欧盟发布网联汽车个人数据处理指南草案

随着信息通信、互联网、云计算、人工智能等技术的发展,汽车行业正在面临一场深刻的产业变革,汽车正从人工操控的传统交通工具加速向智能化系统控制的智能移动终端转变,其中,数据无疑是推动这轮汽车行业产业变革的核心动力。通过加载在车辆上的各类传感器和网联车载设备,汽车在行驶过程中将采集包括个人数据在内的大量数据,每辆网联汽车都是一个庞大的数据中心,而且采集的数据将在一个复杂的生态系统中共享、转让和使用,处理者不仅包括传统的汽车生产商、设备制造商和供应商,也包括为网联汽车提供服务、软件、平台或基于网联汽车采集的数据开发、提供产品和服务的各类参与者。因此,个人信息保护合规是所有车联网行业参与者必须考虑的一个重要课题。


2020年2月7日,欧盟数据保护委员会(“EDPB”)公开发布了《关于在网联汽车和出行相关应用程序中处理个人数据的指南》(以下称“《指南》”),并向社会公开征求意见。《指南》主要针对网联汽车和出行有关的应用程序,向车联网行业的参与者提供了在欧盟《通用数据保护条例》的法律框架下对个人数据处理行为较为具体的合规指引和要求。在我国目前没有就车联网行业出台特别的个人信息保护法规的情况下,《指南》所提出的建议对我国的车联网行业的参与者具有重要的借鉴意义。在本文中,我们将从网联汽车和设备制造商的角度出发,着重介绍《指南》对实践中常见的一些重要问题推荐的合规标准和做法。


一、《指南》适用范围 


《指南》适用于(1)在车辆内部处理个人数据;(2)在车辆和与其连接的个人设备(例如智能手机)之间交换个人数据;或(3)将在车辆内部收集的个人数据转移至外部实体(例如保险公司、车辆维修商)进行进一步处理。公司对使用公司提供车辆的员工行为进行监控的数据处理情形不在《指南》适用之列。《指南》中的网联汽车是一个宽泛的概念,指安装了许多电子控制单元能够在车内车外分享信息的车辆,并不局限于某种特定的车辆类型。同时,《指南》也适用于装载在智能手机上的、独立于车辆的与出行相关的应用程序,该类应用程序的目的包括但不限于出行管理、车辆管理、道路安全、娱乐、驾驶辅助、健康,基本涵盖了车联网业务中常见的应用范围。


二、车联网相关业务场景中如何认定个人数据


个人信息保护合规的起点是识别个人信息,一个常见的问题是应如何区分网联汽车产生的哪些属于个人数据,哪些属于不涉及个人数据的技术数据?欧盟《通用数据保护条例》对个人数据的定义方式与我国《个人信息安全规范》项下对个人信息的定义类似,即指能够单独或与其他信息结合识别特定自然人身份或反映特定自然人活动情况的信息(该特定自然人被称为“数据主体”)。在车联网相关的业务场景中,《指南》认为由于网联汽车生成的数据主要都与驾驶者和乘客有关,绝大部分都属于个人数据,即使在某些情况下,网联汽车收集的某些数据并不与某个具体个人的姓名有关,而是和车辆的技术状况和特性有关,这样的数据依然会由于和汽车驾驶者或乘客的相关性而被认为是个人数据。 


具体而言,《指南》将网联汽车生成的个人数据区分为:(1)可直接识别个人的数据,例如驾驶员的身份信息;(2)可间接识别个人的数据,例如行程详情、车辆使用数据(例如与刹车方式、加速等驾驶习惯或行驶距离相关的数据)、车辆技术数据(例如与车辆部件的磨损、引擎冷却液的温度、胎压相关的数据)、车辆维修状态数据,这些数据通过与其他文档、特别是车辆识别号(VIN)的相互参照可能构成和特定自然人相关的信息。 


我国车联网行业参与者面临同样的问题 – 能够直接识别个人的数据属于个人信息,但如何判断可以间接识别个人的数据?这些间接数据需要与其他信息结合到一个什么样的程度,才能被认为达到了“可识别”个人信息的标准?对此国内尚未有明确的标准或案例。因此,在国内有明确的认定标准出台之前,我们建议相关行业参与者应先参考《指南》的指引,采用较为宽泛的标准来认定网联汽车生成的个人数据范围。


三、对特殊类型个人数据的进一步保护


《指南》要求车辆和设备制造商、服务提供商和其他数据控制者特别关注三种个人数据:位置数据、生物识别数据、可能显示刑事犯罪或交通违规的数据。这三种数据在我国相关法律下均属于个人敏感信息,数据控制者对个人敏感信息的数据处理活动,除了必须遵守基本的安全原则外,还应该承担更高的保护义务,例如:在收集个人敏感信息前应取得数据主体的明示同意;共享或转让个人敏感信息前应向数据主体披露更多的相关信息;传输和存储个人敏感信息时采取加密措施;对个人敏感信息的访问和修改权限只能在权限控制的基础上根据业务流程的需要触发操作授权等。这些安全原则与更高的保护义务具体在车联网相关的应用场景中应如何落实,《指南》为此提供了较为详细的指引。 


