近日，智能汽車時代的數據安全問題，被再次敲響警鐘，這也讓汽車業對于數據安全合規工作的重視程度進一步加深。

“從智能汽車制造商、供應商、經銷商到出行服務商，其中所涉及的數據安全及個人隱私信息保護問題應引起高度重視。”中國汽車流通協會副秘書長郎學紅在接受《中國汽車報》記者采訪時表示，無論哪個環節都應該有依法保護的自覺意識，并遵循非必要不采集的原則，依法謹慎采集，規范合理使用。

數據保護熱度升溫

隨著汽車智能化、數字化的發展，與汽車相關的數據安全及個人隱私信息保護事件時有發生。

很多人還記得，2021年的央視“3·15”晚會中，曝光了某汽車經銷商4S店私自安裝違規的人臉識別系統，未經同意使用自行采集的人臉信息，來分析客戶的年齡、性別、心情狀態等信息，并識別出同行、職業打假人、記者等列入4S店黑名單。而根據我國相關法律法規，采集人臉信息需要征得該自然人或者監護人的同意。

其實在汽車銷售服務環節，普遍存在利用大數據收集客戶信息的情況。如所謂的“精準營銷”，就是車企或經銷商借助大數據，對潛在客戶的網絡搜索、瀏覽偏好等做客戶群體畫像分析，幫助廠商完成廣告推送、獲取“售車線索”。在當前直連消費者大潮下，無論汽車廠家還是經銷商，都在試圖通過數字化工具，與消費者建立更多觸點的連接，通過客戶大數據更好地支持銷售。還有些汽車經銷商集團的App已經非常成熟，其中涵蓋了客戶從買車到用車的全生命周期業務服務，甚至還會將其他生態整合進來，收集大量客戶信息。

“當下，從汽車設計、研發、生產、銷售、使用、運維等整個產業鏈，都不可避免會收集大量的個人信息和重要數據。”中國汽車流通協會專家委員會法律專家武峰律師表示，數據和個人信息保護的依據包括民法典、《個人信息保護法》、《網絡安全法》和《數據安全法》及相關法規。根據規定，公民個人指紋、聲紋、人臉、心率等識別特征都屬于敏感的個人信息。曾經有行業經銷商員工把客戶個人信息出售給其他商家，觸犯刑法253條中侵犯公民個人信息罪，被追究刑事責任。

值得注意的是，今年咨詢機構羅蘭貝格發布的《軟件定義汽車下的個人隱私保護：場景驅動模式落地》報告中，結合一些現實案例進行了分析。

“汽車相關數據及個人隱私屢屢被泄露，其中原因是多方面的。”羅蘭貝格合伙人兼大中華區副總裁時帥在接受《中國汽車報》記者采訪時表示，首先，隨著汽車智能化水平的提升，自動駕駛、智能座艙都有監控車內駕乘人員的攝像頭，也包括語音識別、手勢識別、指紋識別以及實時聯網等功能，一輛車每天產生的數據要以TB計，其中既有影像，也有聲紋，這些海量的數據都有泄露的風險;其次，相關政策法規的限制也越來越明確，原來可能不會觸犯法律紅線的行為現在可能會觸線;三是消費者越來越敏感，以前也許不在意，但如今其對數據安全及個人隱私信息的依法保護意識越來越強。

破解難題亟待立法

無論是汽車制造商、經銷商，還是消費者，如今對于汽車相關的數據安全及個人隱私信息保護意識日益增強。與此同時，汽車行業數據立法也在加嚴，不斷推動完善汽車行業數據保護立法。

在現實中，很多汽車經銷商都在從數字化營銷中受益。中國汽車流通協會會員部主任文思婧介紹，廣匯集團通過數字化手段，對所有客戶進行分群分層，解決了集團要標簽、品牌要標簽、門店也要標簽等自定義標簽較難的問題。由此，其營銷可以做到智能化、精細化，結合客戶人群畫像，制定了千人千面的營銷策略。從而不再依賴個人經驗，減少了對一線管理人員的管控和內耗，還能調動一線門店人員的服務意識和服務能力，共同為客戶創造價值。

