随着车辆智能化、网联化程度的加深,汽车在逐渐成为可移动、可交互的巨大数据中心,从而引发各界对车联网隐私保护风险的担忧。此外,由于汽车还承载着人们的人身安全,因此,车联网的数据安全问题愈加敏感。2021年3月9日,欧洲数据保护委员会(EDPB)通过了《车联网个人数据保护指南》(以下简称《指南》),阐释了车联网各类场景下的隐私和数据风险及应对措施,旨在指导相关行业参与者有效保护数据安全。通过对《指南》进行深入研究,有利于我国在车联网领域数据安全与个人信息保护工作的开展。
明确网联汽车语境下数据保护相关术语定义。《指南》对网联汽车个人信息保护涉及的数据主体、数据控制者、数据处理者、数据接收方、数据处理等进行了明确定义。特别对数据的控制者和处理者进行了区分,指出数据处理者是按照数据控制者的指示处理个人数据,但不以自己名义使用这些数据的主体,同时,明确数据在多个控制者和处理者间流 转过程中,各方应付的权责及义务。通过规范各项定义,提升指南的规范性和可读性,方便读者理解并应用。 指出车联网面临的个人数据保护风险。《指南》针对网联汽车的特殊环境,提出其可能面临的隐私和数据保护风险。一是缺乏控制和信息不对称,在个人没有意识的情况下,触发车辆对数据的收集、处理。二是获得用户同意的“质量”低, 传统用于获取个人同意的机制在网联汽车环境下难以适用。三是数据传递频繁,在网联汽车环境下,数据交互频繁,管理难度大。四是数据过度收集,网联汽车传感器多,为实现自动驾驶等基于机器学习算法的功能,可能会长期收集大量的数据。五是网络安全的风险,网联汽车通信及UI界面,可能存在安全漏洞,造成个人数据泄露。 提出网联汽车设计默认提供的数据保护措施。《指南》从多方面为行业参与者提出网联汽车数据保护应提供的一般性、基本性保护。一是个人数据本地化处理。对于网联汽车收集的个人信息,尽量在车内进行处理分析,保证用户对其个人数据的控制权。二是匿名化或假名化处理。对于必须离开车辆的数据,根据业务逻辑,尽量进行匿名处理或假名处理。三是开展数据保护影响评估。对车辆涉及的个人数据进行风险评估,并将分析结果应用于汽车设计。四是提供知情权。通过明确、标准化的文字、图标,明确告知用户信息的收集、传递。五是提供选择权。向用户提供特定工具,现实数据的访问、更正、删除、限制等功能。六是提供数据安全及保密措施。为网联汽车配备与一般信息终端相同的网络安全保护措施。对五种车联网应用场景进行实例分析。《指南》针对汽车盗窃、事故防范等五个应用场景,分别分析了这五个场景下个人数据处理涉及的法律依据、数据类型、数据保存期限、数据主体权利实现路径等内容。创新性地提出了网联汽车租赁场景,规定了汽车租赁企业在个人数据保护中的职责,明确了在此特殊场景中,数据处理目的、所收集数据的类型、 此类数据的存储期限、要实施的安全措施以及信息接收方的权责义务。随着智能网联技术的快速发展,具备一定自动辅助驾驶功能的智能网联汽车占比快速提升。据相关研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB,这就导致在数据获取和使用过程中,存在数据的采集、存储方面责任和规范要求不明确,数据的商业用途约束要求不清晰,对于数据泄漏的防范不足,对于数据违法的处罚力度不够等问题。充分与上位法进行衔接匹配。《指南》分析了车联网语境下欧盟《通用数据保护条例》(以下简称“GDPR”)和《电 子隐私指令》的适用情况,指出网联汽车的信息处理能力及工作特性,已经符合了法律中关于“终端设备”的定义,即 “直接或间接与一个公共网络的接口相连接,进而发送、处理或接收信息的设备”,网联汽车应当被视为与手机、电脑、智能电视一样的终端设备。因此,GDPR、《电子隐私指令》适用于对网联汽车的管理。本《指南》即在上述法律框架下,对网联汽车处理个人数据进行指导和规范。 首次对网联汽车个人数据的边界进行了界定。