作者:胡运思、宇文沛
引言
高精地图是实现汽车高级辅助驾驶和自动驾驶功能的关键技术。对出海智驾企业来说,不可否认的是,尽管存在认知和需求的不同,但高精地图在大多数车企的自动驾驶技术路线中具有较高参与度。
欧盟作为中国智驾出海的主要目的地之一,其对高精地图编制和应用场景所涉及的数据采集、存储、加工和传输等环节的监管思路和措施,均与中国存在较大差异。本文以问答形式,分析出海企业在自动驾驶的高精地图使用和编制场景中的合规实务难点,供企业参考。
合规实务难点分析
高精地图一般指具有厘米级精度的超高分辨率地图。高精地图所包含的道路场景、定位信息,能够辅助汽车进行感知、定位、规划、决策与控制,提高自动驾驶过程中的安全性和舒适性。用于智能驾驶的高精度地图需实时整合和分析多个来源的数据集,如传感器、雷达、摄像头、卫星图像和GNSS全球卫星导航系统。目前,市场中多数企业产品智能驾驶功能的实现,在不同程度上依赖着高精地图。
1. 面向自动驾驶的高精地图,涉及处理哪些重点数据类型?高精地图合规需重点关注的欧盟法律法规有哪些?
高精地图的编制和应用至少需使用到路网数据、交通设施数据、车辆特征数据(例如,车辆参数)、行人的个人数据、卫星定位数据等数据字段。结合项目经验及实务情况,我们总结了高精地图涉及的重点数据类型,及高精地图合规需关注的重点法律法规,如下表所示。
2. 在欧盟进行自动驾驶领域的高精地图相关地理信息采集,是否需要申请测绘资质?
在我国,通过车载传感器等设备,收集高精地图制作和更新所需的外部环境信息等数据,属于收集测绘地理信息,需要具备测绘资质方可进行。与之不同的是,欧盟语境下的“测绘”包括土地测量、建筑物测量、海事测量以及其他涉及使用地理信息系统(GIS)技术的活动,由从事测绘工作的、具有执照或许可的专业人员或法人进行。[1] 但高精地图应用场景下的汽车采集、存储、传输和处理地理信息数据的活动一般不属于上述从事测绘活动的范畴,欧盟及成员国并没有前置的测绘资质要求。
3. 在高精地图数据采集的过程中,如掌握了欧盟国家军事基地及国防安全设施的影像和地理位置,是否可以处理这些数据?
如车辆涉及在军事基地、国防安全设施等地段进行数据采集,企业需关注欧盟成员国法律是否存在限制或禁止处理涉密信息及关键基础设施相关信息的规定。
一方面,国家军事基地及国防安全设施的影像和地理位置很大可能属于保密信息。在欧盟的信息分类(classified information)框架下,欧盟成员国各自划分本国的信息保密等级。各等级保密信息的具体内涵,由持有保密信息的机构,通过内部文件的形式确认。[2] 任何获取保密信息的个人或实体均有义务对该信息保密,并采取法律规定的保护措施,以确保未经授权的主体无法获取该保密信息。
另一方面,国家军事基地及国防安全设施还可能落入欧盟关键基础设施的范畴。根据欧盟《关于关键实体韧性的指令》,“关键基础设施”指提供基础服务所必需的资产、设施、设备、网络或系统,或其中的一部分。[3] 欧盟对于关键基础设施提出了安全保护要求。
以德国为例,德国联邦将能源、粮食、交通、信息和通信、金融保险等九个部门认定为关键基础设施部门,在这些部门中,达到法律规定阈值的设施或设施的组成要件属于关键基础设施,例如净输出功率达到104兆瓦的发电厂,属于关键基础设施。德国内政部发布的《关键基础设施基本保护措施》从位置、人员、管理和组织措施等角度,对关键基础设施提出保护要求。关键基础设施所在行业也会发布安全标准等。[4][5]
考虑到关键基础设施相关信息的泄露可能对国家安全产生的重大影响,在车辆高精地图的应用场景中,企业不仅应考虑相关数据是否涉密,也应当考虑欧盟成员国对关键基础设施的保护要求。
4. 在用于自动驾驶的高精地图数据收集和处理过程中,如涉及处理欧盟个人数据,需重点注意哪些合规要点?
