通力法评 | 简析车联网应用下个人隐私保护难点与对策

Original 潘永建|邓梓珊通力律师 2023-08-26

作者：通力律师事务所潘永建 | 邓梓珊

交通出行领域正在发生一场革命, 主角便是车联网(或称为“网联汽车”, “Connected Vehicles”或“Internet of Vehicles”)。车联网的概念源于物联网, 即车辆物联网, 是以行驶中的车辆为信息感知对象, 借助新一代信息通信技术, 实现车与X(即车与车、人、路、服务平台)之间的网络连接, 提升车辆整体的智能驾驶水平, 为用户提供安全、舒适、智能、高效的驾驶感受与交通服务, 同时提高交通运行效率, 提升社会交通服务的智能化水平。[1]除个体汽车智能驾驶之外, 包括Uber和滴滴出行在内的国内外出行服务公司均在积极考虑自动驾驶的商业化, 即提供无人驾驶汽车出行服务[2]。

数据是车联网技术应用的核心。不论是车联网的哪一个应用环节, 都必须依托“数据/信息”这个核心要素。数据在车联网中传输, 方能实现车辆与车联网服务平台之间的“车-云通信”, 车辆之间的“车-车通信”, 车辆与路基设施之间的“车-路通信”, 车辆与移动智能终端之间的“车-人通信”, 以及智能网联汽车内部设施与应用之间的车内通信。如果数据的收集、传输、分析处理和反馈出现了中断, 则前述任一环节都有可能无法正常展开。另外, 车联网所构建的网络架构中数据呈双向甚至是多向的流动状态。例如, 数据可能从车辆端流向某服务供应商, 服务供应商向车辆端反馈特定的信息内容, 上下游服务供应商之间、相关人员的移动智能终端与服务供应商之间也会发生点对点或链条式的数据流动。总之, 无数据则无车联, 数据安全就是车联网安全。车联网技术发展兴盛的同时, 立法对车辆使用者、公众的个人信息与隐私的保护相对滞后。笔者试举车联网应用下个人信息和隐私保护的两个“困境”, 抛砖引玉, 以期引起业界对此问题的关注并共同寻求解决方案。

困境一: 车联网数据中个人信息的判定

车联网这一话题下的数据包括多种类型。笔者按照数据的属性将其大致分为两大类: 可归于用户的信息和汽车基本控制运行数据。两大类别下的具体数据类型如下表所示:

根据《网络安全法》等相关法规对个人信息的定义, 左栏“用户信息”中所列举的信息基本都属于“个人信息”。而右栏“汽车基本控制功能运行数据”似乎都是关于车辆行驶过程中、驾驶者与乘客使用某些车联网应用时系统自动产生的数据, 即“Machine generated data”。此类“Machine generated data”是否属于个人信息, 从而需要遵守个人信息保护的相关法律规定?

《网络安全法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。另外, 最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017)与《信息安全技术个人信息安全规范》 (以下简称“个人信息国标”) 均将 “反映特定自然人活动情况的各种信息”纳入了“个人信息”的范畴。此处的“个人信息”包括两大类, 一类个人信息是由信息本身的特殊性能够识别出特定自然人, 另一类个人信息是由特定自然人在其活动中产生的信息, 包括个人位置信息、个人行驶记录等。

能够单独识别到自然人的个人信息很好理解, 但问题在于上述所有法律法规均将“与其他信息结合”而能够识别到特定自然人的信息也定义为个人信息。随之而来的问题是, 此处的“与其他信息结合”为定性而非定量的规定, 那么对于“个人信息”究竟要求结合其他信息到何种程度方可达到法定的“可识别”标准从而构成法律法规所规定的个人信息?换言之, 如果某一条信息结合其他5条信息可以识别到某个特定自然人, 而另一条信息需结合50条其他信息才能识别到该特定自然人, 那么这两条信息是否都属于个人信息?如果答案是肯定的, 那么对这两条个人信息的保护是否因其各自所需结合其他信息而实现可识别的程度不同而有所不同?很显然, 如果一条信息识别到特定自然人所需要结合的其他信息越多, 那么其本身构成个人信息的可能性就越低, 从而得到的法律保护也应该越弱。对于信息的结合程度, 欧盟GDPR规定需要结合客观因素进行考量, 例如结合其他信息识别个人所需的时间及处理数据时的可用技术等, 但我国法律到目前为止尚未有类似的规定。因此, Machine generated data在某些情况下的确有可能构成个人信息, 则网络运营者应对该类数据按照个人信息的保护要求进行收集、处理、存储及保护。

