(一)低空经济无人机应用探索的时代背景
低空经济是以各种有人或无人驾驶航空器的各类低空飞行活动为牵引,辐射带动相关领域融合发展的综合性经济形态,具有产业链长、辐射面广、成长性和带动性强等特点,主要包括低空制造、低空飞行、低空保障和低空运营服务。其中,低空飞行产业是低空经济的核心产业,而无人机产业则是低空飞行产业的前沿赛道。
无人机是一种灵活、快速的移动平台,可广泛用于智慧城市的多种应用,比如测绘、航拍、取证、物流等专业领域,这其中就涉及大量数据处理行为,无人机自身承载的摄影、环境感知(如温度、湿度、空气质量)、录音、GPS传感器等电子元件也使得其能更便捷、更大范围地收集、存储数据,给数据安全保护提出了更高的要求。
(二)研究现状与意义
对于无人机法律监管问题的研究,主要集中于侵权、空域、黑飞的法律监管等,研究成果有限且较为集中,对于数据安全方面的研究几乎处于空白状态。
由于无人机“轻型隐蔽”“私人使用”“随机分散”“前瞻性”“娱乐性”的特征,与传统航空业的监管大有不同,现有法律制度也远不能满足现实需求。《无人驾驶航空器飞行管理暂行条例》虽然从生产制造、销售经营、操控资质、空域使用、飞行活动、监督管理到应急处置等全链条对无人驾驶航空器进行了管理规范,填补了法律空白,但立法层级较低,且对于无人机数据安全方面规制不够明确和健全。《民用无人驾驶航空器生产管理若干规定》《深圳经济特区低空经济产业促进条例》等其他相关规范,其中要么并未明确涉及数据安全方面,要么规定过于宽泛。而作为上位法的数据安全法、民用航空法分别主要针对数据安全保护和传统民用航空作出总括性规定,而在无人机的数据安全保护方面缺乏针对性规定。
基于此,文本针对数据法层面无人机的法律风险进行具体阐述并在现有规范的基础上补充提出切实可行的立法应对策略,为促进我国低空经济法治事业和产业发展贡献理论力量。
二、无人机的数据安全法律风险
(一)数据收集方面
装备高分辨率摄像透镜和高敏感度传感器的无人机可以有意或无意地捕捉到大范围的图像,从而获取有关人们隐私的不同方面的数据,包括地理位置、行为信息、身体特征、家庭生活等。由于机动性和隐蔽性的特征,无人机对于跟踪和记录个体行为数据极具便利性,根据行为轨迹即可分析得出衣食住行偏好。在商业环境中,用无人机检查施工情况可以直接或间接获取有关工人行为的数据,管理层可通过这些数据对工人实施奖惩。由于无人机的遥控特性,无法准确识别无人机的操作者便无法获知数据收集者,加深对数据保护的困难性。
(二)数据传输方面
当数据收集完毕后,这些数据会通过无线网络传输到开发商的云数据库中,在传输的过程中可能会成为恶意窃取数据的目标,通过对网络进行干扰、破坏信号完整性、使用恶意代码或系统现有的子程序进行攻击等行为。比如子程序攻击是通过有计划的或暴力攻击获得有关系统的足够信息后,通过查找和利用系统代码中的漏洞来攻击传输系统甚至夺取无人机本身的控制权,用以伪造、修改、盗窃数据。
(三)数据处理方面
数据处理包括无人机获取数据后的存储、访问、更正、删除以及匿名化,由于处理的不透明性具有内部和外部的法律风险。内部方面包括在无人机存储的数据被滥用和泄露的风险,个人无法获知无人机开发者将数据存储在哪里,内部人员有无未经授权进行访问、使用、泄露、贩卖等。外部方面包括黑客攻击非法访问数据等风险。
三、法律风险的应对措施
(一)程序性立法建议
坚持规制的全面性原则。无人机发展的全过程涉及自动化控制、无线网络通信等事前生产阶段、市场准入审核阶段、运营监管阶段。按照不同的阶段将立法规划进行落实,全面规制相关的参与者主体和数据的收集、传输、处理的整个过程。
坚持立法的体系化原则。对于前文所述无人机的相关法律规范存在的问题,应当适当将数据安全法、民用航空法与无人机相关规范进行有效对接,可以利用修法时专增一章等方法填补规制空白。以此也可弥补相关条例位阶较低问题,提升立法的针对性,构建完善的立法体系。
(二)实体性立法建议
无人机制造商和运营商有义务在收集个人数据的任何操作中采取DES、AES在内的数据加密技术、加密协议、密码模块、地面设备、风险报告等信息安全技术手段,加强地面终端的安全防护水平及抗干扰水平,并且应当定期更新算法与技术,当发现产品及应用系统、软件存在安全缺陷或漏洞等风险时,及时采取补救措施,以保障数据的长期安全。
无人机的销售者针对隐私保护设置的相关问题应当在操作说明中予以清楚阐述。
对于无人机的操作者,应当更明确其操作规范,还应包括对无人机进行身份信息标识、收集数据时进行提示、收集到的数据设置访问权限、数据保存时限不得超过半年、及时报送飞行动态数据等。
对于云数据的处理情况,要严格遵循敏感个人信息的特殊处理规则,进行数据清洗,严格实施数据分级监管制度和数据共享使用标准规范,通过区分共享数据、重要数据和核心数据,依照不同的合规义务和管理要求进行数据处理。并且需要明确告知无人机用户数据以及获取的数据被储存的情况;明确访问、删改数据的权利,提升透明度,降低“黑箱”风险。
对于各主体义务和违反义务的承担方式要明确写在法律条文中,义务的豁免情况要严格依照法律规定,在《中华人民共和国立法法》规定的权限内设置处罚类型和限度,在相关主体触犯其他法律时,可以适用其他法律的相关规定。