郑戈:数据法治与未来交通——自动驾驶汽车数据治理刍议|中法评 · 策略
郑戈
上海交通大学凯原法学院教授
上海交通大学中国法与社会研究院企划委员会联席主任、研究员
上海交通大学涉及人的科学研究伦理委员会委员
(一)车辆数据安全保障法治
(二)车辆数据处理中的个人信息保护法治
(三)交通数据基础设施建设与数据开放共享法治
(四)行业标准
六、结论本文首发于《中国法律评论》2022年第1期策略栏目(第161-173页),原文16000余字,为阅读方便,脚注从略,如需引用,请参阅原文。
问题的提出
在我们身处的这个万物联网的“智能化时代”,“当你看着手机时,手机也在看着你”已经不是什么耸人听闻的激进言论了。政府和平台企业通过各种传感器收集着人的信息,声音识别、人脸识别、指纹识别、掌纹识别、虹膜识别、视网膜识别、体形识别、键盘敲击识别、签字识别等生物测定装置和智能水表、智能电表、智能气表、智能保安系统遍布在我们的生活环境中,在带给我们安全和便利的同时也带来着风险和担忧。
“遍布式计算”(ubiquitous computing, 简称Ubicom)一词的发明者马克·韦瑟(Mark Weiser)说:“最复杂的技术是那些隐而不彰的技术。它们把自己编织进日常生活的纹理之中,直到自己成为其中顺理成章的组成部分。”我们生活中的大多数搜集个人信息的传感器都以丝毫不引人注目的形态镶嵌在我们日常生活的纹理中,在你注意不到的角落或者你日用而不察的物件中。
但自动驾驶汽车不同,它看起来就是个长满“眼睛”的东西,你不用联想就会看到它在“监视你”。每一部自动驾驶汽车都装备着许多非常醒目的传感器,从激光雷达到摄像头,此外还有一些不那么醒目的微型传感器,比如安装在轮轴上的负责监控汽车是否偏离了GPS导航仪所制定路线的传感器。而除了公交车和出租车外的轿车一般被人们认为是非常私密的地方,是像家和酒店房间那样的人们在其中可以享有受保护的隐私预期的地方,人们可以在里面换衣服、躺平、聊私密话题乃至做一些只有在私密空间才会做的事情。一部肉眼可见长满了“眼睛”的汽车,必然引起人们在隐私和个人信息保护方面的担忧。
即使是那些我们通常不会在私密空间做的事情,比如出门上车经过一定的路线到达特定地点,在自动驾驶汽车那里也会产生个人信息保护方面的问题。比如,虽然你在某个时间上了一辆公交车或出租车以及在某个时间、某个地点下车这样的事情是发生在公共空间的,而且往往是有记录的,但没有人或机制把这些信息与已被识别或可被识别的你关联起来,从而监控你的整个行踪轨迹。如果一位怀疑丈夫有外遇的妻子从掌握这些数据的人(比如网约车公司工作人员)那里获取了丈夫的行踪轨迹并追踪到他,泄露个人信息的人显然违反了法律。
但自动驾驶汽车却必然会搜集每一个上车的人的行踪信息。这些信息都会得到集中化的储存和处理,从而导致极大的泄露和滥用风险。正如毕马威(KPMG)在《2020年自动驾驶汽车指数》中所说:实际上,“对政府来说,智能网联汽车最大的吸引力就在于可以优化道路承载力。如果交通运输服务和管理部门能够获取某一区域所有车辆的位置和目的地,智能交通管理系统就可以设定所有这些车辆的速度和路线,从而最小化通行时间和拥堵程度。但要实现这一目的,就需要车辆以许多文化中目前被认为政治上无法接受的方式来追踪和共享个人信息”。因此,完善自动驾驶汽车相关的隐私和个人信息保护立法是更多人愿意接受这一新事物的前提条件之一。
另外,自动驾驶汽车的安全性、可靠性和高性能的实现不仅需要获取大量数据,而且需要数据的开放共享。交通管理、公安等政府部门需要自动驾驶汽车的数据来维护道路交通安全、调查事故原因、实现执法目的;科研机构需要自动驾驶汽车的数据来改进相关技术、评估环境和社会影响、提出立法和政策建议;整个自动驾驶行业需要数据共享来改进系统对各种气候、环境和路况的适应性,因为不同系统开发商的汽车主要测试的区域各不相同,比如自动驾驶公司Waymo在美国亚利桑那州进行了大量测试,特斯拉在美国加州得到最充分的测试,百度在北京测试,滴滴在上海测试,除非每个车厂或自动驾驶系统开发商(以下简称车商)都能在全世界每个地方进行测试(法律和政策的地方性使得这种设想根本不可能实现),否则它们生产的自动驾驶汽车一旦销售到没有做过测试的地方,其算法就可能遇到训练数据集中未曾有过的数据,从而导致失灵风险。
所以,数据开放共享是解决自动驾驶汽车地方性局限的唯一出路。但数据恰恰又是所有厂商最为珍视、不愿与竞争对手共享的资产。如何促进自动驾驶汽车数据的开放共享,使服务于公共利益的智慧交通构想得到实现,也是需要法律介入才有望解决的难题。正如有学者指出的那样:“如果我们过于看重个人信息保护过程中的个人权益维度,忽视其他利益主体的声音与地位,就会或多或少地无视个人信息的正外部性,即整合起来能够促进公共利益的信息生产与处理活动。”
