信息來(lái)源：安全內(nèi)參

5月6日，一則“高合行車記錄儀疑似泄露隱私”的話題引發(fā)關(guān)注。汽車博主@李老鼠說(shuō)車爆料稱，高合汽車的行車記錄儀可通過(guò)車主互聯(lián)功能接收其他高合汽車的信號(hào)，并讀取這些汽車行車記錄儀內(nèi)容。次日，高合汽車對(duì)此作出回應(yīng)，稱該功能主要用于車隊(duì)出行、車路協(xié)同，開(kāi)啟時(shí)需經(jīng)用戶同意，無(wú)隱私安全隱患。

高合陷隱私泄露風(fēng)波

高合汽車這一功能設(shè)計(jì)是否合理？是否存在違法違規(guī)？實(shí)時(shí)共享行車記錄儀畫(huà)面可能存在哪些安全隱患？有資深律師告訴南都記者，行車記錄儀收集的畫(huà)面包括車外人員的個(gè)人信息，高合汽車向其他車輛提供其采集的音視頻信息是違法的，應(yīng)將涉及車外人員的畫(huà)面進(jìn)行刪除或匿名化處理。

文|樊文揚(yáng)

互聯(lián)功能可讀取其他車輛記錄儀內(nèi)容

5月6日，微博知名汽車博主@李老鼠說(shuō)車發(fā)布一條視頻，稱發(fā)現(xiàn)自己的汽車有一個(gè)“很可怕的功能”。視頻顯示，在高合汽車的行車記錄儀板塊中，車主可通過(guò)其中的車主互聯(lián)功能接收其他高合汽車的信號(hào)，并讀取這些汽車的行車記錄儀內(nèi)容。該博主隨機(jī)選擇了一位位于河南鄭州，距離自己639.4千米的車主，然后成功讀取了其正停放在路邊的車輛的行車記錄儀內(nèi)容。

可讀取行車記錄儀的車輛

博主讀取河南鄭州某車主的行車記錄儀

次日，高合汽車針對(duì)此事發(fā)表公開(kāi)聲明，稱博主提到的功能“車車互聯(lián)”屬于車隊(duì)出行、車路協(xié)同系統(tǒng)的組成部分，出廠時(shí)默認(rèn)關(guān)閉，需用戶在車輛上電后，通過(guò)兩次確認(rèn)隱私條款彈窗才能主動(dòng)開(kāi)啟。該功能下電后無(wú)法啟用，無(wú)法遠(yuǎn)程開(kāi)啟，也無(wú)任何存儲(chǔ)，不存在泄露用戶隱私的問(wèn)題。

高合回應(yīng)

然而，高合汽車對(duì)這一功能做出的解釋似乎并未打消車主和網(wǎng)友們的疑慮?！斑@就是泄露個(gè)人信息”“相當(dāng)于遠(yuǎn)程攝像頭功能”“完全無(wú)法理解這個(gè)功能有什么意義”……高合汽車的信息安全隱患受到廣泛關(guān)注。截至發(fā)稿前，相關(guān)話題的總閱讀量已上升至近五千萬(wàn)，討論次數(shù)超過(guò)一萬(wàn)。

在討論中，有高合汽車的車主曬出了開(kāi)啟該功能時(shí)出現(xiàn)的彈窗提醒頁(yè)面，彈窗在詢問(wèn)“你確定開(kāi)啟視頻分享功能嗎？”的同時(shí)，有一行字進(jìn)行解釋“分享后，其他人可以看到你行車記錄儀的畫(huà)面，請(qǐng)問(wèn)是否需要開(kāi)啟”，下方有“取消”和“仍然開(kāi)啟”兩個(gè)選項(xiàng)。這意味著，該功能是由車主主動(dòng)開(kāi)啟，并需經(jīng)其同意。

彈窗頁(yè)面

公開(kāi)資料顯示，高合汽車是由丁磊于2017年創(chuàng)辦的電動(dòng)汽車公司，母公司名為華人運(yùn)通技術(shù)有限公司。高合汽車去年累計(jì)銷售4237輛，高合HiPhi X系列在今年第一季度的銷量為1364輛，成交均價(jià)近70萬(wàn)元，連續(xù)四個(gè)月占據(jù)50萬(wàn)以上豪華純電市場(chǎng)銷量榜冠軍。

南都記者梳理發(fā)現(xiàn)，這并非國(guó)產(chǎn)智能電動(dòng)汽車首次陷入隱私安全風(fēng)波。去年9月，理想汽車在更新的智能系統(tǒng)軟件協(xié)議中規(guī)定，在用戶使用車載應(yīng)用平臺(tái)期間，將收集其車輛駕駛行為數(shù)據(jù)、車載導(dǎo)航應(yīng)用數(shù)據(jù)、車載娛樂(lè)系統(tǒng)資料等使用信息，不同意協(xié)議則無(wú)法繼續(xù)使用汽車。理想汽車這一“霸王條款”也備受質(zhì)疑。

未處理畫(huà)面向車外提供系違法

高合汽車這一功能設(shè)計(jì)是否合理？有無(wú)違法違規(guī)之處？實(shí)時(shí)共享行車記錄儀畫(huà)面可能存在哪些安全隱患？

清律律師事務(wù)所首席合伙人熊定中表示，如“車車互聯(lián)”功能確實(shí)需車主兩次確認(rèn)隱私條款彈窗才能主動(dòng)開(kāi)啟，這種提示對(duì)于車主本人而言是足夠的，但并未考慮到車主換人等情況。

