股权投融资之自动驾驶领域法律关注要点
2023-01-04
序言:
自动驾驶技术或已成为当前产业创新发展的重要动力源之一。未来自动驾驶技术或将逐步替代人类驾驶,这不仅改变人们的出行和生活方式,还将对传统通信、物流等商业行为产生深远影响;但鼓励扶持新技术、新业态发展的同时,也要守牢法律底线,统筹发展与安全[1]。
自动驾驶作为一个新进发展领域,相关法律问题层出不穷。本文尝试以自动驾驶软硬件供应商为观察视角,目前这类自动驾驶技术企业基数较大且通常布局从算法软件到系统硬件、从智能驾驶控制单元到多种智能传感器的全产业链,能够为主机厂提供一体化智能驾驶系统解决方案。基于此,本文依据近年来全国及地方相关主管部门颁行的法规、管理规范等,结合该类科技企业在整个智能汽车产业链中的角色定位和发展路径,从道路测试牌照、数据安全与隐私保护、高精地图与测绘资质、侵权与产品责任等角度,尝试梳理在股权投融资实践中可能需要重点关注的法律问题,以期给各位投资人及创始人一些参考。
一、路测资格与安全监管
自动驾驶汽车上路测试(以下简称“路测”或“道路测试”)作为自动驾驶车辆积累行驶数据、助推算法迭代升级的有效手段,是开展智能驾驶技术研发和应用不可或缺的重要环节。2021年7月27日,工业和信息化部、公安部、交通运输部联合印发《智能网联汽车道路测试与示范应用管理规范(试行)》(工信部联通装〔2021〕97号)(以下简称“《管理规范》”),其中明确道路测试是指在公路(包括高速公路)、城市道路、区域范围内等用于社会机动车通行的各类道路指定的路段进行的智能网联汽车自动驾驶功能测试活动。随后,北京、上海、重庆、湖南、广东、山东等省市相关主管部门,结合当地实际情况先后出台相应的试行规范或管理细则,并负责具体组织开展智能网联汽车道路测试工作。
自动驾驶汽车进入公共道路进行测试,前提需解决上路测试行驶的合法性问题。《管理规范》对测试主体、测试驾驶人及测试车辆、测试申请及审核、测试管理、交通违法和事故处理等方面作了详细规定,适用于在我国境内进行的自动驾驶汽车道路测试,测试范围包括有条件自动驾驶、高度自动驾驶和完全自动驾驶。
1.道路测试许可
从国内实践来看,目前就道路测试资格问题,一般是针对自动驾驶汽车确立了一种“有条件”的上路行驶制度,即允许上路行驶的同时需满足诸多限制条件。以北京、上海为例,2020年11月12日实施的《北京市自动驾驶车辆道路测试管理实施细则(试行)(2020修订)》(以下简称“《北京实施细则》”)、2022年2月15日实施的《上海市智能网联汽车测试与应用管理办法》(以下简称“《上海管理办法》”)均明确了自动驾驶汽车申请临时上路行驶的诸多条件,就其要点简要梳理如下:
2.驾驶员(或测试安全员)资质
目前阶段,准许自动驾驶汽车上路行驶的重要条件是需要有执照的司机跟车测试,以确保其在紧急情况下能够接管汽车。因此,至少未来一定时期内自动驾驶汽车的消费者都需要是有驾驶执照的司机。关于驾驶员(或测试安全员)资格要求,北京、上海两地均作了相关规定:
3.运行检查与报告制度
出于安全考虑,各地也探索建立了自动驾驶汽车运行检查与报告制度,一方面有助于监管者了解相关技术指标、安全性能等事项,为制定和完善管理规则提供实践依据,另一方面自动驾驶企业也可以了解并客观评估车辆运行情况,并进行技术改进。这一点,北京、上海也作了探索性规定,具体如下:
综上,基于业务经营合规角度,相关自动驾驶企业在进行路测前,建议根据当地主管部门制定的管理规范,完成向有关部门的申请登记手续取得上路牌照;同时,在路测期间,按规定提交常态化测试报告和临时事故报告,以便监管机构跟踪、审核。我们理解,目前阶段各地管理规范或具有较强的政策性,实践中具体落实执行力度和范围可能存在不确定性。但仍建议相关自动驾驶企业及时与开展道路测试活动所在地监管部门保持沟通,并根据具体要求就开展道路测试活动履行相关登记、备案、报告等义务或取得相关资格,尤其是对于具有上市预期的科技企业,不排除未来上市筹备阶段,需就过往道路测试活动的合规性取得所在地主管机关出具的合规函件。从投资人角度,建议也可考虑在交易文件中将目标企业依据相关适用的法律或者根据政府机构的要求,适时取得业务经营所涉及的相关资质及许可作为交割承诺事项。
二、数据安全与隐私问题
据报道,近日国内某智能汽车制造商2021年8月之前的部分用户基本信息及销售数据遭窃取被公开出售,随后该公司发布《关于数据安全事件的声明》并致歉,称将对因本次事件给用户造成的损失承担责任。自动驾驶技术存在对数据的强烈依赖,相关用户数据泄露事件频发,数据安全及隐私问题持续引发关注。
1.问题场景
我们理解,自动驾驶企业在开展自动驾驶测试、产品出售及迭代升级、提供算法服务等业务过程中,涉及对相关数据的采集、流转和使用情况。以自动驾驶软硬件供应商为例,产品在路测及量产两个典型的环节具体涉及的数据处理情况如下:
道路测试阶段。通常企业与主机厂就某款车型进行深度合作,企业安排经内部培训后的工作人员跟车测试,待产品测试成熟后进行车辆前装,从而实现自动驾驶解决方案在车辆上的规模化、标准化、批量化生产。在测试阶段,数据采集后如通过硬盘拷贝等形式用于后续产品研发和优化升级,这部分数据通常不涉及自动驾驶企业和主机厂或用户之间信息交换或传输问题。
量产交付后阶段。实践中对于量产交付后的车辆,自动驾驶软硬件供应商会考虑和主机厂之间搭建数据平台,建设专用数据通道,数据由主机厂负责收集存入其服务器,通过数据通道提供给企业使用,具体合作方案双方会进行相关书面协议约定。自动驾驶软硬件供应商通常不会直接与终端用户接触并开展数据采集,这部分工作是由主机厂来实现。双方该等合作的目的是为打造数据闭环,即通过挖掘量产车辆回传的海量用户行为数据,升级算法迭代产品,优化体验,再反向推送终端,从而更好地赋能用户,以此形成一种数据闭环。实践中,无论从数据规模还是问题发生概率角度看,数据安全和隐私问题也主要集中这个阶段。
2.《汽车数据安全管理若干规定(试行)》的规制分析
在国内数据监管趋严背景下,各类收集和处理数据的行为需遵守数据保护领域的基础性法律法规,包括《网络安全法》《数据安全法》《个人信息保护法》等上位法。而《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”)作为首个针对汽车领域数据隐私与安全所制定的法规,该规定由国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布并于2021年10月1日实施。《若干规定》中明确,汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等;而汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。《若干规定》为自动驾驶企业各类数据处理活动提供了基本行为依据,就其要点简要梳理如下:
3.不同数据的处理分析
基于上述,结合不同场景,自动驾驶企业在数据安全与隐私保护方面应重点关注:
(1)个人基本信息的处理
车内用户个人信息。自动驾驶汽车运行过程中,未经用户知情同意,不得收集、传输或使用个人信息。确保自动驾驶汽车仅在用户知情并同意的情形下收集、传输或使用用户的个人信息,这对减少所有类型的自动驾驶汽车的隐私风险十分重要。同时,还应当在技术实现层面保证用户的知情同意权之便利行使。