在經銷商的數字化過程中，的確有需要注意的問題。武峰指出，一是敏感個人信息的存儲時間應當最小化，存儲要有合規性;二是對于存儲個人信息要有適當的控制措施，如果經銷商店里的每一名員工都能隨意調取、共享或轉讓，就是不合理的;三是依據法規，展示個人信息應當脫敏化、去標識化，不能打上具有識別性的標簽，如這是什么品牌的車主XXX等;四是不應違規使用個人信息。例如，去年媒體報道過的案例中就包括，多個品牌車主反映其二手車交易之后，原車主仍然能夠通過訪問App獲取車輛的相關信息，相當于新車主的信息被泄露。武峰建議，在二手車交易時，銷售方要對原車主的敏感個人信息進行脫敏化、去標識化，同時屏蔽原車主的再次訪問。

對于推動完善汽車數據安全法規方面，時帥表示，一是要繼續推動相關法律法規的健全與完善，其中不僅要有原則性規定，也要對如何保護、達到什么標準進行定義;二是要從技術方面發展數據安全硬件技術的作用，來破解數據安全及個人隱私信息保護的硬件難題;三是建議保護法規進一步趨嚴;四是應對車企與零部件供應商之間的合作設計數據安全部分進行明確的約束，不管是合同規定還是權責界限的規定，誰負責要寫清楚;五是要及時把一些行之有效的標準上升為法律法規。

規避風險有何“秘訣”

眼下，隨著車企和經銷商的數字化轉型日益深入，如何持續推進合規以規避風險?

“在車端，建議車企把遠程攝像頭功能關閉，否則車輛都可收集到車牌信息、人臉信息、地理信息等，如果違規收集，將來就有可能被執法機關所處罰。”武峰建議，根據現行法規，汽車數據要遵循的規范是，一是車內處理，除非確有必要，不能向車外提供。二是默認不收集，如果要收集個人信息一定要征得信息主體的明確同意，才能收集人臉、指紋、心率等信息。三是精度范圍適用，不管是攝像頭、車載雷達等，并不是精度越高、分辨率越高越好，而是按照法規的要求，夠用即可，只要能夠保證行車安全，就不必過度追求它的精度和分辨率，因為這涉及到數據安全及個人隱私信息保護。四是要進行脫敏處理，如經銷商在接觸到個人信息時，對車主、潛客的姓名、身份證號碼、家庭住址，要進行脫敏，也就是匿名化或者去標識化，像身份證號碼不能全部公開，這也是維護公共安全、保護個人信息的需要。

武峰介紹，隨著行業對數據安全重視程度的提升，企業也開始自行糾正一些不規范行為，如某車載導航電子地圖供應商曾經針對豪華品牌車主做過大數據分析，利用從車主經常光顧的場所到出行時段等數據進行用戶畫像，在遭到大批車主的反對后，立即進行了整改。

無論是車企還是經銷商，在售后服務環節都應對數據安全及個人隱私信息保護做到守法合規。時帥談到，一方面，如果經銷商在對車輛進行維修保養時，工程師把車載數據系統打開后看到了個人隱私信息，對此，就需要車企對經銷商給予指導，在車主個人隱私保護方面哪些能做、哪些不能做。另一方面，如果車主自行去專門的第三方保養店，工程師在檢測車輛時同樣也能看到車主的個人信息，但誰來約束第三方保養店，尚沒有明確的規定。因此，這是專門的汽車售后服務商、出行服務商可能都會面臨的問題。“對此，我們希望通過法律法規的完善，涵蓋從主機廠到經銷商，以及各大出行公司、出行服務平臺，使消費者相關的數據安全及個人隱私信息都能得到依法保護。”時帥表示。

關鍵詞： 智能汽車 數據安全 人臉識別系統 豪華品牌車