车联网场景下的个人信息保护合规指引

作为20世纪经济的象征，汽车是影响整个社会的大众消费品之一。它通常被认为不仅仅是一种交通工具，更是一种私人领地的象征，使人们可以在其中享受某种形式的决策自主权而不会受到任何外部干扰。而在数字经济成为发展核心的当下，汽车的联网正在迅速扩展，车辆已经成为了海量数据的中心¹。车载联网设备收集和记录了大量诸如到访地点、驾驶习惯、指纹及面部特征等法律意义上的个人信息——处理这些个人信息的合法性与安全性，也成为了监管和隐私保护领域的焦点：

• 去年9月，交通运输部会同中央网信办等部门约谈11家网约车平台公司，要求各平台公司要检视自身存在的问题，立即整改不合规行为，保障用户信息和数据安全²；

• 去年年末，一名广汽埃安车主兼汽车媒体人发布视频，称经销商通过调用车内车联网GPS数据的方式获取了自己车辆的具体位置并进行围堵，要求广汽说明车联网数据存储及加密措施并公布提车后的互联网后台操作记录，同时车主已经报警并将情况上报至国家有关部门³；

• 今年5月，某汽车博主发布在社交媒体的视频显示，通过使用高合汽车HiPhi X的“车车互联”功能，用户能够看到多位其它高合汽车用户的行车记录仪实时画面⁴；虽然事后该公司第一时间发布了声明称该功能并非默认开启，但视频还是引发了网友对于车联网系统泄露个人隐私的担忧。

本文将简要介绍车联网的概念、梳理车联网个人信息合规的法律体系、明悉所讨论的车联网场景下的个人信息定义并从数据流转的生命周期角度出发，结合我国相关法律要求，选取车联网下典型的涉及个人信息处理的业务场景，为企业开展合规工作提出建议。

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。车辆搭载先进的传感器、控制器、执行器等装置，通过现代通信与网络技术，使车辆与车辆、道路基础设施、驾驶员、云端等之间进行数据的传输和交互，从而实现车辆的联网⁵。车辆的联网使得新的参与者进入汽车产业，利用车联网系统下车辆生成的各种数据和数据交互通道，为用户提供丰富的增值服务。

（车联网系统数据交互的典型业务场景）

开展车联网个人信息保护合规工作，首先应当明确相关法律的范围。近年来，围绕个人信息保护和车联网出台的法律文件频繁且类目众多，结合发布时间和内容的相关性，本文整理了目前该领域重点涉及的已生效强制性及非强制性效力规范：

梳理和理解车联网个人信息保护相关立法，可以主要从以下几个方面考量：

第一，法律规范的位阶高低和应用场景。如上图所示，汽车行业处理个人信息，受到一般性和行业性个人信息保护法律规范的双重规制。其中，《个人信息保护法》（以下简称“《个保法》”）是隐私保护领域的基础性法律⁶；部门规章《汽车数据安全管理若干规定（试行）》（以下简称“《若干规定》”）是目前汽车行业下位阶最高的具有强制性效力的法律规范，对于开展在车联网个人信息保护合规有十分重要的指导意义；规范性文件以下的各类文件和标准，虽然不具备法律意义上的强制性效力，但为企业在实操层面落地高位阶、原则性的法律要求提供了更加场景化和具体化的解读。

第二，要注意追踪领域内的最新立法动态。例如《网络数据安全管理条例（征求意见稿）》和《数据出境安全评估办法（征求意见稿）》，前者作为《个人信息保护法》之下位阶最高的相关领域法律，在诸多方面对于个人信息处理者的义务做了细化的规定；后者则为数据跨境的细化规定，明确了必须以安全评估作为个人信息跨境法定依据的情形。

第三，要注意个人信息保护细分领域的法律规范文件。例如上表中列出的《必要个人信息范围规定》，因为主机厂通常会在车辆中集成大量第三方应用，第三方应用通常作为受委托方参与到车联网系统下个人信息的处理当中，同时其处理行为也受到上述规范性文件的约束。

第四，还可以关注地方出台的法规和指导性文件。例如深圳市《深圳经济特区数据条例》、上海市的《企业数据合规指引》等。

本文所讨论的车联网场景下的个人信息，是指配备电子控制单元的车辆在与车内和车外的其它设备进行数据交互的过程中，涉及的以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息⁷。具体来说，根据车辆自身配置功能的不同，网联汽车可能会收集到的个人信息包括但不限于以下类型⁸：

1.用户的身份信息。主要是在注册和登录车联网系统账号时，如车机屏、车辆配套的APP时，需要收集车主的身份信息，包括姓名、身份证件号、电话、邮箱等，有生物识别登录功能的还会进一步收集车主的人脸、指纹等信息。