值得注意的是,作为一个奉行生产资料公有制原则的社会主义国家,数据这种当代最重要生产资料的权属虽然在法律上并不明确,但在事实上却主要由私营企业控制。上述自动驾驶汽车成熟度指数报告中特别指出:尽管中国在电动车市场占有率、网约车市场普及率和自动驾驶领域产业合作度等支撑自动驾驶汽车上路的因素上都排名前五,但阻碍中国自动驾驶汽车行业发展最大的障碍是中国在数据共享相关研究和制度安排上排名极低,导致高精地图等自动驾驶汽车必需而又严重依赖数据共享的技术难以获得充足的发展空间。所以中国内地在该指数报告所评估的30个国家和地区中排名第20位。
由此可见,数据法治是自动驾驶汽车上路的先决条件。但目前关于自动驾驶汽车的法学研究却聚焦于尚属纸上谈兵的自动驾驶汽车驶上公共道路后的交通事故责任方面,关于车辆数据法治方面的研究十分鲜见。
本文试图在这方面做一些抛砖引玉的工作。我提议一种国家战略化、过程化、功能化和层次化的车辆数据治理方案,以平衡鼓励创新、推进交通强国事业与保护公民隐私权和个人信息权益之间的关系。
简单地说,所谓国家战略化就是从本国在全球市场中的比较优势出发,制定相应的产业政策和法律,用法律来引领技术发展的方向,强化这种比较优势。
所谓过程化就是分步走,循序渐进地推进自动驾驶汽车从驾驶辅助到完全自动驾驶的产业化进程,在道路测试和试运行阶段要求更全面的数据采集和更高程度的数据开放共享,而在正式运行阶段则逐渐限缩数据采集范围和开放共享程度,逐渐厘清自动驾驶汽车的安全运行所需要的数据类型和数据范围,从而将其有效控制在“最小必要”原则所要求的程度之内。
所谓功能化就是区分自动驾驶技术所实现的不同功能,比如公共交通、共享出行和私家车,根据使用不同功能的用户的隐私预期和安全需要,确定数据获取和数据处理的范围。
所谓层次化,是一种规则多元主义的体现,便民、环保、高效、安全的智能交通不能仅靠国家正式制定的法律法规来维护,还需要产品标准、行业标准和社会规范的合力支撑。尤其是在“算力即权力”的即成社会事实之中,政府对算法主导的产品、服务和商业模式已经无法独自实现有效监管和执法,因此更要靠行业和社会的配合。
以下对这四个方面的立法和公共政策改革方案分别加以更为详细的阐述。
国家战略化的未来交通数据法治建设思路
汽车从一开始就是自动化技术应用的产物。从英文“automobile”一词的词源来看,“auto”来源于希腊文中的“αὐτός”,意思是自我;“mobile”来自于拉丁文中的“mobilis”,意思是“运动”。在日文中,汽车本身被称为“自動車”,而自动驾驶技术在汽车上的应用并没有使“自動車”成为一种新事物,所以日本的《道路法》、《道路交通法》和《道路运输车辆法》在近年来陆续得到修订,为自动驾驶汽车上路提供法律依据,但其中都是把“自動運行装置”作为“自動車的装置”来加以规定的。这种将新技术嵌套在既有框架中来加以规制的做法,起到了避免争议尽快出台法律规则的效果。
日本《道路运输车辆法》第41条对自动运行装置的定义是:“一套借助计算机来执行的到达特定结果的程序性指令和相关软硬件组合。其组成部分通常包括监测车辆运行状态和周边状况的传感器以及处理传感器所获得数据的计算机及其程序,这些是自动化操作汽车所必不可少的。当这套装置在国土交通大臣所设定的条件下得到使用时,它具有替代人类驾驶员执行驾驶操作时所应用的感知、预测、判断和执行能力的功能。这套装置还应当包括数据记录仪,用来记录为确认车辆运行状态所必须的信息。”
日本将自动驾驶技术视为早已出现并且一直在持续发展的驾驶辅助技术的发展,而不是什么新鲜事物,反映了一个汽车制造业强国对自身比较优势的认知和基于此而做出的立法和公共政策选择。从汽车出现开始,人们就一直在探索提升汽车自动化水平的各种技术方案。第一个定速巡航控制系统于1958年投入市场。1995年,“自适应定速巡航控制系统”问世,该系统使车辆能够使用传感器与前方车辆保持固定距离。到2010年,更多高级功能出现,例如“盲点干预”和“自动保持车道辅助”。最近,制造商已开始利用这些功能来开发集成的“高速公路辅助系统”,以便在驾驶员的监督下沿着高速道路行驶时完全控制车辆的位置和速度。这样,在某些类型的道路上,完全不需要驾驶员进行监督的车辆已成为常态,从这个意义上说,自动驾驶汽车早已出现在我们的生活中,只不过没有变成“无人驾驶”。日本是世界上拥有自动驾驶汽车相关技术专利最多的国家(第二到第五分别是韩国、德国、瑞典和美国),而在互联网相关技术上它并不占优势。这便涉及自动驾驶汽车的两个不同发展方向:汽车智能化和网联化。
单车智能化和网联化代表了智能网联汽车发展的两种不同路径,这两种路径并非技术本身的逻辑导致的,而是由自动驾驶技术研发和商业化的主要参与者的既有优势和利益所决定的,是一种“路径依赖”或“锁定效应”。更符合技术逻辑的发展方向当然是“智能化+网联化”相融合,最终使系统能够替代人类执行全部驾驶任务。
