GDPR下车联网个人数据风险及应对——解读EDPB《车联网个人数据保护指南》

来源:TMT法律论坛

文章摘要
前言 随着车联网技术的不断发展,联网车辆逐渐进入主流市场,传统汽车制造商纷纷进行数字化转型,与众多传统汽车行业和新兴数字经济行业参与者共同构建起车联网的生态系统。

前言
随着车联网技术的不断发展,联网车辆逐渐进入主流市场,传统汽车制造商纷纷进行数字化转型,与众多传统汽车行业和新兴数字经济行业参与者共同构建起车联网的生态系统。由于车联网生态系统的复杂性以及在此过程中参与各方针对个人数据的处理活动互联的紧密性,所引发的个人数据保护问题受社会各界的广泛关注。
在《通用数据保护条例》(General Data Protection Regulation, 以下简称为“GDPR”)规范的个人数据保护框架下,2020年1月28日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布了《在联网车辆和出行相关环境下处理个人数据的指南(公开征求意见稿)》(以下简称为“《车联网个人数据保护指南》”)(Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications - version for public consultation [1]),较为明确地阐释了车联网应用环境下的个人数据处理活动中存在的隐私和数据保护风险并相应提出了应对措施,对车联网行业参与各方具有重要的借鉴意义。
一、车联网应用环境下的个人数据
在出行管理、车辆管理、道路安全、娱乐、驾驶员辅助、健康检测等各类复杂的车联网应用环境下,无论车辆本身联网或者未联网,个人数据均可通过车辆传感器、车载T-BOX[2](telematics box)或者手机应用(例如与车内系统连接的驾驶员手机)等被收集。
传统意义上单纯与车辆相关的数据可能不会构成个人数据,但是在车联网应用环境下,与联网车辆交互所产生的大部分数据可以识别到特定的自然人或与识别自然人有关,因此构成GDPR下的个人数据。其中既包括可直接识别自然人的数据,例如车主或驾驶员的身份信息;也包括可间接识别自然人的数据,例如行使里程等车辆使用行为数据、车辆零部件磨损相关数据等车辆的技术数据。此类数据与其他信息(特别是车辆识别号(Vehicle Identification Number,VIN))相关联即可识别到特定自然人。
具体而言,适用于《车联网个人数据保护指南》的个人数据主要包括:车主、驾驶员、乘客、承租人等个人数据主体的①在车内处理的个人数据;②车辆和与之相连的设备(例如车主、驾驶员或乘客的智能手机)之间交换的个人数据;以及③在车内收集并为进一步处理而向外部实体(如汽车制造商、保险公司、汽车维修商等)输出的个人数据。同时,《车联网个人数据保护指南》亦明确车联网应用环境下基于雇佣关系产生的个人数据、车辆内置WiFi相关的个人数据以及协同智能驾驶系统(Cooperative Intelligent Transport Systems,C-ITS)相关的个人数据由于其特殊性,不适用于该指南。
二、车联网应用环境下的个人数据处理风险
在车联网应用环境下的个人数据处理活动中,涉及的参与各方可能包括汽车制造商、设备制造商、汽车零部件供应商、汽车维修商、汽车经销商、汽车租赁/共享公司、保险公司、娱乐提供商、电信运营商、道路基础设施管理方和公共部门等。鉴于参与各方在车联网生态系统中所处的交互环节、角色的不同,所面临的个人数据保护风险也有所不同。《车联网个人数据保护指南》概括了以下几种车联网应用环境个人数据处理活动的典型风险:



