返回列表
实务指引 | 智能网联汽车行业个人信息处理合规要点
2023-07-05

随着汽车行业技术和服务的升级迭代,相比于传统汽车,智能网联汽车具有更为复杂的架构,其内嵌了传感器、控制器等装置,并且能够通过蓝牙、网络等方式与外部实现数据交互。正因如此,智能网联汽车涉及的个人信息处理场景更为复杂,俨然成为了类似于电脑、智能手机的新型智能终端,由此也涌现出了新的个人信息合规问题。

一、 收集阶段

根据《汽车采集数据处理安全指南》的规定,智能网联汽车可能在以下两种场景分别获取个人信息:

智能车企个人信息合规的关键在于取得个人信息处理的合法性基础。大多数情况下,智能车企处理个人信息的合法性基础仍是“告知+同意”的模式,但相比传统的PC或移动端的交互模式,智能汽车场景下的告知和授权同意获取更为困难。即使车企履行了告知义务,取得了车主对个人信息处理活动的同意授权,在汽车实际使用阶段,也难以取得驾驶员与车内乘客的有效同意。

 

1.告知方式

《汽车数据安全管理若干规定(试行)》第七条规定列举了部分企业可采用的告知方式,包括用户手册、车载显示面板、语音、汽车使用相关程序等。除此之外,2023年5月23日发布的《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称《实施指南》)在附录H中详细列举了车内场景下的告知方式:

使用说明书、销售协议、用户手册等文本

企业可考虑在车辆使用说明书、销售协议、用户手册等文本中对于车载系统或应用服务涉及的个人信息处理规则进行介绍。

 

车载显示面板

作为直接与用户发生交互的媒介,车辆生产商及车载系统服务提供商可以通过车载控制面板,在收集个人信息前向用户介绍个人信息处理规则,并取得用户的授权同意。

 

移动智能终端

若汽车与移动智能终端互联或账号可交互,企业可以考虑在智能终端向用户展示个人信息处理规则。例如,为便于用户对车辆实现远程监控管理或实现其他功能,智能网联汽车企业通常会于移动智能终端推出车辆使用的配套应用程序。

 

语音、视频、弹窗、提示音等

如在行车过程中涉及处理敏感个人信息,如身份信息、生物识别信息、行踪轨迹等,可通过语音、视频、弹窗、提示音等显著方式提请用户注意。

 

电子邮件、短信

企业可根据车主提供的电子邮箱地址或电话号码,通过电子邮件或短信的方式向车主补充告知临时性的个人信息处理活动。

除附录H中所列告知方式外,企业还可参考已有的实践,采取如下告知方式:

企业官方网站

在实际运营过程中,智能网联汽车企业的数据处理活动并不仅局限于车辆运行过程中涉及的个人信息。试驾、订购、售后等服务环节均涉及个人信息处理活动,因此部分车企会制定隐私政策并在官方网站内展示,涵盖其所有个人信息处理场景。车内外的个人信息处理规则也可纳入总隐私政策中。

 

图标/指示灯

在处理特定个人信息,例如敏感个人信息、座舱数据等,可通过在车载面板设置易懂的图标或通过指示灯亮起的方式向用户提示个人信息处理状况。考虑到图标或指示灯能够承载的个人信息处理规则有限,企业还应通过其他展示界面完整告知个人信息处理相关信息。

 

2.同意

《汽车数据安全管理若干规定(试行)》对汽车收集数据活动的触发方式做出了规定,在驾驶人每次驾驶时,应默认设定为不收集数据。该条规定可能要求企业采取“opt-in”的方式获得驾驶人的同意授权。但鉴于该条采用了“倡导”的表述,因此对于企业来说,这并非是强制性合规义务。

 

在收集车外个人信息的场景下,因车外场景面对的是不特定的多数群众,且多数个人信息是在行车过程中采集的,因此,在实践中很难向受影响的个人做到告知并取得同意。针对此场景,《汽车数据安全管理若干规定(试行)》第六条规定了企业应考虑优先对数据进行车内处理。继而在第八条规定针对收集到的车外个人信息,因行车安全需要向车外提供的,需进行匿名化处理,或对人脸信息进行局部轮廓化处理。

