2020年2月7日,欧盟数据保护委员会EDPB公开发布《关于在联网车辆和交通相关应用程序中处理个人数据的指南》(以下称《指南》)并将在3月20日前对其征求意见。《指南》涉及在联网车辆和与出行相关的应用中处理个人数据的相关要求。
一、背景介绍
汽车不仅仅是一种交通工具,它们代表了一个私人领域,在这个领域里,人们可以享受某种形式的自主决策,而不会遭遇任何外部干扰。在互联车辆成为主流的今天,这样的愿景已经不再符合现实。车载连接正迅速从豪华车型和高端品牌扩展到大批量的中端市场车型,汽车正成为巨大的数据中心。联网汽车可能会收集和记录发动机性能、司机的驾驶习惯、访问的位置等数据,甚至可能包括司机眼球运动、脉搏或其他生物特征数据以达到进行身份验证或鉴定的目的。数字经济的飞速发展使得联网汽车中的应用开始提供信息娱乐服务,如在线音乐、路况和交通信息,或提供驾驶辅助系统和服务,如自动驾驶软件、车辆状况更新、基于使用情况的保险或动态地图。因此,联网车辆正在产生越来越多的数据,其中大部分可以被视为个人数据,因为它们将涉及司机或乘客。即使联网车辆收集的数据与车辆的名称没有直接联系,而是与车辆的技术和特性有关,也会涉及到车辆的驾驶员或乘客。例如,与驾驶风格相关的数据或者行驶的距离,与车辆部件磨损有关的数据,或者由摄像头收集的数据,都可能涉及司机的行为,以及其他可能在车内或车外的人的信息。
2016年,国际汽车联合会(FIA)在欧洲开展了一项名为“我的车是我的数据”的活动,以了解欧洲人对联网汽车的看法。委员会在显示司机对网络连接的高度关注的同时,亦强调在使用车辆所产生的数据方面必须提高警觉,以及遵守保障个人数据立法的重要性。因此,对每个利益相关者来说,将个人数据维度的保护纳入联网汽车设计阶段,并确保汽车用户在其数据方面享有透明度和控制权是当前面临的一大挑战。这种方法有助于加强用户的信心,从而促进这些技术的长期发展。
二、相关的工作和立法
(一)相关的工作
在过去10年里,针对联网汽车研究个人数据保护已经成为监管机构的一个重要课题。很多国家和国际组织出版了有关联网车辆的安全和隐私的各种条例和措施,旨在以行业特定的规则为专业人士提供指引,并补充现有的个人数据保护制度。
从2018年3月31日起,所有新型M1和N1车辆(乘用车和轻型车辆)都必须安装基于112的eCall车载系统。在2006年,第29条工作小组已经通过了一份关于eCall倡议中关于数据保护和隐私影响的工作文件。此外,第29条工作组还于2017年10月通过了一项关于在合作智能交通系统(C-ITS)的背景下处理个人数据的意见。
2017年1月,欧盟网络与信息安全机构(ENISA)发布了一份关于智能汽车网络安全和适应力的研究报告,列出了智能汽车相应的威胁、风险、缓解因素和可能实施的安全措施。2017年9月,国际数据保护与隐私专员会议(ICDPPC)通过了一项关于互联车辆的决议。最后,在2018年4月,电信数据保护国际工作组(IWGDPT)也通过了一份关于互联车辆的工作文件。2016年1月,德国联邦和州数据保护机构和德国汽车工业协会(VDA)会议发表了《联网和非联网车辆数据保护原则共同宣言》。2017年8月,英国互联汽车和自动驾驶汽车中心(CCAV)发布了一份指南,阐述了互联汽车和自动驾驶汽车的网络安全原则,以提高汽车行业对这一问题的认识。2017年10月11日,法国数据保护机构发布了一个联网汽车的合规方案。
(二)相关的立法
欧盟相关法律为《一般数据保护条例》(GDPR)。它适用于联网车辆中涉及处理个人数据的所有情况。除GDPR外,《电子隐私指令》(2002/58/EC, 2009/136/EC修订)为存储或访问存储在欧洲经济区(EEA)用户终端设备中的信息的所有参与者设定了具体的标准。
