2026-06-18 — views
實體 AI 資料隱私 2026——Waymo 商業車隊相機匿名化 vs Tesla 消費者訓練資料 GDPR 與中國審查:AV 資料治理基準報告
Waymo 對商業車隊資料中的人臉與車牌進行匿名化處理。Tesla 600 萬輛車的訓練數據管線面臨 GDPR 張力與中國相機審查壓力。
實體 AI 基準系列第 198 篇——AV 資料治理基準報告
資料是自動駕駛車輛 AI 的燃料,也是其最重大的法律責任。自動駕駛車輛每行駛一哩,都會產生捕捉人臉、車牌、私人住宅、行為模式,以及車輛與乘客精確位置歷史的感測器資料。這些資料同時是改善 AV 軟體的首要資源,也是隱私與網路安全風險的首要來源。了解 Waymo 和 Tesla 如何治理這些資料——收集什麼、如何處理、如何保護,以及如何遵守日益複雜的全球監管環境——是評估 2026 年兩大領先 AV 平台治理成熟度最清晰的視角。
本基準報告涵蓋五個面向:資料收集範圍(各平台產生的感測器資料)、隱私監管環境(GDPR、CCPA/CPRA、中國 PIPL)、資料最小化實踐、車艙內相機資料的具體治理挑戰,以及各公司聯網車輛架構的網路安全態勢。核心發現:Waymo 專為商業車隊設計的資料治理架構,在全球隱私法規下比 Tesla 以最大化消費者資料為目標的訓練數據模型更易於監管合規——但 Tesla 在中國的實際運營經驗(包括已建立的本地資料中心)帶來了 Waymo 尚未面對過的實際治理優勢。
第一節——AV 資料治理挑戰
AV 系統每運行小時所產生的資料量幾乎超過任何其他技術類別。配備完整感測器套件的 Waymo 車輛每小時可產生約 1 至 4 TB 的原始感測器資料(估計值),包含 LIDAR 點雲、多路相機串流及雷達資料。Tesla FSD 啟用車輛在 FSD 運行時,8 顆相機持續捕捉影像。這些資料同時是改善 AV 軟體的首要輸入(更多資料等於更好的 AI 模型),也是引發全球隱私法律關切的首要隱私議題。
資料治理挑戰涉及三類截然不同的資料:
道路場景資料——公共道路、行人、其他車輛、建築物及商業招牌的相機影像與視訊。在美國,公共場所的人士對於被觀察並無合理的隱私期待,但全球監管框架差異顯著。GDPR 將人臉影像列為需要明確同意或合法利益文件的生物辨識資料。
車輛位置與行駛路線資料——每輛車隨時間累積的精確 GPS 軌跡。對 Waymo 等商業服務而言,這包含付費乘客的上下車地點及路線歷史——揭露住家地址、工作地點、醫療預約及人際關係的敏感資料。
車艙內資料——用於駕駛監控的車內相機畫面。Tesla 的駕駛監控相機(位於後視鏡上方)在 Autopilot 或 FSD 啟用時捕捉車輛內部畫面。這比道路場景資料在類別上更為敏感:它記錄了人們合理認為私密的空間(車輛內部)中的私人活動。
治理這些資料的隱私監管環境有三個主要框架:
GDPR(歐盟): 要求資料最小化、目的限制,以及資料處理需有明確同意或合法利益依據。生物辨識資料——來自相機畫面的人臉辨識輸出——是需要明確同意的第一級敏感資料。GDPR 適用於任何對歐盟居民資料的處理,無論處理地點在何處。對任何計劃在歐盟擴張的 AV 公司而言,GDPR 合規是前提條件。
加州 CCPA/CPRA: 加州消費者隱私法及加州隱私權法賦予加州居民對其個人資料的權利,包括知情權、刪除權及選擇退出銷售的權利。在加州運營的車隊——包括 Waymo 的舊金山/洛杉磯車隊及 Tesla 的加州消費者車輛——均受此要求約束。CCPA 的基準允許選擇退出而非要求選擇加入,比 GDPR 限制性更低。
中國 PIPL: 中國《個人信息保護法》(2021 年)要求個人資料收集需獲得明確同意。在中國收集的地理空間資料必須留存於中國境內。個人資料跨境傳輸需獲得政府批准。此框架對在中國運營並曾面臨車輛相機資料收集直接監管審查的 Tesla 尤為關鍵。
