Cách chơi xì dách研究 Cách chơi xì dách研究
LANDING RESEARCH
Cách chơi xì dách研究
首页 专业文章 文章详情
Cách chơi xì dách研究 | 以Hivemapper项目来看汽车数据出境安全风险及合规要点

2月20日,国家安全部于公众号上发布了一篇安全提醒。在该文中,国家安全部指出,个别境外地图公司利用采集地图Cách chơi xì dách换取虚拟货币奖励的方式,诱使境内人员购买并使用专用设备进行地图“打卡”,非法采集敏感地理空间信息Cách chơi xì dách,并实时上传至境外服务器,甚至针对特定区域开出高额奖励,吸引“采集者”进行重点采集。个别境内人员国家安全意识淡薄,被地图打卡赚钱的形式所诱惑,在不知不觉中被别有用心的境外公司利用,成为了其非法搜集窃取地理空间Cách chơi xì dách的“帮凶”。

尤其,近来DePIN赛道Hivemapper项目的发展引人注目。自该项目成立以来,仅在一年的时间里就绘制了9100万公里的公路地图,覆盖全球道路总里程的10%。不可否认,随着大Cách chơi xì dách、区块链等前沿科技的运用推广,地理空间信息Cách chơi xì dách被广泛收集,让地理导航定位更加精准,人们日常出行更加便利。但与此同时,有关敏感信息Cách chơi xì dách泄露的风险也随之增加。

因此,本文特以Hivemapper为例,在详细介绍该项目的运行原理的基础上,分析其运行过程中存在的Cách chơi xì dách安全风险,立足于当前我国Cách chơi xì dách安全保护法律规范体系,为相关企业的合规建设,尤其针对Cách chơi xì dách出境安全合规方面提出建议。

01、Hivemapper的运行原理

Hivemapper是一个基于区块链的地图网络,贡献者通过安装 Hivemapper的行车记录仪就可以进行Cách chơi xì dách采集,同时赚取代币$HONEY作为奖励,代币的发放、结算都在Solana网络上。Hivemapper中行车记录仪就类似于矿机,与Hivemapper的应用衔接,将街景图像作为Cách chơi xì dách上传。该项目以一种新颖的方式构建地图,让全球范围内的人们通过汽车行车记录仪采集图像,协同完成世界地图的构建。

从项目的名字来看,Hivemapper(蜂巢地图),象征每只蜜蜂飞行采集花蜜,共同制造出美味的蜂蜜,而Hivemapper则是通过集结成千上万的用户,共享他们的努力成果:一份全新、详细的世界地图。

从配套应用程序来看,Hivemapper适用于Android和iOS,与行车记录仪连接,传输Cách chơi xì dách。用户可以购买汽车行车记录仪参与Cách chơi xì dách采集以及AI的训练,赚取HONEY,同时,用户还可以提供地图图像API、地图功能API、检测地方的变化、定制化服务,适用于给无人驾驶、路况检测等提供实时地图Cách chơi xì dách。其主要运作原理为:

(1)使用行车记录仪驾驶并绘制地图;

(2)玩AI训练游戏来训练地图AI引擎;

(3)跟随Hivemapper Explorer观察地图的发展;

(4)使用我们的API构建一些很酷的地图和地理事物。

其独特之处在于,传统的谷歌地图仅使用昂贵的相机、车辆和人力来绘制地图。Hivemapper 则利用大量在日常工作中经常开车的人来收集街道图像,具有以下优点:

一是较低成本的地图 - 使用 Hivemapper 地图绘制是副产品,而不是主要活动(人们已经为他们的主要职业开车)。这样做的主要结果是访问Cách chơi xì dách的服务成本更低。