 

在收集、处理车内数据的场景下,可能涉及车主、驾驶人、乘车人等多个不同个人信息主体。《实施指南》针对不同的个人信息主体,提出了如下征得同意的路径供各企业参考:

车主

《实施指南》提出,若车内场景的个人信息处理活动可能对车辆购买人权益造成重大影响,企业可在采购协议中设置相关条款,车主通过签署采购协议授权企业处理其个人信息。

企业还应考虑到车辆所有人变更场景后的个人信息处理活动。企业可通过第三方服务商获知车辆所有人变更信息,据此变更个人信息处理状态。除此之外,企业还可采取技术措施,通过对车辆数据分析判断车辆所有人变化(例如,通过对轨迹信息及车辆位置信息的变化情况判断所有人是否变更)。车辆所有人变更后,企业应采取适当措施删除或保护车辆中原所有人遗留的个人信息,或对车辆处理个人信息情况进行初始化。

 

驾驶人

车辆驾驶人并不一定都是车主。如在租车、代驾、共享汽车等场景下,驾驶人仅为车辆的临时使用者,并不享有对车辆的所有权。《实施指南》在H.3.1指出,在每次汽车启动前,企业宜通过车内设备向驾驶人告知个人信息处理活动及规则,并取得其同意。除此之外,企业还可采用身份识别技术,对识别到的车主就个人信息处理事项进行简化告知,对临时驾驶人进行完整告知。

但企业还应注意赋予临时使用者一定的控制权。汽车数据处理公司Otonomo Technologies曾发布《网联汽车数据合规手册白皮书》,对租车场景下的同意机制提出了建议。白皮书指出,在租车的场景下,汽车使用者应享有与汽车所有者一样的对数据的控制权。且在车辆使用完毕后,使用者能够通过有效渠道抹去相关数据。

二、存储阶段

智能网联汽车涉及处理庞杂的个人信息,包括生物识别信息、行踪轨迹信息、工作及住址信息等,对用户的人身、财产安全具有重大影响。因此,企业应重视对车辆个人信息的保护工作。现行《数据安全法》《网络安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》等法律法规并未对数据安全保障要求进行细化,因此企业在开展合规工作时可参考颗粒度更细的相关标准:

数据分类分级保护

企业应遵守《数据安全法》第二十一条的规定,落实网络安全等级保护制度及数据分类分级保护制度。参考《信息安全技术 汽车数据处理安全要求》,企业应对个人信息建立结构化目录。

 

分域存储

参考《信息安全技术 生物特征识别信息保护基本要求》《信息安全技术 个人信息安全规范》,企业宜仅存储生物识别摘要信息,并将收集到的生物识别信息与其主体身份相关的信息采用技术隔离手段分别存储。

 

匿名化或去标识化

根据《汽车数据安全管理若干规定(试行)》第六条、《个人信息保护法》第五十一条,对收集到的数据采取相应的加密、匿名化、去标识化等安全技术措施,保障数据及个人信息安全。

 

车内安全重要参数

参考《汽车信息安全通用技术要求》,应保障安全重要参数(包括私密密钥、私钥、口令类鉴别数据或其他密码相关参数的信息)存储的保密性、完整性和可用性。

 

存储期限

根据《汽车数据安全管理若干规定(试行)》第六条规定,汽车数据应优先考虑车内处理,并建立严格的车内数据访问或调取制度。若需经过车外平台处理或存储,需遵循《个人信息保护法》或其他法律、法规的规定。例如,《网络预约出租汽车经营服务管理暂行办法》规定了网约车平台公司采集的个人信息和生成的业务数据,保存期限不得少于2年。

 

传输加密

《汽车采集数据处理安全指南》建议,原则上不通过网络向车外传输座舱数据。为实现直接服务于用户的功能,例如保障行车安全、导航等,需通过网络向车外用户终端设备或远程信息服务平台等传输车内数据,需对传输采取加密措施。