智能网联汽车标准体系的构建,在智能化方面前期以先进驾驶辅助系统(ADAS)技术和应用为重点,逐步扩展到自动驾驶(AD);在网联化方面以车内硬件、软件接口、车内通信协议为重点,考虑车辆与外界进行信息交互的通信协议及界面接口,同时使车辆融入在我国作为“新基建”之重要组成部分的智慧交通基础设施之中,实现车路协同,以出行即服务(MaaS)、交通即服务(Taas)等交通资源调配方案来真正发挥自动驾驶技术改善总体交通状况的潜能。
目前参与自动驾驶技术研发和商业化模式探索的主要有三类企业:一是沃尔沃、奔驰、大众、一汽、上汽等传统汽车制造企业;二是滴滴、优步(Uber)、来福车(Lyft)等网约车公司;三是百度、谷歌等以前从未造过车的互联网巨头。第一类企业致力于发展单车智能,实际上是进一步提升已有驾驶辅助系统的自动化和智能化水平,在不影响现有市场占有率的同时进一步拓展未来市场。而后两类企业志在弯道超车,抢先占领即将被自动驾驶技术洗牌的全新汽车市场,这是一个据估计到2026年规模会达到5500亿美元的庞大市场,在其中,作为“系统开发者”的互联网企业据说将完全取代、兼并或者至少是超越传统车企。
我国发展自动驾驶汽车技术和相关产业方面的比较优势在于网络通信基础设施(包括5G通信网络)或者更广泛意义上的数字基础设施,以及上述毕马威报告中提到的网约车出行模式的普及等,因此选择网联化发展道路是必然的。实际上,我国现有的涉及自动驾驶汽车的规范性文件在标题中用到的概念都是“智能网联汽车”,如《智能网联汽车道路测试与示范应用管理规范(试行)》(以下简称“测试规范”)。
《深圳经济特区智能网联汽车管理条例(征求意见稿)》(以下简称“深圳条例”)给“智能网联汽车”下了一个明确的定义:“本条例所称智能网联汽车,是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等进行智能信息的交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现安全、高效、舒适、节能行驶,并最终可实现替代人操作的新一代汽车。”
但在具体的规范内容上,它们却未能针对“智能网联”这一特征而确立相对完善的数据处理相关规则,比如“测试规范”中基本没有数据方面的规则。虽然我国已经有了比较完备的网络安全、数据安全和个人信息保护方面的法律规范体系,而且其中有专门针对车辆数据的《汽车数据安全管理若干规定(试行)》,但这些规范显然没有将自动驾驶汽车考虑在内,这一点下文会有专门论述。主要原因恐怕是缺乏国家战略层面的交通立法顶层设计。在这个方面,德国经验颇有参考价值。
与日本一样,德国的比较优势在于汽车制造业。不过,德国的战略考量更加着眼于未来,而不是固守于过去。作为现代汽车工业的发源地和汽车制造业大国,德国很早就意识到未来交通不再属于制造业,而属于信息产业。这从德国联邦政府交通主管部门的名称变化上就可以看出端倪。1949年西德成立联邦交通部,1998年德国交通部与联邦区域规划、建筑及都市发展部合并,变成联邦交通、建筑及住宅部,2005年又改为联邦交通、建筑及都市事务部,2013年再改为联邦交通和数字基础设施部。这体现了决策者的洞察力:与物理空间规划的关联更为紧密的交通,逐渐变成与数字基础设施的关系更为紧密。
2017年8月,德国议会通过了《设立机动车道路和其他联邦公路基础设施公司的法律》,创设了一个基础设施公司,联邦交通和数字基础设施部将自己承担的对联邦道路进行规划、建设、运营、维护、出资和资产管理的联邦任务委托给这家私法上的公司(即公司化运营的国有企业)。
2021年7月,德国联邦议会通过《修订道路交通法和强制保险法的法律—自动驾驶法》(以下简称德国自动驾驶法),其中有专节规范数据处理(§1g),而这个部分的第一条就要求具备自动驾驶功能的汽车的所有权人保存汽车的状态数据和行驶数据,并传送给交通基础设施公司。数据是数字基础设施的基础,这些数据可以帮助交通基础设施公司实现其功能,完成其使命,更好地服务于德国民众。同时,当联邦执法部门需要履行其执法任务(如进行事故调查)时,也可以从公司的数据库中调取相关数据。
相较之下,我国的自动驾驶相关立法缺乏以数字基础设施为着力点的通盘设计。
深圳条例虽然是一部正在起草过程中的地方性法规,但其中第6条所规定的多头监管格局也反映了全国的情况,即主管机关的多元化:“市交通运输部门负责组织开展智能网联汽车道路测试和示范应用工作,承担智能网联汽车道路运输管理工作。市工业和信息化部门负责组织制定智能网联汽车产品地方标准,承担智能网联汽车产品准入管理工作。市场监管部门负责批准和发布智能网联汽车产品地方标准,承担智能网联汽车认证、检测及缺陷产品召回等监督管理工作。市公安机关交通管理部门负责智能网联汽车登记和道路交通安全管理工作。市互联网信息部门负责统筹协调智能网联汽车网络安全、数据安全和相关监督管理工作。其他有关部门在各自职责内开展智能网联汽车监督管理工作。”虽然有着众多的管理部门,但却没有哪个部门负责智能网联汽车和智慧交通数字基础设施的建设。