地理位置数据


《指南》认为地理位置数据尤其能够揭示个人数据主体的生活习惯,具有很强的个人特征性,数据控制者可以由此推断出该数据主体的工作地、居住地以及最常去的休闲场所,并且由此可能推断出很多其他的敏感信息,例如可以通过数据主体所去的教会礼拜场所推断其宗教信仰,或者通过数据主体游览的场所推断其性取向等。因此,数据控制者应特别谨慎,除为该信息处理的目的所“绝对必需”的情况外,不应采集位置数据。举例来说,当数据控制者处理信息的目的只是为了检测车辆的运动时,陀螺仪就足以实现这一目的,就不需要采集位置数据。


《指南》进一步提出,在通常情况下,除了遵循通用的数据保护原则外,数据控制者采集地理位置数据时还应遵守下列原则: 


1. 根据数据处理的目的,来适当配置地理位置数据的访问频率和收集的详细程度。例如,对于一个气象应用程序而言,即使得到数据主体的同意,也不能每秒钟访问一次车辆的地理位置数据; 


2. 提供数据处理目的的准确信息(例如,是否存储位置数据的历史记录,如果是,该存储的目的是什么); 


3. 获取数据主体对数据处理的有效同意(自愿、具体和知情),其必须和对车辆销售或使用的一般条款的同意做区分; 


4. 仅在用户启动需要了解车辆位置的功能时激活地理定位,而非在车辆启动时默认且持续激活地理定位; 


5. 通知用户地理位置已被激活,尤其是要通过使用图标(可以随着显示屏移动的箭头)来进行通知; 


6. 提供用户随时取消地理定位的选择权; 


7. 规定地理位置数据的有限存储期限。 


生物识别数据 


在车联网相关的业务场景中,面部或语音模型、指纹等生物识别数据可用于访问车辆、验证驾驶者或车主身份、访问驾驶者的个人资料设置和偏好等目的。在考虑使用生物识别数据时,《指南》强调需要确保数据主体对其生物识别数据的完全控制,一方面,需要提供用户非生物识别的替代方法(例如使用物理密钥或代码进行识别),且不对此附加任何限制(即不应强制使用生物识别),另一方面,网联汽车应仅在本地以加密形式存储和比较生物识别模板,而不是由外部的读取或比较终端来处理生物识别数据。 


《指南》强调要确保生物识别认证方案的可靠性,提出对于生物识别数据应特别遵循以下原则: 


1. 应根据所需访问控制的安全级别调整所使用的生物识别方案(如漏报和误报比率); 


2. 使用抗攻击的传感器配合生物识别解决方案(如使用平面按压指印进行指纹识别); 


3. 设置有限的尝试认证的次数; 


4. 生物识别模型以加密形式存储在车辆上,并采用最先进的加密算法和密钥进行管理; 


5. 实时处理用于构成生物特征模型和用户身份验证的原始生物识别数据,从而即使在本地也无需存储任何该等原始数据。 


揭露刑事犯罪或其他违法行为的数据 


网联汽车产生的个人数据有可能揭露犯罪或其他违法行为(“违法行为相关数据”),例如,将车辆瞬时速度信息与精确的地理位置信息相结合可能被视为是违法行为相关数据,因此需要受到特殊限制。《指南》强调对这种数据的处理只能在官方机构的控制下进行,或得到欧盟或成员国法律授权时才能进行。考虑到不同地点对车辆速度的限制不同,瞬时速度信息本身无法达到显示违法犯罪的功能,因此其本身并不是违法行为相关数据。但是,如果结合收集此类数据的目的来考虑的话(例如为调查并起诉刑事犯罪之目的),该等数据可能成为违法行为相关数据,应依法采取特殊的保障措施。《指南》建议对这类数据,应采用数据主体对数据的处理具有完全控制权的本地处理方式来进行处理,禁止通过外部处理的方式进行处理。此外,数据控制者必须采取强有力的安全措施,以防止他人对这些数据进行非法访问、修改和删除。 


在我国,个人未公开的违法犯罪记录同样被列为个人敏感信息,因此需要获得更高程度的保护。但是,相关法规并未明确在车联网业务的情境下哪类数据可能被认为属于该类信息,是否必须仅在车辆本地进行处理,也并未要求只有在政府机构控制下或法律授权下才能进行处理。《指南》无疑对此提出了更高、更为具体的合规要求,值得我们参考借鉴。


