“閑來無事,我問XX同學(xué),,我最近一個月去過哪里,?結(jié)果它真把去過的地方數(shù)了一遍。我懵了,,它怎么能收集我的這種信息呢,?”家住北京的新能源車主李先生近日在與汽車AI聊天后深受困擾。
不少車主有著同樣的困擾,。近年來,,新能源汽車智能化和網(wǎng)聯(lián)化指數(shù)不斷創(chuàng)新高,新能源汽車相關(guān)設(shè)備正每時每刻收集并上傳著車輛內(nèi)外信息,。如何明確數(shù)據(jù)使用與隱私保護的邊界,,保護新能源車主的隱私安全,成為許多車主關(guān)注的問題,。
受訪專家認為,,根據(jù)相關(guān)法律、規(guī)章等,,車企收集車主的個人信息應(yīng)當(dāng)遵循合法,、正當(dāng)、必要原則,,即車企不得在未經(jīng)車主同意的情況下收集個人信息,。對于通過攝像頭、錄音設(shè)備收集汽車內(nèi)車主及乘坐人員的人臉等視頻數(shù)據(jù)以及聲音聲紋等音頻數(shù)據(jù),,屬于車主最為關(guān)注和敏感的數(shù)據(jù),,車企收集此類信息應(yīng)取得車主的明確同意。
收集座艙數(shù)據(jù)信息
需要車主明確同意
李先生駕齡超過15年,,一開始駕駛的是燃油車,,隨著新能源汽車的技術(shù)日漸成熟和智能化水平越來越高,他于去年初把燃油車換成了一輛新能源汽車,。
開車期間,,他和7歲的女兒經(jīng)常與汽車AI聊天,享受著新能源汽車智能化帶來的便利,。
近日,,他在等待接女兒放學(xué)時,為打發(fā)時間與汽車AI聊了起來,。他一時好奇就問它:“XX同學(xué),,我最近一個月去過哪里,?”
汽車AI回答說:“您去過……”
李先生當(dāng)時就愣住了,,汽車AI怎么能把他去過的地方都收集下來呢,?
他立刻想起了去年的一件事情。
去年12月,,他所購品牌的一輛汽車在廣東清遠發(fā)生嚴重交通事故,,造成人員傷亡。車企很快通過官方社交賬號,,以文字描述和公布行車記錄視頻方式,,對車輛碰撞事故發(fā)生時的情況進行說明。
李先生告訴記者,,此事發(fā)生后,,他找到車企銷售詢問為何車企會有這些信息,銷售回應(yīng)說,,行車記錄儲存在汽車自帶的U盤中,,數(shù)據(jù)需要車主授權(quán)同意才能上傳,但其中不包括運動軌跡,,也沒有錄音功能,。李先生趕緊找授權(quán)選項,但沒有找到,。
“車企能第一時間獲取并公布行車記錄視頻,,車主隱私信息保護情況令人擔(dān)憂?!崩钕壬f,。
他又查閱了該車企官網(wǎng)的《用戶隱私政策》,其中寫道:“我們需要通過汽車產(chǎn)品的配套車載感應(yīng)設(shè)備收集和處理與車輛使用,、操作和狀況有關(guān)的車輛數(shù)據(jù),,包含車輛VIN碼、車輛行駛狀態(tài)數(shù)據(jù)……我們依照法律法規(guī)的規(guī)定,,將在境內(nèi)運營過程中收集和產(chǎn)生的您的個人信息存儲于中華人民共和國境內(nèi),,位于由我們管控的北京的數(shù)據(jù)中心?!?/p>
采訪時,,有不少新能源車主表示,自己并不清楚新能源汽車會收集哪些信息,,也不知道自己的信息何時會被采集,。
記者梳理多家新能源汽車品牌的用戶協(xié)議發(fā)現(xiàn),其中收集的信息包括通訊記錄詳單,、朋友聯(lián)系列表,、日程信息,、財產(chǎn)信息、上網(wǎng)記錄,、常用設(shè)備信息等與智能駕駛關(guān)系不大甚至完全無關(guān)的內(nèi)容,,部分協(xié)議更是約定車企可對用戶數(shù)據(jù)庫進行商業(yè)化利用。
那么,,車企能夠收集用戶的哪些信息,?