车外个人信息。自动驾驶测试车辆行驶过程中,其所配备的传感器或摄像头不可避免地会采集到行人人脸等车外视频、图像数据信息。对此,拍摄过程中遵循最小必要原则,无法征得个人同意采集到车外个人信息且需向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等,且应当在实现业务处理功能后及时删除,原则上不得储存包含有个人敏感信息(尤其个人生物识别信息)的原始信息。如发现己储存的视频录像中包含了行人个人敏感信息,也应当及时删除,或进行去标识化处理。
个人行为事件信息。自动驾驶车辆运行过程中,还会涉及收集车辆数据,主要是车辆状态及事件数据,尤其是与优化自动驾驶体验相关的状态及事件,可能包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等。自动驾驶企业需关注自身业务模式,如果存在通过数据闭环,挖掘量产车辆回传的用户行为数据进行产品迭代的情况,可能涉及具体车辆及驾驶员个人行为事件信息;如能自主形成识别特定个人的个人信息,需遵守个人信息保护有关收集、存储及使用相关要求,即使是通过主机厂间接取得,亦需注意自身涉及的合规性问题。特别地,对于自动驾驶软硬件供应商而言,建议在与主机厂之间就有关数据处理方案达成书面协议时,应对数据收集、提供、传输、使用等各环节双方之间的权利、义务、责任进行清晰界定,注意数据合规风险。
(2)环境感知类信息的处理
实践中,自动驾驶汽车通过车载摄像头、雷达等传感器对周边环境要素进行收集,一般此时采集的数据主要与驾驶事件相关,重点关注与优化自动驾驶技术相关的事件,通常此种数据采集不是连续的,是切片化的,涉及的位置信息亦为相对信息。但如上述,根据《若干规定》,对于军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据信息,均属于重要数据。根据该规定,对重要数据的存储和提供,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。
(3)数据跨境传输问题
如上述,根据《若干规定》,自动驾驶企业经营过程中产生的重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。基于此,对于存在跨国运营(如基于业务布局需要,在境外设有分支机构或雇佣当地员工)的自动驾驶企业需特别关注,相关重要数据的存储、处理和提供需在符合相关存储及处理规定的要求下进行。
(4)数据安全事件的应对
互联网时代,数据泄露有时是难以避免的,关键是看企业是否履行了数据安全保护义务,以及泄露的信息内容、可能造成的影响及责任如何承担。对此,我国《数据安全法》《个人信息保护法》及上述《若干规定》均做了相关规定,具体包括:根据《数据安全法》,数据安全保护义务主要包含两个部分,首先是日常管理是否符合合规要求,例如“建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”;其次,一旦发生数据安全事件,企业“应当立即采取处置措施,及时告知用户并向有关主管部门报告”。《个人信息保护法》规定,“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。”另外,根据《若干规定》,“开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。”
三、地图与测绘资质问题
在我国,测绘行为[2]涉及对自然地理要素或者地表人工设施要素的采集和数据处理活动,属于行政许可事项,受到严格准入管制。《测绘资质管理办法》(自然资办发〔2021〕43号)规定,“在中华人民共和国领域和中华人民共和国管辖的其他海域从事测绘活动的单位,应当依照本办法的规定取得测绘资质证书,并在测绘资质等级许可的专业类别和作业限制范围内从事测绘活动。”
