随着移动互联技术和网络加密、物联网、传感器技术的发展,互联网应用的场景逐步普及。除了原有的手机应用及相关生态外,诸多车辆生产厂家及互联网服务机构开始将互联网应用延伸至车辆,车联网逐渐成为汽车行业的基本服务内容。
为了适应这一趋势,2018年6月,工业和信息化部、国家标准化管理委员会共同组织制定了《国家车联网产业标准体系建设指南(总体要求)》、《国家车联网产业标准体系建设指南(信息通信)》、《国家车联网产业标准体系建设指南(电子产品与服务)》等三个指导文件,对车联网的整体架构体系、技术标准进行了初步的规划。
当前汽车行业呈现出新四化的趋势,即:网络化、电动化、共享化、自动化。而随着5G应用的普及,上述趋势还将进一步提速发展。
本文在上半部分对于车联网的概念和特征做了简要的介绍,并对车联网带来的法律挑战做了简单的归纳,并对车联网的测绘及地理信息管理问题进行论述。(见车联网的网络及数据合规问题研究(上))。本部分将对车联网数据合规问题进行研究和论述,其中包括车联网的数据生态、车联网数据获取的范围、车联网数据获取的必要性问题、个人信息范围的再定义、车联网的数据出境问题等。(续前)
车联网是一个复杂的数据生态,在这一生态中,涵盖了丰富的参与主体(如图示)。其中包括车主、驾驶人、其他交通参与者、第三方服务主体、政府机构、车联网运营者、汽车制造商等。除了上述主体外,还包括大量的传感器、射频芯片、自动机具等。
在上述参与者中,从数据收集与处理的角度分类,主要包括个人数据主体和数据处理者。
其中车主、驾驶人、其他交通参与者往往是个人数据主体。而第三方服务主体、政府机构、车联网运营者、汽车制造商则是数据处理者。
吴卫明律师认为,对于数据处理者而言,如何通过车联网收集对其经营活动有利的数据,具有天然的动机。而对于个人数据主体而言,则涉及数据收集的合理性及个人隐私保护问题。上述两种诉求既有矛盾,也有内在的一致性。合理的数据采集,有助于服务机构提供更为优质、及时的服务,但数据采集范围的不合理扩张,也会产生侵犯个人隐私的潜在隐患。对于二者的协调,是各个国家立法、司法与执法过程中均非常关注的问题。
以部分车联网企业在车辆内装的摄像头为例,摄像头可以全方位、实时的采集车内驾驶者和乘客的人像信息和语音信息。对于运营者而言,似乎具有相当合理的理由,比如提升驾驶体验、防范驾驶者疲劳等用途,但对于驾驶者和乘客而言,则意味着其在车内的一举一动都可能被传送到云端服务器,个人隐私也会面临巨大的风险。
对于车联网数据生态的参与各方而言,平衡个人信息及隐私保护,与商业的便利性之间的关系,是车联网构建过程中需要考虑的核心法律问题之一。
车联网的数据应用场景丰富,这是车联网相较其他互联网体系的一个重要特征。吴卫明律师归纳了车联网的数据应用场景,具体包括以下几个方面:
(1)汽车设计与生产环节
通过对驾驶人驾驶习惯、车辆实时数据的采集分析,对于车辆配置、参数进行设定与安排,从而生产出适销对路的车辆,这是车联网应用的基础场景。对于生产厂家而言,通过车辆前装设备,具备收集车联网数据的天然优势。因而,将数据用于改进车辆设计和生产,是其必然选择。
(2)汽车销售及二手车销售
对于新车销售与二手车销售而言,两者的数据应用存在一定差异。这一场景中,首先用到的是用户行为数据和其他数据,从而得出用户消费行为倾向,为精准营销提供目标。对于二手车销售而言,除了上述数据外,车辆本身的维修、保养数据将为二手车定价提供支持。
(3)交通规划、车辆维修、充电服务
这些场景主要用到车辆的位置数据和轨迹数据,根据这些数据,相关主体可以进行交通的规划,合理布局维修网点和充电设备。
(4)其他周边服务
如车辆保险销售与定价、车联网的音乐及其他内容服务、支付结算服务等,需要用到的主要是车辆驾驶者或乘客的行为数据和其他与信用相关的数据。如保险的定价过程中,驾驶人的驾驶习惯、其他社会行为数据,都会成为重要的定价依据。
