數據角度下歐盟對于自動駕駛系統的影響

摘要 文章從自動駕駛汽車的數據隱私和安全問題出發，分析了歐盟的數據保護框架和其在自動駕駛汽車行業中的應用，主要參考了歐盟的《通用數據保護條例》（GDPR）中涉及數據保護的數據最小化原則、透明性和保密性原則，同時聚焦歐洲數據保護委員會有關處理聯網車輛中個人數據指南，闡述了數據處理的風險和建議，并探討了當前歐盟與美國之間數據跨境轉移的風險，希望有助我國汽車行業理解和遵守歐盟的數據保護規則，從而在未來可順利進入歐盟市場。

關鍵詞 自動駕駛；GDPR；最小化原則；數據跨境

中圖分類號 U463.6 文獻標識碼 A 文章編號 2096-8949（2023）13-0021-03

0 引言

在科技加速發展的推動下，自動駕駛已從科幻小說的構想跨越到現實世界。自動駕駛系統由一整套傳感器、信息處理器、軟件和執行器集成而成，這些組件使得車輛具備了自主駕駛以及執行多樣化任務的能力[1]。此外，自動駕駛工作系統所依賴的一系列成熟技術，例如視覺攝像頭、全球定位系統、雷達以及自動停車系統，都在其中發揮著至關重要的作用。然而在使用這些技術的過程中，系統將不可避免地對數據進行收集和處理。例如，視覺攝像頭收集車輛周圍的圖像和視頻以構建實時視覺地圖，同時識別路標、交通信號、其他車輛、行人和可能的障礙物[2]。全球定位系統則提供車輛準確的位置信息，協助車輛確定在地圖上的位置，并進行路徑規劃。一些先進的自動駕駛系統還會收集乘客的行為數據，如乘客的上下車時間和常用路線等，以提供更加個性化的服務。由此可見，數據是自動駕駛系統運作的關鍵因素。

歐盟作為傳統汽車工業發達地區，自2008年以來就著手布局智能汽車產業領域的發展[3]。其表現在政策、立法、基礎設施建設以及市場培育等方面的全方位布局，為后來者樹立了榜樣。在數據保護方面，歐盟同樣表現出了前瞻性的眼光和決心。通過推行《通用數據保護條例》（GDPR）等一系列數據保護法規，歐盟不僅對數據市場進行了規范，還對個人信息數據的安全進行了全面保護。GDPR規定了數據的收集、存儲、處理、使用和銷毀規則，并對違反這些規則的行為進行了嚴厲的處罰。該文將圍繞歐盟對于自動駕駛汽車數據的規范進行深入探討。從歐盟的數據保護法規出發，剖析其在數據保護、數據安全、數據跨境轉移等方面的具體規定，同時，分析歐盟在實際執行這些規定過程中遇到的挑戰和解決方案，希望通過對歐盟數據保護規范的剖析，為我國自動駕駛汽車企業提供參考，幫助他們在針對歐洲市場的產品開發中完善數據處理策略。

1 個人數據處理的一般原則

個人數據處理的一般原則集中在數據的準確性和最小化原則上。GDPR第5條第1款第d項規定，個人數據必須是準確的，如果需要，應當及時更新；必須采取所有合理的措施，以便及時刪除或更正與其處理目的不相符的不準確數據。因此在自動駕駛系統中，除非清楚了解為達到何種目的進行數據處理，以及使用數據的正確性和準確性，大數據技術是禁止使用的。這使數據控制者有義務進行預先分析，避免漫無目的地使用大數據技術。而與準確性原則緊密相連的是最小化原則，根據該原則，個人數據必須與其處理目的相關，且只在必要時收集和使用。在自動駕駛系統中應用最小化原則，意味著必須采用能夠減少處理的總體數據量的技術或算法[4]。GDPR前言第78條也明確提到了最小化原則，作為一種在處理活動的設計階段就應用的標準，它和匿名化一起，使得數據控制者能夠保證并證明其符合GDPR的規定[5]。此外，GDPR第24條要求采取適當的技術和組織措施，考慮到對個人權利和自由的風險可能性和嚴重性[6]。因此，盡管需要使用準確的數據，必要時更新數據，并最小化處理的個人數據量，但控制者必須采取降低對所有個人權利的風險級別的措施，這些人的數據正在被處理，或者將來可能被處理。這在自動駕駛系統中會相對復雜，因為機器會從提供的數據中學習，并且通過分析周圍的現實情況創造新數據，繼而在一定程度上自主地作出決策，從而導致數據控制者經常無法定義所有將要執行的處理，在數據處理的最后階段可能會喪失控制。