二是更多最新的地图 - 由于任何人都可以通过购买相对便宜的硬件来加入 Hivemapper,因此对地图做出贡献的贡献者越多,同一位置的地图绘制就越频繁。

三是更高质量的地图 - 对于许多位置,Google地图每隔几年才会经过某个特定位置一次。如果大气和照明条件不理想,可能需要数年时间才能获得更好的图像。

此外,在Hivemapper社区,每一位参与者都有机会获得代币 HONEY。只要他们的行动能使地图更具价值,就能获得这种加密代币。获取Hivemapper的地图Cách chơi xì dách的唯一方式就是消耗HONEY,因此,这种代币具有实际的价值。这个过程就像是一种“Dirve to Earn”模式,只要驾驶、采集图像,就有可能获取奖励。

事实上,Hivemapper一经推出,就开始铸造40亿个HONEY代币,并将其分发给贡献者作为奖励。每周铸造的代币的确切数量由全球地图进度决定。每周铸造的90%的蜂蜜作为奖励发给贡献者,10%给Hivemapper网络持续运行的“运营奖励”。

02、Hivemapper项目涉及的Cách chơi xì dách安全风险

近年来,智能汽车的普遍尤其是自动驾驶技术的出现创新了交通出行的方式,改善了道路交通安全,提高了乘客体验感和行驶效率,将物理空间的交通与数字化的信息紧密结合,致使大量Cách chơi xì dách的累积和开放共享。

Hivemapper正是在这一背景下得以诞生,该项目的核心在于汽车Cách chơi xì dách获取及流动的无国边界性,即使得汽车行驶所产生的各类Cách chơi xì dách在世界范围内流动、共享,让全球范围内的人们通过汽车行车记录仪采集图像,协同完成世界地图的构建。然而,汽车Cách chơi xì dách的跨境流动引发人们对Cách chơi xì dách安全保护和监管的担忧。

以Hivemapper为例,其运行过程中可能收集到的汽车Cách chơi xì dách包括但不限于以下Cách chơi xì dách,本文首先通过从分类层面,对各类Cách chơi xì dách进行整理:

由上表可知,基于Hivemapper运行过程中可能收集的Cách chơi xì dách承载信息种类的多样性与Cách chơi xì dách跨境流动的高度动态性,其所带来的风险体现为纵横双向:

(一)纵向风险

首先,从纵向上来看,Hivemapper项目运行过程中可能收集的Cách chơi xì dách跨境流动的安全风险在纵向上从危及个人权益不断跨越到企业发展与经济社会秩序乃至国家安全层面,呈现出多重性特征:

其一,从个人信息安全层面来看。在汽车Cách chơi xì dách安全领域,根据《汽车Cách chơi xì dách安全管理若干规定(试行)》对汽车领域的个人信息的规定,个人信息是,以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。具体而言,个人信息可以分为直接可识别的个人信息和间接可识别的个人信息。直接可识别的个人信息是指,可以单独、直接识别出自然人的信息。例如,驾驶员的姓名、身份证号等。间接可识别的个人信息是指,通过与其他资料相结合,从而识别出自然人的信息。例如,通过与车辆识别号(VIN)相结合,一辆车行驶旅程的细节、车辆使用行为Cách chơi xì dách、技术Cách chơi xì dách、车辆状况Cách chơi xì dách等都可能会被认定为是个人信息。在实践中,间接可识别的个人信息容易被忽视,易引发合规风险。此外,根据个人信息的敏感程度不同,个人信息中还包括敏感个人信息、生物识别特征信息等保护要求更高的类型。根据《汽车Cách chơi xì dách安全管理若干规定(试行)》,敏感个人信息是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

其二,从企业发展层面来看。对于汽车行业领域的企业而言,Cách chơi xì dách是创造数字知识并形成决策的重要组成部分。一方面,对驾驶者各类Cách chơi xì dách的收集与分析是企业了解客户需求、提供定制化服务及开发新的市场空白的前提,是提升企业核心竞争力的关键,往往涉及车辆开发、生产企业的商业秘密,与企业的竞争发展具有紧密联系。