车联网数据采集的范围与信息采集的必要性紧密相关,吴卫明律师认为,不同领域的数据,与车联网服务的相关性是不同的。换言之,不同数据,采集的必要性也是不同的。车联网信息采集的范围主要包括:车辆驾驶过程中直接收集的信息,包括车辆识别码、油表、制动液、冷却液、气压、发动机转速、胎压等车辆自身的硬件信息。以及通过驾驭辅助系统收集的信息,包括车辆位置等与导航相关的信息,驾驶习惯等与车辆安全驾驶有关的信息。还包括多媒体娱乐系统收集的信息。
按照《网络安全法》的规定,互联网经营者收集个人信息应符合必要性原则,即收集信息应是提供服务所必要的信息。对于如何判断必要性,《信息安全技术-个人信息安全规范》(简称“《个人信息安全规范》”)给出了如下几个判断标准:其一、收集的个人信息应与实现产品或服务的功能直接关联,即没有该信息的参与,则产品或服务的功能无法实现;其二、自动采集个人信息的频率应是实现产品或服务的功能所必须的最低频率;其三、间接获取个人信息的数量应是实现产品或服务的功能所必须的最少数量。按照这一标准判断,车联网收集的不同数据,在必要性上存在不同的判断标准和解决方案,对此应根据具体情况予以判断。
如针对车辆驾驶功能直接实施的的数据收集行为,此类数据收集是车辆实现基本驾驶功能的必备数据,当然也是车辆生产厂家提供产品质量监测和安全驾驶功能的必要数据。如果驾驶人选择向厂家开放上述数据,在必要性上,一般不会有法律障碍。因此,在此类信息的必要性判断上,不必过于严格。
而对于辅助驾驶功能收集的信息以及车内多媒体终端使用过程中收集的信息,必要性的判断要相对困难一些。但考虑到技术进步因素,对于该部分的信息收集,总体的必要性判断标准宜适当宽松。
车联网企业应对各个应用使用个人信息的范围及合理性进行充分的考虑与评估,从而制定个人信息获取的策略及范围。
对于什么是个人信息,《网络安全法》、《个人信息安全规范》及最高人民法院司法解释均有明确的界定。
《网络安全法》对于个人信息的界定为:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
最高人民法院《关于侵犯公民个人信息案件的解释》的界定为:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
《个人信息安全规范》对于个人信息的界定为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。同时,《个人信息安全规范》还以列举的方式对个人信息、个人敏感信息进行了描述。
从个人信息范围的概念来看,《网络安全法》、《关于侵犯公民个人信息案件的解释》、《个人信息安全规范》对于个人信息的, 界定有两个范畴:一是识别特定自然人身份,二是反映特定自然人活动情况。对于识别个人身份,比较容易理解;但是对于反映特定自然人活动情况的信息,则存在外延的不确定性。特别是个人常用设备信息的界定及范围问题。
《个人信息安全规范》对于个人常用设备信息主要列举了:硬件序列号、设备MAC地址、唯一设备识别码信息等。从这一列举可以看出,能够识别到某一特定设备的信息,都可能被归入个人信息。在网络中,任何具备通讯功能的芯片设备,都具有唯一的编码,在通信网络中,只要设备发生了通信应答,其识别码就存在被获取的可能性。在车联网体系中,除了我们通常理解的应用于通信或互联网功能的芯片外,还存在其他的芯片,如车辆动力控制单元、车载多媒体控制系统、车辆远程控制系统等,这些系统都需要与车联网进行通信联系。其设备的识别码是否应该归入个人信息范围?吴卫明律师认为,虽然《个人信息安全规范》对此界定并不清晰,但从个人信息界定的基本原理来看,还是应被归入个人信息之列。此外,车辆出厂是都会有唯一的车辆识别码(VIN),如果适用个人常用设备信息的概念,车辆识别码(VIN)也会被纳入个人信息范围。
随着车辆功能的进一步完善,以及车联网应用范围的扩展,个人信息范围的界定也应适应这一趋势。
