作者:刘新宇 冯中杰
新能源汽车正在成为越来越多中国家庭的出行选择,而车企与用户之间签订的各类法律文本亦受到了越来越多的关注。近日,一篇名为“14家新能源车企47份协议暴露十大侵权问题!”的文章(以下简称“文章”),载明了江苏省消费者权益保护委员会通过调查14家新能源汽车企业的47份协议,发现多家车企的用户协议与隐私政策均存在侵害用户权益的问题。诚然,消费者的权益必须得到切实保护,车企亦需要不断提升自身的合规水准,在具体约谈已经启动,整改大幕即将拉开之际,笔者也尝试就文中提到的部分车企用户信息和隐私合规风险的若干情形发表几点看法,与大家商榷。
一、车企免责条款是否过宽?
文章中认为车企的一大侵权问题是“免责条款过宽”,并列举了部分典型的条款,例如免责事由包括“任何由于计算机黑客攻击、计算机病毒侵入或发作、因政府管制而造成的暂时性关闭等影响网络正常经营之不可抗力而造成的个人资料泄露、丢失、被盗用或被篡改等”,且认为:“企业不仅应保障车辆本身的质量和性能,还应就服务内容、网络安全、产品质量等承担责任”,故此类免责条款并不合理。
就上述问题,笔者认为应当回归法条作为分析的基础。《中华人民共和国民法典》(以下简称“《民法典》”)第四百九十七条规定:“有下列情形之一的,该格式条款无效:(一)具有本法第一编第六章第三节和本法第五百零六条规定的无效情形;(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”根据上述规定,格式合同中的免责条款并不当然无效,除非此等条款“不合理地免除或者减轻”了车企的责任。以前述列举的免责条款为例,在目前的技术条件下,要求车企可以抵抗一切“计算机黑客攻击、计算机病毒侵入或发作”,并在该等情况下继续保证用户个人资料的绝对安全并不现实。因此,笔者认为,就这些极端情形约定免责条款未必属于“不合理地免除或者减轻”车企的责任。
当然,这也并不意味着所有因为第三方因素而导致的问题均可被整合进入“免责条款”之中。笔者认为,车企自身的法定义务可以在此时作为一项判断的标准,即如果免责条款与车企自身应当履行的法定义务产生冲突时,此类“免责条款”就可能属于“不合理地免除或者减轻”车企的责任。仍然以前述未能保护用户个人资料的情形为例,如果车企未经用户同意私自存储用户个人资料且因系统被黑客入侵导致泄露,或者因车企未落实网络安全等级保护制度而导致计算机病毒损毁了用户的个人资料,那么车企本身即可能违反了《中华人民共和国个人信息保护法》[1](以下简称“《个人信息保护法》”)与《中华人民共和国网络安全法》[2]的相应义务。如果车企宣称此种情形亦可为免责条款所涵盖,那么笔者认为此种主张即属于“不合理地免除或者减轻”车企的责任,不应当得到支持。
二、车企能否收集用户信息用于商业用途?
文章中指出的另一项问题为车企对个人信息的使用“涉嫌过度商业化”,并将“通过收集到的用户信息来形成用户画像并向用户展示、推送商品或服务等信息”作为一个典型案例。
笔者认为,从商务实践来看,收集用户个人信息并据此推荐商业服务的情况其实相对常见,这一行为本身并不必然侵犯用户的权益,反而有时能提升用户体验。例如《个人信息保护法》第二十四条并未将“通过自动化决策方式向个人进行信息推送、商业营销”列为一种禁止行为,而是要求采取此种模式的个人信息处理者应当“同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”因此,笔者认为,如果车企已明确告知用户其个人信息将被用于商业推送,取得用户同意,并能够依法向用户提供不针对其个人特征的选项或拒绝途径,则仍属于合理范畴内的使用行为。
此外,从实践操作的角度,车企亦可以在开展推广活动和研发活动的过程中通过去标识化乃至匿名化的手段,尽可能减轻对个人权益的影响。当需要向其他企业传输用户的个人信息用于开展合作推广活动时,车企可以尝试避免提供原始的用户信息;当需要进行数据分析、算法完善时,车企可以免去车辆识别码(以下简称“VIN”)等用户信息进而仅处理车辆数据。例如,向其他企业提供用数据时,可以在提供前隐去用户姓名等识别信息,对部分信息进行脱敏处理;仅向合作方提供“群体画像”等不包含具体个人信息的数据,并与合作方协商基于群体而非个人特征制定推广策略;在分析车辆数据时,仅处理不含VIN的车辆数据(比如车速、转向角度、电量、充电信息等)等等。笔者认为,商业推广和工程研发本身有利于提升、改善用户的消费体验,也能提升车企竞争力和我国汽车行业的整体实力,因此如果能够在现行规定的框架内引导车企采用合法、合规的模式开展此类活动,将有助于充分发挥用户信息对用户与车企双方的价值,进而实现用户与车企的双赢。
三、车企对个人信息保存期限最长为几天?