其三,从国家安全层面来看。地理空间信息Cách chơi xì dách是经济社会发展的生产要素和Cách chơi xì dách资源。其中包含的交通路网、重要基础设施以及军事设施等敏感信息一旦泄露,并经技术分析和处理,将对国家安全造成严重威胁。因此,非法采集和跨境传输地理空间信息Cách chơi xì dách的行为危害我国家主权、安全、发展利益。涉事境外公司、境内个人未取得我境内测绘业务资质,有关Cách chơi xì dách采集行为涉嫌违反《反间谍法》《测绘法》《Cách chơi xì dách安全法》中的相关规定。根据《反间谍法》规定,境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供关系国家安全和利益的Cách chơi xì dách,属于间谍行为。

(二)横向风险

对于“Cách chơi xì dách出境”的含义,目前《网络安全法》《个人信息保护法》《Cách chơi xì dách安全法》等相关法律并未做出明确具体的定义。根据2022年8月31日发布的《Cách chơi xì dách出境安全评估指南》对于Cách chơi xì dách出境的定义,以下情形属于Cách chơi xì dách出境行为:

1. Cách chơi xì dách处理者将在境内运营中收集和产生的Cách chơi xì dách传输、存储至境外;

2. Cách chơi xì dách处理者收集和产生的Cách chơi xì dách存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;

3. 国家网信办规定的其他Cách chơi xì dách出境行为。

需要强调的是,根据我国《网络安全法》《Cách chơi xì dách安全法》《个人信息保护法》对Cách chơi xì dách出境的相关条文规定,Cách chơi xì dách出境活动的前提在于拟出境的Cách chơi xì dách是在境内运营过程中产生的,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要Cách chơi xì dách应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

在考虑Hivemapper带来的Cách chơi xì dách跨境安全风险时,首先应判断相应Cách chơi xì dách是否在境内运营过程中产生和收集的。根据上述《Cách chơi xì dách出境安全评估指南》对境内运营的定义,境内运营是指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。其中,未在我国境内注册,但在我国境内开展业务,或向我国境内提供产品或服务的,属于境内运营。因此,如Hivemapper等境外企业项目,虽然在我国境内没有注册实体,但向我国境内提供产品服务的,仍属于境内运营,Cách chơi xì dách传输至其自身在境外设置的服务器属于Cách chơi xì dách出境。

而从横向上来看,Cách chơi xì dách跨境流动通常是连续的、非静态的,涉及境内Cách chơi xì dách处理者及境外Cách chơi xì dách接收方等多方主体及Cách chơi xì dách生命周期管理的多个环节,由此也决定了Cách chơi xì dách跨境流动的安全风险分散于这多个环节内,呈现出高度动态性特征。

首先,Cách chơi xì dách采集是Cách chơi xì dách生命周期的第一个环节,也是Cách chơi xì dách跨境流动的前提,很多安全问题都是从这个阶段衍生而来的。概括起来,在Cách chơi xì dách采集环节主要的安全风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、Cách chơi xì dách分类分级不清、敏感Cách chơi xì dách识别不清、Cách chơi xì dách无法追本溯源、采集到敏感Cách chơi xì dách的泄密风险、采集终端的安全性以及采集过程的事后审计等。

其次,在Cách chơi xì dách传输和存储过程中,往往还存在着Cách chơi xì dách损害、篡改、泄露等风险,以及在Cách chơi xì dách出境后,存在着接收方、Cách chơi xì dách处理相关方因Cách chơi xì dách存储不当或Cách chơi xì dách安全保障措施落实不到位等造成的Cách chơi xì dách泄露风险。

此外,在Cách chơi xì dách出境后的应用阶段,面临着核心Cách chơi xì dách被恶意使用、相关主体滥用Cách chơi xì dách分析挖掘技术侵犯被去匿名化的隐私信息以及Cách chơi xì dách未经授权的访问、修改、转让、共享等安全风险。