汽车行业的最大特点是全球产业链的高度融合,当前中国市场上销售的车辆中,进口车及中外合资生产的车辆占到相当大的比例。车商通过互联网集中收集车辆信息,数据出境几乎是一个无法回避的问题。2017年6月1日,《中华人民共和国网络安全法》(简称“《网络安全法》”)正式施行,其中对于关键信息基础设施提供者在中国境内获取的个人信息,应境内存储,并且如需出境,应通过国家安全审查。作为《网络安全法》的配套规则,国家互联网信息办公室制定了《个人信息和重要数据出境安全评估办法(征求意见稿)》(简称“《数据出境办法》”),并于2017年4月向社会公开发布征求意见的通知。
车联网服务机构所收集用户信息的出境,涉及两个层面的问题:
一是个人信息出境问题,二是重要数据出境问题。按照《数据出境办法》(征求意见稿)的规则,个人信息包括个人信息和构成重要数据的个人信息。重要数据既包含个人信息也包含其他重要数据。
2019年6月12日,国家网信办公布了《个人信息出境安全评估办法(征求意见稿)》(简称“《个人信息出境办法》”),与《数据出境办法》相比,删去了重要数据出境评估的内容。笔者认为,未来立法的趋势应该是将个人信息与重要数据分别立法。在上述两个征求意见稿均未生效的前提下,我们可以对两个办法所涉及的个人信息出境问题做个简要的比较。
(1)关于个人信息出境的程序规则
《数据出境办法》(征求意见稿)对于个人信息出境设置的程序包括知情同意和评估。其中第四条规定了知情同意,即:“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。”
第七条规定了自行评估,即:“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。”同时,《数据出境办法》(征求意见稿)第九条对于需要国家进行评估的情况进行了规定,即如果出境数据符合特定条件的,网络运营者应报请行业主管或监管部门组织安全评估。其中适用于个人信息的包括: (一)含有或累计含有50万人以上的个人信息; (二)数据量超过1000GB;… (五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
而在《个人信息出境办法》中,对于个人信息出境并未设置数据主体知情同意的专门规定。同时,也没有设置企业自行评估的环节,而是直接规定了由省级人民政府的网信部门负责个人信息的出境评估。对于国家机关的评估环节,删除了行业主管部门进行评估的表述,而是规定须向省级网信部门申请安全评估。由此可见,如果按照《个人信息出境办法》执行,则个人信息出境的流程更为简单和明确。
对于车联网企业而言,个人信息的判断较普通电商企业更为复杂,特别是与特定车辆挂钩的个人信息。有些信息究竟属于车辆信息还是个人信息?需要根据个人信息的定义加以甄别,从而合理评估个人信息出境的必要性与合理性,以及判断这些信息属于企业自行评估范围还是国家机关的评估范围。
(2)车联网的重要数据出境问题
从程序规则看,《数据出境办法》(征求意见稿)对于重要数据出境没有设置数据数据主体的同意程序,因为重要数据中的个人信息已经做了专门规定。重要数据同样存在自行评估和国家机关评估的问题。
对于重要数据的定义,《数据出境办法》(征求意见稿)第十七条做了定义:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”
对于车联网服务机构而言,除了一般的重要数据认定标准外,特别需要注意的是地理信息数据。
首先,从规则角度看,地理信息明确被纳入重要数据。如全国信息安全标准化委员会于2017年8月发布的《数据出境安全评估指南(第二次征求意见稿)》,明确将地理信息纳入重要信息,并规定应在境内服务器存放。《指南》指出:按照2015年12月颁布的《地图管理条例》(国务院第664号令),互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并将互联网服务单位收集、使用、提供的用户位置相关信息存放在中华人民共和国境内。