2 自動駕駛系統應用的隱私設計原則

GDPR的第25條通過隱私設計和默認原則，定義了數據處理者在設計處理活動時如何使用個人數據[7]。除了上述最小化原則，該規定明確提到了匿名化，并一般性地提到了在處理中需要整合的必要保證，以滿足該條例的要求并保護數據主體的權利。通過這個闡釋，隱私設計成為一個“開放的概念”，考慮到新技術將來的發展，需要動態地實現。這一點在第78條中得到了證實，其中，在隱私設計的范圍內，要求數據處理者確保對個人數據的處理和功能的透明度，允許數據主體控制他們的數據處理，并創建和改善安全措施。兩個規定之間的區別在于，第25條將隱私設計的概念擴展到GDPR的所有規定，而第78條則專注于透明度的概念以及數據主體控制他們的數據使用的權利。因此在落實隱私設計原則時，都會考慮兩個方面：第一，算法的透明度。必須保證一定程度的算法透明度，以便數據主體可以了解涉及他們的個人數據處理。除此之外，根據GDPR第22條還必須有請求人工干預的可能性，并能在任何時候關閉機器，甚至是預防性地關閉機器。第二，必須要確保基本權利（文化多元性等）道德原則[8]。

3 安全措施和數據泄露

GDPR的第32條明確規定了數據處理者必須采取適當的技術和組織措施來保證處理的安全。第24條也提到了數據處理者采取適當的技術和組織措施，以確保處理結果符合相關規定。無論哪種情況，評估數據處理者的基礎元素都是風險級別。此外，GDPR的第32條明確提到了兩種安全措施（加密和匿名化），并包含了其他更具普遍性的目標，數據處理者需要追求這些目標，同時始終考慮到處理可能帶來的風險級別。在汽車自動駕駛系統中，由于存在人工智能技術的應用，風險評估不僅需要考慮鏈條中的每個環節，也需要考慮通過人工智能執行的所有個人數據處理。此外，安全措施的定義不能忽視對那些將個人數據轉移到鏈條下一個環節的人所采取措施的分析。

在處理數據泄露的時候，GDPR的第33條要求數據處理者在知道數據泄露后盡快無延誤地通知有管轄權的監管機構，并在可能的情況下，在知道這個情況后72小時內通知，除非個人數據的泄露對人的權利和自由不太可能產生風險。這條規則在人工智能應用中可能存在一定的困難。如上所述，人工智能的應用需要一系列對數據緊密相連的處理，該過程通常由不同的數據處理者或數據處理負責人進行。個人數據的泄露可以涉及鏈條中的任何一個環節，理論上也可以涉及處理的最后階段，并且對于中間（或最后）的數據處理者來說，很難了解到在先前階段發生的任何數據泄露或丟失。因此，比較好的方案是在內部流程環節中，參與處理的不同主體應該事先定義協調規則，以確認和通知可能發生的個人數據泄露。

4 歐洲數據保護委員會指南

歐洲數據保護委員會指南在2021年3月9日發布了“關于處理與聯網車輛和移動相關應用中的個人數據的指南01/2020”。該指南指出了智能汽車處理個人數據的主要風險，并提供了一系列針對數據處理負責人的建議[9]。

這些指南針對的是車輛制造商、汽車行業運營商、租賃公司、道路基礎設施管理者等，并涉及所有通過聯網車輛處理的數據，可能還通過與其他設備（例如智能手機）的互動，直接或間接地與個人有關（車主、駕駛員，車上可能的乘客）[10]。只有與用戶無關的數據才不受數據保護法的適用，并被歸類為技術數據（如發動機轉速、燈光狀況等）。例如：行駛的公里數本身并不構成個人數據，但如果與地理位置數據相結合，可能會揭示數據主體的駕駛習慣。

歐洲數據保護委員會認為當前的問題之一是缺乏向數據主體提供足夠的信息，清楚地指出處理的目的，以及獲取適當的同意（如果需要）。另一個問題是收集的數據可能超過達到處理目的所需的數據，這違反了上述GDPR中規定的數據處理原則[11]。數據保護委員會還認為，另一個關鍵問題是連接汽車提供的多功能增加了數據保護的脆弱性，增加了黑客或惡意用戶攻擊的風險。因此，數據保護委員會提供了一系列建議：首先，關于個人數據，需要特別注意地理位置數據、生物識別數據，以及可能揭示違法行為或道路交通法規違反的數據。例如，關于前者，可能有特定的圖標來通知用戶地理位置系統已激活，應允許隨時禁用此功能。關于生物識別數據，如果用于車輛的開啟/關閉，需要為數據主體提供替代方案，例如通過鑰匙或訪問代碼，并預設加密這些數據，不能以任何方式轉移給第三方；其次，關于安全方面，加強匿名化技術的應用，包括將數據傳輸給第三方的情況下的匿名化技術，以及允許減少處理相關風險的匿名化技術；最后，為了讓數據主體行使GDPR賦予的權利，指南建議設定特定的工具，例如在車輛內部實現一個配置管理系統，集中所有與數據處理相關的設置，從而使數據主體能夠方便地請求訪問或刪除。