03、汽车Cách chơi xì dách出境安全合规建议

当前汽车Cách chơi xì dách主要包括个人信息Cách chơi xì dách和重要Cách chơi xì dách两个大的方面。其中,个人信息Cách chơi xì dách包括普通个人信息Cách chơi xì dách和敏感个人信息Cách chơi xì dách(如车辆轨迹、音频、视频、生物识别特征、驾驶习惯、图像等)。纵览我国汽车Cách chơi xì dách安全保护制度,在政策法规方面,我国《Cách chơi xì dách安全法》《网络安全法》《个人信息保护法》对Cách chơi xì dách安全、网络安全、个人信息保护等问题做出了规定;行业法规和指导文件也在逐步落地,包括《汽车Cách chơi xì dách安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和Cách chơi xì dách安全工作的通知》等;规范标准方面,国内也在积极跟踪和布局,在智能网联汽车Cách chơi xì dách应用与保护方面,目前已发布了 《车联网信息服务用户个人信息保护要求》《汽车采集Cách chơi xì dách处理安全指南》等。

智能网联汽车Cách chơi xì dách安全制度框架[1]

另一方面,我国目前已形成较完善的Cách chơi xì dách出境安全保护制度。同时,关于个人信息Cách chơi xì dách出境的三种路径,即Cách chơi xì dách安全评估、保护认证、标准合同配套规定基本形成。具体而言,相关规范的出台时间梳理如下:

Cách chơi xì dách出境安全保护相关规范出台时间[2]

此外,关于上述个人信息Cách chơi xì dách出境的三种路径,具体差别如下图所示:

在此,笔者团队针对相关企业汽车Cách chơi xì dách出境安全合规作出以下建议:

(一)制定企业Cách chơi xì dách分类分级盘点表,审慎指导Cách chơi xì dách出境安全评估中的Cách chơi xì dách梳理与识别工作

Cách chơi xì dách分类分级既是《Cách chơi xì dách安全法》《个人信息保护法》下的合规要求,也是Cách chơi xì dách出境安全评估的重要基础。对于可能涉及诸多重要Cách chơi xì dách和掌握大量个人敏感信息的车企来说,对不同类型、不同保护级别的Cách chơi xì dách设置不同的跨境流动管理和技术措施,有助于企业在落实合规要求和高效开展业务之间寻求平衡。

汽车Cách chơi xì dách中的个人信息分为普通个人信息和敏感个人信息,敏感个人信息中又包括自然人的生物识别特征。汽车行业的重要Cách chơi xì dách包括六类可能影响国家安全、公共利益或个人、组织合法权益的Cách chơi xì dách。由《Cách chơi xì dách安全法》第21条可知,除个人信息和重要Cách chơi xì dách外,还有“国家核心Cách chơi xì dách”,实行更加严格的管理制度。因此,对此类所涉国家核心Cách chơi xì dách企业务必进行仔细甄别。

在分类的基础上,企业应当对收集的汽车Cách chơi xì dách进行分级。我国自动驾驶Cách chơi xì dách安全白皮书根据自动驾驶Cách chơi xì dách被侵害时所侵害的客体和对相应客体的侵害程度,对Cách chơi xì dách安全保护等级分为五级。Cách chơi xì dách被侵害时所侵害的客体分为公民、法人和其他组织的合法权益,社会秩序、公共利益和国家安全三类,对相应客体的侵害程度分为一般损害、严重损害和特别严重损害三种程度。因此,对上述六类重要Cách chơi xì dách,应归类于第三级和第四级Cách chơi xì dách;个人Cách chơi xì dách应归类于第二级,个人敏感Cách chơi xì dách归类于第三级;新冠疫情在全球暴发以来,人们更加认识到,生物识别信息一旦被非法使用,将对社会秩序和国家安全带来重大损害,因此对生物识 别特征根据其特殊性质归类于第四级Cách chơi xì dách。做好分类分级后,企业有必要依据法律法规要求,设置相应的出境条件。中间三级的网联汽车Cách chơi xì dách,附条件出境。除进行出境前的安全评估外,还应当为第三级、第四级Cách chơi xì dách附加相应程度的升级保障措施。属于国家核心Cách chơi xì dách的,应归类于第五级Cách chơi xì dách,遵循Cách chơi xì dách本地化的原则,严格限制其出境。

