▲本文介绍的CNIL构建的联网车辆合规方案
关于对个人数据处理的分析 ,根据法国《数据保护法》和《通用数据保护条例》,任何希望处理个人数据的人都应遵守一定数量的法律义务。
导读
CNIL是法国数据保护监管机构,全称为Commission Nationale de l’Informatique et des Libertés。CNIL定期发布关于数据保护的报告、推荐、指南和新闻等信息,以提供相关指导和支持。
CNIL希望鼓励创新生态系统,确保汽车用户的个人数据得到保护。因此,在2016年3月,CNIL成立了一个工作组,负责构建“联网车辆”的合规方案。这套合规方案是在与汽车行业的利益相关者、保险和电信行业的企业以及公共当局共同协商后制定的,目的是提出一个部门参考框架,一个负责任地使用个人数据的工具箱。
从合规方案中产生的指导方针构成了CNIL对法国数据保护法的解释,适用于网联车。该合规方案非常贴近业务实践,具体区分了三种业务场景(车辆的数据不会传输到服务提供商;车辆的数据被传输到服务提供商,而不在车辆中触发自动操作;车辆的数据被传输到服务提供商,以远程触发车辆中的自动操作)。对于每种类型的处理,这些指南都规定了:预期目的、收集的数据类别、此类数据的保留期限、数据主体的权利、要实施的安全措施以及信息的接收者。
限于篇幅原因,本文节选了CNIL对第三种业务场景(Scenario n° 3 « IN => OUT => IN »)提供的合规方案进行翻译。
1 处理的目的
• 目的1:远程维护:数据主体与服务提供商签订合同,以便接收与车辆功能有关的信息或提醒(例如,关于刹车磨损状况的提醒,或技术检查日期的提醒),或远程接收车辆的技术更新。
• 目的2:改善驾驶体验:数据主体希望从服务中受益,以改善他们的驾驶体验(例如,动态交通信息,在道路上发生事故后发送新的路线,预警信息,或环保驾驶提醒)。
2 法律依据
对于目的1(远程维护)和2(改善驾驶体验),处理的法律依据是数据主体选择签署的合同的执行。
根据《法国数据保护法》第1条,数据主体应能决定并控制对其个人数据的使用。这种控制尤其包括:
• 默认情况下的配置可以保护隐私;
• 在整个处理过程中,用户可以选择方便地改变这些配置,特别是为了停用基于同意或履行合同的服务(如动态交通信息);
• 在适当的情况下,用户可以选择根据所要求的服务水平调整所收集的数据的详细程度,例如,如果他们不希望被引导,可以在没有地理定位的情况下访问地图;
• 用户可以选择轻松访问这些数据。
3 所收集的数据
区分两种类型的数据是很重要的:
商业数据(个人身份、与交易有关的数据、与支付手段有关的数据等):这些数据可以在合同的整个期限内保留在一个有效的数据库中。在合同结束时,这些数据可以在物理上(在单独的媒体上(CD-ROM等)或逻辑上(通过授权管理)归档,以防止可能的诉讼。此后,在法定时效结束时,这些数据应被删除或匿名化。
使用数据:这些数据应以详细的形式保留一段有限的时间,然后在合同的剩余期限内进行汇总。然而,对于目的1(远程维护),与对车辆的干预有关的数据可以在车辆的生命周期内保留。
4 接收方和数据处理者
原则上,只有服务提供者和数据主体可以接触被选定的数据处理者,以便在向数据主体提供服务的过程中发挥作用,同时规定数据处理者不得为自的过程中发挥作用,同时规定数据处理者不得为自己的账户使用这些数据。在这种情况下,服务提供者作为数据控制者,对数据处理者处理数据的情形负责。
5 数据主体的信息
在处理个人数据之前,数据主体应被告知数据控制者的身份、处理的目的、数据接收者、数据储存的期限以及个人在法国数据保护法下的权利。这些信息可以在数据主体签署服务合同时提供。
此外,根据《通用数据保护条例》,服务提供者还应以明确、简单和容易获得的条款向数据主体提供以下信息:
• 数据保护官员的详细联系方式;
• 明确提到控制者所追求的合法利益,当这种合法利益构成处理的法律依据时;
• 要求删除个人数据或限制对数据主体的处理的权利;
• 数据可携带的权利;
• 在任何时候撤回同意的权利;
• 向CNIL提出投诉的权利;
• 关于了解重新要求提供个人数据是否具有监管或合同性质,或是否影响合同的签署,以及如果要求数据主体提供个人数据,以及不提供这些数据的可能后果的信息;
• 自动决策的存在,包括产生有关数据主体的 法律效力或对数据主体产生类似的重大影响 的剖析,以及至少在这种情况下,有关所涉 逻辑的有意义的信息,以及这种处理对数据 主体的重要性和预期后果。
• 此外,当数据不是由数据控制者直接收集时, 除了上述信息外,服务提供者还应该说明个人数据的来源,如果适用,这些数据是否属于公开获取来源。该信息应在获得数据后的合理时间内提供,并且不迟于以下日期中的第一个:(i)在获得数据后一个月,考虑到处理个人数据的具体情况, (ii)在首次与数据主体沟通时,或(iii)如果这些数据被传输给第三方,在传输数据之前。
