信息來(lái)源：安全內(nèi)參

5月6日，一則“高合行車(chē)記錄儀疑似泄露隱私”的話題引發(fā)關(guān)注。汽車(chē)博主@李老鼠說(shuō)車(chē)爆料稱，高合汽車(chē)的行車(chē)記錄儀可通過(guò)車(chē)主互聯(lián)功能接收其他高合汽車(chē)的信號(hào)，并讀取這些汽車(chē)行車(chē)記錄儀內(nèi)容。次日，高合汽車(chē)對(duì)此作出回應(yīng)，稱該功能主要用于車(chē)隊(duì)出行、車(chē)路協(xié)同，開(kāi)啟時(shí)需經(jīng)用戶同意，無(wú)隱私安全隱患。

高合陷隱私泄露風(fēng)波

高合汽車(chē)這一功能設(shè)計(jì)是否合理？是否存在違法違規(guī)？實(shí)時(shí)共享行車(chē)記錄儀畫(huà)面可能存在哪些安全隱患？有資深律師告訴南都記者，行車(chē)記錄儀收集的畫(huà)面包括車(chē)外人員的個(gè)人信息，高合汽車(chē)向其他車(chē)輛提供其采集的音視頻信息是違法的，應(yīng)將涉及車(chē)外人員的畫(huà)面進(jìn)行刪除或匿名化處理。

文|樊文揚(yáng)

互聯(lián)功能可讀取其他車(chē)輛記錄儀內(nèi)容

5月6日，微博知名汽車(chē)博主@李老鼠說(shuō)車(chē)發(fā)布一條視頻，稱發(fā)現(xiàn)自己的汽車(chē)有一個(gè)“很可怕的功能”。視頻顯示，在高合汽車(chē)的行車(chē)記錄儀板塊中，車(chē)主可通過(guò)其中的車(chē)主互聯(lián)功能接收其他高合汽車(chē)的信號(hào)，并讀取這些汽車(chē)的行車(chē)記錄儀內(nèi)容。該博主隨機(jī)選擇了一位位于河南鄭州，距離自己639.4千米的車(chē)主，然后成功讀取了其正停放在路邊的車(chē)輛的行車(chē)記錄儀內(nèi)容。

可讀取行車(chē)記錄儀的車(chē)輛

博主讀取河南鄭州某車(chē)主的行車(chē)記錄儀

次日，高合汽車(chē)針對(duì)此事發(fā)表公開(kāi)聲明，稱博主提到的功能“車(chē)車(chē)互聯(lián)”屬于車(chē)隊(duì)出行、車(chē)路協(xié)同系統(tǒng)的組成部分，出廠時(shí)默認(rèn)關(guān)閉，需用戶在車(chē)輛上電后，通過(guò)兩次確認(rèn)隱私條款彈窗才能主動(dòng)開(kāi)啟。該功能下電后無(wú)法啟用，無(wú)法遠(yuǎn)程開(kāi)啟，也無(wú)任何存儲(chǔ)，不存在泄露用戶隱私的問(wèn)題。

高合回應(yīng)

然而，高合汽車(chē)對(duì)這一功能做出的解釋似乎并未打消車(chē)主和網(wǎng)友們的疑慮?！斑@就是泄露個(gè)人信息”“相當(dāng)于遠(yuǎn)程攝像頭功能”“完全無(wú)法理解這個(gè)功能有什么意義”……高合汽車(chē)的信息安全隱患受到廣泛關(guān)注。截至發(fā)稿前，相關(guān)話題的總閱讀量已上升至近五千萬(wàn)，討論次數(shù)超過(guò)一萬(wàn)。

在討論中，有高合汽車(chē)的車(chē)主曬出了開(kāi)啟該功能時(shí)出現(xiàn)的彈窗提醒頁(yè)面，彈窗在詢問(wèn)“你確定開(kāi)啟視頻分享功能嗎？”的同時(shí)，有一行字進(jìn)行解釋“分享后，其他人可以看到你行車(chē)記錄儀的畫(huà)面，請(qǐng)問(wèn)是否需要開(kāi)啟”，下方有“取消”和“仍然開(kāi)啟”兩個(gè)選項(xiàng)。這意味著，該功能是由車(chē)主主動(dòng)開(kāi)啟，并需經(jīng)其同意。