北京瀛和律師事務(wù)所律師王憶湘介紹說,根據(jù)個人信息保護法,、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》,,車企收集車主的個人信息應(yīng)當(dāng)遵循合法、正當(dāng),、必要原則,,其中,必要原則要求車企以完成車主需求服務(wù)所必需的個人信息最小范圍為限度,,即非必要不收集原則,,車企不得在未經(jīng)車主同意的情況下收集個人信息。
“目前一些智能網(wǎng)聯(lián)汽車主要收集的數(shù)據(jù)類型除了駕駛速度,、路線等駕駛數(shù)據(jù)和車輛運行狀態(tài)數(shù)據(jù)以外,,還包括涉及個人信息的座艙數(shù)據(jù),即通過攝像頭,、錄音設(shè)備收集汽車內(nèi)車主及乘坐人員的人臉等視頻數(shù)據(jù)以及聲音聲紋等音頻數(shù)據(jù),,是車主最為關(guān)注和敏感的數(shù)據(jù),車企收集此類信息應(yīng)取得車主的明確同意,?!蓖鯌浵嬲f。
信息存在外泄風(fēng)險
車企通過協(xié)議避責(zé)
多位受訪車主的擔(dān)心是,,車企收集車主涉及個人信息的座艙數(shù)據(jù)后,,容易產(chǎn)生泄露風(fēng)險。
北京居民翟先生向記者分享了他的一次經(jīng)歷:“去年春節(jié),,我駕車返鄉(xiāng)時,,行駛途中,汽車AI提醒我正處于疲勞駕駛的狀態(tài),。經(jīng)詢問客戶經(jīng)理得知,,該車利用紅外線技術(shù)監(jiān)測瞳孔等眼部狀態(tài),若推斷駕駛員處于疲勞狀態(tài),,便會提示疲勞駕駛,。能提醒安全駕駛是好事,但不知道車企收集這些信息后會不會再商業(yè)化利用,?!?/p>
四川省成都市的陳先生告訴記者,,去年10月,他給自己的新能源汽車續(xù)保險時,,發(fā)現(xiàn)自己的保險費用要比前一年上漲不少,。一問保險工作人員才知道,原來他的汽車評分不高,。
保險工作人員給他列了好幾個影響保險費用的因素:比如他的汽車每天要行駛約200公里,,幾乎每天充電,還有多次連續(xù)開車時間超過4小時,,交通違法數(shù)據(jù)也比較多,導(dǎo)致他的汽車容易發(fā)生交通事故,,所以保險費用要上漲,。
“除了交通違法數(shù)據(jù)聯(lián)網(wǎng)之外,其他數(shù)據(jù)我并沒有提供,,他們是怎么知道的,?”陳先生對此十分詫異。
“要么是車企主動泄露給對方,,要么是新能源汽車的信息收集和儲存環(huán)節(jié)存在漏洞,。再這樣下去,我每天開車去哪兒,、見了誰,,別人都會一清二楚?!标愊壬f,。
內(nèi)蒙古自治區(qū)一位新能源車主劉女士告訴記者:“不久前,我接到了4S店的電話,,他們竟然知道我的車已經(jīng)行駛了3000公里,,并提醒我前去進行首次保養(yǎng)。這讓我開始懷疑,,他們是不是能夠查看到我的車輛活動軌跡和行駛里程,。”
據(jù)了解,,新能源汽車集成了先進的傳感器技術(shù),、云計算、大數(shù)據(jù),、人工智能等多種高科技,,能夠?qū)崿F(xiàn)自動駕駛、智能導(dǎo)航,、遠程監(jiān)控等功能,。這些功能的實現(xiàn),,依賴于大量數(shù)據(jù)的收集、處理與分析,。
比如隨著智能汽車技術(shù)的發(fā)展,,越來越多的新能源汽車配備了車內(nèi)攝像頭,不少車型都會標(biāo)配主駕駛的駕駛員監(jiān)測攝像頭,,而部分高端車型還會有車內(nèi)觀察攝像頭和后排娛樂系統(tǒng)攝像頭,。
