霸王条款?理想汽车不授权不让用,专家:不合规,应尽快整改
近日,“理想汽车软件更新再现霸王条款”的新闻登上热搜。智能电动车品牌理想汽车在最新的智能系统软件协议中规定,在用户使用车载应用平台期间,将收集其车辆驾驶行为数据、车载导航应用数据、车载娱乐系统资料等使用信息,不同意协议则无法继续使用汽车。
理想汽车强制过度索权 已查实大量类似案例
据报道,9月18日,进行车机升级的部分理想汽车用户收到了“理想智能系统软件许可协议”的更新推送。协议内容显示,在用户使用车载应用平台期间,理想汽车将收集用户应用账号信息、车载应用装载及使用情况、个性化设置数据、车辆驾驶行为数据、车载导航应用数据、车载娱乐系统资料以及输入法输入的内容结果等使用信息。值得注意的是,整个推送页面上只有“已阅读,并同意许可协议”这唯一选项,不同意则无法继续使用汽车。这也意味着,用户必须接受如开车去了哪、开了多长时间、开车时听什么音乐、搜索过什么地点等信息都会被传送到理想汽车后台这一事实。“霸王条款使不得,应该尊重用户体验”“这对车企改进驾驶体验有什么帮助”“就好像你买的房子被物业装了摄像头,不给看就不让住”……登上热搜后,该事件受到广泛关注,网友们纷纷表示“这不叫协议,这是通知”。南都·隐私护卫队注意到,通过捆绑基本功能服务,强制索取非必要的用户个人信息授权一事早已屡见不鲜,但同时监管方面也动作不断。2019年12月,国家互联网信息办公室(下称“网信办”)、工业和信息化部(下称“工信部”)、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》,对“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”等应用违法违规收集使用个人信息的行为作出界定。今年3月,网信办、工信部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确39类常见类型应用的必要个人信息范围,并要求应用程序运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用应用的基本功能服务。相关法规出台后,网信办、工信部等部门多次针对应用非法获取、超范围收集、过度索权等侵害个人信息的现象,对常见类型应用的个人信息收集使用情况进行检测。到目前为止,因上述原因被通报整改的应用数量高达数百个,其中不乏抖音、百度、快手、高德地图、360浏览器等知名应用。专家:明确违反法规,应及时自行整改
那么,就此事件而言,理想汽车的软件协议是否违反了法律法规?用户可通过哪些渠道打破“霸王条款”、维护个人信息权益?导航应用数据、驾驶行为数据等重要信息被收集后一旦泄露,可能带来哪些安全隐患?
在北京清律律师事务所首席合伙人熊定中看来,理想汽车的这份协议显然是不合理的,它明确违反了网络安全法中的相关规定,并且与即将实施的个人信息保护法的精神以及一系列相关监管要求相违背。
自2017年6月起施行的网络安全法中规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,征得被收集者同意,且不得收集与其提供的服务无关的个人信息。将于今年11月施行的个人信息保护法规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
“首先明确一点,该事件中用户所遇到的OTA(即空中下载技术,可实现业务菜单的动态下载、删除与更新)推送系统更新是一种很常见的情况。目前国内的智能汽车,包括智能车机系统、车联网系统都具备OTA升级功能,与手机的OTA升级机制类似,这种行为本身没有任何问题。”熊定中解释,但如果要额外收集非必要信息,则需要征得用户的明确同意。
对此,熊定中举了个例子:“以车载导航系统为例,理论上只有当用户使用车机系统里自带的导航系统时,它才能够去收集用户的位置信息。如果用户要使用车载导航系统,但又不愿提供相关信息,系统此时可以拒绝提供导航服务,但不得拒绝其他基本功能的使用,例如此时用户不使用导航功能而是自行驾驶,则系统并没有合法性依据要求用户提供相关权限。”
今年8月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》,明确规定车辆行踪轨迹等信息为敏感个人信息,汽车数据处理者在数据处理活动中应坚持“默认不收集”、“精度范围适用”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
熊定中指出,车辆驾驶数据属于重要数据范畴,尤其在用户数量较多的情况下,它能够反映很重要的社会利益,因此理想汽车这一行为非常不妥。“我认为理想汽车的做法非常不明智,应该自己及时整改。”
此外,谈及用户维护个人信息权益的渠道,熊定中直言,最简单、快捷的方法是向交通运输部门、工信部门等监管机构投诉。此外,由于这是“明显且紧迫”的危害,用户还可以考虑向法院起诉,要求法院向理想汽车发出一个行为禁令,禁止其在判决结果出来之前收集上述信息。