驾驶碰撞数据监管的花火（二）

Original 辛小天周杨享法互联网JoyLegal

2024-08-25

车辆网络安全防控、知识产权保护、车辆使用者数据法定保护和数据权行使是智能网联车新型监管的重点。2021年5月12日，国家互联网信息办公室发布国内首部汽车行业数据安全管理规定——《汽车数据安全管理若干规定（征求意见稿）》（以下简称“《规定》”），并向社会公开征求意见。《规定》填补了智能网联车时代我国驾驶行业数据安全保障的立法空白，旨在加强个人信息和重要数据保护，规范汽车数据处理活动，维护国家安全和公共利益。

本文旨在对照国内外的事件经验和立法，提出笔者的疑问和完善建议。

1.个人信息扩大化使用的不确定性

《规定》中针对个人信息的定义，除界定数据主体范围（包括车主、驾驶人、乘车人、行人等的个人信息）外，还包括能够推断个人身份、描述个人行为等的各种信息。该项延伸可能会引发业内对于个人信息的界定不明，影响《规定》的适用确定性：

（1）本身个人信息的定义上就有兜底条款：《民法典》、《个人信息保护法（草案二次审议稿）》等相关规定均将个人信息的定义扩大至已识别或者可识别的自然人有关的各种信息。个人信息定义再加额外的范围扩充在文字设计逻辑上有些不通。

（2）汽车数据可以分为A. 汽车产品技术数据,例如零部件、序列号、软件版本、以及汽车质量和维修数据；B. 主体方（车主、驾驶人、乘客、服务使用方等）数据,包括驾驶行为数据、主体提供的数据、合同和财务数据等；C. 驾驶环境数据，包括外部环境、遥测传感数据、近车环境（包括行人）数据。业务有观点认为纯技术数据以及统计数据（油耗、平均时速等）只有在特定场景判断个人驾驶行为的时候，才产生个人关联性以及影响，因此在个人数据的判定应基于数据处理场景以及目的相关联进行分析，而非对数据进行生硬的囊括兜底。该定判定原则应在《规定》中有所体现。

2.随时撤回权可能影响安全和保险适用

可以看出《规定》对于数据主体的控制权进行了积极的努力，特别是对与敏感个人数据（包括车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等）规定了主体的绝对信息删除权和撤回同意权，包括：

-明确运营者应向用户提供请求删除已经提供给车外的个人信息的方法步骤；驾驶人要求运营者删除向车外提供的敏感个人信息时，运营者应当在2周内删除。

-驾驶人能够随时、方便地终止收集个人敏感信息。

2020年2月7日，欧盟数据保护委员会（“EDPB”）公开发布了《关于在网联汽车和出行相关应用程序中处理个人数据的指南》（以下称“《欧盟指南》”）提出类似个人信息主体的临时或永久的“关闭权”（ “switch off” ），引发了业务有关道路安全和保险公司核保担忧。质疑意见认为驾驶的安全性第一要件，即便在驾驶员选择暂停个人数据的收集也不能危害到驾驶的安全，因此落实该项权利行使要求的前提是生产商在汽车以及其功能应该在设计上具有确保数据停止后依然确保驾驶安全。

另外，在特定合同履行，尤其是保险合同履行中，通常在合同到期后需要保留数据，以使保险人能够处理/辩护索赔（删除所有数据可能会助长欺诈索赔）及回应投诉。绝对的主体删除权的随时行使与合同履约以及行业监管相悖。

3.车联个人设备数据监管的缺失

《规定》鼓励数据的车内使用，严格限制车外提供和使用。但如何界定车外提供并未明确。在车辆和与其连接的个人设备（例如智能手机）之间交换个人数据是否落入车外提供？该等情形下通过蓝牙或无线网络将个人数据转移至用户完全控制的智能手机等设备（包括连接车辆显示器、多媒体系统、麦克风（或其他传感器）以进行电话通话）、而不转移至应用程序提供商或车辆制造商，多数情况所收集的数据仍处于数据主体的控制之下。

车辆和与其连接的个人设备（例如智能手机）之间个人数据的交互是《欧盟指南》的适用列明范围之一，目前我国《规定》尚未涉及。但移动端智能车联应用已经广泛应用（包括但不限于出行管理、车辆管理、道路安全、娱乐、驾驶辅助、健康等），正在成为驾驶标配，也以为这更多，甚至超越驾驶数据的个人信息的收集和聚合，即便没有对第三方转移，车内端口和移动端的数据传输和存储安全急需监管应对。

4.其他的“缺失”

(1)除“同意”外，其他数据处理基础（包括公共利益、合同履约、合理利益）的缺失

(2)《规定》针对授权主体包括了驾驶人和车主，但只赋予允许车主方便查看、结构化查询被收集的敏感个人信息的查询权，缺失驾驶人的该项权利

(3)重要数据只规定了类型，但缺失量级性规定，不宜从业者判断

(4)对职业司机或公用车司机数据主体权利的例外要求的缺失

(5)对与国家倡导的数据信息共享要求衔接的缺失

— END —

往期回顾

强化统筹协调性与打磨精准性——简评《数据安全法（草案）》二次审议稿

海底捞包间安装摄像头，隐私权的边界在哪？

电商法细则踏315而来，经营者该做哪些准备

解读|《人民检察院办理网络犯罪案件规定》八大亮点