条例虽然有专章规定“网络安全和数据保护”(第五章),但在这一章短短五条当中,却遗漏了很多关键的内容。比如,在数据开放共享方面,仅规定“智能网联汽车运营企业申请并经公安机关交通管理部门同意,可以获取与其智能网联汽车产品相关的道路违法、交通事故等脱敏数据信息”。这种企业可以获取公共数据而公共部门却无法律依据在执法需要之外获取汽车数据以打造交通数据基础设施的制度安排,不太符合我国宪法中关于国家性质、国家任务的规定,在公共服务数据公有化和开放共享方面,力度不及作为“社会国家”的德国。
中共中央、国务院于2019年9月印发的《交通强国建设纲要》将“加强智能网联汽车(智能汽车、自动驾驶、车路协同)研发,形成自主可控完整的产业链”作为重要的发展目标,但这一政策目标的实现尚未得到法律的有力支持,尤其是促进智能网联汽车数据开放共享的法律完全缺位。
在这个方面,行业协会目前正在发挥一定的作用。比如,中国汽车工程学会牵头发起成立了中国智能网联汽车产业创新联盟,该联盟组建了经工信部批准成立的国家智能网联汽车创新中心,该中心搭建的中国智能网联汽车基础数据服务平台是一个行业开放共享平台。但由于缺乏法律的支持,数据的贡献完全依靠企业的自愿,缺乏智能网联汽车道路测试和示范区实际运行的数据。
考虑到我国交通运输、网络基础设施、网络安全、道路交通秩序等分属不同部门管理的现实,即便无法参考德国模式由一个部门和一家基础设施公司来搭建自动驾驶汽车公共数据平台,至少可以参考英国模式——英国交通部和商务、能源与产业战略部于2015年合作成立了跨部门的网联与自动驾驶汽车中心(The Centrefor Connected and Autonomous Vehicles, CCAV),负责统筹实施英国的“未来交通战略”,包括统筹和协调相关数据共享安排。
过程化的自动驾驶汽车数据法治道路
一方面,自动驾驶汽车已经被普遍认为代表着汽车工业的未来,同时也是解决交通拥堵和环境污染、实现碳中和等问题的有效手段;另一方面,自动驾驶汽车上路面对着普通民众关于安全和隐私的担忧以及政府关于能否有效监管的顾虑。对于这样一种不得不推进但又是在顾虑重重中推进的事业,我们可以采取一步一步往前走的循序渐进方案,而不是试图一劳永逸地制定出一部或几部法律来解决所有问题。实际上,这也是我国目前正在采取的方案,只是由于思路没有理清,所以把很多自动驾驶汽车全面正式上路后才需要落实的规则搬到了道路测试和试运行阶段,混淆了“试验”鼓励创新目的与日常状态下维护秩序和保护个人权益目的。
在试运行阶段,鼓励技术创新、探索改变现状的智能出行方式等公共利益考量应当占居主导地位,正如任何科学试验和社会试验一样,采集数据是关键,只有在丰富的数据基础上,我们才有可能验证技术和商业模式的有效性,评估成本和收益。
在这个阶段,我们有理由推定用户是勇于尝试新鲜事物、接受创新价值的人,具有较低的隐私预期和较高的风险承受度,并且免费或成本价收费是对他们的回报。在这个阶段,我们并不清楚为实现自动驾驶功能而需要的“最小必要”数据是哪些和多少,因此需要采集所有技术上必要的、不属于隐私和敏感个人信息的数据,从而为日后澄清和厘定“必要”数据的边界提供数据支撑。当我们适用《个人信息保护法》中最小必要原则的时候,是假定我们知道提供某种产品或服务时哪些数据是必要的。但对于采用新技术的产品和服务,整个社会其实都并不具备这方面的知识或共识。
当然,在这个阶段也不能绕开《个人信息保护法》中所规定的知情—同意规则,运营商可以在一份提供给用户的手册或知情同意书中列明所要采集的个人信息,让人们在知情的前提下选择进入(opt-in),而不是让人们自己发现问题并选择退出(opt-out)。不过,在手册或知情同意书中应当解释车辆所采集的大部分数据与个人信息无关,比如车辆标识、车辆控制模式、位置信息、路况信息等,避免造成不必要的担忧。
在自动驾驶状态下,数据冗余是实现安全驾驶的前提条件,从技术上讲我们很难判断获取多少数据是“必要的”。为了在不牺牲车辆安全性能的情况下避免个人信息被不合理的利用,可以考虑的是数据的传输方式和使用方式等数据流管理方案,而不是目前个人信息保护法框架下的采集端管理方式。对数据采集方式的控制适合于身份信息保护,而不适合于行为数据保护,自动驾驶汽车涉及的数据大部分都是行为数据,但目前我国的数据治理相关立法采取的却是身份数据保护的思路,因此难以适应自动驾驶汽车的应用场景。
