【律师视点】辛小天、周杨:驾驶碰撞数据监管的花火丨《汽车数据安全管理若干规定(征求意见稿)》的疑问号
德衡律师集团合伙人
德衡律师集团合伙人
车辆网络安全防控、知识产权保护、车辆使用者数据法定保护和数据权行使是智能网联车新型监管的重点。2021年5月12日,国家互联网信息办公室发布国内首部汽车行业数据安全管理规定——《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《规定》”),并向社会公开征求意见。《规定》填补了智能网联车时代我国驾驶行业数据安全保障的立法空白,旨在加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。
本文旨在对照国内外的事件经验和立法,提出笔者的疑问和完善建议。
《规定》中针对个人信息的定义,除界定数据主体范围(包括车主、驾驶人、乘车人、行人等的个人信息)外,还包括能够推断个人身份、描述个人行为等的各种信息。该项延伸可能会引发业内对于个人信息的界定不明,影响《规定》的适用确定性:
(1)本身个人信息的定义上就有兜底条款:《民法典》、《个人信息保护法(草案二次审议稿)》等相关规定均将个人信息的定义扩大至已识别或者可识别的自然人有关的各种信息。个人信息定义再加额外的范围扩充在文字设计逻辑上有些不通。
(2)汽车数据可以分为A. 汽车产品技术数据,例如零部件、序列号、软件版本、以及汽车质量和维修数据;B. 主体方(车主、驾驶人、乘客、服务使用方等)数据,包括驾驶行为数据、主体提供的数据、合同和财务数据等;C. 驾驶环境数据,包括外部环境、遥测传感数据、近车环境(包括行人)数据。业务有观点认为纯技术数据以及统计数据(油耗、平均时速等)只有在特定场景判断个人驾驶行为的时候,才产生个人关联性以及影响,因此在个人数据的判定应基于数据处理场景以及目的相关联进行分析,而非对数据进行生硬的囊括兜底。该定判定原则应在《规定》中有所体现。
可以看出《规定》对于数据主体的控制权进行了积极的努力,特别是对与敏感个人数据(包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等)规定了主体的绝对信息删除权和撤回同意权,包括:
➢明确运营者应向用户提供请求删除已经提供给车外的个人信息的方法步骤;驾驶人要求运营者删除向车外提供的敏感个人信息时,运营者应当在2周内删除。
➢驾驶人能够随时、方便地终止收集个人敏感信息。
2020年2月7日,欧盟数据保护委员会(“EDPB”)公开发布了《关于在网联汽车和出行相关应用程序中处理个人数据的指南》(以下称“《欧盟指南》”)提出类似个人信息主体的临时或永久的“关闭权”( “switch off” ),引发了业务有关道路安全和保险公司核保担忧。质疑意见认为驾驶的安全性第一要件,即便在驾驶员选择暂停个人数据的收集也不能危害到驾驶的安全,因此落实该项权利行使要求的前提是生产商在汽车以及其功能应该在设计上具有确保数据停止后依然确保驾驶安全。
另外,在特定合同履行,尤其是保险合同履行中,通常在合同到期后需要保留数据,以使保险人能够处理/辩护索赔(删除所有数据可能会助长欺诈索赔)及回应投诉。绝对的主体删除权的随时行使与合同履约以及行业监管相悖。
《规定》鼓励数据的车内使用,严格限制车外提供和使用。但如何界定车外提供并未明确。在车辆和与其连接的个人设备(例如智能手机)之间交换个人数据是否落入车外提供?该等情形下通过蓝牙或无线网络将个人数据转移至用户完全控制的智能手机等设备(包括连接车辆显示器、多媒体系统、麦克风(或其他传感器)以进行电话通话)、而不转移至应用程序提供商或车辆制造商,多数情况所收集的数据仍处于数据主体的控制之下。
车辆和与其连接的个人设备(例如智能手机)之间个人数据的交互是《欧盟指南》的适用列明范围之一,目前我国《规定》尚未涉及。但移动端智能车联应用已经广泛应用(包括但不限于出行管理、车辆管理、道路安全、娱乐、驾驶辅助、健康等),正在成为驾驶标配,也以为这更多,甚至超越驾驶数据的个人信息的收集和聚合,即便没有对第三方转移,车内端口和移动端的数据传输和存储安全急需监管应对。
(1)除“同意”外,其他数据处理基础(包括公共利益、合同履约、合理利益)的缺失。
(2)《规定》针对授权主体包括了驾驶人和车主,但只赋予允许车主方便查看、结构化查询被收集的敏感个人信息的查询权,缺失驾驶人的该项权利。
(3)重要数据只规定了类型,但缺失量级性规定,不宜从业者判断。
(4)对职业司机或公用车司机数据主体权利的例外要求的缺失。
(5)对与国家倡导的数据信息共享要求衔接的缺失。
或许您还想看
辛小天:印度屏蔽59个中国app的“胆量” ——了解印度IT法案第69A条
辛小天:《民法典》展望 | 个人信息民事救济如何解困隐私权诉之惑
周杨:GDPR实践笔记 | GDPR辖内,cookie应何去何从?
周杨、江智茹、杨雪娇 | 谷歌又遇巨额索赔:网站和第三方插件的合规警示
周杨、杨雪娇:实务理解 | 《金融消费者权益保护实施办法》及其对消费者金融信息的保护
周杨、杨玥祺:透明原则的遵循——《个人信息保护法(草案)》的合规实践要点
周杨、辛小天、史蕾:实务视野 | 《个人信息保护法》(草案)的规范含义解读
史蕾、周杨、辛小天:强化统筹协调性与打磨精准性——简评《数据安全法(草案)》二次审议稿
作者简介
辛小天
德衡律师集团合伙人,数字经济与人工智能业务中心总监,网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。
辛小天律师曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。
手机:13911159437
邮箱:xinxiaotian@deheng.com
周 杨
德衡律师集团合伙人
周杨律师,北京市律师协会科技与大数据法律事务专业委员会委员,互联网仲裁院副秘书长,网络空间安全战略与法律委员会委员,曾任职奇虎360法律顾问,负责多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一,多年来专注从事网络安全及相关互联网产品合规工作,极少数数据保护与法律专业的跨界律师。目前专注于金融领域、互联网高新技术领域及前沿领域研究,擅长领域主要包含数据安全保护、信息安全、GDPR、电子商务、科技金融和网络文化。
手机:18610123230
邮箱:zhouyang@deheng.com
质控人简介
娄 鹤
高级联席合伙人
数字经济与人工智能业务中心执行总监
louhe@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言