他山之石：特斯拉APP隐私政策如何体现数据合规成果？

一、背景

早在2016年，欧盟委员会便发布了欧盟网联汽车战略。2017年美国的《自动驾驶法案》更是在世界范围内引起了大众对智能汽车领域的关注。2017年12月27日，工业和信息化部和国家标准化管理委员会联合发布了《国家车联网产业标准体系建设指南》，揭开了我国本土对于智能汽车领域数据合规的监管序幕。

在智能汽车领域政策法规层面，《网络安全法》《数据安全法》《个人信息保护法》均对其数据安全和个人信息保护等方面提出合规要求；规章制度和行业标准方面也逐步出台了诸多具有深远影响的规定，例如《汽车数据安全管理若干规定（试行）》《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》《车联网信息服务用户个人信息保护要求》《汽车采集数据处理安全指南》。

实践中，大量热点案例亦不断涌现，2021年9月1日上午，交通运输部会同中央网信办、工业和信息化部、公安部、国家市场监管总局等交通运输新业态协同监管部际联席会议成员单位，对T3出行、美团出行、曹操出行、高德、滴滴出行、首汽约车、嘀嗒出行、享道出行、如祺出行、阳光出行、万顺叫车等11家网约车平台公司进行联合约谈，要求各平台保障用户信息和数据安全。随后，几部重要规定密集出台，同月的26日，面对持有大量敏感个人信息的安全性质疑，特斯拉首席执行官伊隆·马斯克在互联网大会的主题演讲发言时指出，特斯拉已在中国建立数据中心，所有中国用户个人信息都安全储存在中国。2022年3月30日，东风日产发布推送称，应国家数据安全法规的要求，以及对车主隐私的保护，现计划于 3 月 31 日关闭日产智联 App 远程拍照功能、车机端 DVR 中照片分享和上传功能。同样于近期停用了远程拍照功能还有比亚迪。据报道，比亚迪可远程查看车外摄像头影像的“千里眼”功能也已无法使用。比亚迪官方表示，根据国家最新法规要求，车外影像功能正在升级……

探索以上热烈局面的根本，无非是因为数据是车联网的核心要素，车辆与车联网服务平台之间的 “车-云通信”,车辆之间的 “车-车通信”,车辆与路基设施之间的 “车-路通信”,车辆与移动智能终端之间的 “车-人通信”,以及汽车内部设施与应用之间的车内通信都离不开数据的传输与使用[1]。而由于数据量大、种类繁多、涉及的数据类型广泛且包含敏感数据或重要数据，对数据的使用及其安全状态的管控成为了智能车领域的合规和监管重点。

本文之重点在于讨论“车-人通信”之中如何在移动智能终端落实、体现和完善智能车厂商的数据合规义务，毕竟移动智能终端的《隐私政策》包含的实质内容必然不仅仅局限于移动智能终端，其言及的数据类型、处理方式等将使我们得以窥见该智能车整体的数据处理状况和策略。作为行业引领者的特斯拉，始终处于监管和合规的风口浪尖，其移动智能终端App《隐私政策》的内容，包括其如何处理数据，所处理数据的类别，处理数据的方式，安全性保障，及其具体的披露口径、逻辑和措辞，无一不会成为监管关注重点，值得进一步具体讨论。本篇文章将以“特斯拉APP”为研究对象（版本4.7.1，更新时间2022年3月24日），通过其隐私政策、APP功能设计和其他公开资料，探察汽车APP的数据安全保护思路，为汽车行业数据合规实践提供参考。

二、隐私政策与说明

特斯拉通用的隐私与法律文件适用于特斯拉提供的包括网站、移动客户端、应用程序、微信公众平台、小程序等在内的各种形态的相关服务。因此特斯拉APP没有独立的隐私政策和使用条款说明。在初次打开APP时，特斯拉会通过弹窗提供隐私政策说明与链接，只有用户点击同意才会继续接受提供服务。

此外，根据App Store中的“APP隐私”信息显示，“Tesla”APP在用户隐私数据方面使用方面非常克制，不仅不存在“用户追踪数据”（多用于分享给第三方广告商或数据代理商进行精准营销），也不存在“与用户关联数据”（与用户身份信息直接对应）。

