新能源车时刻收集数据,车主隐私如何保护?
专家:完善法律规则为智能汽车数据系好“安全带”
“闲来无事,我问××同学,我最近一个月去过哪里?结果它真把去过的地方数了一遍。我懵了,它怎么能收集我的这种信息呢?”家住北京的新能源车主李先生近日在与汽车AI聊天后深受困扰。
不少车主有着同样的困扰。近年来,新能源汽车智能化和网联化指数不断创新高,新能源汽车相关设备正每时每刻收集并上传着车辆内外信息。如何明确数据使用与隐私保护的边界,保护新能源车主的隐私安全,成为许多车主关注的问题。
受访专家认为,根据相关法律、规章等,车企收集车主的个人信息应当遵循合法、正当、必要原则,即车企不得在未经车主同意的情况下收集个人信息。对于通过摄像头、录音设备收集汽车内车主及乘坐人员的人脸等视频数据以及声音声纹等音频数据,属于车主最为关注和敏感的数据,车企收集此类信息应取得车主的明确同意。
收集座舱数据信息
需要车主明确同意
李先生驾龄超过15年,一开始驾驶的是燃油车,随着新能源汽车的技术日渐成熟和智能化水平越来越高,他于去年初把燃油车换成了一辆新能源汽车。
开车期间,他和7岁的女儿经常与汽车AI聊天,享受着新能源汽车智能化带来的便利。
近日,他在等待接女儿放学时,为打发时间与汽车AI聊了起来。他一时好奇就问它:“××同学,我最近一个月去过哪里?”
汽车AI回答说:“您去过……”
李先生当时就愣住了,汽车AI怎么能把他去过的地方都收集下来呢?
他立刻想起了去年的一件事情。
去年12月,他所购品牌的一辆汽车在广东清远发生严重交通事故,造成人员伤亡。车企很快通过官方社交账号,以文字描述和公布行车记录视频方式,对车辆碰撞事故发生时的情况进行说明。
李先生告诉记者,此事发生后,他找到车企销售询问为何车企会有这些信息,销售回应说,行车记录储存在汽车自带的U盘中,数据需要车主授权同意才能上传,但其中不包括运动轨迹,也没有录音功能。李先生赶紧找授权选项,但没有找到。
“车企能第一时间获取并公布行车记录视频,车主隐私信息保护情况令人担忧。”李先生说。
他又查阅了该车企官网的《用户隐私政策》,其中写道:“我们需要通过汽车产品的配套车载感应设备收集和处理与车辆使用、操作和状况有关的车辆数据,包含车辆VIN码、车辆行驶状态数据……我们依照法律法规的规定,将在境内运营过程中收集和产生的您的个人信息存储于中华人民共和国境内,位于由我们管控的北京的数据中心。”
采访时,有不少新能源车主表示,自己并不清楚新能源汽车会收集哪些信息,也不知道自己的信息何时会被采集。
记者梳理多家新能源汽车品牌的用户协议发现,其中收集的信息包括通讯记录详单、朋友联系列表、日程信息、财产信息、上网记录、常用设备信息等与智能驾驶关系不大甚至完全无关的内容,部分协议更是约定车企可对用户数据库进行商业化利用。
那么,车企能够收集用户的哪些信息?
北京瀛和律师事务所律师王忆湘介绍说,根据个人信息保护法、《汽车数据安全管理若干规定(试行)》,车企收集车主的个人信息应当遵循合法、正当、必要原则,其中,必要原则要求车企以完成车主需求服务所必需的个人信息最小范围为限度,即非必要不收集原则,车企不得在未经车主同意的情况下收集个人信息。
“目前一些智能网联汽车主要收集的数据类型除了驾驶速度、路线等驾驶数据和车辆运行状态数据以外,还包括涉及个人信息的座舱数据,即通过摄像头、录音设备收集汽车内车主及乘坐人员的人脸等视频数据以及声音声纹等音频数据,是车主最为关注和敏感的数据,车企收集此类信息应取得车主的明确同意。”王忆湘说。
信息存在外泄风险
车企通过协议避责
多位受访车主的担心是,车企收集车主涉及个人信息的座舱数据后,容易产生泄露风险。
北京居民翟先生向记者分享了他的一次经历:“去年春节,我驾车返乡时,行驶途中,汽车AI提醒我正处于疲劳驾驶的状态。经询问客户经理得知,该车利用红外线技术监测瞳孔等眼部状态,若推断驾驶员处于疲劳状态,便会提示疲劳驾驶。能提醒安全驾驶是好事,但不知道车企收集这些信息后会不会再商业化利用。”
四川省成都市的陈先生告诉记者,去年10月,他给自己的新能源汽车续保险时,发现自己的保险费用要比前一年上涨不少。一问保险工作人员才知道,原来他的汽车评分不高。
保险工作人员给他列了好几个影响保险费用的因素:比如他的汽车每天要行驶约200公里,几乎每天充电,还有多次连续开车时间超过4小时,交通违法数据也比较多,导致他的汽车容易发生交通事故,所以保险费用要上涨。
“除了交通违法数据联网之外,其他数据我并没有提供,他们是怎么知道的?”陈先生对此十分诧异。
“要么是车企主动泄露给对方,要么是新能源汽车的信息收集和储存环节存在漏洞。再这样下去,我每天开车去哪儿、见了谁,别人都会一清二楚。”陈先生说。
内蒙古自治区一位新能源车主刘女士告诉记者:“不久前,我接到了4S店的电话,他们竟然知道我的车已经行驶了3000公里,并提醒我前去进行首次保养。这让我开始怀疑,他们是不是能够查看到我的车辆活动轨迹和行驶里程。”
