张亚男 腾讯公司法律顾问
黄晓林 腾讯公司个人数据合规总监
随着无人机商用市场的发展和普及,无人机开始进入寻常百姓的视野,成为大众消费的新兴宠儿。无人机开发和应用场景逐渐多元化,随之带来的隐私问题不可忽视。美国在该领域的立法和监管有了初步的尝试,相关公私部门和社会公众已经意识到无人机应用带来的隐私风险。我国的立法和监管仍存在空缺,但是,没有悬念的是,随着这一块隐私问题的突显,立法和监管措施都会逐渐完善和建立。无人机产业各环节的企业应当重视产业发展带来的隐私问题,未雨绸缪,做好合规准备。
民用无人机市场的发展现状
民用无人机市场规模指数增长
近年来无人机行业迎来井喷,根据美国《航空与太空技术周刊》刊登的分析报告,世界无人机将在2024年达到673亿美元市场规模。预计今年美国将售出超过100万台无人机,并且以20-30%的速度在未来数年递增。无人机一直是军用为主,不论是伊拉克战争还是好莱坞大片,无人机在执行军事任务方面起到了不可替代的作用。在2010年以前,军用无人机占据了市场规模的99%以上。然而,从目前来看无人机市场最大的增量来自于民用无人机领域,其市场份额已经超过10%,增长速度远远快于军用无人机。
各行业巨头相继加入占据一席
当前,民用无人机领域竞争激烈。据不完全统计,在过去5年内,全球范围有3000家不同规模的企业涉足民用无人机相关领域。其中,中美企业占据较大比例。该领域呈现的竞争格局是,专业公司占据重要席位,如美国的Parrot、3D Robotics、中国的大疆、亿航、极飞等,各行业(尤其是互联网、快递、零售商等行业)相继加入抢占市场份额。其中不乏Amazon、Google、DHL等巨头在持续进行测试,Amazon和Google凭借资金和人才优势两年前宣布了无人机计划,分别叫做Amazon Prime Air和Google Wing。国内腾讯公司、小米、顺丰物流等也频频发力,在专利、商业等方面布局,腾讯公司已在今年的国际消费电子展(CES)上联手零度推出了“空影YING”无人机。
创新模式:“无人机系统+新功能”
民用无人机领域的激烈竞争促进了行业的创新,其他行业的加入也给民用无人机领域带来了新的活力。在工业应用方面,工业级无人机较多地用于农业、测绘、航拍、紧急救援、物流、安防等,新近的技术更是使得无人机得以实现水下作业。
随着社会其他各行业的加入,无人机系统及其应用场景也变得越来越新颖和丰富,将无人机系统与定位系统、芯片、虚拟现实技术等结合消费级无人机系统变得更加智能化。
(1)无人机系统与定位、导航系统结合
将无人机系统与定位系统结合,使其可以收集精确的地理位置信息,比如美国洛克希德公司的消防无人机系统。
(2)无人机系统与芯片结合
将无人机系统与芯片结合,使无人机具备机载运算能力而更加智能化,就好比一个具备了思考能力的机器人,可以处理类似视频增稳、双目避障、光流声呐、甚至4G接入运营商网络等众多智能功能。比如腾讯今年在国际消费电子展(CES)上联手零度、高通推出的“空影YING”无人机就采用高通智能芯片,使得无人机具备了一定的机载运算能力。此外,芯片巨头高通公布无人机参考设计平台“Snapdragon Flight”,发布由该平台驱动、且具备自主飞行等高级功能的高通骁龙无人机,国际芯片巨头英特尔公司的RealSense无人机视觉技术使无人机上的摄像头可以对周围环境进行细致的3D扫描,学会避障进行跟踪拍摄。
(3)无人机系统与虚拟现实等摄影技术结合
将无人机系统与虚拟现实技术结合,通过虚拟现实控制无人机摄像机的视角,实现如同亲眼看到的效果,从而变得更加智能化。此外,将无人机与倾斜摄影、三维建模、云计算等组合起来,改变传统的数据采集及数据服务模式。
(4)无人机系统与实时共享功能结合
无人机系统在加入芯片,具备机载运算能力后,可以实现连网的功能,乃至可以在线分享或上传拍摄的视频、图片等。
无人机应用可能带来的隐私问题
目前,无人机的应用已经引发较多的隐私风险。例如,当前无人机已经被狗仔、私家侦探等用于侦察,谷歌将无人机用于街景拍摄,罪犯将无人机用于骚扰和追踪等等。