2.用户的使用行为信息。车辆智能系统需要收集用户的驾驶习惯信息，如座椅角度、后视镜位置等进行个性化配置的调节，车载娱乐系统也通常配备收集和存储用户偏好设置的功能；使用自动辅助驾驶功能除了收集外部环境数据，通常还需要通过摄像头收集驾驶员疲劳或分神状态——以上都属于用户的使用行为信息。此外，这些功能也通常通过收集指纹、声音等生物识别信息的方式来验证用户身份。

3.车辆的地理位置信息。用户使用地图导航、紧急道路救援、寻找加油站/充电桩等功能需要收集车辆位置信息。《若干规定》也明确了车辆的行踪轨迹属于敏感个人信息。

4.车辆的使用状态和技术信息。如车架号、软硬件版本、里程、电池、油量、车内温度等，用于用户在车辆配套的APP端查看车辆状况、车企监测车辆健康状况、进行故障分析、远程维护等多种目的。大部分上述车辆信息由于和个人信息主体之间存在一定的关联，根据《个保法》和《若干规定》对于个人信息的定义，也属于个人信息的范畴。

5.其它乘车人和车外人的个人信息。在启用车辆智能语音识别系统、行车记录仪、车辆外部摄像头等情形下，车辆还可能会捕捉到车内其它乘客和车外人的语音、图像、视频等个人信息。

本文从数据流转的生命周期角度出发，结合相关法律要求和具体业务场景，参考其它国家和地区的行业监管规范，为企业开展合规工作提出如下建议：

（一）个人信息的收集

1.在技术可行的情况下，实行车内处理原则，特别是针对敏感的个人信息。

车内处理原则是《若干规定》的明确处理要求。常见的车内处理情形如，将用于解锁、启动车辆和/或激活特定命令的应用程序的驾驶员生物特征存储在车辆内；离线导航软件获取的车辆实时位置信息不上传云端等等。在这些情况下，由于个人信息并未以任何形式传输给处理者、用户对其个人信息有完全的控制权，通常认为车企不属于个保法意义上的个人信息处理者⁹，在某种意义上也最大程度地保护了用户的隐私。不过，车企仍有义务保持车内进行的个人处理活动的安全。

（法国数据保护机构CINL将车联网下的个人信息处理分为三种场景，其中in-in即为车内处理）

2.每一项个人信息的收集都应具有合法性依据，并为实现特定功能的最小必要。

如上图中的情况2、3所示，当个人信息需要从车辆传输到云端，以及可能再远程触发车辆中的自动操作的情形时，车企就属于个保法意义下的个人信息处理者，应当具备个保法下至少一项个人信息处理的法定依据。例如，车企通过物联网云平台收集各种车辆身份、技术和使用行为数据实现车辆情况监测、故障诊断等特定功能，通常可援引为履行与用户之间的合同所必需这一条款；网约车企业可以援引为履行自身保障车内乘客安全的法定义务作为开展车内录音录像进而获取乘客的依据，但若之后想将录音录像用于判定纠纷或处理乘客一般投诉，则还需要征得乘客的明确同意作为法定处理依据。

对于收集个人敏感信息，《若干规定》特别强调应当具有直接服务于个人的目的，并且要在保障行车安全的前提下，以适当方式提示个人信息主体收集状态。例如，收集位置信息时，可以在车机屏上设置位置信号灯以通知驾驶人和乘客正在进行敏感信息的收集，同时还应当为用户提供便捷的取消车辆位置信息收集的方式；如果是为用户提供天气状况而收集的位置信息，则相关应用没有必要每秒都访问车辆的位置。

3.存在无法取得个人信息主体同意或其它个人信息处理的合法性基础的客观情形时，应当对捕捉到的个人信息及时做匿名化处理。

在一些特定场景下，企业作为个人信息的处理者很难通过最常用的告知-同意机制就个人信息的处理取得合法性依据。例如，车外摄像头可能拍摄到行人的生物特征信息、车内语音助手可能在乘车人不知情的情况下记录其对话等。在此种情况下，可以先考虑能否进行车内处理。若相关数据确有必要向车外传输，则《若干规定》要求向车外传输时应当进行匿名化处理，例如删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等¹⁰。匿名化使得企业接收到的信息不再属于个人信息的范畴，也最大程度地保护了对信息处理不知情的个人主体的隐私。

（二）个人信息的传输、存储和使用

1.做好车联网下个人信息的分类分级。对个人信息进行分级分类是《个人信息保护法》的要求，也是企业履行个人信息处理安全保障义务的基本思路。进行分级分类既要考虑到强制性法律规范的明确要求，例如个人信息保护法将个人信息分为一般和敏感个人信息，又要考虑分级对业务模式是否足够友好便利。企业可参考《个人信息安全规范》及《用户个人信息保护要求》的分类分级方法。