困境二: 车联网技术对隐私保护的威胁

目前讨论热度极高的自动驾驶技术也属于车联网的一项重要应用。自动驾驶技术发展至今, 始终离不开最基础的硬件设施, 传感器。传感器相当于自动驾驶汽车的眼睛, 按照不同的自动驾驶技术路线, 传感器基本可分为激光雷达、传统雷达和摄像头三种。通过传感器, 自动驾驶汽车能够识别道路、其他车辆、行人或障碍物以及基础交通设施等等。且随着自动驾驶汽车的广泛应用(无论商用或是民用), 车辆行驶过程中可捕捉到的图像、视频信息将呈爆炸式增长。此类影像捕捉分析技术是一项个人无法选择退出的个人信息收集活动。对公众来说, 你或许可以选择不适用智能手机、不使用购物网站、不使用百度、谷歌或其他收集个人信息并进行商业化利用的服务, 但在自动驾驶技术被广泛应用的环境中, 自然人个人只要行走在公共道路上, 人的外貌、当下的时间、地理定位信息都有可能被传感器捕捉记录, 自然人个人无法选择退出。这一过程中, 便产生了侵犯个人隐私与汽车传感器图像收集处理之间的矛盾。

根据合理隐私期待规则, 公众自愿地置身于公众场所, 属于一种自发与外界进行交互的行为, 公众个人无权对该场景享有隐私期待, 但实践当中并不能如此一概而论。从隐私保护的角度, 我们更应该关心这些影响收集的具体细节问题, 如哪些数据可以从自动驾驶汽车的传感器收集, 以哪种格式?如何匿名?这些数据在哪里存储、如何共享和保护?这些影像数据的存续期限有多长?个人信息主体对其是否有控制的权利?公众如何评估数据处理行为的合法性, 如何保证数据控制、处理者遵守其公布的数据处理使用规则?

另外, 从自动驾驶汽车使用者的角度而言, 自动驾驶汽车将会连续、实时地对外输出车辆的地理位置数据, 第三那方利用这些数据不仅可以得知驾驶员的当前位置和目的地, 还能够得知驾驶员曾经到访的位置。结合地图测绘数据, 广告商及商家能够追踪个人常去的商铺, 保险公司能够通过跟踪个人的日常活动或饮食习惯来判断其生活方式, 进一步评估投保风险。总之, 数据能够为产业带来利益、为消费者带来便利和更好的用户体验, 但同时也带来可能侵犯个人隐私的风险。

目前, 除美国和欧盟之外, 大多数国家的数据保护法尚未对自动驾驶技术引发的隐私保护问题进行特别规制。

2017年9月, 美国众议院通过了《确保车辆演化的未来部署和研究安全法案》(“自动驾驶法案”)。不同于以往的“非强制性”规定, 该法案属于首次从联邦层面规制自动驾驶的法案[3]。法案要求自动驾驶汽车的开发者需制定数据的隐私保护计划, 且禁止生产商在没有隐私保护计划的情况下销售自动驾驶汽车。法案规定隐私政策需明确以下内容: (1)信息被收集、使用、分享和存储的方法; (2)提供给车主或使用者关于该类信息收集、使用、分享和存储的选择; (3)生产商关于车主或使用者数据最小化、去标识化, 和保留方面的做法; 和(4)隐私保护的要求如何延伸适用于分享使用数据的主体的做法。如果关于车主或使用者的信息(1)经过匿名化或加密处理; 或(2)经过修改或整合使得信息无法与相关个人相关联, 生产商则无需采取前述保护措施。

欧盟GDPR关于个人数据保护的规定将统一适用于自动驾驶数据中的个人数据。另外, 在行业自律层面, 2014年, 汽车制造商联盟(Alliance of Automobile Manufacturers)和全球汽车制造商协会(Association of Global Automakers)为汽车技术和服务制定了7条隐私保护原则, 涉及透明性、选择性、尊重情景、数据最小化、数据安全、完整性和可取性、可责性等; 另外规定只有在基于与消费者的合同、经消费者同意或为了履行法律要求的情况下才可与第三方共享个人数据。

