智能车辆个人信息保护主要合规问题
发布时间:2020-02-20
文 | 黄春林 合伙人 黄天一 汇业律师事务所
随着智能车辆的进一步普及,车辆可以收集的个人信息越来越多,相应的安全风险也越来越大。为此,国内外陆续发布了一系列与智能车辆个人信息保护有关的规范、标准。例如,国内在2020年1月21日发布了《个人信息告知同意指南》(附录专门规定了车载场景告知同意规范实例)、《车载网络设备信息安全技术要求》等标准公开征求意见;2020年2月7日,欧盟数据保护委员会EDPB还发布了《关于在智能车辆和交通相关应用程序中处理个人数据的指南》公开征求意见。
汇业黄春林律师团队通过对比研究国内外立法及标准制定情况,总结近期项目经验及行业最佳实践,简要分析智能车辆个人信息保护的主要合规问题如下:
一、智能车辆收集的数据类型及范围
实践中,根据不同的车辆配置情况、车辆所有权及运营情况、车载服务提供情况等,将智能车辆收集的数据类型主要分为:
结合《网络安全法》、《信息安全技术 个人信息安全规范》及相关行业实践,智能车辆收集的上述数据绝大多数属于个人信息,其中包括可以直接识别自然人身份的车主姓名、身份证号、生物识别信息,也包括可以与其他信息结合识别自然人身份的车牌号、车辆行踪轨迹和车辆识别码(VIN),以及车辆本身的技术数据(如各部件运行参数、驾驶习惯等)。并且,其中的身份信息、生物信息、轨迹及位置信息等信息属于个人敏感信息。
此外,汇业黄春林律师团队理解,相关收集主体在收集、处理个人信息时,均可能被认定为《网络安全法》、《数据安全管理办法(征)》、《网络安全等级保护条例(征)》项下的网络运营者,应当依法履行相适应的网络安全责任。
二、智能车辆收集个人信息的几个基本原则
根据《网络安全法》、《个人信息安全规范》、《个人信息告知同意指南(征)》、EDPB《关于在智能车辆和交通相关应用程序中处理个人数据的指南》等规定,收集个人信息应当遵从合法性、最小化、安全性等原则,具体体现在智能车辆场景,我们认为:
1. 收集主体仅能基于合法的服务合同关系或法律规定之基础,收集车主、驾驶人及乘客相关的个人信息,不得欺诈、诱骗、强迫个人信息主体提供其个人信息,亦不得隐瞒产品或服务所具有的收集个人信息的功能;
2. 收集主体仅应当收集其服务直接有关的最小化信息,最大化克制收集身份信息、生物信息、轨迹及位置信息、车辆识别码等敏感信息,并尽可能降低收集频率;
3. 收集行为不得以任何方式干扰、影响车辆行驶安全及其他相关方安全;
4. 整体采取低标准收集、高标准权利控制的原则;等等。
三、智能车辆收集个人信息的告知同意合规
考虑到收集安全性原则,以及车载终端的展示形式有限性等因素,智能车辆收集个人信息的告知同意在遵从《网络安全法》、《个人信息安全规范》等规定的一般合规要点的同时,《个人信息告知同意指南(征)》还设定了一些更切合场景化的告知同意方式。具体的:
1. 仍然应当遵从公开透明、真实准确、清晰易懂等基本原则。尤其应当准确告知服务提供方、信息收集的主体及其联系方式等内容,以避免不必要的信息不对称并有效保障信息主体控制
2. 在告知合规方面,在安全、友好原则的指导下,允许通过事先的线下车辆使用说明书、个人信息同意函、销售协议、服务协议等方式告知车主或驾驶人;即便通过在线的方式告知,在车机屏展示有限的情况下,可以通过向用户提供完整隐私政策的二维码、网页链接、发送邮件的方式告知;具备车机联网功能的,还可以通过移动终端展示隐私政策的方式告知;此外,通过语音提示、视频展示等方式引起个人信息主体的注意也被视为一种告知的有效实践。
