自动驾驶汽车的个人信息合规问题

作者: 程中华,锦天城律师事务所
0
117

动驾驶汽车在我国也被称之为智能网联汽车,智能化与网联化的特征,使得自动驾驶汽车通过V2X技术可与一切可能影响车辆的实体实现信息交互。V2X包含V2V(车辆与车辆)、V2I(车辆与交通设施)、
V2N(车辆与互联网)、V2P(车辆与行人)等多种形式。

自动驾驶汽车在进行信息交互时,可能需要收集车主/车辆驾驶员/乘客的位置信息、身体情况、个人基本信息等数据。自动驾驶汽车的个人信息控制者就个人信息的收集、使用、共享、存储制定严格的合规制度,是建立公众与自动驾驶技术之间信任关系的重要一环。

我国的个人信息保护立法。我国尚未就自动驾驶专门立法,有关个人信息的保护,散见在《民法总则》《网络安全法》等法律法规及其他标准文件之中。《民法总则》第111条从隐私权的角度就个人信息的保护做出了规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”

Cheng Zhonghua Associate AllBright Law Offices
程中华
锦天城律师事务所律师

《网络安全法》第76条将网络定义为:由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。自动驾驶汽车无疑将落入《网络安全法》的规制范围。鉴于《网络安全法》要求运营方提供服务时以用户实名制为前提,因此,未来随着自动驾驶汽车逐渐商业化落地,个人敏感信息的收集与使用将不可避免。

域外自动驾驶的个人信息保护。以美国为例,2017年9月美国众议院一致表决通过了
《自动驾驶法案》(H.R.3388),法案要求制造商不得销售、许诺销售、进口任何高度自动驾驶车辆到美国,除非制造商制定了包含以下内容的隐私保护计划:关于收集、使用、共享和存储高度自动驾驶车辆的车主或乘客信息的书面隐私保护计划。但如果车主或乘客的信息被匿名化或去标识化,则制造商不需要在隐私政策中阐述上述信息的处理方法。

2018年10月美国交通部发布的《准备迎接未来交通:自动驾驶汽车3.0》(AV3.0)也就隐私保护问题表达了关切,鉴于自动驾驶的各利益攸关方经常提出数据隐私方面的担忧,美国交通部将与联邦贸易委员会合作,为消费者提供有关隐私保护的安排。

与美国的原则性立法不同,德国在2017年5月对《道路交通法》修订时,要求自动驾驶汽车需安装具有数据记录功能的“黑匣子”,但对于“黑匣子”所记录的个人信息等数据,规定仅基于执法部门的执法活动或交通事故当事方的请求等情形,车主才有数据提供义务。对于数据的保存期限,修正案规定一般情况下的保存期限为六个月,在发生交通事故时数据的保存期则为三年。

德国联邦运输和数字基础设施部下属的伦理委员会在同期发布的自动驾驶伦理准则中,还首次提出了“用户才是数据的权利人,应该由其来对自己的驾驶数据做最终决定”的伦理规范。

自动驾驶的个人信息合规制度。在当下,互联网领域对个人信息的过度收集与滥用已被多方诟病,自动驾驶作为一个新兴产业,建立公众对自动驾驶的信心极为重要,而其中个人信息的泄露是除安全性外,公众最为关注的话题。

从各国就自动驾驶汽车个人信息立法的举措来看,为个人信息提供隐私保护是自动驾驶汽车落地的前提,作为自动驾驶汽车的制造或运营方,建立个人信息的合规制度势在必行。

结合自动驾驶领域的特点,建立个人信息合规制度,应注意以下几点:

一是自动驾驶汽车所收集的信息来自车主、驾驶员、乘客,甚至是行人等多方主体,因此,个人信息的收集应坚持“最小必要”原则,且针对不同主体的个人信息在存储时间、使用范围等方面应设置相应的规范;

其二,考虑到欧盟的《通用数据保护条例》(GDPR)确立了域外管辖权,合规制度还需有效规避域外法律的合规风险;

其三,鉴于各国对数据主权的立法活动越来越活跃,我国就个人信息出境问题的管理规范虽然尚未出台,但合规制度仍应关注个人信息出境所可能面临的风险,作为规避措施,最大限度地对个人信息去标识化、匿名化可能是减少合规风险的一个选项。

作者:锦天城律师事务所律师程中华

AllBright Law Offices锦天城律师事务所
上海市浦东新区银城中路501号
上海中心大厦11及12层 邮编:200120
电话: +86 21 2051 1000
传真: +86 21 2051 1999
电子信箱:

[email protected]

www.allbrightlaw.com