5月6日,一则“高合行车记录仪疑似泄露隐私”的话题引发关注。汽车博主@李老鼠说车爆料称,高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号,并读取这些汽车行车记录仪内容。次日,高合汽车对此作出回应,称该功能主要用于车队出行、车路协同,开启时需经用户同意,无隐私安全隐患。
高合陷隐私泄露风波
高合汽车这一功能设计是否合理?是否存在违法违规?实时共享行车记录仪画面可能存在哪些安全隐患?有资深律师告诉南都记者,行车记录仪收集的画面包括车外人员的个人信息,高合汽车向其他车辆提供其采集的音视频信息是违法的,应将涉及车外人员的画面进行删除或匿名化处理。
文|樊文扬
互联功能可读取其他车辆记录仪内容
5月6日,微博知名汽车博主@李老鼠说车发布一条视频,称发现自己的汽车有一个“很可怕的功能”。视频显示,在高合汽车的行车记录仪板块中,车主可通过其中的车主互联功能接收其他高合汽车的信号,并读取这些汽车的行车记录仪内容。该博主随机选择了一位位于河南郑州,距离自己639.4千米的车主,然后成功读取了其正停放在路边的车辆的行车记录仪内容。
可读取行车记录仪的车辆
博主读取河南郑州某车主的行车记录仪
次日,高合汽车针对此事发表公开声明,称博主提到的功能“车车互联”属于车队出行、车路协同系统的组成部分,出厂时默认关闭,需用户在车辆上电后,通过两次确认隐私条款弹窗才能主动开启。该功能下电后无法启用,无法远程开启,也无任何存储,不存在泄露用户隐私的问题。
高合回应
然而,高合汽车对这一功能做出的解释似乎并未打消车主和网友们的疑虑。“这就是泄露个人信息”“相当于远程摄像头功能”“完全无法理解这个功能有什么意义”……高合汽车的信息安全隐患受到广泛关注。截至发稿前,相关话题的总阅读量已上升至近五千万,讨论次数超过一万。
在讨论中,有高合汽车的车主晒出了开启该功能时出现的弹窗提醒页面,弹窗在询问“你确定开启视频分享功能吗?”的同时,有一行字进行解释“分享后,其他人可以看到你行车记录仪的画面,请问是否需要开启”,下方有“取消”和“仍然开启”两个选项。这意味着,该功能是由车主主动开启,并需经其同意。
弹窗页面
公开资料显示,高合汽车是由丁磊于2017年创办的电动汽车公司,母公司名为华人运通技术有限公司。高合汽车去年累计销售4237辆,高合HiPhi X系列在今年第一季度的销量为1364辆,成交均价近70万元,连续四个月占据50万以上豪华纯电市场销量榜冠军。
南都记者梳理发现,这并非国产智能电动汽车首次陷入隐私安全风波。去年9月,理想汽车在更新的智能系统软件协议中规定,在用户使用车载应用平台期间,将收集其车辆驾驶行为数据、车载导航应用数据、车载娱乐系统资料等使用信息,不同意协议则无法继续使用汽车。理想汽车这一“霸王条款”也备受质疑。
未处理画面向车外提供系违法
高合汽车这一功能设计是否合理?有无违法违规之处?实时共享行车记录仪画面可能存在哪些安全隐患?
清律律师事务所首席合伙人熊定中表示,如“车车互联”功能确实需车主两次确认隐私条款弹窗才能主动开启,这种提示对于车主本人而言是足够的,但并未考虑到车主换人等情况。
“汽车系统设计者应该考虑到车主换人的情况,并提供一定的设计方案来应对类似问题。如果车主换人,新车主就可能在不知情的情况下被公开行踪轨迹等敏感个人信息,但此时读取其行踪信息的其他车主和高合都没有取得过新车主的授权。”他说。
为此,熊定中举了一个例子解释道,“我购买了一辆高合的车,我同意开启这一功能是我的自愿。如果该功能在开启后会持续生效,那么明天当我太太开这辆车时,她对此是完全不知情的,她并未给过高合任何同意。这种情况下,高合的做法是违法的,并且情况较为严重。”
在他看来,理论上最合规的做法是“单次开车单次请求”,即开启该功能后只在当天当次行车中有效,重新启动汽车后需要再次开启功能并取得同意。由于汽车一般默认每次授权都来自车主本人,不会考虑驾驶人更换的情况,此时就需再次告知并重新取得同意。他还补充,这一做法依据的是个人信息保护法,行踪轨迹属于敏感个人信息,处理时需取得个人的单独同意。
此外,熊定中还指出了高合在此事件中存在的另一个问题——该功能侵犯了车外人员的个人信息。
由国家网信办等部门联合发布的《汽车数据安全管理若干规定(试行)》(下称《规定》)中明确要求,运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
他认为,在取得车主同意的前提下,高合可以采集其行踪轨迹,但摄像头所收集的画面还包括车外人员的个人信息,如人脸、地理位置等。高合车主可以读取其他车辆的行车记录仪内容,意味着高合会向车外提供其采集的音视频信息,这也是违法的。
熊定中强调,即使车主同意分享行车记录仪内容,高合也应将涉及车外人员的画面进行删除或匿名化处理,不能共享所有画面。“这个问题方面,他们(高合)没有任何合规的解释余地。”
博主@李老鼠说车的视频发出后引发了诸多争论,不少网友对高合的回应“并不买账”。“即使是为了车队出行,什么车队需要看几百几千公里外的行车记录仪内容?”并对该功能的设计初衷表示怀疑。
对此,熊定中表示,目前部分汽车厂商的合规能力不算很强,要做到以完全合规的形式实现这一功能,可能面临较高的技术成本,如汽车需辨识车主是否换人、重新向车主确认是否开启行车记录仪分享功能以及对采集的画面进行实时匿名化处理等。此外,高合还需限制记录仪内容的分享范围,如只能与一公里以内的车辆共享。
值得一提的是,“有很多产品设计人员在设计一个功能时,可能没有考虑其‘边界’,没有考虑过合规问题,就可能忽略需要限制车主行车记录仪分享范围等。”
《规定》第十一条要求,运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
在安全隐患方面,熊定中表示,高合汽车这一功能可能带来严重的安全隐患。如果一辆高合汽车开到军事管理区、国防单位或党政机关,这些场所的地理位置、人员流量、车辆流量等属于重要数据,需要经过更严格的处理。“如果他们有上报,我不认为网信办会批准这一功能。”他说。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。