行業核心治理張力:AV 系統收集的資料越多,AI 改善越快——但更多的資料收集帶來成比例更大的監管風險。資料最小化(僅收集特定目的所必要的資料)是監管最佳實踐,但與驅動 AV 發展的「更多資料等於更好 AI」原則存在結構性張力。這一張力無法單純依靠工程解決;需要有意識的治理選擇,且對 AI 發展速度有直接影響。
第二節——Waymo 的資料收集與隱私實踐
| 資料治理面向 | Waymo 方法 | 詳情 | 監管意涵 |
|---|---|---|---|
| 道路場景資料收集範圍 | Waymo 商業車輛收集 LIDAR 點雲資料及來自覆蓋 360 度的多路相機的影像與視訊;車輛在商業服務期間持續收集資料;包含從公共道路可見的行人人臉、車牌、住宅外觀及商業活動 | Waymo 車輛在公共道路上行駛,在美國法律框架下,公路可見活動不存在合理的隱私期待;但 GDPR 適用於歐盟居民,與 Waymo 計劃中的歐盟擴張相關;商業車隊相機資料中捕捉的人臉和車牌可能受 GDPR 生物辨識資料條款約束 | Waymo 對儲存或共享於即時安全關鍵用途以外的任何資料中的人臉和車牌進行模糊化及匿名化處理;資料最小化:用於安全事件的感測器資料保留時間較長;例行感測器資料保留時間較短後刪除 |
| 人臉辨識與生物辨識資料 | Waymo 不運行針對乘客或行人的人臉辨識系統;車輛相機收集可能包含人臉的影像,但這些影像不用於識別特定個人;儲存相機資料中的人臉在研究使用前須經匿名化處理 | GDPR 和 CCPA 均將人臉辨識列為需要明確同意的生物辨識資料;Waymo 不運行人臉辨識系統並對儲存資料中的人臉進行匿名化的政策,旨在遵守此類要求;但匿名化處理前收集的原始相機資料在技術上屬於已捕捉的生物辨識資料 | Waymo 的資料最小化與匿名化管線旨在滿足 EU GDPR 第 9 條關於特殊類別個人資料的要求;這對 Waymo 計劃進入的歐盟市場至關重要 |
| 乘客位置與行程資料 | Waymo 收集行程位置資料——上下車坐標及行駛路線——用於商業服務運營;此資料受 Waymo 隱私政策約束;乘客依 CCPA 對其行程位置歷史享有隱私權利 | 行程位置資料揭露乘客行為的敏感信息:住家和工作地點、醫療預約、宗教場所及人際關係;Waymo 的隱私政策涵蓋資料保留及乘客權利;CCPA 賦予乘客請求刪除個人資料的權利 | 叫車行程資料歷來是執法機關請求的焦點;Waymo 的資料政策必須同時應對執法機關請求與乘客資料保護 |
| 與 Alphabet 的資料共享 | Waymo 是 Alphabet(Google 母公司)的子公司;外界質疑 Waymo 車輛感測器資料是否與 Alphabet 更廣泛的資料生態系統(Google 地圖、Google 廣告)共享 | Waymo 聲明其作為獨立於 Google 的實體運營,不與 Google 的廣告或搜尋產品共享乘客資料或車輛感測器資料;但企業結構引發了監管機構和隱私倡導者標記的資料治理問題 | Waymo–Google/Alphabet 資料分離問題對 EU GDPR 合規尤為相關,Alphabet/Google 已因資料治理實踐而面臨數十億歐元罰款;Waymo 的獨立資料治理政策旨在實現獨立合規 |
| 網路安全態勢(商業車隊) | Waymo 商業車隊是聯網系統:車輛透過 OTA 更新、地圖更新、ROC 連線及叫車派送與 Waymo 後端伺服器通訊;車隊通訊網路是網路安全攻擊面 | Waymo 的車隊網路安全風險包括:(a) OTA 更新遭攻擊——惡意 OTA 更新可能改變 Waymo Driver 的車輛行為;(b) ROC 通訊遭攻擊——若 ROC 通訊管道遭攻擊,攻擊者可能攔截或注入引導通訊;(c) 地圖資料完整性——HD 地圖篡改可能導致車輛使用損毀的道路幾何資料導航 | Waymo 尚未公開披露具體的網路安全漏洞或事件;車隊網路安全受 2022 年 NHTSA 聯網車輛網路安全指引約束;汽車網路安全標準 ISO/SAE 21434 適用 |
