信息來源:安全內(nèi)參
5月6日,一則“高合行車記錄儀疑似泄露隱私”的話題引發(fā)關注。汽車博主@李老鼠說車爆料稱,高合汽車的行車記錄儀可通過車主互聯(lián)功能接收其他高合汽車的信號,并讀取這些汽車行車記錄儀內(nèi)容。次日,高合汽車對此作出回應,稱該功能主要用于車隊出行、車路協(xié)同,開啟時需經(jīng)用戶同意,無隱私安全隱患。
高合陷隱私泄露風波
高合汽車這一功能設計是否合理?是否存在違法違規(guī)?實時共享行車記錄儀畫面可能存在哪些安全隱患?有資深律師告訴南都記者,行車記錄儀收集的畫面包括車外人員的個人信息,高合汽車向其他車輛提供其采集的音視頻信息是違法的,應將涉及車外人員的畫面進行刪除或匿名化處理。
文|樊文揚
互聯(lián)功能可讀取其他車輛記錄儀內(nèi)容
5月6日,微博知名汽車博主@李老鼠說車發(fā)布一條視頻,稱發(fā)現(xiàn)自己的汽車有一個“很可怕的功能”。視頻顯示,在高合汽車的行車記錄儀板塊中,車主可通過其中的車主互聯(lián)功能接收其他高合汽車的信號,并讀取這些汽車的行車記錄儀內(nèi)容。該博主隨機選擇了一位位于河南鄭州,距離自己639.4千米的車主,然后成功讀取了其正停放在路邊的車輛的行車記錄儀內(nèi)容。
可讀取行車記錄儀的車輛
博主讀取河南鄭州某車主的行車記錄儀
次日,高合汽車針對此事發(fā)表公開聲明,稱博主提到的功能“車車互聯(lián)”屬于車隊出行、車路協(xié)同系統(tǒng)的組成部分,出廠時默認關閉,需用戶在車輛上電后,通過兩次確認隱私條款彈窗才能主動開啟。該功能下電后無法啟用,無法遠程開啟,也無任何存儲,不存在泄露用戶隱私的問題。
高合回應
然而,高合汽車對這一功能做出的解釋似乎并未打消車主和網(wǎng)友們的疑慮?!斑@就是泄露個人信息”“相當于遠程攝像頭功能”“完全無法理解這個功能有什么意義”……高合汽車的信息安全隱患受到廣泛關注。截至發(fā)稿前,相關話題的總閱讀量已上升至近五千萬,討論次數(shù)超過一萬。
在討論中,有高合汽車的車主曬出了開啟該功能時出現(xiàn)的彈窗提醒頁面,彈窗在詢問“你確定開啟視頻分享功能嗎?”的同時,有一行字進行解釋“分享后,其他人可以看到你行車記錄儀的畫面,請問是否需要開啟”,下方有“取消”和“仍然開啟”兩個選項。這意味著,該功能是由車主主動開啟,并需經(jīng)其同意。
彈窗頁面
公開資料顯示,高合汽車是由丁磊于2017年創(chuàng)辦的電動汽車公司,母公司名為華人運通技術有限公司。高合汽車去年累計銷售4237輛,高合HiPhi X系列在今年第一季度的銷量為1364輛,成交均價近70萬元,連續(xù)四個月占據(jù)50萬以上豪華純電市場銷量榜冠軍。
南都記者梳理發(fā)現(xiàn),這并非國產(chǎn)智能電動汽車首次陷入隱私安全風波。去年9月,理想汽車在更新的智能系統(tǒng)軟件協(xié)議中規(guī)定,在用戶使用車載應用平臺期間,將收集其車輛駕駛行為數(shù)據(jù)、車載導航應用數(shù)據(jù)、車載娛樂系統(tǒng)資料等使用信息,不同意協(xié)議則無法繼續(xù)使用汽車。理想汽車這一“霸王條款”也備受質(zhì)疑。
未處理畫面向車外提供系違法
高合汽車這一功能設計是否合理?有無違法違規(guī)之處?實時共享行車記錄儀畫面可能存在哪些安全隱患?