 

车外存储要求

《汽车采集数据处理安全指南》第6.1条要求位置轨迹信息及车外采集到的数据传输至车外的保存时间均不应超过14天,并采取加密措施。

三、 传输、使用阶段

智能网联汽车涉及的数据具有潜在的商业价值,例如,通过用户驾驶车辆行踪轨迹能够分析出用户的消费习惯、家庭及工作住址,还能通过用户的座舱数据分析出用户的驾驶习惯与偏好。企业在传输、使用车辆收集、产生的个人信息时应注意:

 

车内处理优先

《汽车数据安全管理若干规定(试行)》第六条规定处理数据时,应优先进行车内处理,非必要不向车外提供。《汽车数据安全管理若干规定(试行)》第八条规定,因行车安全需要,无法征得个人同意向车外提供采集到的车外个人信息的,应当对个人信息进行匿名化处理。

 

直接服务于个人

《汽车数据安全管理若干规定(试行)》第九条规定在处理敏感个人信息时,需要具有直接服务于个人的目的,例如实现增强行车安全、智能驾驶、导航等功能。该条遵循了《个人信息保护法》所规定的目的明确原则,即收集、处理个人信息应与实现的目的直接相关。

 

个性化推荐/自动化决策

个性化推荐在智能网联汽车内具有潜在的运用场景。例如,新华网与一汽集团合作考虑推出“情绪流”车媒体智能新闻推荐系统,通过分析司机行驶过程中的生物信息,对司机疲劳状态进行预警,并根据用户画像提供新闻和音乐。在此类个人信息的应用场景下,参考《信息安全技术 生物特征识别信息保护基本要求》,企业不应就生物识别信息生成用户画像,也不应就生物识别信息进行个性化推荐。

依据《个人信息保护法》的规定,企业利用个人信息进行自动化决策,应保障决策透明度及决策结果公平、公正,事先开展个人信息保护影响评估,并为用户提供关闭或退出机制。

 

数据分析

在分析、处理大量车辆数据时,若涉及用户的个人信息,应基于用户的授权开展处理活动,不应超出用户的授权同意范围。参考《信息安全技术 生物特征识别信息保护基本要求》,企业不应就生物识别信息进行统计分析,确需统计分析的,仅使用匿名化后的数据并事先开展个人信息安全影响评估。

 

数据跨境传输

若向境外传输的数据包括《汽车数据安全管理若干规定(试行)》第三条所列重要数据,或符合《数据出境安全评估办法》第四条情形,应向所在地省级网信部门申报数据出境安全评估。

四、 个人信息主体权利响应

因处理车辆数据涉及个人信息,企业还应保障个人信息主体权利,建立个人信息主体权利渠道及响应机制。除了《个人信息保护法》对个人信息处理者做的一般性规定外,企业作为汽车数据处理者还应履行以下合规义务:

撤回个人同意

企业应在控制面板或应用程序增加交互设置,为用户提供便捷的撤回同意的渠道。《汽车数据安全管理若干规定(试行)》第九条要求处理敏感个人信息前,需取得用户的单独同意,并允许用户提供自主设定同意期限。

 

权利响应时限

《App违法违规收集使用个人信息行为认定方法》规定了个人信息主体权利响应时限为15个工作日,但《汽车数据安全管理若干规定(试行)》中规定了汽车数据处理者应在10个工作日内响应个人的删除请求。出于方便管理、工作效率的考虑,企业可将响应时限统一为10个工作日。

在数字经济的背景下,汽车已成为了海量数据的承载体。个人信息的交互不再局限于车辆与人,还可能涉及更多的个人信息处理者,例如信息娱乐服务商、道路基础设施、保险公司等。更多玩家的入局为个人信息合规路径探索带来了不确定性。但无论科技或行业形态如何变化,个人信息保护的基本原则仍是企业在发展洪流中应牢牢抓住的准绳。

 

作者:吴蕊

审稿:梁艳芬

(文中观点不代表北源律师事务所的观点或法律意见)