我国目前规范自动驾驶汽车测试的主要规范是《智能网联汽车道路测试与示范应用管理规范(试行)》,其中没有任何关于数据治理的条款。然而,测试的主要目的是研判自动驾驶技术的安全性、可靠性和效能,正如所有的试验一样,所有这些研判和评估都需要以数据为基础。在上述自动驾驶成熟度指数排名中名列第一的新加披就把安装捕捉和存储传感器数据及视频的设备并按要求将数据传送给陆路交通管理局(LTA)或其指定的第三方作为获得测试拍照的法定条件。陆路交通管理局会利用这些数据来决定下一步的公共政策和立法建议,以及评估某一品牌、某一型号的自动驾驶汽车是否安全可靠。
在我国,即便是在发生交通事故的情况下,也没有要求制造商或系统开发商提供数据的法律规则,这是一个非常明显而严重的法律漏洞。比如,在引起广泛关注的高某斌诉特斯拉中国销售商案中,特斯拉一开始辩解说无法确定高某宁驾驶的特斯拉ModelS汽车在事故发生时是否开启了自动驾驶系统,因此无法确定高某宁是否是因为过度信赖了特斯拉对自己的自动驾驶系统的宣传而导致了事故。在这一类案件中,原告与被告之间存在严重的信息不对称,所有的车辆数据都掌握在车商手中。因此,法律要求车商提供数据是有效执法的必然要求。
特斯拉于2020年推出了完全自动驾驶系统(Full Self-driving, FSD),并于2021年将其升级为Beta版,新增了路口转弯、礼让行人、通过环岛、狭窄路段自动折叠后视镜等功能。由于这个系统是可选项,特斯拉不是作为自动驾驶汽车在市场上销售,也未经过道路测试等程序。这种以L4甚至L5级别的完全自动驾驶功能为标榜,却以用户选择的形式伪装成传统汽车大规模销售的模式,实际上为特斯拉抢先占领了受各国法律严格规制而无法大规模市场化的自动驾驶汽车市场,帮助特斯拉变成了全球最大的车企。在法律上需要明确界定自动驾驶汽车,避免浑水摸鱼。
正如我在另一篇文章中写道的,“法律是社会的公器,它必须基于对社会上各种元叙事的二阶观察,找到符合公共利益的社会关系调整方式”,而不能被资本家编织的天花乱坠的故事牵着鼻子走。在这个方面,日本《道路运输车辆法》和德国自动驾驶法中的定义方式有助于杜绝特斯拉式的浑水摸鱼,这两部法律都未使用“自动驾驶汽车”或“智能网联汽车”这样的概念,而使用的是安装了自动驾驶装置(自動運行装置)的汽车或具有自动驾驶功能的汽车(Kraftfahrzeugs mit autonomer Fahrfunktion)概念。这些其实都需要按照自动驾驶汽车而不是传统汽车的规则来管理。
缺乏测试阶段的强制性数据上缴或数据共享规则会导致试验流产,因为政府没有数据来评估试验的成败,在这一点美国匹兹堡市有过惨痛的教训。2016年,美国宾夕法尼亚匹兹堡市允许Uber在该市试运行自动驾驶出租车,但要求Uber与市政府分享试运行期间搜集到的数据,但Uber拒绝兑现承诺。该市市长比尔·佩杜托(Bill Peduto)后来在一次访谈中说:“无论Uber和Travis Kalanick想要什么, 我们都提供了。但对于我们关于这个行业将如何改善民生、环境和本地交通方面的远景规划,它拒绝提供任何帮助。”
数据共享问题是自动驾驶汽车上路前要解决的关键问题。在2016年3月美国国会就自动驾驶问题举行的听证会上,杜克大学的米西·卡明斯(Missy Cummings)指出: 要给运营自动驾驶汽车的任何企业颁发牌照,一个先决条件都必须是它需要让政府获取关于试运行期间车辆获取的数据。但不幸的是,所有的企业都拒绝这样做,它们的理由是这些数据是它们的核心商业秘密。但实际上这个辩解是站不住脚的,因为保护商业秘密的目的在于防止竞争对手获取不当优势, 保护公平竞争,而政府获取数据是为了全面评估自动驾驶汽车的安全性以及它对公共利益的影响,并不是为了同企业竞争。如果政府无法获得这些数据,就无法制定相关的法律和公共政策。“它们应当公开这些数据供专家验证。”
功能主义的数据治理
关于新技术法律规制的讨论往往以法学家们自己关于技术的常人想象作为问题意识的来源。比如,在一篇讨论自动驾驶汽车能否符合欧盟《一般数据保护条例》(GDPR)之要求的文章中,作者提到车辆的数据记录仪可以通过座位设置来获知乘客的“体型”。 这一描述很容易触动读者的神经,让对自己的体型很敏感的人马上觉得这简直太可怕了!且不说大多数自动驾驶汽车都不会获取乘客的体型信息,而那些获取这种信息的车辆主要是为了自动化调整乘客的座位空间,增加乘坐舒适度,而这种功能是可供用户选择的,可以随时关掉,单是获得体型数据这一点完全不值得我们去担心,因为这个数据并不会自动与“已识别或可识别的”个人关联起来。
关联与否也取决于技术设置所要实现的功能。比如,对于一辆私家车而言,每天乘坐的人比较固定,为了避免每次上车都去调整座位,使整个车内空间变得为车内每一个乘客“量身定制”,这显然是大多数人都想让自己的车具有的功能。