三、指南主要内容
(一)适用范围
本文件的范围特别着重处理与数据当事人(例如司机、乘客、车主、租客等)非专业使用联网车辆有关的个人数据。更具体地说,它涉及的个人数据包括:(1)在车辆处理过程中的个人数据;(2)连接到它的车辆和个人之间的交换设备(如智能手机用户)的个人数据;(3)收集车辆和相关实体(例如,汽车制造商、基础设施经理、保险公司、汽车维修工)的数据以进行进一步处理。
1、车辆范围
联网车辆必须被理解为一个宽泛的概念。它可以被定义为装备有许多电子控制单元(ECU)的车辆,这些电子控制单元通过一个控制器连接在一起。数据可以在车辆和与之相连的个人设备之间交换,例如允许将移动应用程序镜像到车辆的仪表板信息和娱乐单元。联网车辆的应用也是多种多样的,包括:第一,移动管理。通过及时提供GPS导航、潜在危险、交通拥堵或道路建设工作、等方面的信息,使司机能够以一种低成本的方式快速到达目的地。第二,车辆管理。帮助司机降低运营成本和提高易用性。第三,道路安全。警告司机的外部危险和内部反应,如碰撞保护、危险警告、车道偏离警告、司机睡意检测、紧急呼叫(eCall)或碰撞调查黑匣子(事件数据记录器)。第四,娱乐功能。为司机和乘客提供信息和娱乐的功能。第五,驾驶员协助。包括部分或完全自动化驾驶的功能。第六,健康状况。监控驾驶员舒适度、驾驶能力和健康状况的功能。
因此,无论车辆是否联网,都可以通过多种方式收集个人数据,包括:(i)车辆传感器;(ii)远程信息箱;(iii)移动应用程序。
2、个人数据
联网车辆所产生的大部分数据与被识别或可识别的自然人有关,因此构成个人数据。例如,数据包括直接的数据(例如司机身份),以及间接的可识别个人身份的数据,如旅行的细节、车辆使用数据(例如,数据相关的驾驶风格或覆盖的距离),或车辆技术数据(例如,相关汽车零部件磨损数据)。此类数据通过对照其他文件特别是车辆识别码(VIN),可以与自然人联系起来。联网车辆中的个人数据也可以包括车辆等元数据维护状态。换句话说,任何可以与自然人关联的数据都属于本指南的范围。
3、主体范围
互联汽车生态系统涵盖了广泛的利益相关者。更准确地说,它包括汽车行业的传统参与者,以及数字行业的新兴参与者。因此,该指南是针对汽车制造商、设备制造商、汽车供应商、汽车维修工、汽车经销商、汽车服务提供商,租赁和汽车共享公司、车队经理、汽车保险公司、娱乐提供商、电信运营商、道路基础设施管理者和政府当局以及司机、业主、租户和乘客等等。这是一个非详尽的列举。
(二)车辆网中的数据保护风险
第29条工作组已经对联网车辆适用的物联网(IoT)系统表示了若干关切。联网车辆在处理位置数据方面也引起了重大的数据保护和隐私问题,因为它的侵入性越来越强,可能会对目前保持匿名的可能性带来挑战。
第一,缺乏控制和信息不对称。车辆司机和乘客未必总能充分了解在联网车辆内或通过联网车辆处理数据的情况。这些信息可能只提供给车主,而车主可能不是司机,也可能没有及时提供。
第二,用户同意的质量。EDPB强调,当数据处理基于同意时,有效同意的所有要素都必须得到满足,这意味着同意应是自由的、具体的和知情的,并构成数据当事人意愿的明确指示。在许多情况下,用户可能不知道在他/她的车辆中进行的数据处理。这种信息的缺乏构成了在GDPR下证明有效同意的一个重大障碍,因为告知同意。在这种情况下,根据GDPR处理相应数据不能以同意作为法律依据。在二手车、租赁车、出租车或借用车的情况下,与车主没有亲属关系的司机和乘客可能也很难获得同意。