网联汽车涉及汽车、个人、路况、媒体娱乐等多类数据,《指南》首次对网联汽车个人数据的边界进行了界定,明确其关注的数据是通过车辆传感器、车载T-box、手机应用等方式收集的,与自然人直接或间接相关的数据,具体包括:在车内收集处理的个人数据;车辆与之相连接设备(如用户智能手机)之间交换的个人数据;在车内收集和为进一步处理而向外部实体(如汽车制造商、保险公司)输出的个人数据,数据主体除驾驶员、车主外,还包括乘客、承租人等。不涉及为实现自动驾驶车载摄像头采集的道路、公共场所数据,以及大规模车辆Wi-Fi追踪数据等。 强调对三类个人数据予以特别关注。网联汽车涉及大量 数据,包括车辆运动的技术数据(车速、行驶距离等)、车况数据(发动机转速、胎压等),《指南》根据数据的敏感度及对数据主体权益潜在影响的大小,认定了三类应当特别关注的个人数据,分别是“地理位置数据”、“生物识别数据”、“可以揭露犯罪或其他违法行为的数据”。针对三类特别关 注数据分别提出了一系列相对应的收集和处理原则。针对地理位置数据,特别强调非必要不收集原则。针对生物识别数据,突出数据主体对数据的完全控制,要求提供生物识别的替代方案,以及数据加密存储传输要求。针对第三类数据,建议采取本地数据处理方式,除非特殊情况,不进行外部处理,以保护敏感数据的安全性。 率先提出网联汽车环境中数据保护可能面临的特殊风险。《指南》针对车联网环境,首次提出“缺乏控制和信息不对称”的隐私和数据保护风险。汽车整个生命周期中存在多个人拥有或使用的情况,车辆出租、临时乘坐,都可能出现采集对象未被充分告知数据被收集使用,被采集对象不是车辆拥有者或控制者可能无法拒绝某些数据的处理,而且车内收 集数据可能在个人没有意识、没有授权的情况下被自动触发, 这种“缺乏控制和信息不对称”的情况,给车辆临时驾乘人员个人隐私和数据安全造成严重威胁。同时,《指南》还指出了,网联汽车环境中,收集使用用户数据很难像传统信息终端一样明确获得用户同意,“同意”被收集很难是用户真实意愿的表达。制定我国网联汽车领域个人数据保护指南等文件标准。参考欧美经验做法,结合我国国情,针对网联汽车领域制定个人数据保护指南等文件,对网联汽车环境中个人信息保护, 提出一般性保护原则和具体措施,指导汽车制造商、维修商、经销商、租赁商、保险公司、第三方服务提供商、道路基础设施管理方等部门应当注意的风险点,及有必要采取的防范措施。例如,提醒网联汽车相关方在开发、设计车辆时,应当把数据保护统筹纳入考虑,采用的技术应以最小化个人数据收集为原则,部署的技术应当充分尊重个人的隐私,提供保护隐私的默认设置和确保数据主体得到充分告知并且可以选择以简易的方式修改与其个人数据相关的配置为目的。 建立专业第三方检测评估体系。针对网联汽车领域的复杂性,支持开展专业第三方网联汽车个人信息保护测评,建立市场化的检测评估机制。一是根据我国网联汽车领域个人数据保护指南等相关标准,组织研究机构等根据网联汽车个人信息保护相关标准,制定评测规程及指标体系。二是支持引导网络安全企业、个人信息保护机构、检测认证机构等组 织单位,组建专门的网联汽车检测机构,招募汽车、通信、安全、法律等领域专业人才及复合型人才,组建专业检测人才队伍。三是建立面向汽车制造商、零件提供商、信息服务提供商等多对象的,涵盖网联汽车制造、使用、报废全生命周期的测评体系,研发自动检测技术及工具,夯实检测能力。 建立网联汽车个人数据收集使用协议监督机制。建立由网联汽车相关企业、公众、第三方检测机构、政府主管部门组成的监督机制。通过法律法规,明确要求网联汽车涉及收集使用个人数据的企业都必须公开协议。网联汽车相关机构公开其用户隐私协议,供公众监督。任何个人或机构、媒体等有权进行监督,核对企业实际行为与协议所述是否一致,对于发现或怀疑的违法违规行为可向政府部门举报或委托第三方机构进行检测。第三方检测机构根据公众或政府机构的委托对网联汽车相关企业进行检测评估,确定其是否有违法违规行为。主管部门根据举报及检测评估报告,按照法律法规相关处罚条款,对违法违规行为进行处罚。通过建立监督机制,维护用户合法权益。
作者:周千荷 吕尧 李霖 孙东