尤其自动驾驶技术研发企业若使用GPS接收设备、高清摄像头、车载传感器、激光雷达等设备在公开道路上进行道路测试,收集车外实景影像等,则很可能被认定为从事测绘活动,从而需要额外遵守《中华人民共和国测绘法》《测绘成果管理条例》《测绘地理信息管理工作国家秘密范围的规定》以及自然资源部发布的与测绘地理信息相关的其他规范性文件。对于涉密测绘成果以及部分非涉密测绘地理信息成果,汽车企业必须经过相关测绘地理信息主管部门批准方可向境外提供。

其他重要Cách chơi xì dách和个人信息以外的其他Cách chơi xì dách,归类为第一级Cách chơi xì dách,可合理选择前述出境路径,允许其自由流动。

(二)制定Cách chơi xì dách出境安全评估制度、组织Cách chơi xì dách出境安全评估小组、建立企业内部的Cách chơi xì dách出境自评估表单等工具,做好Cách chơi xì dách出境的规划

汽车行业Cách chơi xì dách企业涉及的Cách chơi xì dách处理活动繁杂、Cách chơi xì dách处理者多样,伴随着车联网技术的快速迭代和车联网应用的迅速增长,Cách chơi xì dách出境的发生频次可能较高,面对业务层面随时可能触发的Cách chơi xì dách出境安全评估需求,完善的安全评估制度和组织人员将有助于车企做到“一事一评估”和“实时动态评估”。在建立企业内部的Cách chơi xì dách出境自评估工具时,需将Cách chơi xì dách出境必要性评估与论证作为启动评估的重要一环,并适时调整Cách chơi xì dách出境路径。同时,企业还应当对未来一段可预见的时间内,Cách chơi xì dách出境情况进行规划,预估好Cách chơi xì dách出境的自评估与安全评估等工作所需时间,并积极与主管机关沟通申报评估中诸如对于相同场景需进行一次性评估还是个案评估等细节问题。

(三)建立出境风险自评机制,对Cách chơi xì dách出境风险予以动态化监测

建立Cách chơi xì dách出境风险自评机制:企业应建立Cách chơi xì dách出境风险自评估机制,及时掌握企业内Cách chơi xì dách出境情况的动态变化,结合所处业务特性、出境应用场景及流转路径,定期开展风险评估工作,及时开展合规自查和整改工作。与此同时, 应当及时关注主管部门后续发布的关于Cách chơi xì dách出境的监管细则,从而有效、快速应对后续的监管活动。

此外,境外接收方所在地的法律与政策环境评估是Cách chơi xì dách出境安全评估的重点内容之一,也是《个人信息出境标准合同》所规定的合同义务。对此,境内Cách chơi xì dách处理者应通过书面合同等方式要求境外接收方具备Cách chơi xì dách安全保护能力并对其所在地的Cách chơi xì dách安全保护法律及政策环境进行查明与提供,境外接收方也应当尽最大努力提供必要的相关信息,主动履行合同义务或者相关承诺,协助与配合境内Cách chơi xì dách处理方的Cách chơi xì dách安全评估申报工作。

参考资料

[1]吴海燕,陈朴等:《智能网联汽车Cách chơi xì dách安全国内外治理机制及政策研究》,载《电信快报》2022年第9期;

[2]史跃,程梦等:《Cách chơi xì dách出境全解析之基础概念篇》,2023年4月14日;

[3]何姗姗,黄雷等:《如何防范汽车Cách chơi xì dách出境安全法律风险》,载《智能网联汽车》2022年第3期;

[4]陈思琦:《智能网联汽车Cách chơi xì dách跨境流动的法律问题研究》,载《网络安全技术与应用》2023年第4期。

RECOMMEND
相关推荐