第三,进一步处理个人数据。最初的同意将永远不会使进一步的处理合法化,因为同意需要被告知并且具体有效。例如,在为维护目的使用车辆期间收集的遥测数据,在未经用户同意的情况下,不得向汽车保险公司披露,以创建驾驶员档案,提供基于驾驶行为的保险单。
第四,数据采集过多。随着联网车辆上安装的传感器数量的不断增加,与实现这一目标所需的数据相比,过度收集数据的风险非常高。新功能的开发,特别是那些基于机器学习算法的功能,可能需要在很长一段时间内收集大量数据。
(三)建议
为减轻上述数据主体的风险,车辆及设备制造商、服务供应商或任何其他可就联网车辆充当数据控制者或数据处理器的主体,应遵从下列一般建议。
第一,对数据进行分类。联网车辆所产生的某些数据,由于其敏感性和/或对数据主体权益的潜在影响,值得特别注意。车辆及设备制造商、服务供应商及其他数据控制者须特别注意三类个人数据:位置数据、生物特征数据(以及GDPR所界定的任何特别类别的数据)、以及可能揭示违法或违反交通规则的数据。
第二,注意使用目的。有关联网车辆的个人数据可能会因多种用途被处理,包括保障司机安全、保险、提升交通效率、提供娱乐或资讯服务。根据GDPR,数据控制者必须确保其目的是明确的、合法的,不以与这些目的不相容的方式进行进一步处理,并确保GDPR要求的处理具有有效的法律基础。
第三,确保相关性和数据最小化。为了遵守数据最小化原则,车辆和设备制造商、服务提供商和其他数据控制人员应特别注意他们从联网车辆中需要的数据类别,因为他们只应收集与处理相关且必要的个人数据。例如,位置数据特别具有侵入性,可以揭示数据对象的许多生活习惯。因此,行业参与者应特别警惕不要收集位置数据,除非出于处理的目的,这样做是绝对必要的。
第四,注重数据保护设计及默认设置。考虑到连接车辆产生的个人数据的数量和多样性,EDPB指出数据控制者必须确保联网车辆的应用配置符合尊重个人的隐私保护的义务。技术在设计上应尽量减少个人数据的收集,提供保护隐私的默认设定,并确保数据当事人获得充分的信息,并可轻易修改与其个人数据有关的配置。如,车辆及设备制造商、服务供应商及其他数据控制者应尽可能采用不涉及个人数据或将个人数据转移至车辆以外(即数据在内部处理);如果数据必须离开车辆,应考虑在传输之前将其匿名化;考虑到可通过联网车辆生成的个人数据的规模和敏感性;处理个人数据,特别是在车辆外部处理个人数据的情况下,往往会对个人的权利和自由造成很大的风险,在这种情况下,行业参与者将被要求执行数据保护影响评估(DPIA),以识别和减轻风险。
第五,及时进行信息通知。处理个人数据前,数据主体应当获知数据控制者的身份(例如,车辆和设备制造商或服务提供商)、处理的目的、数据接收、数据将存储的时期以及数据主体的权利。
第六,对数据进行保密。车辆和设备制造商、服务提供商和其他数据控制者应采取措施,保证处理数据的安全性和保密性,并采取所有有用的预防措施,以防止未经授权的人员进行控制。
第七,向第三者传送个人数据。 原则上,只有数据控制者和数据主体才能访问联网车辆所产生的数据。但是,数据控制者可以将个人数据传输给商业伙伴(接收方),前提是该传输基于GDPR中第6条规定的法律基础之一。 当个人数据被转移到欧洲经济区以外时,将会有特别的保障措施来确保这些资料得到保护。
第八,使用车内Wi-Fi技术。一般来说,通过Wi-Fi的互联网连接接口的普及对个人隐私构成了更大的风险。用户通过他们的车辆成为连续的广播者,因此可以被识别和跟踪。为了防止被跟踪,车辆和设备制造商必须将易于操作的退出选择选项放在合适的位置,以确保车载Wi-Fi网络的服务集标识符(SSID)不被收集。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。