高精地图是自动驾驶商业化落地的关键环节,已成为自动驾驶解决方案不可或缺的一环[3]。在我国,高精地图领域一直存在着较高的准入门槛[4]。2016年2月,原国家测绘地理信息局印发《关于加强自动驾驶地图生产测试与应用管理的通知》(国测成发〔2016〕2号),明确“自动驾驶地图属于导航电子地图的新型种类和重要组成部分,其数据采集、编辑加工和生产制作必须由具有导航电子地图制作测绘资质的单位承担。导航电子地图制作单位在与汽车企业合作开展自动驾驶地图的研发测试时,必须由导航电子地图制作单位单独从事所涉及的测绘活动。当前,各单位、企业用于自动驾驶技术试验、道路测试的地图数据(包括在传统导航电子地图基础上增添内容、要素或精度提升的),应当按照涉密测绘成果进行管理,并采取有效措施确保数据安全。”由于存在如此高的行业准入限制,实践中,自动驾驶企业通常借由有偿使用或入股、并购等方式,转向与具有导航电子地图制作测绘资质企业进行合作,开展产品测试研发工作。
当然,为避免对高精地图的依赖,行业内也有人提出“重感知,轻地图”的技术研发路线,通过在车辆行驶过程中发挥车载传感器(如摄像头、激光雷达、毫米波雷达等)和后台数据分析等AI算法能力,从而辅助或替代对高精度地图的依赖。摄像头、激光雷达、毫米波雷达等硬件组合成了“重感知”的技术方案,这些硬件各有优势、能力互补,以应对不同环境。但根据2022年8月25日自然资源部印发的《关于促进智能网联汽车发展维护测绘地理信息安全的通知》(自然资规〔2022〕1号)(以下简称“《通知》”),前述“重感知”的技术路线可能也将落入“测绘”范畴,如相关主体未取得相应测绘资质,仍可能存在较高合规性风险。现就《通知》主要规则梳理如下:
综上,对于自动驾驶企业,建议关注自身技术发展模式及业务合规性,对于可能涉及测绘或落入测绘范畴的,如自行取得相应测绘资质一定时期内存在难度,可考虑与具备相应测绘资质的图商合作,实践中与有资质的图商合作时,一般图商负责采集并制作指定路线高速公路高精地图,配合自动驾驶企业进行智能驾驶服务的仿真及路测,过程中提供相关技术支持,自动驾驶企业自身则不进行地图编制。另外,从投资人角度,建议关注目标公司该部分资质取得情况或与有资质机构合作模式和历史合作情况,并在交易文件中将业务经营符合有关适用的法律或者政府机构的要求作为交割承诺事项。另外,地面移动测量、导航电子地图编制等属外资禁入领域,取得这些类别测绘资质的内资企业,需注意应严格执行该等规定。
四、侵权与产品责任问题
侵权与产品责任问题也一直是自动驾驶行业重点关注问题。一般而言,基于自动化级别的不同,在分析自动驾驶汽车的侵权责任时,通常需要基于半自动与完全自动分别讨论。概言之,目前处罚道路交通违法行为和认定机动车事故成因主要围绕行为人是否存在过错[5],行为人主观过错是认定构成侵权行为的要件之一。对于全自动驾驶汽车而言,人类从驾驶员转变为乘客,不再需要对行车状况和环境进行监视或者在紧急情况下进行接管。但是,在半自动情况下,汽车没有完全脱离人的控制,这就导致人机切换过程中的责任划分具有相当的边界模糊性,也就增加了归责难度。
1.作为驾驶员或车辆所有人、管理人的侵权责任
如前所述,自动化程度影响着侵权责任的认定和划分。在自动驾驶分级标准方面,2022年3月1日正式实施的国标《汽车驾驶自动化分级》(国家标准公告2021年第11号文)参照了国际汽车工程师学会(SAE)驾驶自动化分级中6个级别的分级框架,并结合中国的实际情况进行了调整。国标基于车辆控制、目标响应和接管情形等要素占比,将自动化分为6个级别,明确驾驶自动化等级与划分要素的关系,具体如下:
(表:引自《汽车驾驶自动化分级》附录A)
