汽车产研｜对欧盟《车联网个人数据保护指南》的几点思考

随着智能化、网联化程度的不断加深，车辆正逐渐成为可移动、可交互的巨大数据中心，车联网数据安全问题、各界对车联网隐私保护风险的担忧愈发明显。2021年3月9日，欧洲数据保护委员会（EDPB）通过《车联网个人数据保护指南》（简称《指南》），阐释了车联网不同场景下的隐私保护和数据风险以及应对措施，这对中国车联网领域的数据安全与个人信息保护工作具有一定的借鉴意义。

一、《指南》的核心内容

明确了网联汽车语境下数据保护相关术语的定义。《指南》对网联汽车个人信息保护涉及的数据主体、数据控制者、数据处理者、数据接收方、数据处理都进行了明确定义。同时也明确了数据在多个控制者和处理者间流转过程中，各方的权责与义务。

表1 《指南》关于网联汽车个人信息保护的相关定义

指出了车联网面临的个人数据保护风险。针对网联汽车的特殊环境，《指南》提出了可能面临的隐私和数据保护风险。一是缺乏控制和信息不对称。车辆驾驶员和乘客可能不会被充分告知其数据正在通过车联网被处理，车辆通信也会在用户不知情的情况下自动触发或默认触发。二是“用户同意”的规则设置不符合欧盟《通用数据保护条例》（下称“GDPR”）要求。GDPR规定，同意事项不得与合同条款捆绑，而应是出于特定目的单独提供，且撤回同意应与做出同意同样方便。然而，在实践中，数据控制者在获取车主或汽车使用者同意时，往往将该类授权与购买或租赁新车的合同“打包”在一起，且撤销授权通常比进行授权难度更大。三是在网联汽车环境中，数据交互频繁，管理难度大。四是数据过度收集。网联汽车传感器多，为实现自动驾驶等基于机器学习算法的功能，可能会长期收集大量的数据。五是网络安全风险。网联汽车通信及UI界面，可能存在安全漏洞，造成个人数据泄露。

提出了网联汽车设计默认提供的数据保护措施。《指南》从多方面为行业参与者提出了网联汽车数据保护应提供的一般性、基本性保护规则。一是个人数据本地化处理。对于网联汽车收集的个人信息，尽量在车内进行处理分析，保证用户对其个人数据的控制权。二是匿名化或假名化处理。对于必须离开车辆的数据，根据业务逻辑，尽量进行匿名处理或假名处理。三是开展数据保护影响评估。在处理通过网联汽车生成的个人数据前，甚至从产品设计阶段开始，就要从个人信息保护的维度对相关隐私风险和可能造成的影响展开事先评估，确保汽车用户数据安全。四是提供知情权。通过明确、标准化的文字和图标，告知数据主体关于数据控制者（车辆和设备制造商或服务提供商）和数据接收方的身份信息、数据处理的目的、数据存储期限以及 GDPR下数据主体的权利，禁止利益相关者在数据主体不知情的情况下进行数据处理。五是提供选择权。向用户提供特定工具，实现其对数据的访问、更正、删除、限制等。六是提供数据安全及保密措施。为网联汽车配备与一般信息终端相同的网络安全保护措施。

对五种车联网应用场景进行了实例分析。针对汽车盗窃、事故防范等五个应用场景，《指南》分析了其中个人数据处理涉及的法律依据、数据类型、数据保存期限、数据主体权利实现路径。同时，还创新性地提出了网联汽车租赁场景，规定了汽车租赁企业在个人数据保护中的职责，明确了在这一特殊场景下数据处理的目的、所收集数据的类型、此类数据的存储期限、要实施的安全措施，以及信息接收方的权责义务。 

表2 车联网应用场景实例分析

二、《指南》特点分析

与上位法进行了衔接匹配。《指南》分析了车联网语境下GDPR和《电子隐私指令》的适用情况，并指出了网联汽车的信息处理能力及工作特性已经符合法律中关于“终端设备”的定义，即“直接或间接与一个公共网络的接口相连接，进而发送、处理或接收信息的设备”，网联汽车应被视为与手机、电脑、智能电视一样的终端设备。因此，GDPR、《电子隐私指令》适用于对网联汽车的管理。《指南》是在上述法律框架下，对网联汽车处理个人数据进行指导和规范。

首次界定了网联汽车个人数据的边界。网联汽车涉及汽车、个人、路况、媒体娱乐等多类数据，《指南》首次对网联汽车个人数据的边界进行了界定，明确其关注的数据是通过车辆传感器、车载T-box、手机应用等方式收集的，与自然人直接或间接相关的数据。具体包括：在车内收集处理的个人数据；车辆与连接设备（如用户智能手机）之间交换的个人数据；在车内收集和为进一步处理而向外部实体（如汽车制造商、保险公司）输出的个人数据，不涉及自动驾驶车载摄像头采集的道路、公共场所的数据，以及大规模车辆Wi-Fi追踪数据等。