用于实现APP功能和诊断的数据皆在收集时做了脱敏处理而成为“未关联用户数据”，避免因收集处理个人信息而产生的合规要求。

三、收集的数据类型

依据特斯拉通用的客户隐私说明[2]，作为Tesla 产品的所有者或APP服务的用户，特斯拉可能会收集来自或有关用户、用户的 Tesla 车辆的信息或来自第三方的信息，其披露的内容囊括了《汽车采集数据处理安全指南》（2021年10月8日发布）的数据类型分类，即将汽车采集数据分为车外数据、座舱数据、运行数据和位置轨迹数据等基本数据类别，并对其具体字段和合法处理理由进行了说明，符合《个人信息保护法》要求的对“个人信息的处理目的、处理方式，处理的个人信息种类、保存期限”进行告知的基本披露要求。

01 来自用户或有关用户的信息

02 来自或关于用户 Tesla 车辆的信息

特斯拉APP在客户隐私声明中，详尽的说明了汽车生成数据的收集与处理场景，及其对应数据类型和保护措施。特斯拉将车辆产生的数据分为四类，包括车辆数据、诊断数据、信息娱乐系统数据以及自动辅助驾驶数据（AutoPilot）。具体而言：

a) 车辆数据^[4]

车辆数据指与车辆的使用、操作和状况有关的数据，特斯拉表示，一般情况下，车辆数据不与客户的账户或者车架号关联，或以特斯拉无法解密的加密格式存储，或处于不可访问状态。客户请求远程维修、碰撞等安全事故的情况例外^[5]。

b) 诊断数据

车端数据是指车辆配置、固件、能量使用以及电子系统等状态的详细信息等，特斯拉表示，对于诊断数据的收集，将采取“最少必要”收集原则，目的是为了用户车辆安全可靠地行驶。

c) 信息娱乐系统数据

信息娱乐系统数据指有关信息娱乐系统使用情况分析数据，信息娱乐系统数据将存储在车辆本地，或者以匿名的方式分享给特斯拉，车载浏览器历史记录和登录凭据不和特斯拉分享。

d) 自动辅助驾驶数据（AutoPilot）

自动辅助驾驶数据是特斯拉在大部分安全事件和交通事故中所涉及关键数据。针对这些数据，特斯拉称，这些数据是使用摄像头提供自动辅助驾驶、智能召唤和自动泊车等高级功能所需的数据，摄像头功能在设计时就已经嵌入了隐私保护的功能，车辆不会捕捉连续的视频录像，也不具有实时取景功能。默认情况下，依赖于外部摄像头的相关功能，可以在不离开车的情况下直接处理数据。特斯拉认为用户必须查阅并遵守当地法律法规以及场所对使用摄像头的相关规定并独自承担全部责任。

四、特斯拉APP涉及权限与第三方SDK/API清单

五、数据本地化与跨境

特斯拉依照法律法规的规定，将在境内运营过程中收集的用户的个人数据存储于中华人民共和国境内，目前，特斯拉已经在中国建立了特斯拉上海超级工厂数据中心^[6]，并完成了数据中心相关审批备案要求。该数据中心用来存储中国用户的所有数据，包括生产、销售、服务、充电数据等，以及所有个人信息都安全储存在中国国内，不会转移到海外。只有在需要从海外订购备件等极为罕见的情况下，个人数据才会在获得相关批准后进行转移。

六、车外摄像头合规

（一）涉及数据类型

车外摄像头主要涉及数据类型——车外数据。根据《汽车采集数据的安全要求（征求意见稿）》的定义，“车外数据指通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者（参与交通活动的人，包括机动车、非机动车、其他交通工具的驾驶员与乘员，以及其他参与交通活动相关的人员）等数据，以及对其进行加工后产生的数据”。

车外数据涉及包括重要敏感区域地理信息、流量信息、人脸信息在内的大量敏感个人信息和重要数据，这些信息一旦被非法获取、利用会对个人隐私、社会生活甚至国家安全造成重大威胁。

（二）合规风险

2021年10月，《汽车数据安全管理若干规定（试行）》式施行，其中倡导汽车数据处理者在开展汽车数据处理活动中应坚持车内处理、脱敏处理等原则。同时，《规定》也明确，包含人脸信息、车牌信息等的车外视频、图像数据属于重要数据。

但因保证行车安全需要，《规定》要求无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。如果不对‘车端对数据中的人脸、车牌信息进行匿名化处理’，汽车厂商可能会构成在未经路人或其他车辆车主同意的情况下，收集、存储他人个人信息的法律风险，直接违反《民法典》《个人信息保护法》《汽车数据安全管理若干规定（试行）》等法律法规。