由于历史原因, 在酒店旅游、房屋中介等领域侵犯个人信息案件层出不穷。面对车联网这一新兴技术, 我国自动驾驶汽车立法是否应未雨绸缪, 借鉴欧美立法经验要求生产商制定隐私保护计划, 并以此作为销售自动驾驶汽车的前提条件?若如此, 则可以避免重蹈个人信息重灾区的覆辙。具体而言, 立法可考虑明确生产商在车辆数据收集、使用、保护等方面的如下义务:

1. 保证数据安全, 即采取技术措施防止数据遭到丢失、损毁、篡改或未经授权的披露;

2. 收集使用目的一致性, 即保证通过自动驾驶车辆收集数据后, 使用数据的目的与收集数据时所明示的目的是一致的;

3. 数据最小化, 即只收集和保留为了达到合法商业目所要求的最少量个人数据。收集个人信息时区分核心功能与非核心功能;

4. 保证用户知情权和选择权, 收集个人数据前需告知收集使用的目的并获取用户的授权同意;

5. 确保落实数据最小化原则, 以及保证数据在使用完毕后被匿名化处理(真正的匿名化, 而非“假名化”“去标识化”, 需保证通过技术处理后的个人信息无法被复原, 无法识别个人信息主体)是保护个人信息主体权益的关键。

小结

相较自动驾驶这一新兴技术的迅猛发展, 法律呈滞后状态。现阶段而言, 按照目前生效的网络安全与数据保护法规、政策, 汽车生产商、车队运营商和其他汽车服务提供商(比如车联网、地图服务等提供商)可以从以下几个方面着手落实数据合规义务:

1. 技术应用过程中收集、处理、生成的个人信息甄别判定;

2. 感应设备遍布位置分散, 设备类型各异, 应注意各类设备数据的传输路径;

3. 是否涉及数据的跨境传输;

4. 车联网数据传输是关键, 注意传输过程中采取的技术措施, 如加密技术等;

5. 涉及的系统、平台、参与方众多, 与第三方之间的责任划分。

【注释】

[1] 井骁.浅析车联网技术与应用[J].上海汽车,2019,(4):9-12。

[2] 张屹鹏, 出行公司的自动驾驶野心, 主动暴露还是被逼无奈?载于公众号“汽车商业评论”, 见https://mp.weixin.qq.com/s?__biz=MjM5OTQzOTE0MA==&mid=2651469828&idx=1&sn=0a1d3c93305dce59a3f88b29770181eb&chksm=bcc5e64f8bb26f592920848a0f46e875c225b1c12d7400644cd43cc074665505c9c8739bf9af&mpshare=1&scene=1&srcid=0811br4obLXqTHyIRrgAAhLL&sharer_sharetime=1565538039715&sharer_shareid=0f98598f0c9ca8fba0963cf9080a14f7&key=ae82afc765e556e13c68071ee609eb3eef7982dda37302a0b853f962d182692ea2ea2dc59462b816e5f46efca7af20c6f2259881af75d6d7b01e194f23c4848d46e49d41fea8a0706ccf9442c50b7933&ascene=1&uin=MTAxNTI2MTQ0MA%3D%3D&devicetype=Windows+10&version=62060834&lang=zh_CN&pass_ticket=ePRveXoAoQaA58Jgs%2F2gb2MG8f4GfS3W5skxjTmYzF4zjOCZC4uNdYXRPgQzRbTL.。

[3] Late to the Scene, the “Safely Ensuring Lives Future Deployment and Research In Vehicle Evolution Act” (“SELF DRIVE Act”) Seeks to Set Course for Future Development, https://www.jdsupra.com/legalnews/late-to-the-scene-the-safely-ensuring-12636/

作者：

潘永建 律师

合伙人

通力律师事务所

邓梓珊

通力律师事务所

如您希望就相关问题进一步交流，请联系:

潘永建律师

+86 136 2172 0830

+86 21 3135 8701

david.pan@llinkslaw.com

往期分享