未来在云端：电动汽车OTA技术法律合规探析

作者：季亨卡 朱剑楠 邱程航

#汽车数据##数据合规#

引言

OTA全称“Over the Air”，译为“远程”或者“无线”，指通过移动或蜂窝网络提供空中接口，实现远程下载应用程序、服务和配置的能力，[1]最早发端于消费电子业，在手机、个人电脑等智能终端的升级和维护中被广泛使用。车载系统的空中升级是OTA技术最早介入、最为常见的应用场景，随着电动汽车行业的高速发展，该技术也在例如整车升级、功能订阅、远程召回等领域发挥着愈加重要的作用。

在软件定义汽车的趋势下，OTA技术在汽车行业尤其是电动汽车中的渗透进一步加深。本文将梳理这一变化带来的合规挑战，跟踪立法和监管的动态，探讨OTA技术场景下的合规对策。

一、电动汽车中的OTA技术与合规重心变化

就OTA技术而言，燃油-机械结构决定了燃油车仅凭软件较难进行整车升级。而电动汽车将诸子系统整合入简洁统一的全电架构，厂商设计与制造汽车时在硬件方面如有滞后，也可通过OTA在后期完成升级。从渗透率看，纯电车中OTA技术渗透率已达40%，远高于汽车行业整体的7%。[2]

市场数据显示，汽车电动化和智能化趋势使得单车价值组成比例发生显著改变：包括车架、动力、安全与传动系统的硬件占比从80%下降到了62%，软件占比则从20%提升到了38%。据预测，2030年全球汽车软件市场规模将达到500亿美元，麦肯锡将这一趋势称之为“软件定义汽车”（Software-Defined Vehicles）。[3]软件和硬件一样需要维护，当其在汽车价值中占比持续提高时，OTA技术就成为汽车生命周期中必不可少的一个环节，在世界范围内引起愈发广泛的监管关注。

从合规重心角度看，传统车企以行业准入、安全性与制造工艺、召回与事故处理、汽车金融、环境保护为主要议题。而数字化转型下OTA模式的兴起带来的新业务场景，将汽车行业的数据合规与电子商务合规拔高到前所未有的高度。在下文中，我们将就OTA技术在电动汽车领域的几个典型应用场景进行简要的法律分析。

二、OTA升级合规

目前，通过OTA实现车载系统乃至整车升级仍是业内OTA技术最为广泛的应用点，一些电动汽车甚至以整车OTA为重要卖点。而早期OTA升级程序在电动车企高速扩张的背景下，普遍存在触发门槛低、告知程序简陋、容易误操作等问题。例如，2019年，一位北京市新能源汽车车主在堵车时挂上P档，意外启动OTA升级进程，车载操作系统进入黑屏和反复重启的状态，导致车主无法操控和驾驶汽车。该车最终在长安街路口滞留一个多小时，直至升级进程结束。[4]

为限制OTA升级的无序运作，2021年7月，工业和信息化部（“工信部”）发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》（“《准入意见》”），在“规范软件在线升级”部分下，专门要求具有OTA升级功能的汽车生产企业建立与汽车产品及升级活动相适应的管理能力，并具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力，确保车辆进行在线升级时处于安全状态，并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。

2022年4月，监管要求进一步细化。工信部《关于开展汽车软件在线升级备案的通知》（“《备案通知》”）建立了分级备案制度：对于不涉及产品安全、环保、节能、防盗等技术性能变化的相关升级活动，企业在备案后可直接开展升级；涉及上述事项的技术性能变化的相关升级活动，则应提交验证材料，保障产品符合国家法律法规、技术标准及技术规范等相关要求。

《备案通知》是OTA升级监管的一个重要事件，其确立的评估与备案机制基本覆盖了此业务中的主要风险点，并且设定3年的备案有效期以及阶段性报告义务，对一度乱象丛生的OTA升级进行了有效治理，也是企业在下一个阶段开展OTA升级需要参考的重要依据。

三、OTA推送内容合规：以自动驾驶为例

早期车用OTA推送内容多为娱乐、导航、人车交互等功能的更新，并不涉及汽车的核心系统以及行驶功能。随着新能源车企的子系统整合能力增强，OTA推送也开始涉足包括智能刹车、自动化驾驶等功能。

2020年，美国某电动车企发布了一项OTA更新，称为FSD （Full Self-Driving） Beta。FSD Beta测试的参与者驾驶车辆在各道路上行驶，记录测试日志并回传。这一事件招致加州机动车管理局（DMV）的介入，要求其立即澄清FSD Beta功能，以确保不会在没有获得相关许可的情况下在加州道路上进行测试。该公司法律部门在答复DMV时称，城市街道上的汽车在目标、事件检测和响应子任务等方面的能力“十分有限”，尚无法对部分情况和事件系统进行识别或做出响应，并不是DMV所定义的自动驾驶。该厂商同时承诺：真正的自动驾驶功能（SAE 3 级以上）开发将遵循迭代过程，在完全验证并获得必要的监管许可或批准之前，任何此类功能都不会向公众发布。