据了解,新能源汽车集成了先进的传感器技术、云计算、大数据、人工智能等多种高科技,能够实现自动驾驶、智能导航、远程监控等功能。这些功能的实现,依赖于大量数据的收集、处理与分析。
比如随着智能汽车技术的发展,越来越多的新能源汽车配备了车内摄像头,不少车型都会标配主驾驶的驾驶员监测摄像头,而部分高端车型还会有车内观察摄像头和后排娱乐系统摄像头。
在车外,摄像头可以收集道路数据,从而上传至车企的数据库,用以不断升级车辆的驾驶辅助系统,因为新能源汽车一大特点是拥有网联能力,车辆多项数据会实时同步上传到车企的云端后台系统中。在车内,摄像头可以捕捉人脸,识别不同的车主,根据不同的车主自动调整预设的车辆设置、驾驶模式等。
但这个过程本身也存在着巨大的安全风险。
2023年,某品牌汽车被曝超过215万名用户车辆数据泄露,几乎涵盖自2012年以来注册该品牌主要云服务平台的全部客户群。2024年2月,某知名品牌汽车的云存储服务器发生配置错误事件,导致私钥和内部数据以及其他敏感信息暴露于公众视野……
此外,车内视频和数据被公之于众或在社交媒体散播等各类新能源汽车数据泄露事件近年来层出不穷,引发社会广泛关注。
但记者在调查中发现,很多车企会通过协议规避责任,以避免用户隐私泄露等可能带来的问题。
例如,某新能源车企官网声称:鉴于网络服务的特殊性,用户需同意××汽车会变更、中断部分或全部的网络服务,并删除(不再保存)用户在使用过程中提交的任何资料,而无需通知用户,也无需对任何用户或任何第三方承担任何责任。
另一家新能源车企表示,除法律法规另有明确规定或者我们存在过错外,我们将不承担损害赔偿责任,该状况包括但不限于:由于黑客攻击、计算机病毒、电信部门技术调整或网络故障、网站升级、银行方面的问题等。
落实车主删除权利
车企违法须担责任
受访专家指出,当前,新能源汽车发展已驶入快车道,而数据安全成为智能汽车行业健康发展的重大挑战和关键因素之一。只有完善法律规则,为智能汽车数据系好“安全带”,才能行稳致远,确保智能汽车真正驶向智慧、便捷、安全的未来。
首都经济贸易大学法学院教授翟业虎认为,对于基本信息保护,通常遵循合法、正当、必要和诚信原则等;而对敏感信息的保护则更为严格,一般必须获得信息主体本人的同意,未经同意则可能构成侵权。特别需要明确的是,车辆踪迹属于敏感信息范畴,其披露必须得到车主的同意,否则可能侵犯车主的隐私权。
“新能源车企在收集、存储、流转信息的过程中,必须遵守相关法律法规的规定。必要性原则要求,若车主个人信息在使用后无必要继续保存,车企应将其删除。同时,车主有权要求车企删除相关信息,这被称为删除权或个人信息遗忘权,是个人信息保护法和民法典侵权责任编中明确规定的内容。要特别强调的是,如果车企大规模泄露或转卖车主个人信息,不仅构成民法上的侵权,更可能触犯刑法中的倒卖个人信息罪,需承担刑事责任。”翟业虎说。
对于车企能否根据需要公布车主的相关个人信息,中央财经大学法学院副教授王叶刚认为,这实际上涉及个人信息处理的合法性判断问题。依据个人信息保护法的规定,个人信息公开本质上也属于个人信息处理行为,因此车企公开车主的相关个人信息也应当符合依法处理个人信息的条件,即原则上应当取得车主的同意;如果没有取得车主的同意,则车企要公开相关的个人信息,应当证明其行为符合法律规定的依法不需要取得个人同意的情形,否则不得擅自公开车主的个人信息。
新能源汽车因车载功能必须收集相关信息,而新能源车主的隐私权也需要保护,二者之间该如何权衡?
王叶刚说,对车企而言,其在开发相关功能时,应当兼顾用户个人信息的保护,在个人信息保障措施不充分的情形下,尽量减少使用车主的个人信息。对于需要取得车主同意而处理其个人信息的情形,也应当遵循公开、透明原则、最小使用原则,应当将对用户个人信息的处理限定在为实现处理目的最小的范围内。对相关部门而言,应当依据相关规定,履行监管职责,对车企处理车主个人信息的行为进行全过程的动态监管,对车企非法处理车主个人信息的行为(如过度收集、不当公开等)依法进行处罚。
在王忆湘看来,最重要的是需要尊重车主对其个人信息的自决权利,让车主可以自行决定是否以向车企提供个人信息为代价获取车载功能服务带来的便利。为保护车主的合法权益,避免信息不对称,车企必须详细地告知实现某项功能所需的个人信息的具体情况以及对车主可能造成的影响,避免车主在认识不足或误解的情况下作出同意决定。
“现阶段,新能源汽车车主作为消费者必须增强自身的权益保护意识,很多消费者未能对汽车用户手册、车载电脑弹窗提示给予足够重视,未仔细阅读即点击同意,导致车企通过弹窗的方式获取了车主的同意,最终造成车主利益受损。如果已经发生此类问题,车主应当第一时间联系车企撤回同意。”王忆湘说。
针对车主个人信息安全问题,王忆湘认为,车企作为个人信息数据处理者,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务,如制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取数据分类、重要数据备份和加密等措施。(法治日报)