近日,国家互联网信息办公室等五部门联合发布《汽车数据安全管理若干规定(试行)》,自2021年10月1日起施行。《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定。
企业收集个人信息一直存在着博弈,而个人私家车的普及又为企业提供了收集大量个人信息的方便和机会。可以说,汽车用户的个人信息是所有个人使用商品中最大的信息来源,因为,一部车不只是个人使用,而且是全家人用,并且可以去到很多地方,因此车企可以掌握个人的海量信息。
现在,国家互联网信息办公室等五部门联合发布的《汽车数据安全管理若干规定(试行)》是对车企划了一条底线,也是一条红线。与这一规定相呼应的是十三届全国人大常委会第三十次会议20日表决通过的《中华人民共和国个人信息保护法》,自2021年11月1日起施行。该法的规定之一是,处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意。
显然,这两个法律、法规都重点指向人们的唯一和私密性的个人生物特征信息,如指纹、人脸信息等。在信息化时代,企业收集和获得个人信息也是对其产品改进的必要途径,因此此次规定并非是全面禁止收集个人信息,而是首先要秉承非必要不收集的原则,尤其是个人生物信息,同时即便收集数据,也要有知情同意。在收集和利用汽车数据时应坚持车内处理原则,除非确有必要不向车外提供;以及默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态等。
这些原则和规定其实是企业和个人博弈后达成的协议,现在政府通过法规形式明文予以了规定。2018年5月,欧盟就出台了号称史上最严厉的《通用数据保护法令》,旨在更为全面覆盖互联网相关的各行各业,加强个人隐私保护,其中的智能汽车更是适用这样的法律。之后,其他国家也达成了一些共识,无论是智能汽车还是一般汽车,车企收集数据和使用要执行知情同意原则,不能以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒使用消费者个人信息的目的、方式和范围;不能非法获取个人信息。同时,车企不能强迫消费者同意,尤其是智能汽车上的不同功能或产品需收集多类消费者个人信息时,不应强迫消费者一次性全部同意授权。
此次规定并非只是保护购车者和用车者,也包括汽车可能涉及的多方人员,如车外人员信息。由于汽车的特殊性,如保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
当然,这个规定公布后,未来的执行情况如何,还需要有一定的细则以及补充,更重要的是,需要有政府职能部门的监管,否则,车企就有可能以各种理由打擦边球,明里暗里收集个人的信息,尤其是生物信息。政府监管在于,既要对企业进行合规审核,检查企业采集、管理、使用数据是否合规,也要对违规行为和发生信息安全事故进行处罚,让车企守法,也让公民购车和用车安心。 |