匿名化或假名化:在技术可行的前提下,高精地图应用场景中如收集处理个人数据(例如,行人面部识别信息),企业应进行匿名化或假名化处理。欧盟要求匿名化必须“实现不可逆的去标识化”,实现难度很高。尽管欧盟承认泛化(generalization)、随机化(randomization)这两种匿名化技术,但数据保护机构将结合现有技术、成本、时间等因素综合判断某一数据字段是否匿名化。[6][7]
高风险数据处理活动前进行数据保护影响评估(DPIA):在个人数据处理活动可能对个人权利和自由造成高风险(尤其在车外处理个人数据时)时,需要进行DPIA。根据欧盟Article 29 Data Protection Working Party发布的指南,判断数据处理活动是否“可能造成高风险”应考虑其发布的九项标准。一般情况下,同时满足其中两项标准的,需要开展DPIA;若仅满足一项标准,则视情况可能需要开展DPIA。DPIA至少应包括对拟开展的数据处理活动的目的和方式的评估、对数据处理活动的合理性和必要性的评估、对数据主体权利和自由可能造成的风险的评估以及拟采取的降低前述风险的措施等内容。
车内处理:根据欧盟数据保护委员会发布的指南,为保证用户对个人数据唯一和完全的控制权,尽可能降低对于用户隐私的风险,应尽可能在车内处理用户个人数据(“本地处理”),不向车外提供。为降低云上处理可能面临的网络安全等风险,应当尽可能考虑本地处理的可能性。我们建议审慎评估车内处理个人数据的可能性,尽可能在车内处理个人数据;无法进行车内处理的,应能够证明车外处理的必要性。[8]
5. 企业在高精地图的编制和应用中涉及使用欧盟商业卫星发送的车辆定位数据,需要重点关注什么内容?
由于高精地图的应用需要全球卫星导航系统GNSS配合实现车辆定位,因此公司可能涉及卫星定位数据的收集和处理。公司如果自上游供应商处获得卫星定位数据,需关注供应商卫星定位数据的分发合规问题。
例如,德国《卫星数据安全法》(SatDSiG)规定,由德国公民或法人运营的民用卫星数据,在进行首次数据分发或首次市场化使用前,卫星数据提供者必须按照法律规定的流程,进行敏感性审查。如审查结果显示为敏感分发活动,则该分发活动必须取得联邦经济和出口管制办公室(BAFA)签发的许可方可进行。[9][10]
一般来说,车企、自动驾驶软件提供商和地图供应商大多位于高精地图产业链的中下游,不涉及卫星数据的首次分发活动;但是由于高精地图的编制和应用离不开卫星定位数据,故上述主体在与上游定位导航设备和软件提供方合作前,需考虑上游供应商的卫星数据来源合规问题。
结语
欧盟对高精地图的编制和使用,看似并没有严格的资质和准入门槛要求,但在相关数据处理时,需要注意欧盟及成员国对保密信息和关键基础设施相关信息的保密要求,遵守相应的保密义务。同时,由于欧盟定义下的个人数据内涵较为丰富,对于环境类数据、车辆运行相关数据中可识别或关联到特定自然人的个人数据,仍需要按照欧盟个人数据保护的相关规定进行处理。
注:
[1] Report on Surveying User Needs and Requirements, Outcome of the EUSPA User Consultation Platform.
[2] Classified Information: A Review of Current Legislation across 15 Countries & the EU, p37.
[3] Article 2 of Directive (EU) 2022/2557 on the Resilience of Critical Entities.
[4] 德国关键基础设施的认定主要由运营主体自行研判,并向主管部门报告;主管部门也可以主动认定。
[5] Protection of Critical Infrastructures–Baseline Protection Concept, German Federal Ministry of the Interior.
[6] Article 10 of Directive 2010/40/EU on the Framework for the Deployment of Intelligent Transport Systems.
[7] Article 29 Data Protection Working Party Opinion 05/2014 on Anonymisation Techniques.
[8] Article 2.4.1 of Guidelines 01/2020 on Processing Personal Data in the Context of Connected Vehicles and Mobility Related Applications Version 2.0.
[9] 《卫星数据安全条例》(SatDSiV)及附件规定,如卫星数据被传输至包括中国在内的几个国家的地面接收站,则这一数据分发请求属于敏感分发活动。
[10] BAFA许可的审批将基于内部的标准和流程,并不对外公布,参见:https://www.unoosa.org/pdf/pres/lsc2010/tech-02.pdf。