| 中國資料監管風險 | Waymo 目前不在中國運營;但其計劃中的國際擴張引發了 Waymo 資料實踐如何與中國 PIPL 及地理空間資料法規互動的問題 | 若 Waymo 擴張至中國,在中國收集的所有感測器資料均須遵守 PIPL 及地理空間資料主權法律;此類資料的跨境傳輸需獲得中國政府批准;這對任何在中國使用 HD 地圖的 AV 運營商都造成結構性資料治理挑戰 | 中國的資料治理限制對 Waymo(HD 地圖等同於地理空間資料庫)的挑戰,大於對 Tesla 無地圖方案的挑戰——後者沒有需要本地化或限制的公分級 HD 地圖資料庫 |
第三節——Tesla 的資料收集與隱私實踐
| 資料治理面向 | Tesla 方法 | 詳情 | 監管意涵 |
|---|---|---|---|
| 消費者車輛相機資料收集 | Tesla 8 鏡頭 FSD 車輛在 FSD 或 Autopilot 啟用時持續捕捉影像資料;Tesla 600 萬輛以上的車隊產生了極大量的道路場景資料;Tesla 還因其車艙內相機(捕捉內部畫面的駕駛監控相機)而面臨審查 | Tesla 收集「有趣」駕駛場景的影片片段(邊緣案例、異常事件、近距事故)並發送至 Tesla 伺服器供審查和訓練;Tesla 表示不對所有車輛持續串流所有影像——而是透過其資料共享計劃發送特定事件觸發或使用者同意的選定片段 | 事件觸發片段與持續串流之間的差異對隱私法規意義重大:事件觸發片段減少了資料量,但觸發條件決定了捕捉內容;若觸發條件捕捉了敏感內容(如醫療緊急情況畫面、敏感地點建築外觀),無論觸發條件如何定義,資料收集仍受 GDPR/CCPA 約束 |
| 車艙內相機(駕駛監控) | Tesla 車輛在後視鏡上方配備車內相機用於駕駛監控,偵測 Autopilot/FSD 模式下的駕駛分心及手離方向盤事件;此相機可捕捉車輛內部包括所有乘員的畫面 | Tesla 的駕駛監控相機引發了重大隱私審查:誰可以看到這些畫面?是否與 Tesla 共享?執法機關能否請求調取?Tesla 表示車內相機畫面用於駕駛監控,除非駕駛選擇加入特定計劃,否則不發送至 Tesla 伺服器 | 車艙內相機資料比道路場景資料更為敏感:它在人們合理認為私密的空間(車輛內部)中捕捉包括對話和個人行為在內的私人活動;GDPR 對車艙內資料的隱私要求比道路場景資料更為嚴格;歐盟監管機構已在資料保護審查中特別標記 Tesla 的車內相機 |
| 中國:政府對相機資料的審查 | Tesla 在中國因車輛相機問題面臨重大監管審查;2021 年,中國軍方和政府以擔憂 Tesla 相機可能被用於監控為由,禁止 Tesla 車輛進入軍事設施和政府大院停車場;中國要求 Tesla 將所有中國境內收集的車輛資料儲存於中國 | Tesla 建立了中國本地資料中心(與中國資料中心營運商合作)以在本地儲存所有中國車輛資料;這符合中國 PIPL 要求;Tesla 的無地圖方案意味著除相機資料問題外,不存在需要本地化的 HD 地圖地理空間資料庫 | Tesla 的中國相機資料審查是重大的市場准入事件:被禁止進入軍事設施和政府大院並非輕微的合規問題;Tesla 的回應(本地資料中心)解決了監管要求,但外國公司車輛相機在敏感地點引發的根本性懷疑仍是結構性問題 |
| 資料最小化與訓練資料的張力 | Tesla 的訓練管線需要大量真實世界駕駛資料以改善 FSD;資料最小化——GDPR 中僅收集特定目的所必要資料的原則——與「更多資料等於更好 AI」的原則存在張力 | Tesla 的資料共享計劃在需要同意的市場中採用選擇加入制;在美國,Tesla 的隱私政策允許以選擇退出方式(CCPA 基準)而非選擇加入方式收集資料;在歐盟市場,GDPR 要求資料處理須有合法依據 | GDPR 同意張力對任何從更多訓練資料中受益的 AI 系統而言是真實存在的:選擇退出的使用者越多,可用訓練資料越少,可能減緩 AI 改善速度;Tesla 的歐盟監管環境在 AI 改善與 GDPR 合規之間製造了結構性張力 |