澄清:提供给数据主体的信息可以分层提供,即把两个层次的信息分开:一方面是对数据主体最重要的第一层信息,另一方面是在以后阶段可能感兴趣的信息。重要的一级信息除了数据控制者的身份外,还包括处理的目的,以及为保证公平处理与数据主体有关的信息所需的任何其他信息(参见2004年11月25日第29条工作组关于 "更协调的信息规定 "的第10 / 2004号意见)。
委员会建议通过以下方式了解数据分项:
• 在车辆销售合同和/或提供服务的合同中加入简明易懂的条款;以及
• 通过使用不同的文件(如车辆的维修记录簿或手册)或车载电脑;以及
• 在车辆中使用标准化的图标。委员会强烈鼓励实施这些图标,以清晰、概括和易于理解的方式告知数据主体对其数据的处理。此外,委员会还强调了这些图标标准化的重要性,这样用户就可以找到相同的符号,无论车辆的品牌或型号。
6 数据主体的权利
数据主体有权行使访问权、反对权和更正其数据的权利。服务提供者应允许数据主体以最有效的方式行使其访问权,知道该权利访问的范围包括服务提供者持有的所有个人数据。
除上述权利外,《政府数据保护条例》还引入了三项新的权利,即被遗忘权、可移植性权和限制程序权(参见数据包的介绍)。
7 安全性
服务提供商应能采取各种措施,保证所处理的数据的安全性和保密性,并采取一切有用的预防措施,防止未经授权的人控制,特别是通过以下方式:
• 通过最先进的算法对通信渠道进行加密;
• 建立一个加密密钥管理系统,该系统对每辆汽车都是独一无二的,而不是对每个车型;
• 通过最先进的算法对数据库中的数据进行加密;保护加密密钥不被意外泄露;
• 对数据接收设备进行认证;
• 对个人数据的访问需要重新进行用户认证(密码、电子证书等);
• 签发针对车辆的行动的认证装置;
• 在基于密码的网络通信方面,适用委员会2017年6月22日的建议(参见第2017-190号审议意见)
具体到汽车制造商,委员会建议实施以下安全措施:
• 将车辆的重要功能与那些总是连接到互联网的功能(如 "信息娱乐")进行划分;
• 实施技术措施,以便迅速修补安全漏洞;
• 对于车辆的重要功能,尽可能优先使用专门用于运输的安全频率;在受到攻击的情况下建立一个报警系统,并有可能在降级模式下运行;
• 存储六个月前的日志历史,以便能够了解攻击的起源。
所采取的措施应与数据的敏感程度和设备的控制能力相适应。
至于在车辆以外的基础设施中采取的措施,服务提供者应当对处理过程中产生的风险进行研究,以确定并实施保护人们隐私所需的措施。CNIL在其 网 站 上 提 供 了 这 种 类 型 的 方 法 (https://www.cnil.fr/fr/PIA-privacy-impact-assessment),但也可以使用其他类似的方法。
最后,服务提供商在开发产品和服务时,应从一开始就考虑到个人数据的问题("设计中的隐私")。至少,产品或服务应将车辆的数据输出限制在提供服务所必需的范围内,并优先考虑在本地作出的决定,而不是在车外作出的决定。服务提供者也应在收集链中尽可能早地将数据匿名化。要重申的是,在匿名数据的情况下,法国数据保护法不再适用,因此数据可以无限地存储和交换。
8 前期手续
数据控制者应向CNIL提交一份正常的声明。该声明应在CNIL的网站(https://www.cnil.fr/)上提交。
CNIL认为,通过联网车辆收集的个人数据的处理可能会带来《通用数据保护条例》所指的隐私方面的风险。因此,在这种情况下,服务提供商应进行影响评估并分析所产生的风险,以实施能够限制这些风险的措施。
此外,根据《通用数据保护条例》第33条,如果发生可能导致自然人的权利和自由受到威胁的个人数据泄露事件,数据控制者应负责尽快向CNIL通报该事件,如果可能的话,最迟不超过发现后的72小时。根据《基因数据保护条例》第34条的规定,如果违约行为可能会对数据主体的权利和自由造成高风险,则数据控制者也应负责向其发出通知。
原文链接:https://www.cnil.fr/en/connected-vehicles-compliance-package-responsible-use-data#:~:text=The%20CNIL%20publishes%20the%20compliance%20package%20%E2%80%9CConnected%20vehicles,Data%20Protection%20Regulation%2C%20applicable%20from%2025%20May%202018.
声明:本文来自车联网数据合规圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。