望衡汽车 | 行驶的个人信息——汽车VIN

特斯拉车主维权事件引发了对汽车相关个人信息保护问题的关注。大家在担忧车载录音、录像功能以及互联网/物联网相关的新兴技术的应用将导致个人信息权益被侵犯的同时，可曾想过，每辆汽车都有的VIN，是否也属于个人信息？甚至，VIN是否属于敏感个人信息？本文将对VIN在中国法下的属性进行详细分析。

VIN来自英文“Vehicle Identification Number”，因该英文共有17个字符，因此又俗称17位码，也叫车架号或车辆识别代码。VIN中记载的信息包括汽车的生产商、引擎、底盘序号及其他性能等，其位置多位于汽车主驾驶前方的风挡玻璃左下角，或者副驾车门打开的B柱位置以及发动机舱防火墙上。我国《车辆识别代号管理办法（试行）》中规定：“VIN是指车辆生产企业为了识别某一辆车而为该车辆指定的一组字码”，因此每辆汽车的VIN唯一且确定。

17位的VIN，每一段都有其代表的含义。根据《道路车辆 车辆识别代号》-GB 16735-2019的规定，对年产量大于或等于1000辆的完整车辆或非完整车辆制造厂，车辆识别代号的第一部分为世界制造厂识别代号（前三位），第二部分为车辆说明部分（第4-9位），第三部分为车辆指示部分（第10-17位）；对年产量小于1000辆的完整车辆和/或非完整车辆制造厂，车辆识别代号的第一部分为世界制造厂识别代号（前三位），第二部分为车辆说明部分（第4-9位），第三部分的三、四、五位与第一部分的一起构成世界制造厂识别代号，其余五位为车辆指示部分。

目前，VIN在车辆使用、保养、维修以及二手车交易过程中发挥着重要作用：汽车生产商可根据VIN确认该车的免费充电里程；维修厂商可通过VIN快速查询原车安装零部件的型号，以便在汽车维修时选择合适的配件；二手车买家可在购买二手车时通过查看VIN，确认该车是否经过重大维修或是否为组装车。总之，VIN像一台汽车的身份证号，与诸多重要的汽车信息相关联。

（一） 法规层面：识别+关联的认定标准

《个人信息保护法》（“《个保法》”）规定个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。《汽车数据安全管理若干规定》（“汽车数据规定”）与《个保法》一致，规定个人信息是指“以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息”。以上对个人信息的定义均采取了“识别+关联”标准，即只要符合“识别”或者“关联”标准当中的任何一种情形，即可认定为个人信息。

（二） 标准层面：VIN具有个人信息属性

工信部于2020年8月31日发布通信行业推荐标准《车联网信息服务 数据安全技术要求》（“车联网数据安全要求”），根据第6.1、6.2条，车架号（VIN）属于车辆重要属性数据，能一定程度标识或识别到特定的车联网信息服务的主体。可见，VIN具有个人信息的可识别属性，虽行业标准虽为推荐性标准，但仍具一定参考价值。

根据《信息安全技术 个人信息安全规范》-GB/T 35273-2020附录A，唯一设备识别码（其中包括手机IMEI码）属于个人常用设备信息。汽车VIN与手机IMEI属性有共通之处，均唯一、不可更改并且通过一定的数字字母编排顺序记载着相关设备信息，所以我们认为可以类比得出VIN也属于个人信息。

更进一步，全国信息安全标准化技术委员会于2021年4月12日发布《信息安全技术 个人信息去标识化效果分级评估规范》（征求意见稿），其附录A（资料性）直接标识符示例中认定车辆标识符和序列号在特定环境下可以单独识别个人信息主体。该征求意见稿若正式颁布，将成为首部确认VIN可识别性的国家标准。

（三） 实践层面：将VIN界定为个人信息应属必然

我们认为，应结合产业发展和应用场景变化判断VIN是否属于个人信息。

VIN并非整车出厂后才被标识在汽车上，而是在汽车生产过程中即标识在车架或其他位置，因此在汽车销售给个人之前，VIN更像一个产品码。

而一旦将汽车销售给特定个人，VIN即成为个人重要动产的编码或个人日常频繁使用设备的编码，从关联性角度具备了个人信息的特征。随着智能汽车的普及，在车联网模式下，在人-车-路-云的高效协同状态中，VIN必然将与个人的其他信息如身份信息、驾驶习惯、行踪轨迹、保险信息等紧密结合，从而能够在网络中达到可识别化。因此，无论从关联性抑或可识别性角度，将VIN归为个人信息应属必然。

根据《个保法》第二十八条，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

就传统汽车而言，VIN多用于汽车维修和交易场景。VIN仅关联到汽车生产信息、零部件情况等，信息范围有限且具封闭性。仅在极端情形下，VIN的泄露才可能导致危害后果， “车辆克隆”就是典型的例子。犯罪分子利用泄露或窃取的数据获取VIN，而后“克隆”其VIN以帮助被盗车辆获得合法身份。一旦其从车辆数据库当中获得被盗汽车的信息以及真实车身编号，即可将车卖给毫无戒心的买家。由于VIN被泄露和非法使用的情形较为有限，又存在经济成本和技术门槛，所以我们认为传统汽车的VIN不宜认定为敏感个人信息。

而在智能网联环境下，VIN与驾驶员身份信息、驾驶员和乘客的行踪轨迹、人脸特征甚至支付信息都可能产生密切关联。例如，汽车生产商在售出汽车后，还将通过VIN码识别汽车身份并不断收集驾驶员信息、车辆运行数据等。网络的开放特征，导致VIN与更多信息关联，VIN与其他信息结合进行关联识别的可能性也大大增加，一旦被泄露或非法使用则可能导致更严重的人身和财产损害。所以，我们倾向于认为在智能网联汽车环境下，VIN属于敏感个人信息。

汽车数据规定第三条所直接列举的重要数据虽不包括VIN，但第（五）涉及个人信息主体超过10万人的个人信息，以及第（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据，均有可能涵盖VIN。因为汽车生产过程中的国际化协作以及国际车辆贸易，VIN的跨境传输频率也非常高。

与VIN相关的重要数据识别和跨境传输问题业已引起汽车行业数据处理者的关注，期待相关法规和标准尽快出台。

本文作者为创始合伙人韩婷 、律师刘姿彤。

-END-