德恒探索

智能车企隐私政策的现状——基于两家头部车企的隐私测评

2022-07-01


微信图片_20220703183955.png


引言:


智能汽车是汽车行业的“现在进行时”,也是资本市场的新宠儿。2022年5月20日,蔚来汽车在新加坡交易所敲钟上市,成为全球首个完成美国、中国香港、新加坡三地上市的中国企业;威马汽车也于近日向香港交易所递交招股说明书,将在香港主板上市。


但另一方面,智能汽车侵犯用户个人信息安全事件却频繁发生。2022年5月6日,知名汽车博主爆料高合汽车的“车车互联”功能疑似存在隐私泄露风险,可查看他人行车记录仪实时画面。高合汽车回应称该功能属于车队出行、车路协同系统的组成部分,出厂时默认关闭,需用户在车辆上电后,打开设置中的功能选项,并通过二次确认隐私条款弹窗才能开启,不存在泄露用户隐私,但随后却主动下线了该功能。


面对这一场智能与隐私的动态博弈,智能汽车行业应该如何解题?


为了解智能汽车运营商对于个人信息保护的现状,我们以其对外彰显个人信息保护程度的隐私政策作为切入点,选取了智能汽车行业头部两家运营商的隐私政策进行合规性测评,并针对其中的合规问题,结合一线汽车数据合规实践,提出最佳实践做法,希望能够帮助智能汽车实现在数据安全的道路上安全驾驶,保护消费者的个人信息合法权益。


一、智能汽车运营商《隐私政策》合规性测评


智能汽车收集的数据类型包括车外数据、车辆数据以及驾驶员、乘客的个人信息,一旦发生数据安全事件,将造成无法预估的严重后果。为此,《个人信息保护法》(下称“《个信法》”)、《汽车数据安全管理若干规定(试行)》(下称“《管理规定》”)等法律规范的相继出台,智能汽车处理数据行为被套上了“紧箍咒”。


那么现阶段智能汽车的数据安全保护究竟如何?为此,我们选取智能汽车行业头部两家运营商T公司与W公司为代表,从以下十大维度就其隐私政策合规性进行了对比测评(详情请扫描末尾二维码查看):

  • 用户友好度

  • 个人信息处理者的主体信息

  • 个人信息的收集

  • 个人信息的共享、委托处理

  • 自动化决策(画像)

  • 个人信息存储及跨境传输

  • 个人信息保护权利

  • 个人信息保护措施

  • 未成年人个人信息保护

  • 隐私政策的更新


其中,我们欣喜地发现,T公司和W公司在个人信息保护措施方面以及个人信息存储及跨境传输方面,都达到了合规标准:


个人信息保护措施方面:T公司和W公司均采取了相应措施。如T公司声明其已采取行政、技术和物理保护措施,包括安全保障功能(多重身份认证、车辆行车密码)或隐私保护功能(如一般情况下不会将车辆数据与用户身份信息或账户相关联、匿名化传输数据等)。


W公司则声明已采取三大项保护措施:(1)数据保护措施(如采用加密技术、部署访问控制机制等),(2)安全认证(国家信息安全等级保护(三级)、ISO27001信息安全认证),及(3)安全事件响应机制(成立专项应急小组,启动应急预案)。


个人信息存储及跨境传输方面:T公司和W公司在隐私政策中均提起其在中国境内建立了数据中心,用于储存在境内运营过程中收集的个人信息,符合《管理规定》要求的重要数据境内存储的原则。


然而,T公司和W公司在个人信息处理者主体信息、个人信息主体的转移权行使方面还存在欠缺:


个人信息处理者主体信息:T公司和W公司在隐私政策中均未明确写明个人信息处理者的主体信息。其中T公司是以“我们”和中英文简称指代,W公司虽然写了公司全称,但将关联企业也一并纳入作为个人信息处理者,主体指代不清。


个人信息主体的转移权行使:T公司和W公司的隐私政策都没有列举“转移权”具体路径,仅笼统列出权利行使路径。


但总体而言,T公司除在用户友好度[1]及自动化决策(画像)[2]方面优于W公司外,在其他测评维度相较于W公司还是略逊一筹。


如在个人信息共享及委托处理方面,T公司在隐私政策中并未区分罗列个人信息共享及委托处理的场景,仅笼统于“分享您的信息”一章中阐述;而W公司则以清单方式清晰列出共享、委托处理情形及第三方SDK处理情形,并附以超链接形式方便用户查看。


又如在个人行使权利的申请反馈机制方面,T公司未明确其收到用户请求后的具体反馈时限,而W公司的反馈时限明确,并明确如果用户要求删除敏感个人信息,将在10个工作日内回复处理意见或结果,符合《管理规定》的规定。


二、智能汽车《隐私政策》最佳实践


基于上文中两家头部智能汽车运营商在隐私政策合规评测中暴露的合规风险,我们对应总结核心最佳实践做法如下:


(一)用户友好度


隐私政策是个人信息处理者告知用户如何处理个人信息的重要文件,用户勾选《隐私政策》并点击同意的行为代表着其对于个人信息处理者处理其个人信息的同意。


然而,不少智能汽车客户端的隐私政策动辄上万字,篇幅冗长,用户往往失去阅读的耐心,但不同意又无法使用该客户端,只得是囫囵看过、匆匆同意。


为方便用户阅读隐私政策、提升用户友好度,智能汽车运营商可以在隐私政策的开始/顶部,包含一个(可折叠的)带有标题和副标题的目录,以显示《隐私政策》包含的各个段落。同时,单个段落的名称应清楚地引导用户了解确切的内容,并允许他们快速识别和跳转到他们正在寻找的部分。


(二)明确个人信息主体


“我们”不清,罚则无边。


一旦存在违法处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务,且情节严重的,智能汽车运营商将面临“双罚制”下的严厉处罚:


针对智能汽车运营商自身而言,除有关部门责令改正、没收违法所得外,将并处5000万元以下或上一年度营业额5%以下的罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销业务许可或者营业执照。


针对个人信息处理者的直接责任人,则将被处10万元以上100万元以下罚款,且可能被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。


因此,智能汽车运营商应当在《隐私政策》中明确清晰界定“我们”是谁,个人信息处理者的名称必须清楚准确。若智能汽车运营商将“我们”的范围拓宽至包括关联公司时,则应当对“关联公司”的定义及范围予以清晰界定(具体详见本团队文章《究竟是“谁”在通过<隐私政策>收集个人信息?(下)》)。


(三)个人信息收集、共享与委托处理


对于多业务条线、多层级公司架构的智能汽车运营商而言,集团内外部的数据共享与融合不可避免。在不同数据共享、融合场景下,智能汽车运营商应重点注意以下合规要点(具体详见本团队文章《集团内各业务数据融合场景下,如何应对5%的顶格罚》):


1.提供场景:智能汽车运营商需要保障用户知情权,告知接收方名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并获得其单独同意。在告知具体形式上,智能汽车运营商可以考虑通过表格清单+超链接跳转的方式予以明确,方便用户对照查看。


2.共同处理场景:智能汽车运营商与共同个人信息处理者均需要向用户明确主体身份及范围(即“我们”是谁)、处理目的及处理方式等信息。


3.委托/受托处理场景:智能汽车运营商需要在隐私政策中明确委托处理的情形,方便用户知晓具体委托处理场景。


(四)自动化决策


为了向用户提供个性化的服务,不少智能汽车运营商会对车辆数据、用户数据等进行整理、分析及自动化决策,以实现商业化目的。


根据《个信法》规定,智能汽车运营商在进行自动化决策时,应当事先做好个人信息影响安全评估,确保“用之有度”。在开展自动化决策活动过程中,可以采取以下两个路径:


1.为个人提供不针对个人特征的选项;


2.为用户提供便捷的拒绝方式。


如果选择后者的,智能汽车运营商还应当注重用户行使“拒绝权”的便捷度与彻底度,嵌入保障用户各项合法权益的功能设计,畅通用户权利响应通道,及时处理用户的各项请求(具体详见本团队文章《个性化推荐:头部平台割舍不下的“唐僧肉”》)。


(五)个人信息保护权利


为用户设立便捷的个人行使权利的申请受理和处理机制是法定义务,为此,智能汽车运营商可以考虑在《隐私政策》中对应板块设置方便的快捷链接,方便用户快速定位到相应板块。


同时,建议在用户个人账户设置页面呈现“数据保护目录”,以列表的形式让用户知悉其所享有的法定权利,并可方便的管理和设置其“同意”,如开启、关闭系统权限、个性化推荐,行使查阅权、复制权等权利。


(六)隐私政策的更新


当隐私政策发生修改时,建议智能汽车运营商通过系统弹窗等方式,以清楚、明显的方式通知用户。同时,建议智能汽车运营商将以前的版本通过发布日期维度进行访问,并突出显示修改的部分,供用户查看比对。


三、结语


智能汽车之所以智能,其大数据的分析处理能力是关键的一环。数据效用与用户个人隐私之间的博弈与平衡,是智能汽车行业的永恒课题。


通过对智能汽车行业两家头部运营商《隐私政策》的合规测评,我们发现,智能汽车行业的数据安全,仍任重道远。毕竟,以牺牲用户数据权益而换来的数据利益并不会持久。希望我们在本文中提出的最佳实践做法,能够为智能汽车运营商提供有益参考,助力其在保障用户数据安全的同时,为用户提供更加智能高质的服务。


参考文献

[1]T公司隐私政策的篇幅不长,且细节内容可打开/折叠或通过超链接在当前页面跳转;而W公司隐私政策整体篇幅较长,仅能通过页面滑动阅读。

[2] T公司隐私声明中明确列出权利行使路径:(1)在线提交隐私数据申请,(2)通过电子邮件联系,(3)通过邮件联系,(4)访问账户更新个人信息,及(5)拨打用户权益事务官专线;而W公司未明确提及自动化决策、画像相关内容,亦未明确拒绝权利行使路径。


新建图片.jpg


本文作者:

image.png

image.png




声明:            

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

相关搜索

手机扫一扫

手机扫一扫
分享给我的朋友