望衡汽车 | 中国智能汽车法律实务（个人信息与隐私保护）

长久以来，传统汽车被人们习惯性地当作私密空间，但智能网联汽车的出现打破了大众对车内空间私密性的期待。智能汽车上集成了大量的摄像头、雷达、测速仪等数据采集设备，同时车内搭载的系统还向云端和厂家平台传输大量信息。因为智能网联汽车目前仍主要处于测试阶段，高度自动驾驶和完全自动驾驶的智能汽车运行过程中需要收集何种类型的个人信息仍不明确。

但车辆的位置信息（行踪轨迹）必然会被收集，仅此一项就会引发对个人信息和隐私保护的极大顾虑。驾车去工作单位、回家，以及去医院、美容院、幼儿园、娱乐场所等……很多位置信息都属于驾驶员和乘车人希望保持私密的信息。根据我们处理手机app收集位置信息问题的经验，这些特定的位置信息将引发是否构成敏感信息、是否构成隐私、如何取得同意等诸多法律问题。尤其在智能汽车的动态运行场景和持续获取位置信息的情况下，收集位置信息所引发的分类问题将极为复杂。

《道路测试规范》第八条规定了在道路测试和示范应用场景下对车辆的要求，其中测试和示范车辆所收集的可能被界定为个人信息的包括车辆标识（车架号或临时行驶车号牌信息等）、车辆位置、车辆外部360度视频监控情况，及反映驾驶人和人机交互状态的车内视频及语音监控情况。车架号与号牌具有唯一性，等同于车主的个人身份信息。车外视频监控可能收集到行人和其它车辆车内人员的人脸信息，以及通过拍摄到的环境可以判断所处位置。车内视频及语音监控情况则大概率包含人脸信息和声纹。若参考上述个人信息的类型，智能网联汽车所收集的个人信息不但涉及的主体众多、敏感度高，而且持续进行、数量巨大。可以预见，智能网联汽车所引起的个人信息和隐私保护方面的挑战将比智能手机更严峻。

2017年6月1日实施的《网络安全法》第一次以法律形式确立了个人信息收集和使用须遵循的基本原则。2021年1月1日实施的《民法典》则首次赋予了公民个人信息权益，并且将个人信息中的私密信息纳入隐私范畴。《民法典》还替代当时缺位的《个人信息保护法》，规定了处理个人信息的定义，以及处理个人信息的原则。2021年11月1日实施的《个人信息保护法》，则细致地规定了处理个人信息的原则和规则、处理个人敏感信息的规则、个人信息跨境提供的规则等，可谓全面而务实。此外， 2021年10月1日实施的《汽车数据规定》是第一部针对汽车数据安全管理的部门规章，明确了汽车数据处理者处理个人信息所应遵循的原则。《个人信息安全规范GB/T 35273—2020》规定个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为。

以上述法律法规和国家标准为主，形成了智能网联汽车适用的个人信息保护和隐私保护的基本法律制度框架。

根据《汽车数据规定》，个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。

该定义不但关注了个人信息的形式，强调了个人信息的可识别性，而且跟《个人信息保护法》对个人信息的定义保持一致，明确指出匿名化处理后的信息不属于个人信息。

虽然《网络安全法》和《民法典》都对处理个人信息所应遵循的原则进行了规定，但《个人信息保护法》延续了前续立法的精神，而且规定更为全面。

《个人信息保护法》确立了处理个人信息应当遵循的如下法律原则：（1）合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；（2）最小必要原则，应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式，应当限于实现处理目的的最小范围进行收集，不得过度收集；（3）公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；（4）保证个人信息质量原则，避免因个人信息不准确、不完整对个人权益造成不利影响。

《汽车数据规定》呼应了《个人信息保护法》所确立的原则，规定汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。

《汽车数据规定》第六条首次提出了处理汽车相关个人信息过程中所可参考的四个倡导性原则：　　

（一）车内处理原则，除非确有必要不向车外提供；　　

（二）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；　　

（三）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；

（四）脱敏处理原则，尽可能进行匿名化、去标识化等处理。

《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则，即处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意。该规则的例外之一，即为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需，可以不事先告知，不征得个人同意，但紧急情况消除后应及时告知。

