央广网北京11月11日消息(总台央广记者周益帆)全国信息安全标准化技术委员会近日发布关于国家标准《信息安全技术 网络预约汽车服务数据安全指南》征求意见稿,征集期至2021年1月8日。征求意见稿编制说明中认为,网络预约汽车服务运营者积累了大量的数据,与用户个人信息相关的数据较多,保护任务重。
这一标准基于网约车数据和行业的特点,制定数据收集、告知同意、数据存储、数据使用和共享等安全管理和技术防护条款,可以起到实际的指导作用。日常交通出行中,选乘网约车已经非常普遍,征求意见稿的主要内容围绕哪些方面展开?网约车司乘双方又各持怎样的观点?
定位起点、输入终点,发送订单,有司机师傅接单后,司乘匹配成功,双方的信息就显示在了各自的客户端中。东北的顾师傅做滴滴司机已近五年,与乘客核对手机号、行程是开始行程的必要环节。他说,现在司机方看到的乘客信息非常有限。
顾师傅:现在能看到乘客的起点,到哪儿去。(除此之外),只有电话的尾号,姓什么也没有,照片没有,客户几乎是什么都没有,只是我们一上车就问他“你尾号多少号”,再问一下“是去哪儿的不?”就好比说,是从a点到b点的,我们这点能看到a点到b点,但是如果这个单子行驶完了以后,a点都不显示了,直接显示哪个区。
相比于司机端,用户能够掌握到的司机信息更为全面,记者在客户端打开了一个10月初的订单,接单师傅的姓氏、照片、车牌号、车型等仍可全面展示。
滴滴客服:打开订单,出行服务,里面是包含所有的订单。
记者:某一个订单的详细信息?
滴滴客服:可以看的,(或者)订单页面往前翻、下一页都可以查到的,里面会有信息的。
记者:这个页面展示的信息,(包括)车牌号,师傅的姓名还有车型?
滴滴客服:这些都有。
司机顾师傅觉得有时候自己的信息被过度展示了。
顾师傅:我的车牌号、头像都有,(感觉)过度采集……你坐车的时候,你牌照可能都有,这个单子一结束,你把牌照、姓什么,你也可以隐藏一下,你要是想找这个人,可以通过平台。
不过,从乘客的角度来说,也仍有一些信息采集与泄漏的担心。
浙江的韩女士:我们的信息每天都在暴露之中,我们的这种信息安全、各个方面有很多的隐患在里面,个人信息展现的时候,有时候会担心会不会这个时候自己的信息被泄漏了,还有就是自己个人身份的安全,比如绑定银行卡什么的。
对于网约车公司来说,应该采集司乘人员的哪些信息?公开哪些?信息留存多长时间?保存在哪里?一直以来没有明确的标准。
特别需要注意的是,从2018年9月及11月,滴滴在网约车业务中分别试运行了全程录音及录像功能。尽管滴滴方面表示,这一切都是在加密保存数据、保障司乘隐私的前提下进行的,但仍然引发了人们对隐私被过度采集的担忧。
司机顾师傅:它就像行驶记录仪似的,属于联网的一个行驶记录仪,交了699块钱,装上以后里边可能有个卡在我们风挡上贴着,能照到(车)里边,(也)能照到(车)外边,然后他是录多少个全部都上传,如果有事他会翻出来,我们手机能翻出来的就是车外的,就跟行车记录仪似的。但是滴滴照的我们车内的,他们(说)是隐私,不给我们看的,它说在行驶中照,我们不开单的时候不照。
《信息安全技术 网络预约汽车服务数据安全指南》征求意见稿在一定程度上明确了网络预约汽车服务运营者开展服务时数据收集、存储、使用、共享、公开披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求。因此,这份指南也被人们称为网约车数据安全的国标。国标中具体规定了哪些内容?还需要从哪些方面完善?
乘客韩女士认为,国标的出台十分有必要。
韩女士:现在网约车在老百姓生活中应该是一个必需品,如果能有一个国标统一规定的话,我觉得应该是对信息安全有更好的保障。
用户的担心并不是空穴来风。今年10月末,工信部向社会通报了131家存在“侵害用户权益行为”APP企业的名单,其中叮嗒出行、东风出行、T3出行、快狗打车等网约车客户端因违规收集个人信息,强制、过度、频繁索取权限等原因被通报。
东南大学交通法治与发展研究中心执行主任顾大松表示,从国家的标准化建设、网约车行业的发展来说,也已经到了必须要出台这样的标准的时候。
顾大松:因为按照标准化法,它现在没有国家的标准,而这个领域实际上跟我们的生活密切相关,而且(涉及)庞大的就业群体和众多的出行企业。最近工信部有对APP的一个强制下架的提法,现在就是说,前期的行业的规范不够,一些法律法规的、一些技术上的要求,特别是信息保护的要求,(如何)用在自己APP的设计方面,其实可能没有统一的行业标准,导致出现了这样的一个状况。
此次征求意见稿中提出,网络预约汽车服务运营者在收集用户个人信息前,应告知用户并征得用户同意;订单匹配后,可向乘客展示的驾驶员信息包括驾驶员姓氏、头像、实时位置、车辆信息、评价信息,向驾驶员展示的乘客信息包括乘客手机号码最后四位、评价信息;网络预约汽车服务运营者通过界面展示乘客和驾驶员个人信息的,应对需展示的个人信息采取去标识化处理;驾驶员APP生成的行程录音应该在上传后完成删除,平台方收集的行程录音一般保存期限为7日;录音录像的使用必须经过审批;不应该滥用大数据分析技术手段等。
顾大松认为,此次征求意见稿的亮点在于对最小必要个人信息做出了规定,用户如果拒绝提供必要最小个人信息以外的信息时,网约车服务运营者可拒绝提供对应可选业务功能,但是不能拒绝提供网络预约汽车这项基本服务。顾大松同时认为,在征集意见期间,还应考虑第三方共享用户信息的问题。
顾大松:它提到了,但是没有突出,我们网约车里面有一个非常突出的内容,就是通过第三方来做的聚合平台,比如说有些地图类的产品,它都可以接入网约车的平台来叫车,聚合平台和平台公司和巡游出租汽车之间有信息的衔接,而衔接过程当中有很多环节,这个环节、过程当中的信息的收集,这种共享或者是利用,这里面的一些安全保护的问题或者规范利用的问题,我认为可能还是要深化的,其实应该突出。
此次征求意见稿的完成时间为2020年10月30日,11月9日开始征求意见,意见收集期截止到2021年1月8日,在此过程中,这份网约车数据安全的国标还将有哪些更新?它的最终落地能为网约车行业的信息安全带来哪些约束?中央广播电视总台中国之声将持续关注。