其中,L0级在广泛意义上被认为不属于自动驾驶。L1和L2级自动驾驶仍以驾驶者驾驶操控为主,系统进行辅助。L3级是有条件自动驾驶,用户以适当的方式执行接管,L4和L5是技术自动化程度较高的级别,其中L5级属于完全自动驾驶。可见,随着自动化等级的提高,驾驶人的注意义务降低;随着自动化等级的提高,驾驶人对驾驶系统的信赖增加。北京、上海就其有关车辆测试期间发生交通事故或交通违法行为产生的“责任认定与承担”做了原则性的规定,具体而言:
另外,2022年8月1日深圳市开始实施《深圳经济特区智能网联汽车管理条例》(以下简称“《深圳管理条例》”),深圳率先以地方性法规形式对自动驾驶汽车道路测试、示范应用、准入登记、使用管理、交通违法及事故处理、法律责任等作了立法尝试。其中,该条例“交通违法和事故处理”部分明确规定,“有驾驶人的智能网联汽车发生交通事故造成损害,属于该智能网联汽车一方责任的,由驾驶人承担赔偿责任。完全自动驾驶的智能网联汽车在无驾驶人期间发生交通事故造成损害,属于该智能网联汽车一方责任的,由车辆所有人、管理人承担赔偿责任。”
根据上述规定,鉴于在L4级及以下驾驶自动化状态下,驾驶员依然负有动态接管驾驶的义务,在目前阶段,当自动驾驶车辆的驾驶人在未尽到上述义务与机动车发生交通事故时,应当根据其过错程度承担相应责任;L5级完全自动驾驶的自动驾驶汽车在无驾驶人期间发生交通事故并应承担责任的,由车辆所有人、管理人承担赔偿责任。同时,《上海管理办法》提出了由开展智能网联汽车测试与应用活动的单位先行垫付再向相关方追偿的归责思路。
2.作为生产者的产品责任
从自动驾驶企业角度,自动驾驶汽车车载硬件及软件集成服务作为一种产品,可能还会涉及到《民法典》《产品质量法》等相关有关产品质量责任的规定[6],当产品存在缺陷造成人身、缺陷产品以外的其他财产损害的,生产者应当承担侵权(赔偿)责任。对此,前述《深圳管理条例》“交通违法和事故处理”部分明确规定,“智能网联汽车发生交通事故,因智能网联汽车存在缺陷造成损害的,车辆驾驶人或者所有人、管理人依照本条例第五十三条的规定赔偿后,可以依法向生产者、销售者请求赔偿。”此外,值得关注的一点是,实践中自动驾驶软硬件供应商通常也会与主机厂在销售或采购合同中就产品质量与责任问题进行约定。受限于商业谈判地位,有关产品缺陷认定、责任核算及承担通常采用“甲方认为”、“由甲方核算”等利于主机厂的模糊标准,如有可能,基于公平角度,对于责任认定可考虑调整为参考双方认可的第三方鉴定机构意见;另外,随着未来自动驾驶级别逐步发展到高度及完全自动驾驶,主机厂作为生产者或将承担更为全面、直接的责任,建议作为供应商也应持续关注监管趋势,相应优化调整与主机厂之间的产品质量与责任条款,公平清晰划分责任边界,维护各方权益。
结语
资本与法律,是助推技术革新的动力和保障。在鼓励自动驾驶技术创新的同时,创始人、投资人等各方也应及时关注、回应国家和地方相关主管部门的规制要求:在路测资格方面,北京、上海等各地市陆续推出管理规范,企业需要按规定进行上路测试登记领取号牌,同时关注对驾驶员资质要求并落实运行检查与报告制度;在数据安全与隐私保护方面,企业在个人信息数据和重要数据等数据的收集、使用和传输等环节面临着日趋严格的合规要求;在地图与测绘资质方面,对于可能涉及测绘或落入测绘范畴的应遵守有关测绘法律法规,同时地面移动测量、导航电子地图编制等属外资禁入领域,取得这些类别测绘资质的内资企业,需注意应严格执行该等规定;侵权与产品责任问题,也一直是业内重点关注问题之一,目前在遵守现行交通法规规则的同时,也依赖于各方继续协力探讨更为公平的责任和风险分配方式。我们期待着未来日趋建立完善的自动驾驶领域法律规制体系,为企业、消费者及投资人等各方提供明确的规则指引和解决方案。