返回列表
实务指引 | 智能网联汽车行业个人信息处理合规要点
2023-07-05

随着汽车行业技术和服务的升级迭代,相比于传统汽车,智能网联汽车具有更为复杂的架构,其内嵌了传感器、控制器等装置,并且能够通过蓝牙、网络等方式与外部实现数据交互。正因如此,智能网联汽车涉及的个人信息处理场景更为复杂,俨然成为了类似于电脑、智能手机的新型智能终端,由此也涌现出了新的个人信息合规问题。

一、 收集阶段

根据《汽车采集数据处理安全指南》的规定,智能网联汽车可能在以下两种场景分别获取个人信息:

智能车企个人信息合规的关键在于取得个人信息处理的合法性基础。大多数情况下,智能车企处理个人信息的合法性基础仍是“告知+同意”的模式,但相比传统的PC或移动端的交互模式,智能汽车场景下的告知和授权同意获取更为困难。即使车企履行了告知义务,取得了车主对个人信息处理活动的同意授权,在汽车实际使用阶段,也难以取得驾驶员与车内乘客的有效同意。

 

1.告知方式

《汽车数据安全管理若干规定(试行)》第七条规定列举了部分企业可采用的告知方式,包括用户手册、车载显示面板、语音、汽车使用相关程序等。除此之外,2023年5月23日发布的《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称《实施指南》)在附录H中详细列举了车内场景下的告知方式:

使用说明书、销售协议、用户手册等文本

企业可考虑在车辆使用说明书、销售协议、用户手册等文本中对于车载系统或应用服务涉及的个人信息处理规则进行介绍。

 

车载显示面板

作为直接与用户发生交互的媒介,车辆生产商及车载系统服务提供商可以通过车载控制面板,在收集个人信息前向用户介绍个人信息处理规则,并取得用户的授权同意。

 

移动智能终端

若汽车与移动智能终端互联或账号可交互,企业可以考虑在智能终端向用户展示个人信息处理规则。例如,为便于用户对车辆实现远程监控管理或实现其他功能,智能网联汽车企业通常会于移动智能终端推出车辆使用的配套应用程序。

 

语音、视频、弹窗、提示音等

如在行车过程中涉及处理敏感个人信息,如身份信息、生物识别信息、行踪轨迹等,可通过语音、视频、弹窗、提示音等显著方式提请用户注意。

 

电子邮件、短信

企业可根据车主提供的电子邮箱地址或电话号码,通过电子邮件或短信的方式向车主补充告知临时性的个人信息处理活动。

除附录H中所列告知方式外,企业还可参考已有的实践,采取如下告知方式:

企业官方网站

在实际运营过程中,智能网联汽车企业的数据处理活动并不仅局限于车辆运行过程中涉及的个人信息。试驾、订购、售后等服务环节均涉及个人信息处理活动,因此部分车企会制定隐私政策并在官方网站内展示,涵盖其所有个人信息处理场景。车内外的个人信息处理规则也可纳入总隐私政策中。

 

图标/指示灯

在处理特定个人信息,例如敏感个人信息、座舱数据等,可通过在车载面板设置易懂的图标或通过指示灯亮起的方式向用户提示个人信息处理状况。考虑到图标或指示灯能够承载的个人信息处理规则有限,企业还应通过其他展示界面完整告知个人信息处理相关信息。

 

2.同意

《汽车数据安全管理若干规定(试行)》对汽车收集数据活动的触发方式做出了规定,在驾驶人每次驾驶时,应默认设定为不收集数据。该条规定可能要求企业采取“opt-in”的方式获得驾驶人的同意授权。但鉴于该条采用了“倡导”的表述,因此对于企业来说,这并非是强制性合规义务。

 

在收集车外个人信息的场景下,因车外场景面对的是不特定的多数群众,且多数个人信息是在行车过程中采集的,因此,在实践中很难向受影响的个人做到告知并取得同意。针对此场景,《汽车数据安全管理若干规定(试行)》第六条规定了企业应考虑优先对数据进行车内处理。继而在第八条规定针对收集到的车外个人信息,因行车安全需要向车外提供的,需进行匿名化处理,或对人脸信息进行局部轮廓化处理。

