DRONES4SEC是第一个欧洲安全无人机联合会,汇集了无人机制造商、组件或战略专业知识供应商,以及协调无人机部署或利用无人机数据的软件解决方案提供商。DRONES4SEC的具体目标是定义无人机使用新用途所需的信任、网络安全和个人数据保护标准,并让决策者意识到选择值得信赖的无人机的重要性。
DJI大疆是一家中国科技公司,成立于2006年,总部位于深圳。它的主要经营无人机的设计和制造。该公司还是摄影和航拍无人机市场的全球领导者,为急救人员、警察和军队提供无人机,以及用于测绘和检查各种关键基础设施的企业用途和农业。
基于其在无人机技术和生态系统方面的强大专业知识以及迄今为止所做的调查,DRONES4SEC有充分的理由相信大疆违反了通用数据保护条例 (General Data Protection Regulation,简称GDPR)1 和国家数据保护法,例如,用户的数据可以在没有适当的保护措施甚至用户不知情的情况下转移到中国。
因此,2023年4月12日,DRONES4SEC 向以下机构投诉:
荷兰数据保护局 (Autoriteit Persoonsgegevens)
B.V(荷兰)及其母公司 SZ DJI Technology Co.(中国)和巴伐利亚数据保护局(Bayerisches Landesamt für Datenschutzaufsicht)针对 DJI GmbH(德国)及其母公司 SZ DJI Technology Co.(中国)。
荷兰和巴伐利亚的数据保护机构都监督个人数据的处理,以确保遵守有关个人数据使用的法律。 通过此次投诉,DRONES4SEC期望数据隐私法能够全面适用于全球无人机生态系统。 数以万计的消费者和政府(例如警察监视)捕获的数据的收集,特别是考虑到通过无人机成像可获得的重要数据集,必须以确保隐私和网络安全的方式进行。
通过基于现有网络安全研究、大疆的隐私政策分析和cookie跟踪的综合报告,DRONES4SEC要求数据保护机构调查:
(1) 大疆违反GDPR第五章规定向第三国(至少是中国)传输个人数据4。 欧洲数据保护委员会 (EDPB) 报告“政府在第三国访问数据”得出结论,“据认为,中国不是一个民主、自由的国家,也没有法治。 因此,不能认为它有能力为人们提供与欧盟相当的个人数据保护。 […] 可以得出结论,政府对个人数据的访问不受限制”。 由于中国无法从 GDPR第45条下的充分性决定中获益,并且不向欧盟提供同等保护,因此大疆需要实施补充措施。 但是,没有证据表明大疆实施了此类措施。
(2) 大疆应用程序包含不符合GDPR数据保护原则,特别是公平透明原则和设计和默认数据保护原则的隐患特征。 例如,几个月来,大疆的几款移动应用程序一直在向中国情报数据平台MobTech (mob.com) 发送数万至数十万用户的私人数据,该平台的目标是收集尽可能多的个人数据。 此功能对最终用户是隐藏的,大疆使用混淆技术来防止网络安全研究人员识别此类个人数据收集。
(3) 大疆的隐私政策不符合透明、公平的原则如GDPR中所述。
(4) 大疆创新违反征得用户同意义务和向用户提供信息的义务,使用cookies收集个人数据并跟踪用户。 这确实提供了大疆跟踪其用户的另一个示例。
DRONES4SEC的这一行动侧重于隐私。 除了隐私问题外,这些观察结果还引发了重要的主权问题,特别是对于企业用于测绘或检查关键基础设施(如核电站、电网、石油和天然气、饮用水、交通等)的不受信任无人机。
