2022年3月2日,上海市通信管理局在组织行业专家组对汽车数据处理企业报送的数据安全年报进行评审后,公布了2021年度汽车数据处理企业数据安全年报评审结果。管局在肯定几家车企报送的材料完整、目录清晰、内容充实,整体年报质量较好的同时,也公布了本次评审发现的部分问题,主要包括:内容缺失不完整;描述前后不一致;未提供实施工作的证明材料;缺少用户请求删除数据的合理渠道;重要数据出境未落实评估备案等。针对评审未通过的企业,管局已召开评审结果通报会并要求企业限期重新提交材料。

对于评审结果,汽车数据处理企业除了应当注意按照《上海模板》所提供的类目进行详尽、统一和确实的填报,更需要注意个人信息保护方面和重要数据出境方面的合法合规,尤其是与用户请求删除数据以及重要数据出境的评估备案相关的部分。

对于重要数据出境方面的合规分析,请见《汽车行业数据合规要点(上篇)》,而对于个人信息保护方面汽车数据处理者合规义务的分析请见下文,本文将针对用户请求删除数据问题着重进行介绍。

要点五:汽车数据中的个人信息保护

《汽车数安规定》在《个保法》中个人信息定义基础上,基于汽车行业的特性,着重强调了与车辆相关联的个人信息数据。同时,《汽车数安规定》对于个人信息的分类也与《个保法》对个人信息的分类规则相一致,即将个人信息分为个人信息和敏感个人信息。相对应地也将个人同意区别分为个人同意(针对个人信息)以及个人单独同意(针对敏感个人信息)。汽车行业需要在落实《个保法》处理个人信息相关要求的基础上,额外遵守《汽车数安规定》中的进一步细化要求。

一、汽车行业的个人信息

《汽车数安规定》在《个保法》的基础上,针对两类个人信息在汽车行业中的场景,给出了更为细化和针对性的说明,具体而言:

  • 针对个人信息:个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。汽车数据处理者应当取得个人同意,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
  • 针对敏感个人信息:敏感个人信息是指一旦泄露或者非法使用可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。汽车数据处理者应当取得个人单独同意,个人可以自主设定同意期限。

在此基础上,《上海模板》同时对具体汽车数据处理类型(车外视频图像、车外雷达、汽车行踪轨迹、车内视频图像、车内音频、生物识别特征信息及其他个人信息)中所涉及的个人信息也进行了详细列举:

  • 个人基本资料(包括姓名、生日、住址、电话等);
  • 个人身份信息(身份证、护照、驾驶证、社保卡等);
  • 个人生物识别信息(基因、指纹、虹膜、面部识别特征等);
  • 网络身份标识信息(账号、IP地址、个人数字证书等);
  • 个人健康生理信息(个人因生病医治等产生的相关记录以及与个人身体健康状况相关的信息等);
  • 个人教育工作信息(职业、职位、学历、教育经历、工作经历等);
  • 个人财产信息(银行账户、鉴别信息、存款信息,以及虚拟货币、虚拟交易等);
  • 个人通信信息(通信记录和内容以及描述个人通信的数据等);
  • 联系人信息(通讯录、好友列表等);
  • 个人上网记录(网站浏览记录、软件使用记录等);
  • 个人常用设备信息(包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码等在内的描述个人常用设备基本情况的信息);
  • 个人位置信息(行踪轨迹、精准定位信息、住宿信息、经纬度等)
  • 其他信息(婚史、宗教信仰、性取向、未公开的违法犯罪记录等)。

二、汽车行业个人信息保护细化规定

对于个人信息保护的相关规定,在《个保法》的基础上,《汽车数安规定》、《上海模板》及《江苏模板》主要针对以下四方面进行细化规定:

1、汽车数据处理者的告知义务

《个保法》要求个人信息处理者在处理个人信息前,应以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知部分事项,并且在合并、分立、解散、被宣告破产等原因需要转移个人信息时,以及向第三方提供和跨境传输个人信息时,履行额外的告知义务。《汽车数安规定》结合汽车数据适用场景对此进行了更为细致的规定,其中第七条规定:

汽车数据处理者在处理个人信息时,应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知处理个人信息的种类、收集情景、停止收集的方式等相关的必要信息,具体包括:

(一) 处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;

(二) 收集各类个人信息的具体情境以及停止收集的方式和途径;

(三) 处理各类个人信息的目的、用途、方式;

(四) 个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;

(五) 查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;

(六) 用户权益事务联系人的姓名和联系方式;

(七) 法律、行政法规规定的应当告知的其他事项。

此外,汽车数据处理者在处理敏感个人信息时,应当告知处理的必要性以及对个人的影响。

对于上述汽车数据处理者告知义务的范围,《上海模板》在第八部分与其他个人信息相关的报送部分均有对应的体现,要求汽车数据处理者进行具体的报送。汽车行业在遵守《个保法》的要求基础上,应注意合规行业特殊规定的要求,构建个人信息保护内控体系以满足法律规定与报送要求。

2、个人同意与匿名化要求

《个保法》将个人同意作为处理个人信息的合法依据之一,在特殊情况时还需要个人信息主体的“单独同意”。个人信息处理者在特定情形下仍需重新取得同意,并且还需要为个人撤回同意提供便利途径。