此外，车外数据还包括重要敏感区域的地理信息、人员流量、车辆流量等重要数据，因而需要满足严格的重要数据处理合规要求，并不得向境外提供。目前已有多家汽车厂商关停与车外摄像头有关的功能服务^[7]。

车外摄像头主要涉及数据类型——车外数据。根据《汽车采集数据的安全要求（征求意见稿）》的定义，“车外数据指通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者（参与交通活动的人，包括机动车、非机动车、其他交通工具的驾驶员与乘员，以及其他参与交通活动相关的人员）等数据，以及对其进行加工后产生的数据”。

车外数据涉及包括重要敏感区域地理信息、流量信息、人脸信息在内的大量敏感个人信息和重要数据，这些信息一旦被非法获取、利用会对个人隐私、社会生活甚至国家安全造成重大威胁。

（三）特斯拉实践

车外摄像头曾导致特斯拉陷入舆论风波，也导致特斯拉针对车外摄像头数据处理方式进行了中国化改造（详见后述）。特斯拉APP在隐私政策提示，用户必须查阅并遵守当地法律法规以及场所对使用摄像头的相关规定并独自承担全部责任。相较于法律效力存疑的单方声明，特斯拉在实操中进一步防范了合规风险，其在中国区提供的哨兵功能^[8]中不会捕捉连续的视频录像，也不具有实时取景功能，用户无法访问车外摄像头拍摄的视频影像（为离线服务，数据仅存储在随车的U盘中,不支持手机远程和喊话。并且只有驻车锁车之后特定情况才会进行录像）。

七、第三方责任

特斯拉APP声明其不负责任何第三方（包括运营特斯拉在本声明中可能链接到的任何网站或服务的任何第三方）的隐私、信息或其他做法。包含此类链连并不意味着特斯拉或特斯拉的关联方认可所链接的网站或服务，也不意味着与第三方存在隶属关系。此外，特斯拉不对其他组织机构的收集、使用或披露政策和做法（包括数据安全做法）负责。这些组织机构包括任何其他应用程序开发商、应用程序提供商、社交媒体平台提供商、操作系统提供商或无线服务提供商，包括用户直接或间接通过特斯拉的软件应用程序或社交媒体网页向其他组织机构披露的任何信息。另外，特斯拉的产品和服务不适用于十六周岁以下的人群，特斯拉要求此类个体不要向特斯拉提供任何信息。

八、信息主体权利保护

01 控制权

用户可以掌控用户向特斯拉分享的数据。在车辆的触摸屏上，通过“软件”>“数据分享”启用或禁用某些车辆数据的收集，包括 Autopilot 自动辅助驾驶分析和改进，以及路段数据分析。为保护用户的隐私，用户的个人数据或者完全不会被记录，或者受隐私保护技术的限制，或者在发送给特斯拉之前从其所在的报告中被删除。此外，用户可以通过禁用网络连接拒绝Tesla 从车辆收集车辆数据或任何其他数据。

02 个人信息主体权利行使

特斯拉在隐私声明中写道，用户可能有权知晓和决定如何处理用户的个人数据，请求查阅、复制访问特斯拉处理的有关用户的个人数据，更正、补充该信息中的不准确之处，限制或删除该信息，拒绝对数据的某些使用或撤回用户的同意（停止收集用户的信息），用户对于提供给特斯拉的数据可能还享有数据转移的权利，并且向用户当地的数据保护机构投诉。用户可能还有权不受自动化决策（包括画像）的影响，因为这会对用户产生法律效力或相似重大影响。特斯拉希望用户能掌控特斯拉使用用户个人数据的方式。特斯拉为用户提供多种方式来行使上述数据这些权利，包括：公众号客服、电子邮件、邮件邮寄、账户设置和拨打用户权益事务官专线。

03 从交付开始的隐私保护^[9]

用户的 Tesla 会生成车辆、诊断、信息娱乐系统和 Autopilot 自动辅助驾驶数据。从用户接受车辆交付时，隐私保护即刻开启。一般情况下特斯拉不会将驾驶行为生成的车辆数据与用户的身份信息或账户相关联。因此除用户本人之外，其他人无法得知用户的驾驶行为。用户在车厢内的其它活动也同样受到保护。特斯拉所收集的信息娱乐数据（例如语音命令、通过触摸屏浏览网页等）也不会与用户的身份信息或账户关联，充分保证用户的信息私密性和安全性。

