低空经济是新质生产力的代表,是指以各种有人驾驶和无人驾驶航空器的各类低空飞行活动为牵引,辐射带动相关领域融合发展的综合性经济形态。民用无人驾驶航空器(下文称“无人机”)是当前低空经济中的主导产业,无人机产业与地理测绘、末端配送、支线物流、航拍摄影等多产业端的融合创新和应用,也同时推动着相关法律法规的出台和完善。
数据作为新型生产要素,是数字化、网络化、智能化的基础,无人机产业在研发、制造、应用同样涉及大量数据收集、处理、储存等行为。本文将从无人机产业链视角切入,探讨低空经济产业中的数据合规问题。数据合规指的是企业或组织在处理和使用数据时,确保符合相关法律法规、行业准则和标准的规定。2017年《中华人民共和国网络安全法》施行,2021年两部数据领域核心法律《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》出台,各层面数据立法全面启动,监管部门配套政策、各项国家标准也陆续推出。除国家层面外,上海、深圳、苏州、厦门等地区亦针对数据安全出台了相应的数据条例。
伴随着低空经济的发展,2024年1月起实行的《无人驾驶航空器飞行管理暂行条例》《民用无人驾驶航空器运行安全管理规则》等亦对无人机产业企业提出了相关要求。
无人机产业中涉及到的数据,包含了无人机设计、生产、销售、航行、适用、运维等过程中的各类数据,其中最为普遍和重要的即为测绘数据与个人信息。企业该如何对此类数据进行数据合规管理呢?
依照《无人驾驶航空器飞行管理暂行条例》第三十五条之规定:“使用民用无人驾驶航空器从事测绘活动的单位依法取得测绘资质证书后,方可从事测绘活动。外国无人驾驶航空器或者由外国人员操控的无人驾驶航空器不得在我国境内实施测绘、电波参数测试等飞行活动。”据此,无人机拟采集测绘数据首先需取得测绘资质,而外资无人机企业可能无法从事相关业务。使用无人机测绘时收集到的相关数据包含有地理信息、资源信息、图片信息等测绘数据。而这些数据可能一旦遭到泄露或者非法获取、非法利用,可能危害国家安全及公共利益。故利用无人机测绘收集、分级、加密储存均应符合法律法规的要求,下文简要列举测绘数据合规的方式以供参考:《无人驾驶航空器飞行管理暂行条例》第二十八条规定,“无人驾驶航空器飞行活动申请按照下列权限批准:(一)在飞行管制分区内飞行的,由负责该飞行管制分区的空中交通管理机构批准;(二)超出飞行管制分区在飞行管制区内飞行的,由负责该飞行管制区的空中交通管理机构批准;(三)超出飞行管制区飞行的,由国家空中交通管理领导机构授权的空中交通管理机构批准。”无人机飞行及进行相应的服务(例如测绘、物流等)应当在批准的空间范围内进行,如违反上述规定,则会受到对应的行政处罚。参考数据分级基本框架,可将数据从高到低分成核心数据、重要数据、一般数据三个级别。认定核心数据的一般标准为数据一旦遭到泄露、篡改、毁损或者非法获取、非法使用、非法共享,直接对国家安全(如政治安全)、经济运行、社会秩序、公共利益造成特别严重危害或对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据。认定重要数据的一般标准为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。尽管目前暂无特定的无人机领域数据分类标准,但参照全国网络安全标准化技术委员会在2024年3月15日发布并将于2024年10月1日实施的推荐性国家标准《数据安全技术数据分类分级规则》(标准号:GB/T 43697-2024)附录G“重要数据识别指南”并归纳关于民用航空器的相关规定,我们可以理解在无人机领域中的重要数据很大可能将包含:1)如未公开的领陆、领水、领空等反映国家自然资源基础情况的数据;2)如满足一定精准度的地理数据;3)如重要生产单位、重点安保单位等反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置的数据;4)如未公开的与土壤、气象观测有关的能够反应自然环境、生产生活环境基础情况的数据;5)如未公开的水文观测结果、耕地面积或质量变化情况等资源储备情况的数据。未识别为核心数据、重要数据的其他数据,确定为一般数据。又可以根据数据泄露后对经济运行、社会秩序、公共利益或个人、组织合法权益等造成的危害程度,将一般数据从高到低分为特别严重危害、严重危害和一般危害三个级别并对应实施不同的管理制度。对于重要数据及核心数据,因其具有高度敏感性、关键性以及对国家、组织和个人具有重大影响,企业对其处理应当遵循严格管理的原则。我们建议企业采取一系列严格的安全措施,包括但不限于数据加密、访问控制、数据备份与恢复、安全审计等。重要数据相比核心数据可以采取更为灵活的管理方式,但同样需要确保数据的安全性和完整性。