在車外,攝像頭可以收集道路數(shù)據(jù),,從而上傳至車企的數(shù)據(jù)庫,,用以不斷升級車輛的駕駛輔助系統(tǒng),因為新能源汽車一大特點是擁有網(wǎng)聯(lián)能力,,車輛多項數(shù)據(jù)會實時同步上傳到車企的云端后臺系統(tǒng)中,。在車內(nèi),攝像頭可以捕捉人臉,,識別不同的車主,,根據(jù)不同的車主自動調(diào)整預(yù)設(shè)的車輛設(shè)置、駕駛模式等,。
但這個過程本身也存在著巨大的安全風(fēng)險,。
2023年,某品牌汽車被曝超過215萬名用戶車輛數(shù)據(jù)泄露,,幾乎涵蓋自2012年以來注冊該品牌主要云服務(wù)平臺的全部客戶群,。2024年2月,某知名品牌汽車的云存儲服務(wù)器發(fā)生配置錯誤事件,,導(dǎo)致私鑰和內(nèi)部數(shù)據(jù)以及其他敏感信息暴露于公眾視野……
此外,,車內(nèi)視頻和數(shù)據(jù)被公之于眾或在社交媒體散播等各類新能源汽車數(shù)據(jù)泄露事件近年來層出不窮,引發(fā)社會廣泛關(guān)注,。
但記者在調(diào)查中發(fā)現(xiàn),,很多車企會通過協(xié)議規(guī)避責(zé)任,以避免用戶隱私泄露等可能帶來的問題,。
例如,,某新能源車企官網(wǎng)聲稱:鑒于網(wǎng)絡(luò)服務(wù)的特殊性,用戶需同意××汽車會變更,、中斷部分或全部的網(wǎng)絡(luò)服務(wù),,并刪除(不再保存)用戶在使用過程中提交的任何資料,而無需通知用戶,,也無需對任何用戶或任何第三方承擔(dān)任何責(zé)任,。
另一家新能源車企表示,除法律法規(guī)另有明確規(guī)定或者我們存在過錯外,我們將不承擔(dān)損害賠償責(zé)任,,該狀況包括但不限于:由于黑客攻擊,、計算機病毒、電信部門技術(shù)調(diào)整或網(wǎng)絡(luò)故障,、網(wǎng)站升級,、銀行方面的問題等。
落實車主刪除權(quán)利
車企違法須擔(dān)責(zé)任
受訪專家指出,,當(dāng)前,,新能源汽車發(fā)展已駛?cè)肟燔嚨溃鴶?shù)據(jù)安全成為智能汽車行業(yè)健康發(fā)展的重大挑戰(zhàn)和關(guān)鍵因素之一,。只有完善法律規(guī)則,,為智能汽車數(shù)據(jù)系好“安全帶”,才能行穩(wěn)致遠,,確保智能汽車真正駛向智慧,、便捷、安全的未來,。
首都經(jīng)濟貿(mào)易大學(xué)法學(xué)院教授翟業(yè)虎認為,對于基本信息保護,,通常遵循合法,、正當(dāng)、必要和誠信原則等,;而對敏感信息的保護則更為嚴格,,一般必須獲得信息主體本人的同意,未經(jīng)同意則可能構(gòu)成侵權(quán),。特別需要明確的是,,車輛蹤跡屬于敏感信息范疇,其披露必須得到車主的同意,,否則可能侵犯車主的隱私權(quán),。
“新能源車企在收集、存儲,、流轉(zhuǎn)信息的過程中,,必須遵守相關(guān)法律法規(guī)的規(guī)定。必要性原則要求,,若車主個人信息在使用后無必要繼續(xù)保存,,車企應(yīng)將其刪除。同時,,車主有權(quán)要求車企刪除相關(guān)信息,,這被稱為刪除權(quán)或個人信息遺忘權(quán),是個人信息保護法和民法典侵權(quán)責(zé)任編中明確規(guī)定的內(nèi)容,。要特別強調(diào)的是,,如果車企大規(guī)模泄露或轉(zhuǎn)賣車主個人信息,,不僅構(gòu)成民法上的侵權(quán),更可能觸犯刑法中的倒賣個人信息罪,,需承擔(dān)刑事責(zé)任,。”翟業(yè)虎說,。