  1. 个人数据主体对其个人数据缺乏控制以及信息不对称
    一方面,个人数据处理活动的相关信息可能仅为车主所知悉(例如在车主购车时向其提供隐私政策或者购车协议中规定的相关内容),驾驶员和乘客可能并未被告知此类信息,导致真正受影响的个人数据主体对其个人数据的控制权不足。
    另一方面,由于车联网技术的复杂性,个人数据主体不可能完全清楚地理解其个人数据被处理的具体情况,导致在个人数据主体可能没有意识到的情况下,其个人数据即被默认或自动触发相关收集和处理活动。
    2.个人数据主体做出的同意可能无效
    根据欧盟委员会《电子隐私指令》(ePrivacy Directive),在用户终端设备中存储信息、访问已经存储的信息必须取得个人数据主体的事先同意[3] ,且该条规定优先于GDPR第6条关于法律基础的规定适用[4] 。在车联网应用环境下,联网车辆和任何一个与其相连的设备均会构成一个终端设备,因此在此类终端设备中存储和访问数据应当事先征得个人数据主体的同意。
    根据WP29关于同意的解释指南(以及EDPB在《车联网个人数据指南》之后所发布的《对第2016/679号条例下同意的解释指南》(Guidelines 05/2020 on consent under Regulation 2016/679 [5]),同意应当同时满足自愿做出、具体、知情、明示的意思表示及可随时撤回和数据控制者可证明的要求方可有效[6] 。在车联网应用环境下,个人数据主体甚至可能注意不到车内在进行的数据处理活动,无法做出建立在知情基础上的同意;其次,在实践中普遍存在的二手车买卖、租车等情况下,驾驶员及乘客与车主之间无直接联系,更加难以获得直接受影响的个人数据主体(即驾驶员及乘客)的同意。
    3.对个人数据的进一步处理可能缺乏相应的法律基础
    就个人数据的处理活动而言,参与各方对个人数据进行的处理活动时应当严格遵循目的限制及最小化原则的要求,仅在收集个人数据时所明确的目的范围内进行处理活动。若参与各方需对个人数据进一步处理,此时新的处理活动无法与原目的兼容,则应当具备新的法律基础。举例来说,汽车维修商基于车辆维修目的所收集的遥测数据,不应在未获驾驶员同意向其提供基于驾驶行为的保险单的情况下,向机动车保险公司披露。
    就配合执法机构的执法活动而言,当满足特定条件时,执法机构可能会处理联网车辆所收集的数据来探测超速或其他违法行为。需要注意的是,EDPB指出,仅为满足执法机构的要求而进行的个人数据处理不构成GDPR第5条意义上的“特定、明确和合法的目的”,仅在执法机构经过法律授权成为GDPR项下的“第三方[7] ”时,车辆制造商可以根据各成员国的具体法律规定向执法机构提供个人数据主体的相关数据。
    4.个人数据的过度收集
    在车联网应用环境下,由于联网车辆技术本身的复杂性及前沿性,一方面装配到联网车辆上的传感器数量不断增加,导致需收集的数据规模更大,类型更加复杂,从而引发过度收集个人数据的风险;另一方面基于机器学习算法的联网车辆在功能开发时可能需要长期收集大量数据以进行深度学习,天然地存在过度收集个人数据的风险。
    5.个人数据的安全风险较高
    由于车联网系统本身的关键性以及应用环境中自然人的高度参与,一旦发生个人数据安全事件,有极大的可能会危及到个人的生理健康和生命安全,造成对自然人重大利益的损害。
    联网车辆所面临的安全风险主要来自于两个方面:首先是联网车辆所提供的多元功能、服务及界面增加了其遭受网络安全攻击的可能性;其次是对于存储在车辆上或者诸如云服务器等外部环境中的个人数据,可能无法完全保证其已得到充分的安全保障。
    三、车联网应用环境下的个人数据处理风险应对
    为充分控制车联网应用环境下的个人数据处理风险,避免损害个人数据主体的基本权利、自由及公共利益,《车联网个人数据保护指南》针对上述典型风险提出了基本的应对建议,为参与各方在车辆网应用环境下进行个人数据处理活动提供了充分参考。