除前述几点外,文章亦提到“《个人信息保护法》等相关规定,网联汽车采集的车辆位置、轨迹相关数据在车内存储设备、远程信息服务平台(TSP)中保存时间均不得超过7天”。笔者认为,这一表述可能并不非常准确。
上述规定出自2021年4月的《信息安全技术 网联汽车 采集数据的安全要求》征求意见稿的第6条,而在2021年10月发布的《信息安全技术 汽车采集数据的安全要求》征求意见稿中,全国信息安全标准化技术委员会已经将第6.1条调整为“车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过14天”。但无论是哪一份文本,目前都还仅是尚未生效的草案,对于车企并没有实际的约束力。
从现行法律法规的层面,车企在存储用户的个人信息时,应当遵循《个人信息保护法》第十九条的规定,即“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间”。因此,车企存储用户个人信息的期限不能简单地一概而论,而应当结合每项个人信息的收集目的,具体加以分析,比如车辆召回、电子商务等领域的法律法规对个人信息的存储时间有特殊要求。毕竟,如果处理目的尚未实现即要求车企删除用户个人信息,亦可能导致重复采集信息等影响用户体验的后果,并不符合用户的利益。
四、个人信息应当在用户请求后十个工作日内删除?
文章中另有一处不太精准的表述,在于认为就汽车数据中的个人信息,其删除期限已明确限制为10个工作日,即原文中的“《汽车数据安全管理若干规定(试行)》的规定,个人要求删除的,汽车数据处理者应当在10个工作日内删除。”
笔者理解,此处本意是希望援引《汽车数据安全管理若干规定(试行)》第九条的规定,但是该条款所适用的范围是“敏感个人信息”。[3]根据《个人信息保护法》第二十八条的规定,敏感个人信息是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”严格来说,就前述范围以外的个人信息,《汽车数据安全管理若干规定(试行)》并未就删除期限作出规定。
当然,这并不意味着车企可以对用户的请求进行无限期的拖延。根据《App违法违规收集使用个人信息行为认定方法》的要求,“虽提供了更正、删除个人信息及注销用户账号功能……未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”的,依然可能被认定为“未按法律规定提供删除或更正个人信息功能”。因此,车企仍然有必要及时开展自查,确保对用户就敏感个人信息及一般个人信息提出的删除请求能够在规定的期限内予以响应,否则即存在违反前述规定的风险。
五、车企是否应当就第三方服务承担责任?