清律律師事務所首席合伙人熊定中表示,如“車車互聯(lián)”功能確實需車主兩次確認隱私條款彈窗才能主動開啟,這種提示對于車主本人而言是足夠的,但并未考慮到車主換人等情況。
“汽車系統(tǒng)設計者應該考慮到車主換人的情況,并提供一定的設計方案來應對類似問題。如果車主換人,新車主就可能在不知情的情況下被公開行蹤軌跡等敏感個人信息,但此時讀取其行蹤信息的其他車主和高合都沒有取得過新車主的授權。”他說。
為此,熊定中舉了一個例子解釋道,“我購買了一輛高合的車,我同意開啟這一功能是我的自愿。如果該功能在開啟后會持續(xù)生效,那么明天當我太太開這輛車時,她對此是完全不知情的,她并未給過高合任何同意。這種情況下,高合的做法是違法的,并且情況較為嚴重。”
在他看來,理論上最合規(guī)的做法是“單次開車單次請求”,即開啟該功能后只在當天當次行車中有效,重新啟動汽車后需要再次開啟功能并取得同意。由于汽車一般默認每次授權都來自車主本人,不會考慮駕駛人更換的情況,此時就需再次告知并重新取得同意。他還補充,這一做法依據(jù)的是個人信息保護法,行蹤軌跡屬于敏感個人信息,處理時需取得個人的單獨同意。
此外,熊定中還指出了高合在此事件中存在的另一個問題——該功能侵犯了車外人員的個人信息。
由國家網(wǎng)信辦等部門聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(下稱《規(guī)定》)中明確要求,運營者收集個人信息應當取得被收集人同意,法律法規(guī)規(guī)定不需取得個人同意的除外。實踐上難以實現(xiàn)的(如通過攝像頭收集車外音視頻信息),且確需提供的,應當進行匿名化或脫敏處理,包括刪除含有能夠識別自然人的畫面,或?qū)@些畫面中的人臉等進行局部輪廓化處理等。
他認為,在取得車主同意的前提下,高合可以采集其行蹤軌跡,但攝像頭所收集的畫面還包括車外人員的個人信息,如人臉、地理位置等。高合車主可以讀取其他車輛的行車記錄儀內(nèi)容,意味著高合會向車外提供其采集的音視頻信息,這也是違法的。
熊定中強調(diào),即使車主同意分享行車記錄儀內(nèi)容,高合也應將涉及車外人員的畫面進行刪除或匿名化處理,不能共享所有畫面?!斑@個問題方面,他們(高合)沒有任何合規(guī)的解釋余地?!?
博主@李老鼠說車的視頻發(fā)出后引發(fā)了諸多爭論,不少網(wǎng)友對高合的回應“并不買賬”。“即使是為了車隊出行,什么車隊需要看幾百幾千公里外的行車記錄儀內(nèi)容?”并對該功能的設計初衷表示懷疑。
對此,熊定中表示,目前部分汽車廠商的合規(guī)能力不算很強,要做到以完全合規(guī)的形式實現(xiàn)這一功能,可能面臨較高的技術成本,如汽車需辨識車主是否換人、重新向車主確認是否開啟行車記錄儀分享功能以及對采集的畫面進行實時匿名化處理等。此外,高合還需限制記錄儀內(nèi)容的分享范圍,如只能與一公里以內(nèi)的車輛共享。
值得一提的是,“有很多產(chǎn)品設計人員在設計一個功能時,可能沒有考慮其‘邊界’,沒有考慮過合規(guī)問題,就可能忽略需要限制車主行車記錄儀分享范圍等?!?
《規(guī)定》第十一條要求,運營者處理重要數(shù)據(jù),應當提前向省級網(wǎng)信部門和有關部門報告數(shù)據(jù)類型、規(guī)模、范圍、保存地點與時限、使用方式,以及是否向第三方提供等。
在安全隱患方面,熊定中表示,高合汽車這一功能可能帶來嚴重的安全隱患。如果一輛高合汽車開到軍事管理區(qū)、國防單位或黨政機關,這些場所的地理位置、人員流量、車輛流量等屬于重要數(shù)據(jù),需要經(jīng)過更嚴格的處理?!叭绻麄冇猩蠄?,我不認為網(wǎng)信辦會批準這一功能?!彼f。