 

在收集、处理车内数据的场景下,可能涉及车主、驾驶人、乘车人等多个不同个人信息主体。《实施指南》针对不同的个人信息主体,提出了如下征得同意的路径供各企业参考:

车主

《实施指南》提出,若车内场景的个人信息处理活动可能对车辆购买人权益造成重大影响,企业可在采购协议中设置相关条款,车主通过签署采购协议授权企业处理其个人信息。

企业还应考虑到车辆所有人变更场景后的个人信息处理活动。企业可通过第三方服务商获知车辆所有人变更信息,据此变更个人信息处理状态。除此之外,企业还可采取技术措施,通过对车辆数据分析判断车辆所有人变化(例如,通过对轨迹信息及车辆位置信息的变化情况判断所有人是否变更)。车辆所有人变更后,企业应采取适当措施删除或保护车辆中原所有人遗留的个人信息,或对车辆处理个人信息情况进行初始化。

 

驾驶人

车辆驾驶人并不一定都是车主。如在租车、代驾、共享汽车等场景下,驾驶人仅为车辆的临时使用者,并不享有对车辆的所有权。《实施指南》在H.3.1指出,在每次汽车启动前,企业宜通过车内设备向驾驶人告知个人信息处理活动及规则,并取得其同意。除此之外,企业还可采用身份识别技术,对识别到的车主就个人信息处理事项进行简化告知,对临时驾驶人进行完整告知。

但企业还应注意赋予临时使用者一定的控制权。汽车数据处理公司Otonomo Technologies曾发布《网联汽车数据合规手册白皮书》,对租车场景下的同意机制提出了建议。白皮书指出,在租车的场景下,汽车使用者应享有与汽车所有者一样的对数据的控制权。且在车辆使用完毕后,使用者能够通过有效渠道抹去相关数据。

二、存储阶段

智能网联汽车涉及处理庞杂的个人信息,包括生物识别信息、行踪轨迹信息、工作及住址信息等,对用户的人身、财产安全具有重大影响。因此,企业应重视对车辆个人信息的保护工作。现行《数据安全法》《网络安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》等法律法规并未对数据安全保障要求进行细化,因此企业在开展合规工作时可参考颗粒度更细的相关标准:

数据分类分级保护

企业应遵守《数据安全法》第二十一条的规定,落实网络安全等级保护制度及数据分类分级保护制度。参考《信息安全技术 汽车数据处理安全要求》,企业应对个人信息建立结构化目录。

 

分域存储

参考《信息安全技术 生物特征识别信息保护基本要求》《信息安全技术 个人信息安全规范》,企业宜仅存储生物识别摘要信息,并将收集到的生物识别信息与其主体身份相关的信息采用技术隔离手段分别存储。

 

匿名化或去标识化

根据《汽车数据安全管理若干规定(试行)》第六条、《个人信息保护法》第五十一条,对收集到的数据采取相应的加密、匿名化、去标识化等安全技术措施,保障数据及个人信息安全。

 

车内安全重要参数

参考《汽车信息安全通用技术要求》,应保障安全重要参数(包括私密密钥、私钥、口令类鉴别数据或其他密码相关参数的信息)存储的保密性、完整性和可用性。

 

存储期限

根据《汽车数据安全管理若干规定(试行)》第六条规定,汽车数据应优先考虑车内处理,并建立严格的车内数据访问或调取制度。若需经过车外平台处理或存储,需遵循《个人信息保护法》或其他法律、法规的规定。例如,《网络预约出租汽车经营服务管理暂行办法》规定了网约车平台公司采集的个人信息和生成的业务数据,保存期限不得少于2年。

 

传输加密

《汽车采集数据处理安全指南》建议,原则上不通过网络向车外传输座舱数据。为实现直接服务于用户的功能,例如保障行车安全、导航等,需通过网络向车外用户终端设备或远程信息服务平台等传输车内数据,需对传输采取加密措施。

