信息來源：安全內(nèi)參

5月6日，一則“高合行車記錄儀疑似泄露隱私”的話題引發(fā)關(guān)注。汽車博主@李老鼠說車爆料稱，高合汽車的行車記錄儀可通過車主互聯(lián)功能接收其他高合汽車的信號，并讀取這些汽車行車記錄儀內(nèi)容。次日，高合汽車對此作出回應(yīng)，稱該功能主要用于車隊(duì)出行、車路協(xié)同，開啟時(shí)需經(jīng)用戶同意，無隱私安全隱患。

高合陷隱私泄露風(fēng)波

高合汽車這一功能設(shè)計(jì)是否合理？是否存在違法違規(guī)？實(shí)時(shí)共享行車記錄儀畫面可能存在哪些安全隱患？有資深律師告訴南都記者，行車記錄儀收集的畫面包括車外人員的個(gè)人信息，高合汽車向其他車輛提供其采集的音視頻信息是違法的，應(yīng)將涉及車外人員的畫面進(jìn)行刪除或匿名化處理。

文|樊文揚(yáng)

互聯(lián)功能可讀取其他車輛記錄儀內(nèi)容

5月6日，微博知名汽車博主@李老鼠說車發(fā)布一條視頻，稱發(fā)現(xiàn)自己的汽車有一個(gè)“很可怕的功能”。視頻顯示，在高合汽車的行車記錄儀板塊中，車主可通過其中的車主互聯(lián)功能接收其他高合汽車的信號，并讀取這些汽車的行車記錄儀內(nèi)容。該博主隨機(jī)選擇了一位位于河南鄭州，距離自己639.4千米的車主，然后成功讀取了其正停放在路邊的車輛的行車記錄儀內(nèi)容。

可讀取行車記錄儀的車輛

博主讀取河南鄭州某車主的行車記錄儀

次日，高合汽車針對此事發(fā)表公開聲明，稱博主提到的功能“車車互聯(lián)”屬于車隊(duì)出行、車路協(xié)同系統(tǒng)的組成部分，出廠時(shí)默認(rèn)關(guān)閉，需用戶在車輛上電后，通過兩次確認(rèn)隱私條款彈窗才能主動(dòng)開啟。該功能下電后無法啟用，無法遠(yuǎn)程開啟，也無任何存儲，不存在泄露用戶隱私的問題。

高合回應(yīng)

然而，高合汽車對這一功能做出的解釋似乎并未打消車主和網(wǎng)友們的疑慮?！斑@就是泄露個(gè)人信息”“相當(dāng)于遠(yuǎn)程攝像頭功能”“完全無法理解這個(gè)功能有什么意義”……高合汽車的信息安全隱患受到廣泛關(guān)注。截至發(fā)稿前，相關(guān)話題的總閱讀量已上升至近五千萬，討論次數(shù)超過一萬。

在討論中，有高合汽車的車主曬出了開啟該功能時(shí)出現(xiàn)的彈窗提醒頁面，彈窗在詢問“你確定開啟視頻分享功能嗎？”的同時(shí)，有一行字進(jìn)行解釋“分享后，其他人可以看到你行車記錄儀的畫面，請問是否需要開啟”，下方有“取消”和“仍然開啟”兩個(gè)選項(xiàng)。這意味著，該功能是由車主主動(dòng)開啟，并需經(jīng)其同意。

彈窗頁面

公開資料顯示，高合汽車是由丁磊于2017年創(chuàng)辦的電動(dòng)汽車公司，母公司名為華人運(yùn)通技術(shù)有限公司。高合汽車去年累計(jì)銷售4237輛，高合HiPhi X系列在今年第一季度的銷量為1364輛，成交均價(jià)近70萬元，連續(xù)四個(gè)月占據(jù)50萬以上豪華純電市場銷量榜冠軍。

南都記者梳理發(fā)現(xiàn)，這并非國產(chǎn)智能電動(dòng)汽車首次陷入隱私安全風(fēng)波。去年9月，理想汽車在更新的智能系統(tǒng)軟件協(xié)議中規(guī)定，在用戶使用車載應(yīng)用平臺期間，將收集其車輛駕駛行為數(shù)據(jù)、車載導(dǎo)航應(yīng)用數(shù)據(jù)、車載娛樂系統(tǒng)資料等使用信息，不同意協(xié)議則無法繼續(xù)使用汽車。理想汽車這一“霸王條款”也備受質(zhì)疑。

未處理畫面向車外提供系違法

高合汽車這一功能設(shè)計(jì)是否合理？有無違法違規(guī)之處？實(shí)時(shí)共享行車記錄儀畫面可能存在哪些安全隱患？

清律律師事務(wù)所首席合伙人熊定中表示，如“車車互聯(lián)”功能確實(shí)需車主兩次確認(rèn)隱私條款彈窗才能主動(dòng)開啟，這種提示對于車主本人而言是足夠的，但并未考慮到車主換人等情況。