《汽车数据规定》第七条具体规定了在处理个人信息时的告知方式和告知事项，即应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式，告知个人以下事项：　　

（一）处理个人信息的种类，包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等； 　　

（二）收集各类个人信息的具体情境以及停止收集的方式和途径；　　

（三）处理各类个人信息的目的、用途、方式；　　

（四）个人信息保存地点、保存期限，或者确定保存地点、保存期限的规则；　　

（五）查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径；　　

（六）用户权益事务联系人的姓名和联系方式；　　

（七）法律、行政法规规定的应当告知的其他事项。　

《汽车数据规定》第八条规定了处理个人信息以征得同意或符合法律法规规定为原则。考虑到行业特点，又进一步规定因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。　

《个人信息保护法》所规定告知和取得同意的例外情形——紧急情况下为保护自然人的生命健康和财产安全所必需，在驾智能网联汽车的驾驶决策、事故救援等场景可能会有应用必要。具体在何种场景，哪些数据处理主体有权不经个人同意处理个人的什么类型的个人信息，有待在测试和示范中探索，并由后续立法明确。

《汽车数据规定》第三条规定，敏感个人信息是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。该定义与《个人信息保护法》下敏感个人信息的定义一致，但突出列举了与汽车行业相关的个人敏感信息。

根据《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息，并且处理敏感信息应当取得个人的单独同意。

《汽车数据规定》细化了汽车数据处理者处理敏感个人信息的要求，即应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求：　　

（一）具有直接服务于个人的目的，包括增强行车安全、智能驾驶、导航等；　　

（二）通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响；　　

（三）应当取得个人单独同意，个人可以自主设定同意期限；　　

（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；　　

（五）个人要求删除的，汽车数据处理者应当在十个工作日内删除。　

此外，《汽车数据规定》还强调，汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。　　

《网络安全法》和《数据安全法》均将数据出境管制的主体限定为关键信息基础设施运营者，而数据出境管制的客体为个人信息和重要数据。

国家网信办在2017年和2019年分别发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》，但一直未能形成最终稿。引起争议的主要问题包括数据出境管制的主体是否应扩大至所有网络运营者，以及个人信息出境管制是否应设置数量门槛。

《汽车数据规定》在个人信息出境管制问题上采取了两分法：涉及个人信息主体超过10万人的个人信息属于重要数据，应当通过国家网信部门会同国务院有关部门组织的安全评估；未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。

根据《个人信息保护法》第三十八条，个人信息出境应满足下列条件之一：

（一）通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

其中个人信息出境安全评估针对的主体是《个人信息保护法》第四十条规定的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，可见这两种主体之外的个人信息处理者若向境外提供信息，须满足（二）至（四）项规定的认证、协议或其它条件。

另外，《个人信息保护法》第三十九条还规定了个人信息处理者向境外提供个人信息，应向个人告知相关事项，取得针对个人信息出境的单独同意。　

根据《个人信息保护法》，自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

国家推荐性标准《个人信息安全规范》（GB/T 35273-2020）对自动化决策提供了合规指引，而《个人信息保护法》又第一次从法律层面对自动化决策进行规制。《个人信息保护法》第二十四条第三款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

智能网联汽车在达到自动驾驶级别后，将通过计算机程序自动分析路况、驾驶员的驾驶习惯等数据，并据之进行自动驾驶决策。自动化决策在智能汽车行业的广泛应用，将带来诸多法律及合规问题。路线规划、障碍物避让、加减速、碰撞……智能汽车的哪些驾驶决策是对个人权益有重大影响的决定？这些决策应建立在何种规则之上，譬如生命安全优先于遵守交通规则，再如年轻者的生命安全是否优先于老者？信息处理者应以何种形式，何种详尽程度，向个人就自动驾驶做出说明？驾驶员接管方向盘，即代表拒绝自动驾驶决策，抑或还有其它拒绝方式？这些关乎生命安全和价值平衡的伦理问题，有待法律给出答案，才能进一步规范科学研究和产业发展。