为了实现这一功能,获取体型数据并关联于特定个人显然是必需的。这种数据一般是车内处理的,不会传输到外部服务器。即使传输到了车商的服务器,也是做大规模数据分析以改善产品性能的用途,没有哪个车商会关注无数个用户中某个人的体型。退一步讲,即使有哪个无聊的车商了解了某一特定用户的体型并泄露了相关数据,现有的法律也完全可以提供救济。而对于自动驾驶的公交车而言,一方面大概率不会有采集乘客体型信息的传感器,另一方面每一位乘客的体型都是其他乘客肉眼可见的,算不得什么隐私或个人敏感信息。
表1 自动驾驶汽车采集和处理的数据类型
从上表可以看出,为实现自动驾驶功能而采集的数据大多数是与个人信息无关的车辆状态和行为数据以及环境数据。而涉及个人信息的数据是为了实现与基本自动驾驶功能无关的特定功能, 比如电子召唤(在发生事故或突发疾病的情况下召唤医生或救护车) 、远程云代驾(系统自动送乘客到特定地址)或车上娱乐功能, 为实现这些功能而采集个人信息需要单独征得乘客同意。
正如数字技术的其他应用领域那样,自动驾驶汽车(尤其是其中的智能网联汽车)的特点使得按照传统主观权利保护模式来保护数据权益一方面文不对题,无法回应技术应用的基本现实,另一方面又会阻碍技术创新和经济发展。无论是用人格权保护模式(《民法典》和《个人信息保护法》均采用这种模式)还是财产权保护模式(《上海市数据条例》和《深圳经济特区数据条例》当中有这方面的尝试) ,都只涉及了数据处理中的纵向关系,即数据处理者与数据主体之间的关系。
但数字技术最广泛的使用方式是通过从无数个数据主体那里获取数据来得出适用于一定范围人口的行为规律或模式。换句话说,数据处理者从乘客甲乙丙丁那里获取数据,并不是为了针对甲乙丙丁做些什么,而是为了找出他们的行为规律,从而针对与他们属于同一群体的一群人提供服务,这个群体中包括其个人信息未被采集的张三、李四。(见图1)更何况,自动驾驶语境中的甲乙丙丁在多数情况下不是人,而是车。
数据处理者从特定车辆获得传感器采集到的数据,进而训练算法,优化程序,从而使自动驾驶系统能够在更复杂的环境和路况下安全高效地行驶。这种横向关系是一种无法被吸收进现有法律关系的外部性,需要公权力介入来加以规制,以避免有损公共利益、个人权利和平等、正义等社会基础价值的事情发生。“单独同意”规则的起草者们所设想的个人信息可能是身份证号码、个人肖像、电话号码、家庭住址等,但几乎没有哪个互联网企业需要通过获取这些信息来提供个性化推荐。
简单地说,主流互联网企业所利用的是行为数据,而不是身份信息。用保护身份信息的思路来规制行为数据的利用,似乎有欠妥当。有论者指出:虽然我国现行立法明确了“识别”作为认定个人信息的核心要素,但信息技术的模式创新往往走在立法之前,“可识别”绝不可简单理解为关联性、相关性、身份读取等文义,而是应当根据商业实践的前沿数据处理活动来调整“可识别”的具体内容。
这并不是要求个人信息保护让位于数据商业化使用,而是重申固守信息自决权式的保护模式无法满足数据要素市场化实践需求, 应当真正贯彻《个人信息保护法》开宗明义提出的“保护与利用并举”理念, 以合理且可预见的“可识别”标准为基础, 寻求自然人与信息处理者在权利保护和信息商业利用之间的平衡。
图1 自动驾驶汽车中的数据法律关系
因此, 从功能主义的视角出发, 我们应当考虑自动驾驶汽车采集和处理数据所要实现的功能。对于专门针对个人的功能,比如调整座椅舒适度,如果实现这种功能需要采集个人信息,则需要满足知情同意、最少必要等个人信息保护法中的规则。对于不专门针对个人的功能,比如优化算法、找出路况规律等,一般情况下无须采集个人信息,而需要采集大量车辆、路况和环境信息,这时主要应当适用的是公法规则,包括网络安全和数据安全规则,也包括确保智能交通系统公平、普惠地造福于全体国民的宪法原则。
这时,我们需要考虑用法律引导车辆数据进入有利于监管、有利于实现开放共享的公有架构。
分层次的数据治理
2021年12月17 日,工信部网络安全管理局发布通报称:“阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。”阿里云计算有限公司未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后, 根据阿里云整改情况, 研究恢复其上述合作单位。这则消息后来被媒体演绎为“阿里云发现漏洞先通知美国”。
其实,阿里云发现Log4j2组件存在严重安全漏洞隐患后,首先向该软件的供应商阿帕奇报告并无不妥,但它未能履行《网络产品安全漏洞管理规定》第7条第2款规定的两日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息的义务, 因此受到相应处罚是必然的。自动驾驶汽车也涉及网络安全和数据安全问题,受《网络安全法》和《数据安全法》的约束。其处理的数据如果涉及个人信息,也受《个人信息保护法》的约束。