四、控制网联汽车隐私和数据保护风险的一些一般性建议 


由于车联网生态系统涉及业务的广泛和多样,个人数据处理目的也非常多样,数据控制者需确保该处理目的明确、具体且合法,数据的采集也必须符合最小必要原则。考虑到网联汽车产生的个人数据的数量和多样性,《指南》要求数据控制者通过设计和默认的方式履行数据保护义务,确保在网联汽车场景下部署的技术配置尊重个人隐私。《指南》要求技术设计应尽可能减少个人数据的收集,提供保护隐私的默认设置,并确保数据主体明确知情并能够方便地修改与其个人数据相关的配置。这些考量与我国个人信息保护的相关法律下所要求的最少够用原则、公开透明原则、确保安全原则以及主体参与原则相一致,在我国就这些一般性保护原则在车联网业务相关场景中如何应用缺乏具体可操作指引的情况下,《指南》的规定能够为我国的车联网行业参与者提供一定的参考。 


个人数据的本地处理 


《指南》指出,一般而言,车辆和设备制造商、服务提供商和其他数据控制者应在可行的情况下优先使用不涉及将个人数据转移至车辆以外的数据处理流程(即数据在车辆内部进行处理)。这一流程的优势在于能够降低云处理的潜在风险,确保用户对其个人数据的唯一和完全的控制,通过禁止他人在数据主体不知情的情况下处理数据,从设计上就降低了隐私泄漏的风险。同样,数据本地化处理的网络安全风险较低,延迟时间较短,因此特别适合自动驾驶辅助功能。 


《指南》提出此类解决方案的一些示例包括: 


1. 通过在车辆内部处理数据,以便在车载屏幕实时显示驾驶建议的生态驾驶应用程序; 


2. 通过蓝牙或无线网络将个人数据转移至用户完全控制的智能手机等设备、而不转移至应用程序提供商或车辆制造商,这包括通过智能手机连接车辆显示器、多媒体系统、麦克风(或其他传感器)以进行电话通话等,所收集的数据仍处于数据主体的控制之下,并且仅用于提供该数据主体所要求的服务; 


3. 车载安全增强的应用程序,例如当驾驶员超车时发出声音信号或使方向盘震动的应用程序,或提供车况警报(例如刹车片磨损的警报)的应用程序;


4. 使用存储在车辆内的驾驶者的生物识别数据来解锁、启动和激活某些车辆命令的应用程序。 


对数据主体的告知形式


和欧盟《通用数据保护条例》中的原则一致,《指南》强调在收集个人数据前需对数据主体进行必要告知,包括数据控制者的身份、数据处理的目的、数据接收方、数据保存期限及数据主体的权利。《指南》要求该种告知应以简洁易懂的语言,在车辆销售合同、服务提供合同和/或任何书面文件中作出,只要这种书面文件是可辨别的(例如车辆的维修记录本或手册)或是通过车载计算机显示的均可。 


除此之外,《指南》还指出网联汽车可以使用标准化图标来履行告知义务,从而减少向数据主体提交大量书面信息,提高信息通知的透明度。《指南》指出,使用这类标准化图标时应该做到在车辆上清晰可见,以便就所计划的数据处理活动提供一个易于理解和清楚易读的良好总览,并且建议应对这些图标进行标准化,这样无论车辆的品牌或型号如何,用户都可以清楚地发现相同的符号,并理解符号所代表的意思,例如在收集地理位置数据时,可以通过在汽车上设置一个灯光,来告知乘客正在收集地理位置数据。 


数据主体的权利 


《指南》提出车辆和设备制造商、服务提供商和其他数据控制者应使数据主体在数据处理的整个过程中,能够便利地控制其本人的个人数据,通过提供特定工具以便其有效地行使其权利。例如为了方便数据主体进行设置修改,《指南》认为应在车辆内部配置指令管理系统,以便存储已知驾驶者的偏好选项,并帮助驾驶者可以随时轻松地更改隐私设置。这类车载指令管理系统应对每项数据处理的数据设置进行集中,特别是根据数据主体的要求,使其能够非常便利地从车辆系统中获取、删除和移除个人数据。除非法律另有规定,或某些数据的收集对车辆的关键功能至关重要,否则驾驶者应当能够在任何时候暂时或永久地选择停止收集特定类型的数据。此外,在出售使用过的网联汽车时,应删除车辆之前收集的个人数据。


五、结语


除上述内容外,《指南》还就网联汽车加密技术的使用、数据向第三方的传输、车载无线网络技术的使用涉及的个人数据保护问题提出了指引,并就五种车联网业务常见的数据处理情形提供了案例指导。数据保护合规对于网联汽车的研发、测试、制造而言至关重要,《指南》提出的标准和指引预计将为这方面的工作带来不小的挑战。


我国目前已基本建立了一般性的个人信息保护合规法律体系,但还没有针对车联网行业的个人信息保护问题出台专项立法和操作指引。国内车联网行业的参与者可以考虑参考《指南》中提出的标准和做法,整合外部律师、公司法务和有关技术团队的各类资源,在符合国内立法、兼具一定国际前瞻性的基础上,确保车联网相关业务合规健康发展。


分享