| 網路安全態勢(消費者車隊與 Robotaxi) | Tesla 消費者車隊接收車輛韌體和 FSD 軟體的 OTA 更新;OTA 管線是主要的網路安全攻擊面;研究人員多年來展示了各種 Tesla 網路安全漏洞(騰訊 Keen Lab、DEF CON 研究人員) | 已記錄的 Tesla 網路安全事件(非惡意安全研究):Keen Lab 展示了 Tesla 車載系統的遠端程式碼執行(2016 年、2019 年);研究人員展示了利用投影影像對 Tesla Autopilot 的欺騙攻擊;Tesla 已透過 OTA 修補程式對報告的漏洞快速響應 | Tesla 的 OTA 優先架構意味著發現的網路安全漏洞可以快速修補——通常在數天至數週內——而非需要實體召回;這相對於需要經銷商服務修補網路安全漏洞的傳統汽車製造商而言是顯著優勢 |
| Robotaxi 網路安全(額外攻擊面) | Tesla 奧斯汀 Robotaxi 引入了額外的網路安全攻擊面:叫車派送系統、ROC 通訊管道和無人駕駛車輛通訊堆疊,是消費者 Tesla 車輛所沒有的新攻擊面 | 針對 Tesla Robotaxi 系統且可在無人駕駛模式下改變車輛行為的網路安全攻擊——沒有駕駛可以覆蓋——與消費者車輛網路安全事件在性質上截然不同;人類駕駛的缺席移除了最後的手動覆蓋手段 | 無人駕駛 AV 網路安全是比消費者車輛網路安全更為獨特且更為關鍵的挑戰;全球監管機構正在制定獨立於標準車輛網路安全規則的無人駕駛 AV 網路安全要求 |
第四節——監管趨同:2026–2028 資料治理格局
| 監管發展 | Waymo 影響 | Tesla 影響 | 行業意涵 |
|---|---|---|---|
| EU AV 法規(預計 2025–2026 年) | EU AV 法規預計要求 AV 商業運營具備明確的資料治理框架;道路場景資料須符合 GDPR;資料最小化要求;Waymo 計劃中的歐盟擴張必須合規 | Tesla 歐盟消費者車隊 FSD 已受 GDPR 約束;在歐盟的 Robotaxi 需要符合 GDPR 的行程資料和車艙內相機治理 | EU AV 法規將為 AV 資料治理設立全球基準;由於企業建立符合歐盟標準的系統並全球推廣,歐盟要求通常會在全球擴散 |
| NHTSA AV 網路安全框架 | NHTSA 於 2022 年發布聯網車輛網路安全最佳實踐;更正式的 AV 網路安全規則預計在 2025–2027 年期間發布;將要求 AV 運營商提供書面安全測試及事件報告文件 | Tesla 消費者 OTA 管線和 Robotaxi ROC 通訊將受 NHTSA 網路安全規則要求約束 | 首個 AV 強制性網路安全規則可能要求滲透測試、事件響應計劃及定期安全稽核——對兩家公司而言都增加了運營管理負擔 |
| 中國 PIPL 與資料本地化 | 若 Waymo 進入中國:所有相機資料加 HD 地圖資料均受 PIPL 及地理空間資料本地化約束;結構性資料治理挑戰;地圖資料主權限制可能將中國 HD 地圖資料與全球 Waymo 訓練資料分隔 | Tesla 已完成中國資料本地化合規(2021 年建立中國資料中心);中國車輛的相機資料在本地儲存;中國收集的 FSD 資料獨立於全球 FSD 進行改善 | 中國資料本地化創造了將中國 AV 訓練資料與全球資料集分隔的資料治理架構;降低了中國業務對改善全球 AI 性能的貢獻 |
| 美國各州隱私法(持續擴張) | 加州 CCPA/CPRA、弗吉尼亞 VCDPA、科羅拉多 CPA 及持續擴張的州隱私法創造了拼湊式格局;Waymo 加州業務受影響最大(最嚴格的州法);其他州業務面臨不同要求 | Tesla 加州登記車輛加上全國消費者車隊面臨 CCPA/CPRA(大多數加州車主)及弗吉尼亞、科羅拉多、康乃狄克等州不斷擴張的州法 | 美國各州隱私法的拼湊式格局最終將需要聯邦預先佔領或公司針對每個州制定特定合規計劃;預計到 2028 年合規管理負擔將持續增加 |
第五節——資料治理基準計分卡
| 治理面向 | Waymo | Tesla | 優勢方 | 2028 年展望 |