我国在这两个领域已经有较为完备的法律、法规体系。需要加强的是促进交通数据基础设施建设和推动数据共享的立法工作。同时, 行业标准的制定虽然已经取得阶段性成果,但仍需进一步推进。
(一)车辆数据安全保障法治
习近平总书记2016年10月9 日主持中央政治局第三十六次集体学习时的讲话中提出要“大力发展核心技术,加强关键信息基础设施安全保障,完善网络治理体系”。网络数据安全立法 是我国数字时代立法中最为成熟、最为完备、最为系统的门类,从《网络安全法》和《数据安全 法》等法律到《关键信息基础设施保护条例》等 行政法规,再到《网络安全审查办法》等部门规章,以及正在制定的《数据出境安全评估办法》等,已经形成完整的网络数据安全保障法律体系。
法律文本中虽然未对“关键信息基础设施”作出明确定义,但《关键信息基础设施确定指南(试行)》(以下简称指南)中却填补了这个空白: “关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重 要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正 常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。”
按照这个定义以及指南提出的按关键行业、关键业务、关键设备来界定范围的方法,自动驾驶汽 车所涉及的数据处理中心、车路协同系统、智能交通系统等等显然属于关键信息基础设施,受到最严格的安全监管,相关运营者承担着维护网络和数据安全的严格法定义务。
在数字化生存环境中,靠基于空间想象、明确划分私人空间和公共空间、以知情同意来界定个人信息可否被他人知晓的隐私权保护模式保护个人数据已经变得既不可行, 也不可欲。一方面,即使我们没有意识到自己在“上网”,我们随身携带的智能手机等智能设备以及车辆、环境中遍布的传感器也在将关于我们的信息以数据的方式加以采集,传送到某个服务器,供系统进行分析和处理;另一方面,这种分析和处理不是为了针对作为个体的我们做什么侵害我们人格和财产权益的事情,而是用汇集成“大数据”的无数个人数据来训练算法,获得关于“人口”的知识,掌握购物偏好、出行方式、上网时间等行为规律, 从而实现具有规模效应的有效管理或商业模式设计。
对个人权益的损害往往是系统漏洞和数据泄露造成的,而不是正常使用造成的,属于技术安全问题,很难用个人权利保护的方式来解决。在这种总体环境中,对个人信息的最有效保护不是在采集端,而是在使用端,因此安全与权利已经变得密不可分,维护数据安全已经不单是为了维护国家的管理秩序和公共利益,而且也是为了保护个人的权益。
正因如此,我们看到我国的个人信息保护条款最早是出现在《网络安全法》中。在我国的网络和数据安全法体系中,“大量个人信息”在我国的数据分级分类体系中属于“重要数据”,与涉及国家安全的核心数据和重要数据同样受到严格保护,比如2022年2月15 日起实施的修订后的《网络安全审查办法》第7条规定:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
(二)车辆数据处理中的个人信息保护法治
《民法典》中的隐私权和个人信息保护条款以及《个人信息保护法》显然适用于自动驾驶汽车数据问题。网信办等五部委于2021年8月16日公布的《汽车数据安全管理若干规定(试行)》(以下简称汽车数据规定)虽然是根据《网络安全法》和《数据安全法》制定的,但其中的很多条款是将《个人信息保护法》的基本原则适用于汽车数据处理。
其中关于个人敏感信息的处理规则(第9条)在自动驾驶汽车数据处理上也具有可适用性,比如目的合理、显著方式告知、取得单独同意、提示收集状态、便利终止、按个人要求及时删除以及对生物识别信息的加强保护:“汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。”
但自动驾驶汽车为实现其功能而需要收集和处理的个人敏感信息是非常有限且可控的,其所处理的大量数据不属于个人敏感信息、甚至不属于个人信息。虽然这些信息如果被算法加以关联和整合,或许可以指向已识别或可识别的个人,但这种操作需要有接入权的人或黑客才能进行, 属于极小概率事件。对于小概率事件,适合采用损害救济而非预先防控的法律手段来应对。
然而,汽车数据规定却恰恰采取了预先防控的方式,使得相关规定很难适用于自动驾驶汽车,尤其是智能网联汽车(但从规范意义上讲又不得不适用)。比如第6条所规定的车内处理原则(除非确有必要不向车外提供)和默认不收集原则(除非驾驶人自主设定,每次驾驶时默认设定为不收集状态)。要知道我国自动驾驶汽车技术发展的主导方向是智能网联汽车,《智能网联汽车道路测试与示范应用管理规范(试行)》和《深圳经济特区智能网联汽车管理条例(草案)》等已经出台或正在制定的部门规章和地方性法规都以“智能网联汽车”为标题,而智能网联汽车的基本特征就是车联网,数据在车外处理。汽车数据规定第6条的内容显然无法与国家政策和智能网联汽车相关法规有效衔接。