无人机强大的监视技术威胁到个人隐私。通过无人机可收集个人信息,包括物理位置、生物信息等。无人机的应用明显降低监视的门槛,滥用的风险也随之增加。
无人机技术的日益精进及其应用功能的不断创新,使个人隐私面临实在的威胁。主要表现在以下几个方面:
(1)清晰度最高的十亿级像素的相机、倾斜摄影、3D扫描跟踪拍摄、虚拟现实技术与无人机系统的结合,能在极短时间内提供大量的实时、清晰的画面和视频信息流,并实现跟踪拍摄,极易侵犯相关公众隐私。
(2)无人机的追踪能力提升,使得同时追踪大面积多目标任务成为可能,导致不特定的多数群体面临被追踪的风险。
(3)红外线相机、热传感器、GPS、监测运动传感器、许可牌照自动读取器和面部识别技术,能轻松采集个人敏感的信息,定位个人行踪。
(4)无人机这项技术本身具有监视功能的特点,使其能高空拍摄,越过围栏、围墙、树木、高楼等障碍物进行监视,侵犯公众空间隐私。其设计、大小、飞行高度等因素使得其可以进行活动而不被发现,使得侵犯隐私具有极大的隐蔽性。
(5)将芯片技术和在线共享功能匹配到无人机系统,使无人机具有运算和处理能力,并进行相应的在线共享,如果不对其使用行为加以规范,将导致更为严重的侵犯隐私后果。
无人机系统的监管方向
目前,全球虽然部分国家规定了商用无人机可以进行测试的区域和路线,德国政府就为此专门设定了一条供无人机飞行的空域,但是却大多没有获得立法批准。新西兰是唯一目前通过法律允许进行无人机快递的国家,欧洲多国预计明年初有望通过立法,美国、加拿大和澳大利亚也在监管部门和公司间进行博弈,预计未来两年才有可能全面亮绿灯。
中国的监管情况
我国对无人机系统运行、经营,乃至无人机领域涉及的隐私问题的法律和监管依据尚缺。关于无人机系统运行和经营的管理规定仍在征求意见阶段,如民航局起草的《使用民用无人驾驶航空器系统开展通用航空经营活动的管理暂行办法》和《轻小型民用无人机系统运行暂行规定》。即便这些暂行条例、意见稿有拨云见日之势,但新规落地还要耐心地等待上一些时日。关于无人机系统使用中隐私保护问题,则停留在较少的民间讨论层面。
值得一提的是,《轻小型民用无人机系统运行暂行规定》提出了民用无人机的监管大致方向。其中,限制飞行区域、安装电子围栏等安全措施也能起到保护隐私的作用,具体有以下几个方面:
(1)限制飞行区域。对于无人机云系统的用户,应该遵守该系统限制;对于未接入无人机云系统的用户,应向相关部门了解限制区域的划设情况。不得突破机场障碍物控制面、飞行禁区、未经批准的限制区以及危险区等。
(2)视距内运行和超视距运行。视距内运行(VLSO: Visual Line of Sight Operations)是指,无人机驾驶员或无人机观测员与无人机保持直接目视视觉接触的操作方式,航空器处于驾驶员或观测员目视视距内半径500米,相对高度低于120米的区域内。超视距运行(BVLSO: Beyond VLSO)是指无人机在目视视距以外的运行。
(3)安装电子围栏。电子围栏是指在特定地区周围划设的为保障特定地区安全的电子隔离装置,用以阻挡即将侵入该地区的航空器,同时具有报警功能。
(4)无人机云提供商对无人机动态数据库系统的建设、数据管理、为相关部门提供数据输入接口,与相关部门和其他无人机云提供商建立数据共享机制等。如用于记录、回放和分析飞行过程的飞行数据记录系统,且数据信息至少保存三个月(适用于Ⅲ、IV、VI和Ⅶ类);建立了民用无人机驾驶员、运营人数据库和无人机运行动态数据库,可以清晰管理和统计持证人员,监测运行情况;和相应的管制、机场部门建立联系,为其提供数据输入接口,并为用户提供空域申请信息服务;建立与相关部门的数据分享机制,建立与其他无人机云提供商的关键数据共享机制。
美国的立法、监管和实践
(1)FAA在隐私保护方面的实践