“汽車系統(tǒng)設(shè)計(jì)者應(yīng)該考慮到車主換人的情況，并提供一定的設(shè)計(jì)方案來(lái)應(yīng)對(duì)類似問(wèn)題。如果車主換人，新車主就可能在不知情的情況下被公開(kāi)行蹤軌跡等敏感個(gè)人信息，但此時(shí)讀取其行蹤信息的其他車主和高合都沒(méi)有取得過(guò)新車主的授權(quán)。”他說(shuō)。

為此，熊定中舉了一個(gè)例子解釋道，“我購(gòu)買(mǎi)了一輛高合的車，我同意開(kāi)啟這一功能是我的自愿。如果該功能在開(kāi)啟后會(huì)持續(xù)生效，那么明天當(dāng)我太太開(kāi)這輛車時(shí)，她對(duì)此是完全不知情的，她并未給過(guò)高合任何同意。這種情況下，高合的做法是違法的，并且情況較為嚴(yán)重?！?

在他看來(lái)，理論上最合規(guī)的做法是“單次開(kāi)車單次請(qǐng)求”，即開(kāi)啟該功能后只在當(dāng)天當(dāng)次行車中有效，重新啟動(dòng)汽車后需要再次開(kāi)啟功能并取得同意。由于汽車一般默認(rèn)每次授權(quán)都來(lái)自車主本人，不會(huì)考慮駕駛?cè)烁鼡Q的情況，此時(shí)就需再次告知并重新取得同意。他還補(bǔ)充，這一做法依據(jù)的是個(gè)人信息保護(hù)法，行蹤軌跡屬于敏感個(gè)人信息，處理時(shí)需取得個(gè)人的單獨(dú)同意。

此外，熊定中還指出了高合在此事件中存在的另一個(gè)問(wèn)題——該功能侵犯了車外人員的個(gè)人信息。

由國(guó)家網(wǎng)信辦等部門(mén)聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（下稱《規(guī)定》）中明確要求，運(yùn)營(yíng)者收集個(gè)人信息應(yīng)當(dāng)取得被收集人同意，法律法規(guī)規(guī)定不需取得個(gè)人同意的除外。實(shí)踐上難以實(shí)現(xiàn)的（如通過(guò)攝像頭收集車外音視頻信息），且確需提供的，應(yīng)當(dāng)進(jìn)行匿名化或脫敏處理，包括刪除含有能夠識(shí)別自然人的畫(huà)面，或?qū)@些畫(huà)面中的人臉等進(jìn)行局部輪廓化處理等。

他認(rèn)為，在取得車主同意的前提下，高合可以采集其行蹤軌跡，但攝像頭所收集的畫(huà)面還包括車外人員的個(gè)人信息，如人臉、地理位置等。高合車主可以讀取其他車輛的行車記錄儀內(nèi)容，意味著高合會(huì)向車外提供其采集的音視頻信息，這也是違法的。

熊定中強(qiáng)調(diào)，即使車主同意分享行車記錄儀內(nèi)容，高合也應(yīng)將涉及車外人員的畫(huà)面進(jìn)行刪除或匿名化處理，不能共享所有畫(huà)面?！斑@個(gè)問(wèn)題方面，他們（高合）沒(méi)有任何合規(guī)的解釋余地?！?

博主@李老鼠說(shuō)車的視頻發(fā)出后引發(fā)了諸多爭(zhēng)論，不少網(wǎng)友對(duì)高合的回應(yīng)“并不買(mǎi)賬”?！凹词故菫榱塑囮?duì)出行，什么車隊(duì)需要看幾百幾千公里外的行車記錄儀內(nèi)容？”并對(duì)該功能的設(shè)計(jì)初衷表示懷疑。

對(duì)此，熊定中表示，目前部分汽車廠商的合規(guī)能力不算很強(qiáng)，要做到以完全合規(guī)的形式實(shí)現(xiàn)這一功能，可能面臨較高的技術(shù)成本，如汽車需辨識(shí)車主是否換人、重新向車主確認(rèn)是否開(kāi)啟行車記錄儀分享功能以及對(duì)采集的畫(huà)面進(jìn)行實(shí)時(shí)匿名化處理等。此外，高合還需限制記錄儀內(nèi)容的分享范圍，如只能與一公里以內(nèi)的車輛共享。

值得一提的是，“有很多產(chǎn)品設(shè)計(jì)人員在設(shè)計(jì)一個(gè)功能時(shí)，可能沒(méi)有考慮其‘邊界’，沒(méi)有考慮過(guò)合規(guī)問(wèn)題，就可能忽略需要限制車主行車記錄儀分享范圍等?！?

《規(guī)定》第十一條要求，運(yùn)營(yíng)者處理重要數(shù)據(jù)，應(yīng)當(dāng)提前向省級(jí)網(wǎng)信部門(mén)和有關(guān)部門(mén)報(bào)告數(shù)據(jù)類型、規(guī)模、范圍、保存地點(diǎn)與時(shí)限、使用方式，以及是否向第三方提供等。

在安全隱患方面，熊定中表示，高合汽車這一功能可能帶來(lái)嚴(yán)重的安全隱患。如果一輛高合汽車開(kāi)到軍事管理區(qū)、國(guó)防單位或黨政機(jī)關(guān)，這些場(chǎng)所的地理位置、人員流量、車輛流量等屬于重要數(shù)據(jù)，需要經(jīng)過(guò)更嚴(yán)格的處理?！叭绻麄冇猩蠄?bào)，我不認(rèn)為網(wǎng)信辦會(huì)批準(zhǔn)這一功能。”他說(shuō)。