Tesla 车辆均配备摄像头套件，其用途是提供基础版辅助驾驶功能，以及智能召唤和自动泊车等高级功能。这套系统从设计之初即嵌入了隐私保护理念。来自摄像头套件的 Autopilot 自动辅助驾驶数据默认会在车辆本地进行处理，以识别车道线、路牌和交通信号灯位置等。在符合当地法律的条件下，只有当用户开启数据分享后，摄像头记录的内容才会被传输和分享，并用于车队学习。用户可以随时通过车辆的触摸屏开启或关闭数据分享功能。即使用户选择开启数据分享，摄像头记录的内容也会以匿名的方式传输，而不会与用户或用户的车辆相关联，除非发生了安全事件（例如碰撞、气囊弹出或自动紧急制动事件）。

能源产品如 Powerwall 和 Solar Roof 太阳能屋顶等，在设计时也同样注重隐私保护。特斯拉的目标是收集尽可能少量的个人数据，范围仅限应用程序正常使用、为用户提供服务、以及改进用户的能源产品所必要的信息。特斯拉还承诺仅在需要操作或维护用户的产品时分享用户的个人数据，否则特斯拉将会先征得用户的同意。

此外，特斯拉表示，数据的收集将会依照“合法合规、最少必要、公开透明”的原则；数据存储将会完全存储在中国境内，通过数据加密、鉴权、访问控制等技术手段确保存储安全；并通过数据加密和专用证书体系确保数据在传输过程中的安全；此外，用户有权撤销自己的数据或者用户数据的使用授权；个人身份信息不出境，重要的数据经过主管部门批准后方可出境。（周杨 梁天翔）

注释：

[1]https://assets.kpmg/content/dam/kpmg/cn/pdf/zh/2022/03/data-security-regulations-internet-vehicles-2022.pdf，《车联网数据安全监管制度研究报告2022》。

[2]《特斯拉客户隐私声明》连接：https://www.tesla.cn/legal/privacy

[3]《工业和信息化部关于加强车联网卡实名登记管理的通知》四、车辆销售前，电信企业向道路机动车辆生产企业或其授权企业销售车联网卡，应登记购卡单位信息和责任人信息。

车辆销售时，道路机动车辆生产企业应参照电话用户真实身份信息登记相关标准规范，组织实施车联网卡实名登记，认真核验和登记车辆所有者（含单位用户）真实身份信息。

车辆销售后，道路机动车辆生产企业应将用户登记信息、车联网卡号码或识别码等基础信息及时传送至电信企业。

[4]车辆数据，即车主使用车辆所产生的数据包含了位置信息、行踪轨迹等，这些行驶数据通过与车辆行驶证等结合，完全可以识别车主的真实身份，应属于“特定自然人在其活动中产生的信息”。

[5]豁免情形具体包括：1、用户车辆需要服务或维修，或者用户主动请求提供服务或进行维修；2、发生安全事件（例如，车辆碰撞、气囊弹出或紧急制动事件）；3、用户车辆需要道路安全服务，例如紧急响应或道路救援；4、用户车辆遇到硬件或软件问题，而这些问题可以通过将来的软件更新或其他解决方案来检查和解决；5、用户同意，或者其他法律依据适用的情况。

[6]来源为新京报，链接：https://baijiahao.baidu.com/s?id=1714638413989711173&wfr=spider&for=pc

[7]《应国家数据安全法规要求，东风日产关闭日产智联远程拍照等功能》https://baijiahao.baidu.com/s?id=1728782727028484256&wfr=spider&for=pc

[8]特斯拉在中国以外其他区域的2021.36.8 版本更新中推送了名为“哨兵模式远程监视”的功能。这项功能通过手机App将车辆周围的环境呈现给车主，当车辆触发哨兵模式时，车主马上能看到车辆周围的状况。该功能不仅可以查看车身四周四个摄像头的视频信息，还可以控制车辆鸣笛、闪灯以及远程喊话，从而向威胁车辆安全的人或者其它动物提供警告。此外，特斯拉称将会采用端到端的加密方式，除了车主以外的第三方，包括特斯拉自己都无法进行访问。

[9]该部分仅为公开文件资料的整理，并不是工程意义上的pBd设计

声明：本文来自享法互联网JoyLegal，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。