其次,从数据评估主体角度看,《数据出境办法》(征求意见稿)对于地理信息的出境评估权限直接规定为行业主管部门或监管部门。
本部分作为全文的第二部分,对于车联网数据合规问题做了论述,其中包括车联网的数据生态、车联网数据获取的范围、车联网数据获取的必要性问题、个人信息范围的再定义、车联网的数据出境问题等。对于车联网涉及的测绘及地理信息管理问题,以及车联网企业的合规策略,将在后续的部分加以论述。
车联网是在汽车上加载了信息模块及互联网服务而产生的全新业态,某种意义上说,车联网的主要内涵是为车主及车辆相关方提供的围绕汽车场景的互联网服务。因此,车联网的合规策略不仅仅要考虑传统汽车行业的策略,更需要考虑互联网行业的特征,特别是数据合规的策略。
吴卫明律师认为,构建车联网服务机构的合规策略,应从以下几个方面入手:
内容确定,对于数据合规而言,具有基础性的作用。按照《网络安全法》对于数据获取必要性的判断原则,网络经营者可以获取用户信息的范围应与其提供的服务相适应。即,什么样的服务,就可以获取什么样的数据。《个人信息安全规范》也对必要性设置了相应的判断标准。但上述法律及规则的设定总体上比价原则化,缺乏非常细致和可操作的标准。如何判断车联网个人信息获取的必要性,需要从服务本身的内涵入手。
对于合资车商而言,车辆在中国境内所产生的数据是否出境?以及如何出境?处境数据的范围等,将是其车联网规划中不得不面对的一个重要问题。
笔者认为,车联网企业需要从以下方面规划其数据跨境安排:
其一、数据合理分类
对于一般数据、个人信息、构成重要数据的个人信息、其他重要数据等进行分类,从而为数据出境的评估提供依据,降低评估的难度。
其二、构建自身的数据评估体系
企业对于自身的数据出境评估结果负责,如何评估数据出境的必要性,以及数据出境是否会危害国家安全及社会公共利益,需要一套完整的评估方法和体系。对于一般的个人信息,《数据出境办法》(征求意见稿)设定了企业自行评估的原则。企业自行评估是否有完整的评估体系和流程,是企业能否免责的重要判断依据。企业自身数据评估体系的作用还包括甄别那些必需由行业主管部门或监管机构评估的数据。即使是按照《个人信息出境办法》(征求意见稿),个人信息出境直接由省级网信部门评估,企业对于需要出境的信息进行必要的分类和归纳,也是通过评估的重要前提。
其三、境内数据中心的设置
对于无法出境,或无法判定是否能够出境的数据,应存储在境内的服务器。因此,境内数据中心的设立和管理,也是车联网企业数据跨境战略中的重要安排。
车联网服务的一个重要特征是场景的复杂化和功能的多元化。与围绕手机生态的应用相比,车联网生态整合了出行、娱乐、交通管理、导航、车辆远程检测与控制、购物及其他服务。上述服务中,除了部分服务由车联网运营者直接提供外,大量的服务来自于第三方服务机构。考虑到用户体验及应用的便利性,在车联网服务提供者与其他第三方服务者之间,难免会有用户数据的共享或流动。
对此,笔者认为,提早合规规划数据共享及流动的战略,并做有针对性的用户授权,是数据合规的重要内容。
车联网的数据采集范围广泛,除了常规的信息外,可能还包括车主的在车内的活动信息,车辆内置的摄像头、麦克风等都具备实时收集用户信息的功能。因此,对于车内麦克风、车内摄像头的信息收集行为,应严格遵循敏感信息收集的原则,采用数据收集前及时、单独告知的知情同意标准,并给予用户随时屏蔽车内信息收集的选择。
综上,车联网是一个复杂的网络生态系统,其合规问题不仅涵盖了传统汽车行业的合规点,更是涵盖了互联网行业及大数据行业的合规点。加强车联网的整体合规,对于车联网企业而言,具有重要的意义和价值。
文章来源:锦天城律师事务所
作 者:吴卫明