图1 《指南》关于网联汽车个人数据边界的界定

强调对三类个人数据予以特别关注。网联汽车涉及大量数据，包括车辆运动的技术数据（车速、行驶距离等）、车况数据（发动机转速、胎压等）。根据数据敏感度及对数据主体权益潜在影响的大小，《指南》认定了三类应特别关注的个人数据，分别是“地理位置数据”、“生物识别数据”、“可以揭露犯罪或其他违法行为的数据”。针对三类数据分别提出了收集和处理原则。 

表3 《指南》特别关注的三类个人数据类型及遵守原则

率先提出网联汽车环境中数据保护可能面临的特殊风险。《指南》首次提出“缺乏控制和信息不对称”的隐私和数据保护风险。汽车生命周期中可能存在多个人拥有或使用的情况，车辆出租、临时乘坐，都可能出现采集对象未被充分告知数据被收集使用，被采集对象不是车辆拥有者或控制者，可能无法拒绝某些数据的处理，而且车内收集数据可能在个人没有意识、没有授权的情况下被自动触发，这种“缺乏控制和信息不对称”的情况，给车辆临时驾乘人员的个人隐私和数据安全带来严重威胁。同时，《指南》还指出，在网联汽车环境中，收集使用用户数据很难像传统信息终端一样明确获得用户同意，“同意”被收集很难是用户真实意愿的表达。

三、几点思考

中国在大力推动智能网联汽车产业发展的同时，十分注重对车联网数据安全的保护。在顶层设计方面，国家发改委等11部委于2020年联合印发《智能汽车创新发展战略》，明确提出要加强数据安全的监督管理，建立覆盖智能汽车数据全生命周期的安全管理机制。中央网信办于2021年发布《汽车数据安全管理若干规定（征求意见稿）》，明确了运营者处理信息和数据的过程中应坚持的原则及规定动作，规定了对运营者收集和向外提供信息的要求。在标准体系建设方面，《车联网信息服务 数据安全技术要求》、《车联网信息服务 用户个人信息保护要求》等行业标准陆续获批。《个人信息保护法》和《数据安全法》分别于2021年8月20日和2021年9月1日颁布实施。在安全评测方面，工业和信息化部面向5大类70余款车联网App开展了安全评测，为规范车联网App数据安全和个人信息保护工作提供参考。从实际发展看，中国智能网联汽车个人数据安全保护的法律标准体系目前尚不能完全满足产业发展需求，与美欧等国家和地区相比还存在一定的差距，仍需从制定标准指南、建立评估体系、设立监督机制等方面加以强化，保障智能网联汽车个人数据的安全。

从法律角度提出如下建议：一是监管力度应松紧适度。明确数据保护目的、个人信息保护范围，以及合理使用数据的要求，在保障重要数据安全和个人信息等基本权利的前提下，促进可公开数据的合理使用，支持经济社会发展建设。二是明确数据安全和个人信息保护管理部门的职责，深化对网联汽车的管理。网联汽车管理涉及工信、公安、交通等多个部门，针对不同领域、不同产品的数据安全和个人信息保护问题，建议明确由唯一的网联汽车数据安全管理部门进行统筹管理，或由各领域、各行业主管部门分别管理，并明确各部门的管理边界。三是制定具体的处罚条款。针对侵犯个人隐私和非法使用、泄露重要数据等问题，以及对个人名誉、财产造成影响的行为，制定相应的处罚条款；对企业而言，应当按照其年营收的百分比设定处罚金额，进而有效震慑各类侵权行为。

建立专业第三方检测评估体系。针对网联汽车领域的复杂性，支持开展专业第三方网联汽车个人信息保护测评，建立市场化的检测评估机制。一是根据《车联网信息服务数据安全技术要求》、《车联网信息服务 用户个人信息保护要求》等行业标准，提出车联网服务过程中数据采集、传输、存储、使用、迁移、销毁、备份恢复等安全保护要求，组织研究机构制定相关评测规程及指标体系。二是支持引导网络安全企业、个人信息保护机构、检测认证机构等组织单位，组建专门的网联汽车检测机构，招募汽车、通信、安全、法律等领域的专业人才及复合型人才，组建专业检测人才队伍。三是建立面向汽车制造商、零件提供商、信息服务提供商等多对象的，涵盖网联汽车制造、使用、报废全生命周期的测评体系，研发自动检测技术及工具，夯实检测能力。

建立网联汽车个人数据收集使用协议监督机制。建立由网联汽车相关企业、公众、第三方检测机构、政府主管部门组成监督机制。通过法律法规明确要求网联汽车涉及收集使用个人数据的企业都必须公开协议。网联汽车相关机构应公开其用户隐私协议，供公众监督。任何个人或机构、媒体都有权监督，核对企业实际行为与协议所述是否一致，对于发现或怀疑的违法违规行为，可向政府部门举报或委托第三方机构进行检测。第三方检测机构根据公众或政府机构的委托对网联汽车相关企业进行检测评估，确定其是否有违法违规行为。主管部门根据举报及检测评估报告，按照法律法规相关处罚条款，对违法违规行为进行处罚。通过建立监督机制，维护用户合法权益。

（周千荷、吕尧均来自赛迪智库）