美国联邦航空管理局(Federal Aviation Administration, 以下简称FAA)是主要的监管机构。FAA按照美国国会的要求将无人机系统平缓纳入国内航空系统,起草了NPRM条例的框架,细化《FAA改革和现代化法(2012)》第333条,即针对特定无人机系统的特殊规则,该规则允许无人机在低风险、可控环境下的商业运行。FAA提及虽然认识到无人机应用产生的隐私问题,但关于隐私的保护已经超出了本立法的范围。FAA在2015年初对商用无人机做出最新规定,从3月起先后为2000余家企业颁发了商用无人机许可。如今,已进入批量审批阶段。除了规范商用无人机市场,美国政府对消费级无人机也进行了严苛的规定。消费级无人机机主必须将其无人机在监管部门登记备案,如机主不愿配合备案,将会面临高额罚款及刑罚。不能超过500英尺(152米);必须在视线范围内进行操作;操作者不得小于17周岁;且必须通过运输安全管理局的审核。
FAA有权根据《联邦航空条例》(Federal Aviation Regulations)中适用于无人机的有关规定进行执法。为了加强该领域的执法,FAA推出了《针对疑似未授权的无人机系统运行的执法指南》(Law Enforcement Guidance for Suspected Unauthorized UAS Operations),与地方执法机构(Law Enforcement Agencies)联合执法。
FAA的首要任务是保证包括载人和无人机在内的整个航空系统的安全和效率,执行相关的隐私方面的政策并不是其职责范围内的事项。美国在全国范围内选定了六个无人机试点进行相关研究,并与密西西比州立大学合作研究如何将无人机系统更好地纳入国内航空系统。
然而,无人机的推广使用带来巨大机会,随之也产生相关的隐私问题,试点的情况也表明存在隐私顾虑。尽管执行隐私的相关政策不是FAA的职责,但是无人机试点的开展是一个契机,为了确保试点工作的开展考虑到隐私保护,FAA要求每个试点运行主体拟定适用于试点运行期间的隐私政策,按照《公平信息实践原则》(Fair Information Practice Principles)向公众公开和告知其隐私政策并提供接受关于其隐私政策评论的渠道。
(2)美国政府对无人机领域隐私问题的态度
美国无人机技术进步迅猛,相较载人航空系统,完成任务更灵活,成本更低,使用人群广泛。在未来,无人机在城市基础设施管理、农业、公共安全、海防、军事训练、搜索和救援等方面,可能扮演交通工具的角色。美国国会认识到无人机系统的巨大潜在利益。《FAA改革和现代化法》(2012)计划在2015年9月30日前将民用无人机系统平缓地纳入国家航空系统。同时,美国政府强调无人机领域的隐私保护和政策应当跟上无人机技术的发展和变化。政府机构应当检视现有的无人机领域的与信息收集、使用、保留和传播有关的政策和程序,确保公民隐私受到保护,并定期更新这些政策和程序。
美国白宫在2015年2月份发布的《总统备忘录:提升国内使用无人机系统的经济竞争力,同时保障隐私、民权和公民自由》中提及,在将无人机系统纳入国家航空系统时,美国联邦政府应当采取措施保证不仅考虑经济竞争力和公共安全,也应当考虑无人机系统可能引起的隐私、民权和公民自由方面的保护问题。
该备忘录强调无人机系统作为收集信息的平台,信息的收集、使用、保留和传播要遵守宪法、联邦法律和其他条例和政策。例如,政府必须遵守《隐私法》(1974),限制个人信息(包括PII)的收集和传播,并允许个人获取和修改信息记录。
除了遵守《隐私法》(1974),政府机构还应当确保其相关政策和程序满足以下要求:
收集和使用。基于无人机系统收集和使用信息,应当与授权的范围和目的一致。
保留。基于无人机系统收集的包含个人识别信息的个人信息保存不超过180天,除非该信息为相关机构执行特殊任务所必须,或满足《隐私法》或其他法律的规定。
传播。基于无人机系统收集的信息,若不在《隐私法》规定的信息记录留存范围内,除非法律规定或为满足授权目的或符合政府机构要求,否则不能对外传播。
禁止性规定。保证相关的政策足以禁止违反宪法第一修正案或可能导致歧视的数据收集、使用、保留或传播。
透明度。告知可能影响其隐私的无人机计划及其变更,并告知其授权运行的地域范围。