 

车外存储要求

《汽车采集数据处理安全指南》第6.1条要求位置轨迹信息及车外采集到的数据传输至车外的保存时间均不应超过14天,并采取加密措施。

三、 传输、使用阶段

智能网联汽车涉及的数据具有潜在的商业价值,例如,通过用户驾驶车辆行踪轨迹能够分析出用户的消费习惯、家庭及工作住址,还能通过用户的座舱数据分析出用户的驾驶习惯与偏好。企业在传输、使用车辆收集、产生的个人信息时应注意:

 

车内处理优先

《汽车数据安全管理若干规定(试行)》第六条规定处理数据时,应优先进行车内处理,非必要不向车外提供。《汽车数据安全管理若干规定(试行)》第八条规定,因行车安全需要,无法征得个人同意向车外提供采集到的车外个人信息的,应当对个人信息进行匿名化处理。

 

直接服务于个人

《汽车数据安全管理若干规定(试行)》第九条规定在处理敏感个人信息时,需要具有直接服务于个人的目的,例如实现增强行车安全、智能驾驶、导航等功能。该条遵循了《个人信息保护法》所规定的目的明确原则,即收集、处理个人信息应与实现的目的直接相关。

 

个性化推荐/自动化决策

个性化推荐在智能网联汽车内具有潜在的运用场景。例如,新华网与一汽集团合作考虑推出“情绪流”车媒体智能新闻推荐系统,通过分析司机行驶过程中的生物信息,对司机疲劳状态进行预警,并根据用户画像提供新闻和音乐。在此类个人信息的应用场景下,参考《信息安全技术 生物特征识别信息保护基本要求》,企业不应就生物识别信息生成用户画像,也不应就生物识别信息进行个性化推荐。

依据《个人信息保护法》的规定,企业利用个人信息进行自动化决策,应保障决策透明度及决策结果公平、公正,事先开展个人信息保护影响评估,并为用户提供关闭或退出机制。

 

数据分析

在分析、处理大量车辆数据时,若涉及用户的个人信息,应基于用户的授权开展处理活动,不应超出用户的授权同意范围。参考《信息安全技术 生物特征识别信息保护基本要求》,企业不应就生物识别信息进行统计分析,确需统计分析的,仅使用匿名化后的数据并事先开展个人信息安全影响评估。

 

数据跨境传输

若向境外传输的数据包括《汽车数据安全管理若干规定(试行)》第三条所列重要数据,或符合《数据出境安全评估办法》第四条情形,应向所在地省级网信部门申报数据出境安全评估。

四、 个人信息主体权利响应

因处理车辆数据涉及个人信息,企业还应保障个人信息主体权利,建立个人信息主体权利渠道及响应机制。除了《个人信息保护法》对个人信息处理者做的一般性规定外,企业作为汽车数据处理者还应履行以下合规义务:

撤回个人同意

企业应在控制面板或应用程序增加交互设置,为用户提供便捷的撤回同意的渠道。《汽车数据安全管理若干规定(试行)》第九条要求处理敏感个人信息前,需取得用户的单独同意,并允许用户提供自主设定同意期限。

 

权利响应时限

《App违法违规收集使用个人信息行为认定方法》规定了个人信息主体权利响应时限为15个工作日,但《汽车数据安全管理若干规定(试行)》中规定了汽车数据处理者应在10个工作日内响应个人的删除请求。出于方便管理、工作效率的考虑,企业可将响应时限统一为10个工作日。

在数字经济的背景下,汽车已成为了海量数据的承载体。个人信息的交互不再局限于车辆与人,还可能涉及更多的个人信息处理者,例如信息娱乐服务商、道路基础设施、保险公司等。更多玩家的入局为个人信息合规路径探索带来了不确定性。但无论科技或行业形态如何变化,个人信息保护的基本原则仍是企业在发展洪流中应牢牢抓住的准绳。

 

作者:吴蕊

审稿:梁艳芬

(文中观点不代表北源律师事务所的观点或法律意见)