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》等。规范标准方面,国内也在积极跟踪和布局,在智能网联汽车数据应用与保护方面,目前已发布了 《车联网信息服务用户个人信息保护要求》《汽车采集数据处理安全指南》等。

以Hivemapper项目为例,来看行车数据出境安全风险及合规要点

另一方面,我国目前已形成较完善的数据出境安全保护制度。同时,关于个人信息数据出境的三种路径,即数据安全评估、保护认证、标准合同配套规定基本形成。具体而言,相关规范的出台时间梳理如下:

以Hivemapper项目为例,来看行车数据出境安全风险及合规要点

此外,关于上述个人信息数据出境的三种路径,具体差别如下图所示:

以Hivemapper项目为例,来看行车数据出境安全风险及合规要点

在此,笔者团队针对相关企业汽车数据出境安全合规作出以下建议:

制定企业数据分类分级盘点表,审慎指导数据出境安全评估中的数据梳理与识别工作

数据分类分级既是《数据安全法》、《个人信息保护法》下的合规要求,也是数据出境安全评估的重要基础。对于可能涉及诸多重要数据和掌握大量个人敏感信息的车企来说,对不同类型、不同保护级别的数据设置不同的跨境流动管理和技术措施,有助于企业在落实合规要求和高效开展业务之间寻求平衡。

汽车数据中的个人信息分为普通个人信息和敏感个人信息,敏感个人信息中又包括自然人的生物识别特征。汽车行业的重要数据包括六类可能影响国家安全、公共利益或个人、组织合法权益的数据。由《数据安全法》第21条可知,除个人信息和重要数据外,还有“国家核心数据”,实行更加严格的管理制度。因此,对此类所涉国家核心数据企业务必进行仔细甄别。

在分类的基础上,企业应当对收集的汽车数据进行分级。我国自动驾驶数据安全白皮书根据自动驾驶数据被侵害时所侵害的客体和对相应客体的侵害程度,对数据安全保护等级分为五级。数据被侵害时所侵害的客体分为公民、法人和其他组织的合法权益,社会秩序、公共利益和国家安全三类,对相应客体的侵害程度分为一般损害、严重损害和特别严重损害三种程度。因此,对上述六类重要数据,应归类于第三级和第四级数据;个人数据应归类于第二级,个人敏感数据归类于第三级;新冠疫情在全球暴发以来,人们更加认识到,生物识别信息一旦被非法使用,将对社会秩序和国家安全带来重大损害,因此对生物识 别特征根据其特殊性质归类于第四级数据。做好分类分级后,企业有必要依据法律法规要求,设置相应的出境条件。中间三级的网联汽车数据,附条件出境。除进行出境前的安全评估外,还应当为第三级、第四级数据附加相应程度的升级保障措施。属于国家核心数据的,应归类于第五级数据,遵循数据本地化的原则,严格限制其出境。

尤其自动驾驶技术研发企业若使用GPS接收设备、高清摄像头、车载传感器、激光雷达等设备在公开道路上进行道路测试,收集车外实景影像等,则很可能被认定为从事测绘活动,从而需要额外遵守《中华人民共和国测绘法》《测绘成果管理条例》《测绘地理信息管理工作国家秘密范围的规定》以及自然资源部发布的与测绘地理信息相关的其他规范性文件。对于涉密测绘成果以及部分非涉密测绘地理信息成果,汽车企业必须经过相关测绘地理信息主管部门批准方可向境外提供。

其他重要数据和个人信息以外的其他数据,归类为第一级数据,可合理选择前述出境路径,允许其自由流动。

制定数据出境安全评估制度、组织数据出境安全评估小组、建立企业内部的数据出境自评估表单等工具,做好数据出境的规划

汽车行业数据企业涉及的数据处理活动繁杂、数据处理者多样,伴随着车联网技术的快速迭代和车联网应用的迅速增长,数据出境的发生频次可能较高,面对业务层面随时可能触发的数据出境安全评估需求,完善的安全评估制度和组织人员将有助于车企做到“一事一评估”和“实时动态评估”。在建立企业内部的数据出境自评估工具时,需将数据出境必要性评估与论证作为启动评估的重要一环,并适时调整数据出境路径。同时,企业还应当对未来一段可预见的时间内,数据出境情况进行规划,预估好数据出境的自评估与安全评估等工作所需时间,并积极与主管机关沟通申报评估中诸如对于相同场景需进行一次性评估还是个案评估等细节问题。

建立出境风险自评机制,对数据出境风险予以动态化监测

建立数据出境风险自评机制 企业应建立数据出境风险自评估机制,及时掌握企业内数据出境情况的动态变化,结合所处业务特性、出境应用场景及流转路径,定期开展风险评估工作,及时开展合规自查和整改工作。与此同时, 应当及时关注主管部门后续发布的关于数据出境的监管细则,从而有效、快速应对后续的监管活动。

此外,境外接收方所在地的法律与政策环境评估是数据出境安全评估的重点内容之一,也是《个人信息出境标准合同》所规定的合同义务。对此,境内数据处理者应通过书面合同等方式要求境外接收方数据安全保护能力及其所在地的数据安全保护法律及政策环境进行查明与提供,境外接收方也应当尽最大努力提供了必要的相关信息,主动履行合同义务或者相关承诺,协助与配合境内数据处理方的数据安全评估申报工作。

参考资料:

[1]吴海燕,陈朴等:《智能网联汽车数据安全国内外治理机制及政策研究》,载《电信快报》2022年第9期;

[2]史跃,程梦等:《数据出境全解析之基础概念篇》,2023年4月14日;

[3]何姗姗,黄雷等:《如何防范汽车数据出境安全法律风险》,载《智能网联汽车》2022年第3期;

[4]陈思琦:《智能网联汽车数据跨境流动的法律问题研究》,载《网络安全技术与应用》2023年第4期。