2.应当按个人信息的实现功能或处理目的之不同，明确不同类型个人信息的存储期限。例如，为导航目的收集的车辆位置和轨迹信息，在导航结束后即删除；车联网用户账号相关的个人身份信息可以在注销或停用后，在诉讼时效期限内保留；为进行车辆远程维护的相关数据，可以在车辆的整个生命周期保留。

3.部署安全的传输、存储和访问措施。例如，通过最先进的算法对通信信道进行加密；保护加密密钥不被泄露；将车辆至关重要的功能与始终依赖联网能力的功能（例如信息娱乐功能）进行分割；使用可靠的用户认证技术（密码、电子证书等）访问个人信息；存储任何访问车辆信息系统的日志记录，例如最长可追溯到六个月，以便了解任何潜在攻击的来源，并定期对日志记录进行审查，以检测可能存在的异常情况¹¹。

（三）与第三方共享个人信息 

要确定企业自身和第三方的主体身份关系。对于企业委托第三方进行个人信息处理的，例如使用第三方互联网应用提供娱乐服务、天气查询功能，应当按个保法的要求与第三方签订数据处理协议，并在协议中明确处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等等；对于将个人信息提供给其它个人信息处理者的，例如提供给基于驾驶里程数和/或驾驶习惯而区分驾驶员保险费用高低（Usage-based insurance）的保险公司，应当按个保法的要求明确告知用户并且征得其单独同意。

（四）个人信息的跨境

车联网收集的个人信息应当尽量做本地化存储。确有出境必要的，应当汇总《个保法》及《若干规定》中对汽车行业个人信息跨境领域的法律规定，根据出境个人信息的具体情况为跨境行为设定如进行出境安全评估、与境外接收方签订标准合同等合法性依据。

（五）响应个人信息主体权利请求

告知是取得同意或收集任何个人信息之前应当充分履行的告知义务。《若干规定》要求企业按照具体的情境告知用户处理的个人信息的目的、种类和方式等，还强调应当告知用户停止收集和删除个人信息的方式和途径。企业应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式进行告知¹²。

针对敏感个人信息，《若干规定》特别要求企业在个人提出删除之日起十个工作日删除。此项规定比普通情况下响应个人信息主体权利要求的三十天时限要严格许多。因此建议企业针对收集的敏感个人信息建立专门的公司内部响应机制，也可以在车辆端显示屏直接设置相应的删除按钮使得用户可以自行删除诸如GPS导航历史记录等敏感个人信息，并在公司系统中设置能同步删除存储的历史记录的程序。

（六）其它组织建议

按个保法的要求指定个人信息保护负责人，成立数据安全工作小组等个人信息保护机构，建立内部个人信息保护管理制度，对进行个人信息处理的相关人员定期开展安全教育和培训。

上线新产品、新技术或者涉及个人信息处理的新系统时，进行个人信息安全影响评估。

按法律法规的要求，开展个人信息保护合规审计、风险评估、安全评估、汽车数据年报等工作。

车联网的快速发展，使得传统意义上的个人权利与自由在新的应用场景下受到挑战，也使其数据安全和隐私保护情况成为监管重点。对于每个利益相关者来说，应当尽量从相关产品设计阶段开始就纳入"个人信息保护"的理念，确保用户能够充分知悉与其个人信息相关的处理并享有相应的控制权。这亦有助于增强用户信心，从而促进车联网相关技术的长期发展。

批注：

1.参考European Data Protection Board，Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications, Version 2.0, Adopted on 9 March 2021

2.五部门联合约谈11家网约车平台公司-中共中央网络安全和信息化委员会办公室 (cac.gov.cn)

3.https://mp.weixin.qq.com/s/h8UbdUOdX_jFP_M82INRuA 

4.https://www.weibo.com/lilaoshu?refer_flag=1005050010_

5.《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》

6.此外，由于《汽车数据安全管理若干规定（试行）》中明确了包含人脸信息的车外视频、图像数据和涉及个人信息主体超过10万人的个人信息的个人信息在行业场景下还属于重要数据，相关企业还应当将《数据安全法》的义务纳入个人信息保护合规的考量范畴。

7.参考《汽车数据安全管理若干规定（试行）》第三条

8.参考梅赛德斯-奔驰、特斯拉、小鹏汽车隐私政策

9.CNIL, Connected vehicles: a compliance package for a responsible use of data

10.《汽车数据安全管理若干规定（试行）》第八条

11.European Data Protection Board，Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications, Version 2.0, Adopted on 9 March 2021

12.《汽车数据安全管理若干规定（试行）》第七条