彈窗頁(yè)面

公開(kāi)資料顯示，高合汽車(chē)是由丁磊于2017年創(chuàng)辦的電動(dòng)汽車(chē)公司，母公司名為華人運(yùn)通技術(shù)有限公司。高合汽車(chē)去年累計(jì)銷(xiāo)售4237輛，高合HiPhi X系列在今年第一季度的銷(xiāo)量為1364輛，成交均價(jià)近70萬(wàn)元，連續(xù)四個(gè)月占據(jù)50萬(wàn)以上豪華純電市場(chǎng)銷(xiāo)量榜冠軍。

南都記者梳理發(fā)現(xiàn)，這并非國(guó)產(chǎn)智能電動(dòng)汽車(chē)首次陷入隱私安全風(fēng)波。去年9月，理想汽車(chē)在更新的智能系統(tǒng)軟件協(xié)議中規(guī)定，在用戶使用車(chē)載應(yīng)用平臺(tái)期間，將收集其車(chē)輛駕駛行為數(shù)據(jù)、車(chē)載導(dǎo)航應(yīng)用數(shù)據(jù)、車(chē)載娛樂(lè)系統(tǒng)資料等使用信息，不同意協(xié)議則無(wú)法繼續(xù)使用汽車(chē)。理想汽車(chē)這一“霸王條款”也備受質(zhì)疑。

未處理畫(huà)面向車(chē)外提供系違法

高合汽車(chē)這一功能設(shè)計(jì)是否合理？有無(wú)違法違規(guī)之處？實(shí)時(shí)共享行車(chē)記錄儀畫(huà)面可能存在哪些安全隱患？

清律律師事務(wù)所首席合伙人熊定中表示，如“車(chē)車(chē)互聯(lián)”功能確實(shí)需車(chē)主兩次確認(rèn)隱私條款彈窗才能主動(dòng)開(kāi)啟，這種提示對(duì)于車(chē)主本人而言是足夠的，但并未考慮到車(chē)主換人等情況。

“汽車(chē)系統(tǒng)設(shè)計(jì)者應(yīng)該考慮到車(chē)主換人的情況，并提供一定的設(shè)計(jì)方案來(lái)應(yīng)對(duì)類似問(wèn)題。如果車(chē)主換人，新車(chē)主就可能在不知情的情況下被公開(kāi)行蹤軌跡等敏感個(gè)人信息，但此時(shí)讀取其行蹤信息的其他車(chē)主和高合都沒(méi)有取得過(guò)新車(chē)主的授權(quán)?！彼f(shuō)。

為此，熊定中舉了一個(gè)例子解釋道，“我購(gòu)買(mǎi)了一輛高合的車(chē)，我同意開(kāi)啟這一功能是我的自愿。如果該功能在開(kāi)啟后會(huì)持續(xù)生效，那么明天當(dāng)我太太開(kāi)這輛車(chē)時(shí)，她對(duì)此是完全不知情的，她并未給過(guò)高合任何同意。這種情況下，高合的做法是違法的，并且情況較為嚴(yán)重?！?

在他看來(lái)，理論上最合規(guī)的做法是“單次開(kāi)車(chē)單次請(qǐng)求”，即開(kāi)啟該功能后只在當(dāng)天當(dāng)次行車(chē)中有效，重新啟動(dòng)汽車(chē)后需要再次開(kāi)啟功能并取得同意。由于汽車(chē)一般默認(rèn)每次授權(quán)都來(lái)自車(chē)主本人，不會(huì)考慮駕駛?cè)烁鼡Q的情況，此時(shí)就需再次告知并重新取得同意。他還補(bǔ)充，這一做法依據(jù)的是個(gè)人信息保護(hù)法，行蹤軌跡屬于敏感個(gè)人信息，處理時(shí)需取得個(gè)人的單獨(dú)同意。