文章中还提到,“新能源车企希望通过车载软件或相关网站为用户提供第三方增值服务。这实际上是网络交易平台的角色,却声明对其中第三方服务内容不负责任,此类条款显然权利义务不对等”。笔者认为,此处“车企实际上是网络交易平台”的结论仍有可商榷之处,需要结合具体的情形进行分析。
根据《中华人民共和国电子商务法》第九条:“本法所称电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。”此类平台在实践中最为典型的场景即为各类线上商城。因此,如车企自行搭建此类线上商城平台,且允许第三方入驻商城并出售服务的,那么车企确实应当承担“电子商务平台经营者”的义务,例如“知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求,或者有其他侵害消费者合法权益行为,未采取必要措施的”,车企也应当承担连带责任。[4]
然而在实践中,车企向用户提供第三方增值服务亦可能存在其他情形。例如车企在联合推广活动中于自有渠道展示第三方服务商的链接、广告页面,由用户通过点击链接、广告页面跳转到第三方服务商的网页或平台采购或接受相应的服务。此时将车企评价为“网络交易平台”可能就并不准确,要求车企为所有涉及的第三方服务商承担责任可能也于法无据。
但是需要注意的是,实践中部分车企可能存在对于联合推广页面审核不严的情况,例如未明确标识相关服务由第三方提供,如因此导致用户有理由相信所谓的第三方仅为车企的代理人,该等服务实际由车企提供,则车企亦可能需要就相应的服务后果承担责任。[5]
此外,笔者在实务中,亦曾遇到一些企业对运营的App中所嵌入的SDK不甚了解的情况,不仅没有向用户披露此类SDK的存在,甚至没有在事前与SDK提供方签订详细的协议以约定SDK收集个人信息的目的、方式、范围、频率及发生安全事件的责任分担方式等事宜。此种情形既可能导致消费者将SDK提供方的行为归因于App运营企业,亦不符合《App违法违规收集使用个人信息行为认定方法》中“逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”的要求。因此,全面梳理SDK提供方等服务供应商的合规情况,建立合作机构的筛选、签约、监督机制,也是车企在提升合规水准、降低自身风险时不可忽视的一环。
六、格式合同能否约定管辖条款?
最后,文章亦将车企“通过单方制定的格式合同确定管辖法院或仲裁”视为一大问题,并认为该等情形“实质性限制了消费者的选择权,加重消费者维权成本”。
但是笔者认为,在规定层面,目前我国并未禁止在格式合同中约定具体的管辖方式。《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(2022修正)第三十一条就明确规定:“经营者使用格式条款与消费者订立管辖协议,未采取合理方式提请消费者注意,消费者主张管辖协议无效的,人民法院应予支持”,并未一概否认格式合同中管辖条款的效力。从司法实践的角度,最高人民法院亦曾在(2018)最高法民辖终98号案件的说理部分阐明,即使管辖约定条款是格式条款,但如果不存在不能引起合同当事人注意的情形,亦应当认定有效。[6]
据此,笔者认为,格式合同内的约定管辖条款并不当然无效,如车企已经采取了加粗、下划线等方式对此类条款尽到了提示义务,那么其效力应当得到承认。反之,如车企并未采取恰当的方式对消费者进行提示,就需要承担此等约定无效的法律后果。
七、结语
综上所述,就此前媒体曝光的信息以及笔者的实践经验来看,新能源车企在用户信息保护及隐私政策上还存在诸多问题,笔者亦期待车企能够及时作出整改,以保障包括笔者在内的广大消费者的切身利益。故笔者希望能有更多人可以对这些问题投以关注,以期通过更为充分的探讨,明确问题的症结所在,彻底消除现存的各类问题。故本文简单地列出了一些笔者自己的观点,如有不同的意见,亦欢迎各位予以斧正!
[注]
[1]《中华人民共和国个人信息保护法》第五十一条:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。”
[2]《中华人民共和国网络安全法》第二十一条:“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”
[3]《汽车数据安全管理若干规定(试行)》第九条:“汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:(一)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;(三)应当取得个人单独同意,个人可以自主设定同意期限;(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。”
[4]《中华人民共和国电子商务法》第三十八条第一款:“电子商务平台经营者知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求,或者有其他侵害消费者合法权益行为,未采取必要措施的,依法与该平台内经营者承担连带责任。”
[5]《中华人民共和国民法典》第一百七十二条:“行为人没有代理权、超越代理权或者代理权终止后,仍然实施代理行为,相对人有理由相信行为人有代理权的,代理行为有效。”
[6] 参见(2018)最高法民辖终98号案件,原文为:“该管辖约定条款虽是格式条款,但并不存在文字、符号、字体标识不清,不能引起合同当事人注意的情形,应认定有效。”
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:金融产品和信托, 网络安全和数据保护, 中国内地资本市场
特色行业类别:金融行业, 通讯与技术
冯中杰
上海办公室 私募基金与资管部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。