3. 在同意合规方面,应当根据不同的个人信息主体类型,采取差别化的同意深度机制。对车辆购买者权益造成重大影响或者对驾驶人、乘客安全性造成重大影响时,应当采取高标准的明示同意策略,例如签署书面协议、开机前语音提示等;在个人信息主体使用语音交互、人脸识别等功能时,个人信息主体使用服务即可视为其同意个人信息控制者收集其个人信息的行为;在主体混同或无法隔离的情况下,可以采用代为授权或默示同意方式。
4. 若儿童乘客可能使用车载服务时,例如语音、游戏等功能,在收集儿童个人信息时应当审查是否符合《儿童个人信息网络保护规定》的要求。
四、智能车辆个人信息存储、处理合规
因智能车辆场景下收集的个人信息较多、频度和敏感性较高,因此应当采取更高的标准规范相关信息的存储、处理行为。参照《车载网络设备信息安全技术要求(征)》等规定,智能车辆的数据存储应满足包括但不限于如下安全要求:用户敏感数据(例如:用户身份、位置信息)应存储在物理或软件隔离的专用存储区域,同时为保存数据的文件设置适当的访问权限;应采用加密形式保存涉及用户生物特征的数据;安全存储的文件应具有标识信息。
此外,汇业黄春林律师团队认为,考虑到绝部分车联网系统可能属于网络安全等级保护三级或者关键信息基础设施,因此建议在本地存储相关数据;若涉及个人信息跨境传输的,应当依法开展安全评估。
此外,参照工信部24号令及EDPB《关于在智能车辆和交通相关应用程序中处理个人数据的指南》等规定,智能车辆应当建立个人信息的删除合规机制,例如EDPB《关于在智能车辆和交通相关应用程序中处理个人数据的指南》规定,更换车主(例如车辆过户)或驾驶人(例如租赁到期)的,应当永久删除该主体相关的个人信息,除非法律另有规定。此外,《车载网络设备信息安全技术要求(征)》还规定,车载网络设备更换件后,应同步相关用户数据至新件,并删除换下的旧件中存放的数据。
在数据处理方面,EDPB《关于在智能车辆和交通相关应用程序中处理个人数据的指南》建议应当尽量在车辆本地(车机内系统)完成数据处理和分析,并将数据匿名化后再同步服务器或对外提供。
五、智能车辆对外提供个人信息合规
考到智能车辆的生态结构,相关个人信息在车联网生态圈内对外提供的场景会非常普遍,相关的数据泄露或滥用风险也非常高。纵观国内外当前立法、标准及行业实践,对车联网场景的个人信息对外提供规制,主要体现在如下几个方面:
1. 对外提供必需遵从告知同意规则,且普遍要求信息主体的明示同意,尤其是在向保险机构、二手车商等第三方提供位置信息、驾驶人习惯、生物信息等时;相关告知同意的规范,可以参照《个人信息告知同意指南(征)》第8、9条之规定。
2. 通过SDK、API对外提供时,还应当遵守近期监管执法中关于SDK个人信息保护有关的规定,尤其应当审查该等第三方的资质条件、安全能力及业务合法性;
3. 对外提供前,应当开展接收方安全能力评估,并实施DPIA;等等。
六、智能车辆个人信息主体控制权利合规
如前所述,考虑到智能车辆场景的特殊性,智能车辆个人信息保护宜低标准收集、高标准权利控制。因此,如何有效保护信息主体的个人信息控制权利实现,就成为该场景合规的重要控制点。汇业黄春林律师团队建议:
1. 应当全面保障信息主体的查询、更正、撤回、删除及注销账户的个人信息控制权利;
2. 为了保证信息主体控制权利的实现,应当全面、准确披露个人信息控制者的本土名称、地址、隐私负责人及其联系方式等;
3. 信息控制者应当提供便捷、准确的权利实现方式及路径,例如有效的车内即时操作渠道、客服电话等;
4. 信息存在委托处理、对外提供情形的,应当采取切实有效的措施,保证第三方有效执行信息主体的控制请求;等等。