對于車企能否根據(jù)需要公布車主的相關(guān)個人信息,,中央財經(jīng)大學(xué)法學(xué)院副教授王葉剛認為,這實際上涉及個人信息處理的合法性判斷問題,。依據(jù)個人信息保護法的規(guī)定,,個人信息公開本質(zhì)上也屬于個人信息處理行為,因此車企公開車主的相關(guān)個人信息也應(yīng)當(dāng)符合依法處理個人信息的條件,,即原則上應(yīng)當(dāng)取得車主的同意,;如果沒有取得車主的同意,則車企要公開相關(guān)的個人信息,,應(yīng)當(dāng)證明其行為符合法律規(guī)定的依法不需要取得個人同意的情形,,否則不得擅自公開車主的個人信息。
新能源汽車因車載功能必須收集相關(guān)信息,,而新能源車主的隱私權(quán)也需要保護,,二者之間該如何權(quán)衡?
王葉剛說,,對車企而言,,其在開發(fā)相關(guān)功能時,應(yīng)當(dāng)兼顧用戶個人信息的保護,,在個人信息保障措施不充分的情形下,,盡量減少使用車主的個人信息。對于需要取得車主同意而處理其個人信息的情形,,也應(yīng)當(dāng)遵循公開,、透明原則、最小使用原則,,應(yīng)當(dāng)將對用戶個人信息的處理限定在為實現(xiàn)處理目的最小的范圍內(nèi),。對相關(guān)部門而言,應(yīng)當(dāng)依據(jù)相關(guān)規(guī)定,,履行監(jiān)管職責(zé),,對車企處理車主個人信息的行為進行全過程的動態(tài)監(jiān)管,對車企非法處理車主個人信息的行為(如過度收集,、不當(dāng)公開等)依法進行處罰,。
在王憶湘看來,最重要的是需要尊重車主對其個人信息的自決權(quán)利,讓車主可以自行決定是否以向車企提供個人信息為代價獲取車載功能服務(wù)帶來的便利,。為保護車主的合法權(quán)益,,避免信息不對稱,車企必須詳細地告知實現(xiàn)某項功能所需的個人信息的具體情況以及對車主可能造成的影響,,避免車主在認識不足或誤解的情況下作出同意決定,。
“現(xiàn)階段,新能源汽車車主作為消費者必須增強自身的權(quán)益保護意識,,很多消費者未能對汽車用戶手冊,、車載電腦彈窗提示給予足夠重視,未仔細閱讀即點擊同意,,導(dǎo)致車企通過彈窗的方式獲取了車主的同意,,最終造成車主利益受損。如果已經(jīng)發(fā)生此類問題,,車主應(yīng)當(dāng)?shù)谝粫r間聯(lián)系車企撤回同意,。”王憶湘說,。
針對車主個人信息安全問題,,王憶湘認為,車企作為個人信息數(shù)據(jù)處理者,,應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護等制度,,加強汽車數(shù)據(jù)保護,依法履行數(shù)據(jù)安全義務(wù),,如制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責(zé)人,,落實網(wǎng)絡(luò)安全保護責(zé)任,;采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,;采取數(shù)據(jù)分類,、重要數(shù)據(jù)備份和加密等措施。