|---|---|---|---|---|
| 資料最小化實踐 | 較強:商業車隊等同於運營目的;人臉和車牌已匿名化;例行資料保留時間較短 | 較弱:消費者車隊資料收集旨在最大化訓練資料量;GDPR 資料最小化與 AI 訓練資料需求之間存在張力 | Waymo(資料最小化與監管原則更加契合) | 監管壓力將推動 Tesla 在歐盟採取更明確的資料最小化措施;差距在 GDPR 執法下將縮小 |
| 車艙內資料敏感性 | 較低:Waymo 商業車輛的乘客已同意 Waymo 隱私政策;Gen 5/6 商業車隊的車內相機範圍有限 | 較高:Tesla 個人車輛中的駕駛監控相機捕捉私人活動;GDPR 對消費者車輛車艙內畫面的隱私要求更為嚴格 | Waymo(車艙內資料治理風險較低) | Tesla 歐盟市場的車內相機面臨持續的 GDPR 審查 |
| 中國監管風險 | 潛在(未來):若 Waymo 進入中國,HD 地圖資料加相機資料等同於雙重地理空間監管限制 | 現實存在:Tesla 中國資料中心已投入運營;符合 PIPL;軍事/政府設施禁令尚未解除 | Tesla(已應對中國監管挑戰;Waymo 尚未面對) | 中國 AV 法規將加強;Tesla 在中國的實際運營經驗是治理優勢 |
| 網路安全響應速度 | 強:僅限車隊運營;OTA 修補;無消費者規模攻擊面 | 強:OTA 優先架構支援快速修補;已展示對研究披露的快速響應;Robotaxi 增加了新攻擊面 | 大致相當——兩者均有快速 OTA 響應能力;Tesla 消費者車隊規模創造了更大攻擊面,但也帶來更多安全研究關注和更快的漏洞發現 | Robotaxi 網路安全要求將提高兩者的標準;預計到 2027–2028 年將出現正式強制性網路安全稽核 |
| 生物辨識資料治理 | 強:資料保留前進行人臉匿名化;無人臉辨識系統;具備 GDPR 意識的管線 | 中等:駕駛監控相機屬於生物辨識資料;EU GDPR 審查持續進行;車艙內資料治理更為複雜 | Waymo(相對於監管要求,生物辨識資料治理框架更為完善) | 針對汽車生物辨識資料的 GDPR 執法行動正在增加;Tesla 的車內相機治理將面臨持續審查 |
| 透明度與報告 | 高:隱私政策範圍清晰;加州 CCPA 合規;Alphabet 已建立的 GDPR 合規基礎設施 | 中等:隱私政策已存在;中國資料中心已披露;FSD 具體訓練資料使用情況未透明披露 | Waymo(資料治理透明度略高) | 兩家公司都將面臨更大的 AV 特定資料透明度披露監管壓力 |
資料隱私和網路安全正從幕後合規關切轉變為前台商業限制。Waymo 專為商業車隊設計的資料治理——匿名化、資料最小化、僅限商業目的範圍——比 Tesla 以最大化 AI 訓練資料為目標的消費者車隊資料收集方式,與日益收緊的全球隱私法規更加契合。Tesla 的中國經驗(本地資料中心、已應對政府審查)是 Waymo 尚未面對過的國際擴張實際優勢。兩家公司在無人駕駛 AV 業務規模擴大時,都面臨日益增加的網路安全監管要求——而 Robotaxi 網路安全在類別上比消費者 FSD 網路安全更為關鍵,因為人類駕駛的缺席移除了最後的手動覆蓋手段。
監管軌跡清晰:AV 特定資料治理要求到 2028 年將在全球範圍內收緊。將資料治理作為一階工程約束——而非事後合規考量——建立的公司,將在監管要求趨同時具有結構性優勢。在這一面向上,Waymo 的商業車隊架構目前處於更有利的位置。Tesla 的規模和運營廣度仍然是優勢,但它們也創造了比例更大的監管暴露面,需要持續增加治理投入才能有效管理。
資料來源:Waymo 隱私政策(waymo.com/privacy);Tesla 隱私政策(tesla.com/legal/privacy);中國網信辦——PIPL 要求(cac.gov.cn);NHTSA 聯網車輛網路安全最佳實踐(nhtsa.gov)。所有標注(估計值)的數字均為基於公開披露、監管文件及第三方報告的估計值;未經獨立核實,可能與各公司內部資料不同。