“汽車系統(tǒng)設(shè)計(jì)者應(yīng)該考慮到車主換人的情況，并提供一定的設(shè)計(jì)方案來應(yīng)對類似問題。如果車主換人，新車主就可能在不知情的情況下被公開行蹤軌跡等敏感個(gè)人信息，但此時(shí)讀取其行蹤信息的其他車主和高合都沒有取得過新車主的授權(quán)。”他說。

為此，熊定中舉了一個(gè)例子解釋道，“我購買了一輛高合的車，我同意開啟這一功能是我的自愿。如果該功能在開啟后會(huì)持續(xù)生效，那么明天當(dāng)我太太開這輛車時(shí)，她對此是完全不知情的，她并未給過高合任何同意。這種情況下，高合的做法是違法的，并且情況較為嚴(yán)重?！?

在他看來，理論上最合規(guī)的做法是“單次開車單次請求”，即開啟該功能后只在當(dāng)天當(dāng)次行車中有效，重新啟動(dòng)汽車后需要再次開啟功能并取得同意。由于汽車一般默認(rèn)每次授權(quán)都來自車主本人，不會(huì)考慮駕駛?cè)烁鼡Q的情況，此時(shí)就需再次告知并重新取得同意。他還補(bǔ)充，這一做法依據(jù)的是個(gè)人信息保護(hù)法，行蹤軌跡屬于敏感個(gè)人信息，處理時(shí)需取得個(gè)人的單獨(dú)同意。

此外，熊定中還指出了高合在此事件中存在的另一個(gè)問題——該功能侵犯了車外人員的個(gè)人信息。

由國家網(wǎng)信辦等部門聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（下稱《規(guī)定》）中明確要求，運(yùn)營者收集個(gè)人信息應(yīng)當(dāng)取得被收集人同意，法律法規(guī)規(guī)定不需取得個(gè)人同意的除外。實(shí)踐上難以實(shí)現(xiàn)的（如通過攝像頭收集車外音視頻信息），且確需提供的，應(yīng)當(dāng)進(jìn)行匿名化或脫敏處理，包括刪除含有能夠識別自然人的畫面，或?qū)@些畫面中的人臉等進(jìn)行局部輪廓化處理等。

他認(rèn)為，在取得車主同意的前提下，高合可以采集其行蹤軌跡，但攝像頭所收集的畫面還包括車外人員的個(gè)人信息，如人臉、地理位置等。高合車主可以讀取其他車輛的行車記錄儀內(nèi)容，意味著高合會(huì)向車外提供其采集的音視頻信息，這也是違法的。

熊定中強(qiáng)調(diào)，即使車主同意分享行車記錄儀內(nèi)容，高合也應(yīng)將涉及車外人員的畫面進(jìn)行刪除或匿名化處理，不能共享所有畫面。“這個(gè)問題方面，他們（高合）沒有任何合規(guī)的解釋余地。”

博主@李老鼠說車的視頻發(fā)出后引發(fā)了諸多爭論，不少網(wǎng)友對高合的回應(yīng)“并不買賬”?！凹词故菫榱塑囮?duì)出行，什么車隊(duì)需要看幾百幾千公里外的行車記錄儀內(nèi)容？”并對該功能的設(shè)計(jì)初衷表示懷疑。

對此，熊定中表示，目前部分汽車廠商的合規(guī)能力不算很強(qiáng)，要做到以完全合規(guī)的形式實(shí)現(xiàn)這一功能，可能面臨較高的技術(shù)成本，如汽車需辨識車主是否換人、重新向車主確認(rèn)是否開啟行車記錄儀分享功能以及對采集的畫面進(jìn)行實(shí)時(shí)匿名化處理等。此外，高合還需限制記錄儀內(nèi)容的分享范圍，如只能與一公里以內(nèi)的車輛共享。

值得一提的是，“有很多產(chǎn)品設(shè)計(jì)人員在設(shè)計(jì)一個(gè)功能時(shí)，可能沒有考慮其‘邊界’，沒有考慮過合規(guī)問題，就可能忽略需要限制車主行車記錄儀分享范圍等?！?

《規(guī)定》第十一條要求，運(yùn)營者處理重要數(shù)據(jù)，應(yīng)當(dāng)提前向省級網(wǎng)信部門和有關(guān)部門報(bào)告數(shù)據(jù)類型、規(guī)模、范圍、保存地點(diǎn)與時(shí)限、使用方式，以及是否向第三方提供等。

在安全隱患方面，熊定中表示，高合汽車這一功能可能帶來嚴(yán)重的安全隱患。如果一輛高合汽車開到軍事管理區(qū)、國防單位或黨政機(jī)關(guān)，這些場所的地理位置、人員流量、車輛流量等屬于重要數(shù)據(jù)，需要經(jīng)過更嚴(yán)格的處理?！叭绻麄冇猩蠄?bào)，我不認(rèn)為網(wǎng)信辦會(huì)批準(zhǔn)這一功能。”他說。