责任。确保政策和程序能对有权获取敏感信息(包括PII)的个人进行有效监督;确保应用于无人机系统的任何数据共享协议或政策,数据使用政策,数据留存管理政策符合法律、条例和政策的规定。
该备忘录计划建立“多方参与程序”,以发展和交流商业和消费级无人机领域隐私保护、责任和透明度的最佳实践,该程序同时吸收政府机构和私企参与。
(3)无人机领域的最佳实践
美国国土安全部在2015年12月18日发布了一套名为《保护无人机系统项目中隐私、民权和公民自由的最佳实践》(Best Practices for Protecting Privacy, Civil Rights & Civil Liberties in Unmanned Aircraft Systems Programs)的无人机隐私最佳实践。该最佳实践建立了数据收集、使用、传播和保留全生命周期的一套数据保护规则,并建立了救济程序,使个人可对不合适的收集行为提出异议。这套最佳实践也与白宫发布的备忘录的规定一致。尽管该最佳实践意在用于国土安全部和联邦、地方政府部门,但是对私企的无人机计划项目也可能有价值和意义。
无人机领域的隐私保护趋势
无人机是典型的技术驱动型的领域。无人机技术的快速进步和变化迫使隐私法律方面的专家审视和即时更新、补充相应的规范文件。
美国在该领域的立法和监管有了初步的尝试,相关领域的政府部门、私企和公众已经意识到无人机应用带来的隐私风险。FAA目前主要针对试点范围的无人机运行者进行隐私方面的监管,要求其拟定隐私政策并提供听取相关意见的渠道。美国白宫发布《总统备忘录:提升国内使用无人机系统的经济竞争力,同时保障隐私、民权和公民自由》,要求开展无人机应用时也应考虑对应的隐私保护问题,强调宪法、联邦法律和其他条例和政策对于信息的收集、使用、保留和传播的规定仍然适用于无人机领域。
我国的立法和监管仍存在空缺,虽然法律目前处于滞后状态,但这也不意味着无法可依,适用于隐私和个人信息保护领域的一般法律和相关规定仍然适用。没有悬念的是,随着这一块隐私问题的突显,立法和监管措施都会逐渐先建立后完善。
总体而言,隐私相关法律和规定规范的主要主体是无人机运行者或无人机机主,其使用行为,尤其是采集、使用、传播和保留个人信息的行为,是法律重点规范的对象。个人信息的采集、使用、传播和保留等数据处理周期也是最易导致隐私被侵犯的环节。
《条例》的适用范围
结合美国和我国在无人机领域的隐私合规探索实践,以及无人机技术的发展和应用趋势,提出以下合规建议。
针对无人机云提供者收集、使用、传播和保留机主数据的情况:
(1)无人机云提供者应当在用户协议或隐私政策中向无人机机主告知其数据收集、使用、传播和保留情况。这里的数据主要包括机主本人的数据、飞行行动动态数据等。
(2)遵守相关的法律法规,建设和管理无人机动态数据库系统,为相关部门提供数据输入接口,与相关部门和其他无人机云提供商建立数据共享机制等。
(3)数据的保留要遵守符合法律规定的数据保留期限。《轻小型民用无人机系统运行暂行规定》(草案)规定用于记录、回放和分析飞行过程的飞行数据记录系统,且数据信息至少保存三个月(适用于Ⅲ、IV、VI和Ⅶ类)。
针对无人机机主(主要针对使用商业级无人机的私企)收集、使用、传播和保留其采集的个人信息的情况:
(1)开展无人机计划以前,向律师咨询特定目的的运行无人机是否可获得合法授权、开展飞行计划的区域是否属于禁飞区域,是否符合现行法律和政策的规定。
(2)通过网络等清楚地描述无人机计划的目的及后续变更,并使得公众可获取。
(3)设立专门的隐私合规负责人,与无人机项目负责人直接沟通和汇报,并保证其全程参与无人机项目。并在应用无人机系统前,应实施影响隐私的评估。
(4)在无人机记录系统中有限制的收集、使用、传播和保留数据。收集、使用、传播和保留的数据以合法获取和在告知的目的范围为限。
(5)建立责任机制,开展相关员工隐私保护方面培训。责任机制是一个成功的无人机项目的重要元素,对无人机记录系统数据的获取和使用应当进行记录,防止未经授权的处理。
(6)建立针对无人机数据记录系统的合理的安全和储存措施。应当建立合理的安全保障措施防止或减轻数据丢失、非法获取、使用和披露。