国内方面，《准入意见》要求，“未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能”；《备案通知》则明确，“涉及汽车自动驾驶功能（驾驶自动化分级的3级及以上）的相关升级活动，应经工业和信息化部批准。”

在消费电子领域，部分厂商为尽快向市场铺设产品线抢占先机，在出厂机器上预装推送完成度未满百分之百的操作系统并不鲜见。厂商在发售后一般会通过OTA技术以首日补丁、首次重大更新等方式修补故障并完善系统。然而这一做法并不适合照搬至汽车行业。消费电子设备出现故障通常仅会导致用户的不便，而升级包括自动驾驶在内的行车功能如出现故障，则可能直接使驾驶人、乘车人生命健康乃至公共安全受到直接威胁。

从立法动态上看，自动驾驶功能还包含着隐藏的责任风险。《深圳经济特区智能网联汽车管理条例（征求意见稿）》（“《特区条例草案》”）定义了“控制人”的概念，即高度自动驾驶和完全自动驾驶的智能网联汽车，在不配备驾驶人的情况下，运用自动驾驶系统持续执行全部动态驾驶任务和动态驾驶任务接管的民事主体。我们认为，开发和维护自动驾驶系统的车企应当被认为 “控制人”。 2022年6月30日发布的《深圳经济特区智能网联汽车管理条例》第五十三条同时规定，“完全自动驾驶的智能网联汽车在无驾驶人期间发生交通事故造成损害，属于该智能网联汽车一方责任的，由车辆所有人、管理人承担赔偿责任。”第五十四条规定，“智能网联汽车发生交通事故，因智能网联汽车存在缺陷造成损害的，车辆驾驶人或者所有人、管理人依照本条例第五十三条的规定赔偿后，可以依法向生产者、销售者请求赔偿。”。因此，若通过OTA向市场发布自动驾驶功能并发生事故，还可能产生由车企承担交通违法行为及事故的风险。

四、OTA下功能订阅的电子商务合规

在SasS（Software as a Service，“软件即服务”）理念大行其道的当下，订阅制因能够提供更低的获客门槛、长期稳定现金流受到越来越多的科技巨头的青睐。在OTA的加持下，付费解锁、按年月计费的订阅制也在“席卷”汽车行业。美国某电动汽车厂商所提供的辅助驾驶系统以及上文提及FSD功能OTA升级，通过收取订阅年费每年带来数以十亿美元计的额外收入，使得电动汽车成为一项细水长流的长线业务。除此之外，业内常见的付费订阅内容还包括“高级媒体应用”、“座椅加热”等。我们认为车企在开展订阅制业务时，需要注意以下合规要点：

（一）非歧视算法与自动化决策

“用户画像”与“精准推荐”是互联网营销中常见的策略。对于车企而言，遍布全车的各类传感器可以收集丰富的数据，这些数据在导入AI驱动的机器学习模型后，可以自动、批量对车主的使用习惯做出更加精准的画像，推送相应订阅解锁功能，从而提高商业转化率。然而，法规对这一商业模式亦有严格的规定。

《个人信息保护法》第二十四条规定，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。”

（二）收集、使用消费者个人信息的合规

《网络交易监督管理办法》（“《管理办法》”）所称网络交易经营者，“是指组织、开展网络交易活动的自然人、法人和非法人组织，包括网络交易平台经营者、平台内经营者、自建网站经营者以及通过其他网络服务开展网络交易活动的网络交易经营者。”我们倾向于认为，通过OTA推送订阅功能并收取费用的车企，应该属于网络交易经营者，应注意包括《管理办法》在内的电子商务法规的监管要求。

《管理办法》第十三条在一定程度上沿袭了《个人信息保护法》的思路，并就网络交易场景对个人信息和敏感信息保护的相关规定做出细化，对于收集、使用消费者个人信息以及用户授权的有效性等方面进行了规制，例如，厂商同时不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。

（三）自动展期、自动续费服务要求

《管理办法》第十八条明确，自动展期、自动续费等日期前五日，应以显著方式提请消费者注意，由消费者进行选择。在服务期间内，应当为消费者提供显著、简便的随时取消或者变更的选项，且不得收取不合理费用。

值得一提的是：一些车企正在尝试将行车相关功能加入订阅制，例如驾驶辅助、自动泊车等功能等；2022年，某品牌旗下的电动轿车更是推出了约人民币五千元年费的“后轮转向10度”订阅。在用户未选择自动展期时，这些功能如果到期突然远程关停其权限，除产生使用上的不便还暗含着安全隐患；如果在驾驶期间频繁通过车机弹窗等方式提醒，则可能分散驾驶人注意力，造成行车风险。因此，车企进行订阅制自动展期、自动续费等操作时，除需满足《管理办法》的基本要求，还应与汽车行业的实际情况相匹配。