  2. 三类重点关注的个人数据
    只要可能关联到一个或多个可识别的自然人,大多数与联网车辆相关的数据将被视为个人数据。EDPB认为参与各方应当重点关注以下三类个人数据:位置数据、生物识别数据以及可揭露犯罪行为或交通违法行为数据。
    对于地理位置数据的收集和使用,参与各方应当遵守以下原则:
    ①充分评估收集的频率、细节程度等。例如,避免过度收集个人数据,即使获得了数据主体的同意,天气应用也不应当以每秒一次的收集频率访问车辆的地理位置数据);
    ②充分告知个人数据主体针对其位置数据进行处理的详细信息;
    ③若收集、处理位置数据的活动需以个人数据主体的同意作为法律基础,应当征得其有效同意;
    ④仅当个人数据主体要求启动必需获取车辆地理位置的功能时,方可激活地理位置的收集,不可在车辆启动时以默认和持续的方式启动收集行为,同时应当为个人数据主体提供可随时禁用地理位置的选项;
    ⑤以图标等明显的方式告知个人数据主体地理位置已被激活。
    对于生物识别数据的收集和使用,首先,参与各方应当为个人数据主体提供不需要收集生物识别的替代方案,且不会向个人数据主体施加额外的约束条件;其次,参与各方在收集生物识别数据后,应当通过以下方式充分保障数据的安全:①仅在本地以加密形式存储和比对生物识别模板,确保生物识别数据不会被外部的读取/对比终端处理;②确保所使用的生物识别传感器及解决方案具备充分的安全能力;③避免存储原始数据,对构成生物识别模板和用于用户验证的原始数据进行实时处理。
    对于可揭露犯罪行为或交通违法的数据的收集和使用,EDPB建议参与各方采取本地处理的方式,确保个人数据主体对所涉数据具有完全的控制权,同时保护数据免于非法访问、修改和删除。除某些特殊的例外情形,禁止参与各方对可揭露犯罪行为或交通违法的数据进行外部处理。
    2.严格遵循目的限制原则及数据最小化原则
    根据GDPR,个人数据处理的目的应当是特定、明确和合法的,每一种处理活动均应具备相应的法律基础,同时个人数据处理活动应当仅在实现目的所必需的范围内进行。为充分遵守目的限制原则及数据最小化原则,在收集个人数据时,参与各方应当特别注意所收集的与联网车辆相关的个人数据类型,确保仅收集与处理相关和必要的、最小范围内的个人数据;在使用个人数据时,参与各方应当确保仅在收集个人数据时所明确的目的范围内进行使用,对个人数据的处理、存储应当仅限于实现该特定目的所必要的期限内。
    3.实现设计和默认的数据保护
    设计和默认的数据保护(Data Protection by Design and by Default,DPbDD)是指在任何系统、服务、产品或流程的设计阶段以及全生命周期中充分考虑数据保护问题,同时确保在默认情况下仅处理目的所需的个人数据。
    《车联网个人数据保护指南》中提出了可供车联网应用环境下的参与各方参考的通用实践,参与各方应尽量做到:
    ①尽量采取本地处理的方式,保证个人数据主体对其个人数据的控制权。同时可考虑开发车载应用平台,对与安全相关的相应功能进行物理分离,避免依赖不必要的外部云能力;
    ②如果数据必须传输至车辆以外,应当在传输之前对个人数据进行匿名化处理;
    ③考虑到车联网应用环境下的个人数据规模和敏感性,处理个人数据(尤其是在车辆外部进行处理的情况下)可能会给数据主体的权利和自由带来高风险 [8]。在这种情况下,建议参与各方进行个人数据保护影响评估(Data Protection Impact Assessment, DPIA),在推出新技术之前将风险分析的结果纳入设计过程。
    EDPB于2019年11月13日所发布的《关于GDPR第25条设计和默认的数据保护指南(公开征求意见稿)》(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default,version for public consultation)全面地介绍了实现设计和默认的数据保护的具体措施,请阅读我们此前发布的《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>》进一步了解。
    4.保障个人数据主体权利
    保障个人数据主体权利,参与各方一方面需要在处理个人数据之前充分告知数据主体关于数据控制者的具体身份、处理目的、数据接收方、数据存储期限以及数据主体所享有的权利等详细信息。在间接收集的场景下(例如,车辆制造商可能会依靠经销商来收集数据主体的个人数据以便提供紧急路边援助等服务),上述信息可通过车辆销售合同、服务合同等书面文件或车载显示屏展示的条款告知个人数据主体。
    另一方面,参与各方应当为个人数据主体提供可实现其权利的途径,促进个人数据主体在整个处理过程中对其个人数据的控制的权利实现。为了便于个人数据主体对设置进行修改,车辆制造商可以考虑在车辆内部安装用户配置文件管理系统。
    5.加强数据安全保障
    为充分控制车联网应用环境下的数据安全风险,参与各方应当采取一切有效的安全措施确保数据的安全性和保密性,例如对通信通道进行加密、为每辆车设置独立的加密密钥管理系统、验证数据接收设备等。
    《车联网个人数据保护指南》尤其强调了汽车制造商应采取的安全措施:
    ①区分车辆的重要功能与完全依靠通信能力的功能(例如娱乐功能);
    ②实施技术措施确保能够在车辆的整个使用周期内能够迅速修复安全漏洞;
    ③设置防止车辆系统遭受网络攻击的预警系统;
    ④存储访问车辆信息系统的日志记录等。
    结语
    2020年2月,国家发改委等11个部委联合出台了《智能汽车创新发展战略》[9],加快推进智能汽车创新发展,各地也纷纷出台相关地方政策落实智能网联汽车产业的推动战略,相关法规及技术标准也在陆续制定和完善中。车联网应用环境下的个人数据保护问题关系着个人的基本权利和自由,无论是车辆制造商还是各类服务提供商,都应充分重视,共同建立车联网应用环境下良好的个人数据保护生态。
    为帮助企业更好的理解中国及欧盟复杂的数据保护执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对国内外立法及政策走向及时进行解读。
    [注]
    [1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-contexten,最后访问时间:2020年6月3日。
    [2] 车载T-BOX又称车载通信终端,主要用于和后台系统/手机APP通信,实现手机APP的车辆信息显示与控制。
    [3] Directive 2002/58/EC of the European Parliament and of the Council Directive on privacy and electronic communications (ePrivacy Directive) Article 5(3): Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.
    [4] EDPB《5/2019关于<电子隐私指令>和GDPR相互作用的意见》(Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities, adopted on 12 March 2019)
    [5] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679
    en,最后访问时间:2020年6月1日。
    [6] WP29《对第2016/679号条例(GDPR)下同意的解释指南》(Article 29 Working Party Guidelines on consent under Regulation 2016/679)
    [7] 根据GDPR第4条第(10)项,“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构或组织。
    [8] 根据GDPR第35条及第29工作组于2017年发布的《关于2016/679条例下DPIA及判断数据处理活动时候会造成高风险的指南》(Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679),当数据处理活动可能会给自然人基本权利和自由带来高风险时,应当在处理个人数据之前进行DPIA。必须进行DPIA的典型情形包括:(a)以自动化决策(包括用户画像)为基础对数据主体进行系统性与全面性的评价,作出对其产生法律影响或其他类似重大影响的决定;(b)以大规模的方式处理特殊类别个人数据或与刑事犯罪、定罪相关的数据;(c)以大规模的方式系统性地对公众可访问的空间进行监控。
    [9]http://www.gov.cn/zhengce/zhengceku/2020-02/24/content_5482655.htm,最后访问日期:2020年6月3日。

技术驱动法律,专业成就未来