5 數據跨境所帶來的風險

在歐洲關于自動駕駛系統將個人數據轉移到歐盟以外的挑戰更加嚴峻。將個人數據轉移到歐洲經濟區（SEE）以外的第三國或國際組織受到GDPR第五章（第44～50條）的規范。在該章節中，要求采取特定的機制，以確保在數據轉移后建立適當的數據保護水平。以歐盟和美國為例，在美國法律制度下對數據的保護程度與歐盟的保護制度形成鮮明對比。有關美歐之間的數據轉移曾經基于兩者達成的安全港協議和隱私盾協議。然而，歐洲法院在Schrems案中宣布了這兩個協議的適用決定無效；并且在第二個判決（即Schrems II案）中，法院特別指出，執行決定（EU）2016/1250（即隱私盾決定）與GDPR不相容。同時，法院指出基于安全港原則的數據轉移決定并未為相關方設定任何限制或保障措施[12]。

因此，個人數據的出口商必須主要且獨占地依賴GDPR第46條及其后續條款中規定的其他法律工具。首先是根據第49條的例外規定，即規定當數據跨境為數據主體與數據控制者之間履行合同、重要公共利益目的、建構、行使或辯護法律上之請求、保護無法表示同意的數據主體之重要利益等所必需時，允許個人信息出境。然而可以看出，這些例外規定的適用性僅僅是殘余的，并受到多個條件的限制。在GDPR下，另一個可行的選擇是通過標準合同條款和企業約束規則來進行數據轉移。然而，正如歐洲數據保護委員會指出的那樣，這兩種規則只有在出口商進行個案評估的基礎上，并考慮到數據轉移的具體情況和可能采取的補充措施后才能成為有效的法律依據。在沒有有效的適當性決定的情況下，對于法院而言，類似“補充措施”這樣的私法工具不能約束目的地國家，更無法根據GDPR提供足夠的保護。這是在實踐中需要注意的地方。

6 結語

自動駕駛汽車通過其先進的技術，已經在提供更高的汽車安全性和提高用戶舒適度方面取得了顯著的成效。然而，伴隨這些創新，同時也帶來了諸多挑戰，特別是在數據隱私和安全方面。由于車輛的智能化和網絡化，使得大量數據產生，駕駛員和乘客之間的聯系越來越緊密，數據保護和隱私問題成為制造商和安全供應商需要著重關注和解決的重要問題。

在全球范圍內，歐盟在數據保護方面一直處于領先地位，其建立的數據保護規則，如GDPR，為其他國家和地區提供了參考模板。同時，歐洲的地理條件和基礎設施也使得自動駕駛汽車在此地區的實施更為方便。然而，這也要求相關公司必須深入理解并遵守歐盟的數據保護規則，才能真正地進入并在歐盟市場站穩腳跟。為了在歐盟市場中取得成功，企業必須能夠保證處理的數據量只限于必要，同時保持透明度，向用戶明確說明收集數據的目的，以及數據將如何被使用。此外，他們還需要確保數據的安全，防止數據被黑客攻擊或用于惡意用途。

因此，盡管自動駕駛汽車的普及帶來了諸多挑戰，但只要我國相關企業能夠深入理解并遵守歐盟的數據保護規則，便能在進入歐盟市場時避免由于數據安全問題帶來的不必要的法律糾紛和懲罰性措施。

參考文獻

[1]陳天殷. 人工智能時代汽車傳感器的現狀與展望[J]. 汽車電器， 2018（7）： 14-19.

[2]Johnstone B. 為什么視覺系統對自動駕駛至關重要[J]. 電子產品世界， 2020（8）： 11+43.

[3]廖金龍. 基于高精度地圖的智能車輛路徑規劃與跟蹤控制研究[D]. 成都：西華大學， 2022.

[4]錢林葉. 自動駕駛數據安全風險與法律保護[J]. 中國信息化， 2023（4）： 65-67.

[5]歐洲數據保護監督機構（EDPS）隱私設計保護意見綜述與簡評[EB/OL]. http： //www. lmdna. com/news/28. html.[6]通用數據保護條例第24條[EB/OL]. https： //gdpr-info. eu/art-24-gdpr/.

[7]通用數據保護條例第25條[EB/OL]. https： //gdpr-info. eu/art-25-gdpr/.

[8]陳欣， 金權. 我國醫療人工智能侵權規制的演進、特征及難點探析[C]//上海市法學會. 《上海法學研究》集刊2023年第6卷——2023年世界人工智能大會青年論壇論文集， 2023：224-236.

[9]周千荷， 呂堯， 李霖， 等. 關于歐盟《車聯網個人數據保護指南》的幾點思考[J]. 智能網聯汽車， 2021（2）： 64-67.

[10]車聯網數據安全監管制度研究報告[EB/OL]. https： //assets. kpmg. com/content/dam/kpmg/cn/pdf/zh/2022/03/data-security-regulations-internet-vehicles-2022. pdf.

[11]Schellekens， Maurice. Data from connected cars for the public cause [J]. Computer Law amp; Security Review ， 2022（45）： 105671.

[12]The Definitive Guide to Schrems II[EB/OL]. https： //www. dataguidance. com/resource/definitive-guide-schrems-ii.