另外,储存并处理重要数据及核心数据的企业还需要根据相关法律、政策履行其数据安全保护的法定义务,例如《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”我们建议企业按照相关规定定期开展风险评估,并向有关主管部门报送风险评估报告。参考《数据安全技术数据分类分级规则》,对一般数据分级后可以考虑在企业内对应设置如下管理方式:1)特别严重危害级别:按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播;2)严重危害级别:仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权;3)一般危害级别:在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。无人机系统的用户所拥有和产生的数据,主要包括了用户身份相关数据、用户服务内容数据、用户服务衍生数据等。- 用户身份数据主要包括了用户自然人身份标识和证明或网络虚拟身份标识、用户基本资料及私密资料等信息,以及用网络身份鉴权信息;
- 用户服务内容数据主要包括了对用户提供的电信和互联网服务的内容数据、联系人信息等资料数据;
- 用户服务衍生数据主要包括了服务订购数据、行为数据、位置数据、征信或违规数据等用户衍生数据以及用户设备信息等数据。
无人机产业对于用户数据的收集主要来源于在无人机系统销售、使用过程中收集到的个人信息。具体包含无人机购买者或使用者及其联系方式、姓名、证件类型、证件号码、居住地址、产品序号、使用目的、个人设备信息、个人位置信息等。将无人机运用至物流方面则还会涉及到第三方的姓名、手机号码、详细地址等。企业在获取个人信息时应当取得个人同意,并应当保证个人系在充分知情的前提下自愿、明确做出同意,不得采取“一揽子授权”、强制同意等方式过度收集个人信息。根据《中华人民共和国个人信息保护法》要求,按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,可分为一般个人信息和敏感个人信息。其中敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,例如在购买无人机时可能涉及到的个人身份证、金融账户、各类账号的登录密码、交易过程中产生的交易信息和消费记录、保单信息、理赔信息等;在操作无人机时涉及到的个人指纹、面部识别特征、基于实时地理位置形成的个人行踪和行程信息以及个人设备信息。4.建全完善内部授权管理及加强数据安全保护技术手段为防止用户数据被员工窃取后非法利用,企业需要注重加强内部授权管理制度,例如企业在内部将数据分类分级后,针对不同类别级别的数据对于不同部门、职级的员工开放权限,做到员工被授权的范围内仅能查询到其最小范围且职权必要的用户数据。同时,我们建议企业推动技术部门加强技术保护手段防止数据外泄,例如采用先进的加密技术并定期检查处理防护漏洞,对数据加密处理,以防止数据泄露和非法访问;定期备份数据,建立数据恢复机制,以应对数据丢失或损坏的情况;加强安全审计和监控,实时监测数据的安全状况,及时发现并应对潜在的安全威胁。
企业不重视数据合规和数据安全,除可能导致自身经营风险和民事纠纷外,严重的甚至可能导致需承担刑事责任,而通过在企业内部建立有效的数据合规管理制度和合规体系,则能够有效防范此类风险的发生。根据现行法律规定以及相关技术文件,为便于无人机企业高效处理海量数据,激活数据要素潜能以及预先防控风险,我们建议企业在处理相关数据时,可以参考如下合规要点进行:
1.处理个人数据应当具有明确、合理的目的,遵循最小必要和合理期限原则,对于重要数据应当遵循严格管理的基本原则。
2.搭建数据合规体系。企业可以成立合规委员会并设立数据安全负责人,通过制定《合规委员会章程》《合规事项异议处理办法》《合规监察举报办法》等文件,初步形成体系性的日常合规事项管理制度,并通过合规培训、警示教育、合规专项月等形式,加强内部人员数据合规意识。
3.在数据处理层面,企业应当对数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。企业可以对数据资产盘点,制定重要数据识别制度,对敏感个人信息和重要的飞行数据加密储存,确保在收集、分析和使用的过程中处于有效保护和合法利用的状态,保障数据的安全性、完整性和合规性。同时,建议企业建立健全数据分类分级、风险检测、安全评估、安全教育等安全管理制度,保障内部数据不外泄;不断提升技术手段,保障数据不被窃取,全方位确保数据安全。
4. 时刻关注相关法律法规、各地政策,制定和更新企业内部审查合规制度。