《汽车数安规定》第八条要求个人信息处理时,应当取得个人同意。但因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,具体方式包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。

针对告知和同意,《江苏模板》和《上海模板》均给出了相应的申报要求,但具体方式有所不同:在《江苏模板》中,最为集中的体现在需要汽车数据处理者申报处理个人信息时取得用户同意的情况。针对不同的告知事项,要求汽车数据处理者填报具体的告知方式:

而针对敏感个人信息,《江苏模板》要求汽车数据处理者就敏感个人信息的种类、取得单独同意的方式、用户设定同意期限的方式以及如何为个人终止收集提供便利进行报送:

《上海模板》针对个人同意的审查明确了汽车数据处理者需要审查的方向,以车外视频数据收集时可能采集到的人脸、车牌等个人信息为例,《上海模板》要求汽车数据处理者判断是否在取得视频中个人信息主体同意后再进行收集,以及采取何种方式取得个人信息主体的同意。此外,在将个人信息提供给外部第三方或公开数据时,《上海模板》也要求征集个人信息主体的同意。针对敏感个人信息,《上海模板》要求汽车数据处理者明确列出加工处理敏感个人信息的情形、是否征得单独同意、是否公开敏感个人信息以及公开时是否告知主体敏感个人信息的内容等。

对于《汽车数安规定》所要求汽车数据处理者在特定情况下应当进行匿名化、去标识化等处理的规定,在《上海模板》中被适用的次数最多也最为重要。具体请参见汽车行业数据合规要点(上篇)

综上可见,汽车数据处理者在进行数据处理活动的过程中,一旦涉及个人信息或敏感个人信息的,必须经过严格的个人同意审查,才能被认定属于合法合规的数据处理活动,此步骤应作为日常合规的重要控制点之一。

3、敏感个人信息的处理

《汽车数安规定》遵循《个保法》中的个人信息分类原则及处理规则,为汽车数据处理过程中可能涉及的敏感个人信息规定了严格的处理要求,以达到更高级别的安全保护与合规义务。

依据《汽车数安规定》第九条,汽车数据处理者处理敏感个人信息,应当符合以下要求:

(一) 具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;

(二) 通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;

(三) 应当取得个人单独同意,个人可以自主设定同意期限;

(四) 在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;

(五) 个人要求删除的,汽车数据处理者应当在十个工作日内删除。

在具有增强行车安全的目的和充分的必要性的前提下,汽车数据处理者方可收集指纹、声纹、人脸、心律等生物识别特征信息。

以上关于《汽车数安规定》的要求是《个保法》在汽车行业的细化规定,对于特定目的以及必要性方面,赋予了汽车行业的相关特色,其中企业需要特别关注的是针对生物识别特征的个人敏感信息收集,此类收集已被严格限制在增强行车安全这单一目的和充分必要性项下,换而言之,除此之外的任何目的或必要程度不够充分的情况下均禁止搜集此类敏感个人信息。相关企业在数据分级以及分级保护的基础上,对此类数据应着重进行目的和必要性审查,规避被认定为违法收集的风险。

4、个人信息主体删除权问题

依据《个保法》第十五条之规定, “基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”此外,若出现《个保法》第四十七 条规定中的任一情形时,个人信息处理者应当主动删除个人信息。

《汽车数安规定》基于《个保法》对个人信息主体删除权的规定,着重在汽车数据处理者的告知内容以及处理敏感个人信息权利行使期限等方面做出了细化的规定,主要包括:《汽车数安规定》第七条,汽车数据处理者处理个人信息应当以显著方式告知个人信息主体查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径。同时,《汽车数安规定》第九条,进一步要求汽车数据处理者处理敏感个人信息时,如果个人要求删除的,汽车数据处理者应当在十个工作日内删除。

基于此,《上海模板》要求汽车数据处理者在2021年的报送中详尽地提供该处理者在个人信息的数据删除的策略、删除方式、报废期限、请求删除的操作时限,以及个人信息安全事件应急预案相关等信息。从上海通管局的公开结果来看,用户请求删除个人信息问题在各大汽车数据处理者看来仍是一项亟待解决且需要重视的问题。如若发生未能按用户请求及时删除个人信息的情况时,基于删除权行使的方式包括诉讼方式,如果信息主体行使删除权,而个人信息处理者拒不删除的,依据《个保法》第五十条第二款的规定:“个人可以依法向人民法院提起诉讼。”汽车企业将面临用户主体保护人格权的诉讼案件,对于企业名声及支出成本都将造成不小的风波。

随着智能网络汽车产业的快速发展以及数据法规的密集出台,汽车数据合规的重要性日渐凸显。汽车数据处理者应根据《个保法》、《汽车数安规定》以及其他数据安全法规的要求,依据企业自身的数据处理情况和运营模式制定相应的数据合规体系,落实和开展企业个人信息保护合规工作。

本期文章为系列连载文章的中篇,我们会继续推出下篇,涵盖汽车行业数据合规的其他要点,敬请期待!

孙宇莉亦对本文有贡献。