参考文献:
[1]关于自动驾驶技术的社会经济价值及全球主要国家自动驾驶战略、法律与政策方面的对比研究分析,可参见中国信通院《全球自动驾驶战略与政策观察(2020)》。限于讨论主旨与篇幅,本文不予详述。
[2]我国《测绘法》规定,测绘行为是指“对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动。”
[3]参见四维图新2020年度非公开发行A股股票预案(公告日期:2020-08-28):历经数年技术实践,业内达成共识:仅仅依靠车辆自身传感器搜集的信息和车辆本身的处理器是难以实现并推广自动驾驶的。L3级别是实现自动驾驶技术的重要一步,当汽车的自动驾驶级别达到L3及以上时,意味着驾驶责任由人转向了系统,在驾驶员缺失的情况下,自动驾驶汽车对于传感器的可靠性和地图的精度就提出了更高的要求。自动驾驶地图主要有以下三大功能:地图匹配、辅助环境感知和路径规划。自动驾驶地图能够保证在极端天气情况下,传感器性能受到影响时依然能有较高的行驶可靠性,此外,自动驾驶地图还能够提供一些先验信息(如车辆现在是处在高速公路上还是处在普通城市道路上;车辆限速;前方道路的曲率;所处路段的GPS信号强弱等),以及在路口处提前进行路径规划,是自动驾驶解决方案不可或缺的一环。
[4]高精度地图的覆盖范围和开放节奏受国家政策严格控制,近期全国范围内仅北京、广州等几个大城市试点开放。2022年8月,自然资源部办公厅印发《关于做好智能网联汽车高精度地图应用试点有关工作的通知》,在北京、上海、广州、深圳、杭州、重庆6个城市开展智能网联汽车高精度地图应用试点。该通知明确,鼓励管理创新、技术创新和服务业态创新,支持不同类型地图面向自动驾驶应用多元化路径探索,支持不同主体就不同技术路线、不同应用场景开展测试验证和应用推广,支持试点城市根据产业实际需求,开展高级辅助驾驶地图城市普通道路、高精度位置导航应用等先行先试和示范应用。
[5]《道路交通事故处理程序规定》(2017修订)第60条规定:公安机关交通管理部门应当根据当事人的行为对发生道路交通事故所起的作用以及过错的严重程度,确定当事人的责任。(一)因一方当事人的过错导致道路交通事故的,承担全部责任;(二)因两方或者两方以上当事人的过错发生道路交通事故的,根据其行为对事故发生的作用以及过错的严重程度,分别承担主要责任、同等责任和次要责任;(三)各方均无导致道路交通事故的过错,属于交通意外事故的,各方均无责任。一方当事人故意造成道路交通事故的,他方无责任。
[6]具体包括《民法典》第1203条,因产品存在缺陷造成他人损害的,生产者应当承担侵权责任。《产品质量法》(2018修正)第41条规定:因产品存在缺陷造成人身、缺陷产品以外的其他财产(以下简称他人财产)损害的,生产者应当承担赔偿责任。第44条规定:因产品存在缺陷造成受害人人身伤害的,侵害人应当赔偿医疗费、治疗期间的护理费、因误工减少的收入等费用;造成残疾的,还应当支付残疾者生活自助具费、生活补助费、残疾赔偿金以及由其扶养的人所必需的生活费等费用;造成受害人死亡的,并应当支付丧葬费、死亡赔偿金以及由死者生前扶养的人所必需的生活费等费用。因产品存在缺陷造成受害人财产损失的,侵害人应当恢复原状或者折价赔偿。受害人因此遭受其他重大损失的,侵害人应当赔偿损失。第46条规定:本法所称缺陷,是指产品存在危及人身、他人财产安全的不合理的危险;产品有保障人体健康和人身、财产安全的国家标准、行业标准的,是指不符合该标准。当然,在实践中还需要根据相关情况来确定责任的认定问题。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