此外，熊定中還指出了高合在此事件中存在的另一個(gè)問(wèn)題——該功能侵犯了車(chē)外人員的個(gè)人信息。

由國(guó)家網(wǎng)信辦等部門(mén)聯(lián)合發(fā)布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》（下稱《規(guī)定》）中明確要求，運(yùn)營(yíng)者收集個(gè)人信息應(yīng)當(dāng)取得被收集人同意，法律法規(guī)規(guī)定不需取得個(gè)人同意的除外。實(shí)踐上難以實(shí)現(xiàn)的（如通過(guò)攝像頭收集車(chē)外音視頻信息），且確需提供的，應(yīng)當(dāng)進(jìn)行匿名化或脫敏處理，包括刪除含有能夠識(shí)別自然人的畫(huà)面，或?qū)@些畫(huà)面中的人臉等進(jìn)行局部輪廓化處理等。

他認(rèn)為，在取得車(chē)主同意的前提下，高合可以采集其行蹤軌跡，但攝像頭所收集的畫(huà)面還包括車(chē)外人員的個(gè)人信息，如人臉、地理位置等。高合車(chē)主可以讀取其他車(chē)輛的行車(chē)記錄儀內(nèi)容，意味著高合會(huì)向車(chē)外提供其采集的音視頻信息，這也是違法的。

熊定中強(qiáng)調(diào)，即使車(chē)主同意分享行車(chē)記錄儀內(nèi)容，高合也應(yīng)將涉及車(chē)外人員的畫(huà)面進(jìn)行刪除或匿名化處理，不能共享所有畫(huà)面。“這個(gè)問(wèn)題方面，他們（高合）沒(méi)有任何合規(guī)的解釋余地?！?

博主@李老鼠說(shuō)車(chē)的視頻發(fā)出后引發(fā)了諸多爭(zhēng)論，不少網(wǎng)友對(duì)高合的回應(yīng)“并不買(mǎi)賬”?！凹词故菫榱塑?chē)隊(duì)出行，什么車(chē)隊(duì)需要看幾百幾千公里外的行車(chē)記錄儀內(nèi)容？”并對(duì)該功能的設(shè)計(jì)初衷表示懷疑。

對(duì)此，熊定中表示，目前部分汽車(chē)廠商的合規(guī)能力不算很強(qiáng)，要做到以完全合規(guī)的形式實(shí)現(xiàn)這一功能，可能面臨較高的技術(shù)成本，如汽車(chē)需辨識(shí)車(chē)主是否換人、重新向車(chē)主確認(rèn)是否開(kāi)啟行車(chē)記錄儀分享功能以及對(duì)采集的畫(huà)面進(jìn)行實(shí)時(shí)匿名化處理等。此外，高合還需限制記錄儀內(nèi)容的分享范圍，如只能與一公里以內(nèi)的車(chē)輛共享。

值得一提的是，“有很多產(chǎn)品設(shè)計(jì)人員在設(shè)計(jì)一個(gè)功能時(shí)，可能沒(méi)有考慮其‘邊界’，沒(méi)有考慮過(guò)合規(guī)問(wèn)題，就可能忽略需要限制車(chē)主行車(chē)記錄儀分享范圍等?！?

《規(guī)定》第十一條要求，運(yùn)營(yíng)者處理重要數(shù)據(jù)，應(yīng)當(dāng)提前向省級(jí)網(wǎng)信部門(mén)和有關(guān)部門(mén)報(bào)告數(shù)據(jù)類型、規(guī)模、范圍、保存地點(diǎn)與時(shí)限、使用方式，以及是否向第三方提供等。

在安全隱患方面，熊定中表示，高合汽車(chē)這一功能可能帶來(lái)嚴(yán)重的安全隱患。如果一輛高合汽車(chē)開(kāi)到軍事管理區(qū)、國(guó)防單位或黨政機(jī)關(guān)，這些場(chǎng)所的地理位置、人員流量、車(chē)輛流量等屬于重要數(shù)據(jù)，需要經(jīng)過(guò)更嚴(yán)格的處理。“如果他們有上報(bào)，我不認(rèn)為網(wǎng)信辦會(huì)批準(zhǔn)這一功能?！彼f(shuō)。