7月7日之后,欧盟卖的每一辆新车,方向盘附近都多了一颗对着你脸的红外摄像头。它有个正式名字,叫高级驾驶员分心警告(ADDW)。规则很具体:车速超过约20公里/小时自动开启,视线离开路面超过3.5秒(高速工况)或6秒(低速工况)就报警,而且没法永久关掉。这套要求从2024年7月起先套用在新车型上,今年7月7日起扩大到所有新注册车辆,法律依据是欧盟《通用安全法规》(Regulation (EU) 2019/2144) 和配套的委托法规 (EU) 2023/2590。
法规里写得很克制:这套系统要“闭环”处理数据,不算生物识别,不能传给车企,也不能传给任何第三方。问题是——谁来核实这句话是真的做到了。
官方剧本:闭环、不联网、不识别
委托法规对ADDW的定位很窄:只做“视觉分心检测”,不做身份识别,且明确要求不得违反GDPR。这个设计初衷本身没毛病,欧洲道路安全研究早就把分心列为长期问题,欧盟给出的官方口径是分心导致10%到30%的欧洲车祸,另外援引美国NHTSA数据:分心可能导致16%的致命碰撞、21%的伤害碰撞、22%的全部碰撞。坊间流传更宽的“5%到25%”版本,跟这套官方数字并不完全对得上——这类比例本身就分口径、分来源,笼统引用一个区间容易失真。
至于外界常说的“能救25000条生命”,那其实是2018年欧盟对整套GSR安全法规(限速提醒、车道保持、疲劳监测等一整批系统加在一起)到2038年的综合评估结果,不是ADDW一颗摄像头的功劳。把这句话单独安在这套系统头上,是归因上的偷懒。
实测剧本:关不掉、报警不停
条文之外,两组独立测试给出了同一个答案。比利时汽车媒体Gocar.be在小鹏P7+上实测发现,这套系统对着高速公路看风景、伸手切首歌都会报警,跟真正意义上的“分心驾驶”关系不大。更麻烦的是:手动关掉之后,只要系统再次判定出现“问题性观察行为”,它会自动重新打开——相当于没法真正关掉。
Reddit上一名租过福特Puma一周的用户说得更直白:开车十分钟,琥珀色警告加蜂鸣响一次;再过十分钟,红色警告加大声提示又来一次。他形容这“极其分散注意力”——而这本来是设计来防止分心的系统。他还提到,每次重新启动引擎,系统都会自动恢复到警觉状态,所谓“关闭”只是当次有效。
数字对不上,审计也没有
法规真正的空白,在留存这一环。条文只说系统“不得连续记录或保留超出必要范围的数据”,但没定义什么叫“必要”,也没写清楚具体保留多久。更关键的是:没有任何独立审计机制去核实车企装进车里的系统,是不是真的按“闭环”跑的——车企说数据没出车,目前没有第三方能验证这句话。
联合国层面(UNECE)的工作组文件已经在讨论“生物识别个人数据”该怎么界定、隐私条款该怎么写,但这些还停留在提案阶段,不是对欧盟市场生效的强制标准。换句话说,监管者已经意识到这个漏洞,只是标准还没定型——这也解释了为什么条文写得这么模糊:不是疏忽,更像是留了个还没谈拢的空白。
历史已经预演过“闭环失守”
“数据不出车”这句承诺让人不安,是因为类似的承诺已经被打破过一次。2024年3月,《纽约时报》报道通用、本田、讴歌、起亚、现代、三菱等车企,曾把驾驶行为数据——里程、车速、急刹、急加速——卖给数据经纪商LexisNexis和Verisk,后者据此生成“风险评分”卖给保险公司。一位自认开车谨慎的车主,保费涨了21%。曝光后通用停止了数据共享,后来还为此向加州支付了1275万美元和解金。
那次卖的只是行车数据,不是脸部影像。真正涉及摄像头画面外泄的先例,是此前媒体披露的车企内部员工私下分享车主摄像头拍到的敏感画面——包括事故现场、路怒冲突,乃至车主本人的隐私画面,部分员工甚至能看出拍摄地点。两起事件都跟ADDW无关,两家公司当时也都没有像欧盟这样被要求解释清楚摄像头到底拍了什么、留了多久。但它们说明同一件事:只要数据收集的边界写得模糊,下游总会有人——保险公司、数据经纪商,或者一个爱刷内部聊天工具的员工——摸到它。
谁来验证“闭环”
法规写得像承诺,执行环节像空白
ADDW的立法初衷站得住脚,分心驾驶确实是欧洲道路安全的老问题,装摄像头提醒司机看路,逻辑没毛病。真正让人不放心的,从来不是“要不要装”,而是装完之后谁来查。
- 风险.法规没有强制的独立审计条款,车企说“数据没出车”,目前没有第三方机制能验证这句话
- 结论.在UNECE把“生物识别数据”标准定型之前,欧盟司机能确认的只有隐私政策文字,验证不了摄像头背后到底发生了什么
现在能做的很有限:查一下车企隐私政策里关于留存期限和第三方共享的具体措辞,而不是宣传页;知道警报通常只能单次静音,重启引擎就会恢复;把这类生物特征数据当成身份风险来看待,而不是privacy footnote。天下熙熙皆为利来,车里那盏警示灯背后,真正需要盯紧的不是司机的眼睛,是数据的流向。