五、OTA技术带来的网络安全防护义务

OTA技术将汽车与厂商的数据中心相连接，改变了汽车数据孤岛的状态，成为智联网汽车中重要的一个环节。同时应注意，OTA技术在终端-云端-传输三个节点均存在安全隐患。[5]以终端为例，虽然电动汽车大大提升了系统的集成度，但在目前汽车开发流程中，处理不同软件堆栈的技术人员开发活动协调度仍然不高，跨模块调整更新和补丁颇为困难。随着子系统数量和复杂程度与日俱增，潜在“攻击面”数量也相应增加。OTA技术依赖的通信模块在很多情况下容易被作为攻击的直接目标，或者成为攻击其他联网车辆的跳板。

在技术更新带来的安全挑战的同时，法规对相关主体附加了日益严格的安全防护义务。根据《网络安全法》第十条规定，“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”；并在第二十一条、第二十五条对网络安全保护义务做了具体的规定。

此外，根据《关键信息基础设施安全保护条例》第二条对于“关键基础设施运营者”的阐释，控制和支持OTA的服务器作为车联网中的重要节点，有可能被认为是关键信息基础设施。无论是《网络安全法》《个人信息保护法》还是《数据安全法》，均将关键信息基础设施运营者与一般网络服务运营者区分对待，使其负担更加严格的网络安全保护义务。

六、OTA召回合规

相比传统返厂召回，OTA召回极大降低了响应时间和召回成本。例如，2021年6月26日，国家市场监督管理总局（“市场监管总局”）发布通知，由于主动巡航控制系统问题易造成驾驶员误激活，决定召回合计高达约28万辆的某品牌电动汽车。[6]与传统的返厂召回不同，此次召回采取OTA的方式进行，由厂商免费为用户升级主动巡航控制软件，用户无需到店即可完成软件升级。虽然OTA召回被视为智能汽车的一个重要优势，但是在进行OTA召回时仍需注意不能将其作为逃避传统返厂召回的手段。

近年来，多家中外电动车企均卷入了“锁电”事件的风波。[7]锁电即通过OTA远端修改汽车电池管理系统，重新定义电池的电压范围，继而影响电池的容量与充放电性能，最为直接的影响即是电动汽车续航里程的显著下降。虽然锁电可以防止过充导致锂离子堆积，避免电池升温引发燃烧和爆炸从而在一定程度上保障安全，但是许多消费者认为，部分车企借OTA升级，制造电池衰减慢的假象以满足相关汽车电池质保要求。一些汽车电池使用了安全性较低的三元锂材质，车企在频繁的起火事故压力下，试图以OTA锁电的方式逃避召回责任。

在我国，市场监管总局在2020年《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》初步建立起OTA召回的备案制度。如果OTA方式未能有效消除缺陷或造成新的缺陷，生产者应当再次采取召回措施。此外，该文件亦关注到采用汽车生产者OTA方式隐瞒车辆缺陷、规避召回责任的问题，规定消费者、零部件生产者、软件与系统或数据服务商等获知此类行为可以直接向市场监管总局质量发展局报告。

2021年6月《市场监管总局质量发展局关于汽车远程升级（OTA）技术召回备案的补充通知》将OTA召回备案进一步规范化，要求生产者备案采用OTA方式的技术服务活动或召回时，需提交《汽车远程升级（OTA）安全技术评估信息表》。同年，某合资汽车品牌通过OTA对车辆进行锁电引发大规模消费者维权，最终招致市场监管总局对其进行调查。[8]

在域外，挪威法院在锁电相关诉讼中宣布车主胜诉，美国某电动汽车厂商被判违法，需要判赔金额每位车主13万克朗。在加州的另一桩集体诉讼中，该厂商花费150万美元与消费者达成和解。[9]

从各国“锁电”事件我们可以看到，虽然OTA为修补部分汽车软件故障提供了便捷方案，但如存在硬件缺陷时不可使用OTA的方式代替传统召回。使用OTA对存在问题的硬件施加使用限制，则可能会造成更严重的市场反弹和监管关切。

结语

OTA技术是汽车智能化进程中重要的一环，同时也蕴含着多层次的合规挑战。在数字化进程中，车企抓住OTA合规这把“未来之钥”，能够帮助其在新能源和数字化的赛道上更稳健向前。

[注]

[1] Rambus报告：https://www.rambus.com/blogs/ota-updates-explained/。

[2] 东兴证券：《汽车行业：OTA催化乘用车消费大变革——汽车行业新趋势系列报告之三》。

[3] 麦肯锡报告：https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/rewiring-car-electronics-and-software-architecture-for-the-roaring-2020s。

[4] 新京报报道：https://www.bjnews.com.cn/auto/2019/02/01/544800.html。

[5] 丛聪,孙潇,史家涛：《基于OTA场景的电控信息安全研究》，载《电子技术与软件工程》2020(18)，232-235页。

[6] 国家市场监督管理总局：https://www.samr.gov.cn/zw/zh/202211/t20221125_351906.html。

[7] 中国质量万里行报道：http://www.315online.com/survey/409476.html。

[8] 凤凰网报道：https://auto.ifeng.com/qichezixun/20210922/1641025.shtml。

[9] CourtListener记录：https://www.courtlistener.com/docket/16030151/rasmussen-v-tesla-inc/。

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。