(三)交通数据基础设施建设与数据开放共享法治
如前所述,我国自动驾驶汽车和智能交通相关法治建设的短板是促进数据开放共享的法律制度。在数字经济的其他领域,既成的事实是私人企业出于追求利润的目的打造了巨型的数据平台,而后政府依托这些平台来提供公共服务,比如对防疫起到关键作用的健康码和行程码就分别依托阿里的支付宝平台和腾讯的微信平台。这种模式虽然是既定的事实,但并不是合理的,而且会给政府履行对公民的保护义务对平台企业进行规制和监管造成困难。
显然,如果整个政府的电子政务都依托阿里提供的云服务,政府的公共卫生举措需要依靠阿里和腾讯,政府就显然无法公允而中立地对自己所依托的对象秉公执法。在自动驾驶领域,类似的趋势正在形成,但通过法治化手段来扭转这一趋势的契机尚未消失,因为自动驾驶汽车毕竟还没有大规模量产和普及。
在自动驾驶领域,百度目前是数据基础设施的主要营造者。按照百度公司自己的宣传,它的阿波罗平台是对所有开发者开放的完整、安全的自动驾驶开源平台。开发者可以在其上共享数据,开发算法,验证系统安全性。同时,百度不仅已经成为自动驾驶系统开发商和车商,还在致力于营造整个智能交通环境,比如设计和制造适应自动驾驶汽车上路的交通灯,设计和制造车路协同的总体方案和相关设施,提供使用自动驾驶汽车的共享出行商业模式(如Apollo Go)等。
试想,如果百度的整个未来交通布局在未来都变成现实,就像阿里和腾讯对网购、在线支付和社交媒体的垄断已经变成事实那样,作为国有资产的道路和作为公共事业的交通就不复存在了。资本雄厚的互联网巨头一开始会投入大量资源打造基础设施,补贴用户,培育人们对其服务的黏着度和依赖性,赶走竞争对手,而一旦垄断地位形成,便会随意定价,损害用户利益,这是我们在网购、网约车等领域屡见不鲜的情况。企业需要追求利润,回报投资者,这是理所当然的,也是受法律保护的。我们没有理由期待私人企业以提供普惠的公共服务为己任。
作为基本公共服务,交通事业可以借助私人企业的力量,但政府必须保持作为主要服务提供者和监管者的角色和相应的能力。在算力即权力的数字社会现实中,打造政府主导的车辆和交通数据平台是保持这种角色和能力的前提条件。只有这样,政府才能成为车辆和交通数据的“看门人”,解决私人企业作为数据看门人很难解决的不正当竞争、交互可操作性缺失、创新激励递减等难题。
(四)行业标准
中共中央、国务院2020年3月发布的《关于构建更加完善的要素市场化配置体制机制的意见》中明确提出要“发挥行业协会商会作用,推动人工智能、可穿戴设备、车联网、物联网等领域数据采集标准化”。如前所述,自动驾驶汽车实现其功能所需的数据类型和数据量是一个专业判断的问题,体现行业共识的行业标准是整个未来交通法治轨道的枕木和基石。
《深圳条例》第15条和第16条分别规定了地方标准和“团体标准”的制定机制,确定工信部门作为制定地方标准的部门,市场监管部门作为批准、发布地方标准的部门。而部门标准则由企业、机构、院校的专业人员制定,报工信部门备案, 并向社会发布。
在全国范围内,中国汽车工业协会制定的《智能网联汽车数据格式与定义》、中国汽车工程学会制定的《智能网联汽车场景数据图像标注要求与方法》和《智能网联汽车激光雷达点云数据标注要求及方法》等已先后发布。
结论
对于自动驾驶汽车来说, 前方的道路是用数据铺成的。智能网联汽车是我国自动驾驶技术研发和应用的主要方向,这种汽车形成的车联网将会成为物联网的重要组成部分。
在车联网中,车与车之间通过低迟延的无线网络进行通信(V2V),所有的车都与交通基础设施(道路、交通信号灯等)进行通信(V2I),同时,相关的车辆状态和行驶数据会传送到远端服务器,进行集中化的处理,以实现车路协同、交通资源有效调配乃至特殊情况下的远程云代驾等功能。在这个未来交通图景中,物理空间的交通与数字化的信息变得密不可分,数据法治也应当成为交通法治的重要组成部分。
然而,我国目前虽然已经有了日渐完备的数据相关立法和交通相关立法,但两者之间的关联性较弱,缺乏有针对性的、兼顾创新需求和权利保护的交通数据立法,尤其缺乏促进车辆、道路和交通运营数据开放共享的立法。只有数据法治和交通法治的双向奔赴和水乳交融,才能为未来交通铺平法治化的道路。
中国法律评论
我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。
《中国法律评论》唯一投稿邮箱:
chinalawreview@lawpress.com.cn
中法评微信公众号投稿邮箱:
stonetung@qq.com
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216