小米投入百亿美金造车,看完这份数据合规指引再说亏不亏
作者丨郭卫红 姜斯勇 北京盈科(上海)律师事务所
来源丨网络与数据研究院
01
车辆数据合规主要体现在环境数据上,具体包括地图信息、气象数据等。
根据我国《测绘法》第2条:“本法所称测绘,是指对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动。”智能汽车在拥有高精定位技术的情况下,采集自然地理信息的行为很大程度上会落入《测绘法》的规制范畴下,由此可能引发如下问题:
1.1.1测绘行为在我国实行的是资质准入,需要持有测绘资质才能够进行测绘行为。
1.1.2测绘地理信息管理工作涉及国家秘密,根据《测绘地理信息管理工作国家秘密范围的规定》等相关规定,测绘地理信息可能会涉及不同层级的国家秘密。
1.1.3测绘地理信息属于外资禁入的负面清单,所以是外企的同学就要特别注意。
1.1.4根据《测绘法》等规定,我国实行测绘成果汇交制度,测绘项目完成后,应当向主管部门汇交测绘成果资料。属于基础测绘项目的,应当汇交测绘成果副本;属于非基础测绘项目的,应当汇交测绘成果目录。
02
对于上述用车周期,个人信息在智能汽车上也有自己的数据生命周期,其中重要环节:采集-存储/删除-使用-跨境。所以个人信息的合规工作可以围绕该周期展开。
来源:《车联网信息服务用户个人信息保护要求》(报批稿)
2.1智能汽车个人信息-采集合规
2.1.2“告知-同意”机制是现阶段采集个人信息的最佳实践,应当告知用户运营主体、使用范围、使用目的以及使用方法等,并获得用户同意。由于车辆驾驶的特殊环境,跟手机使用场景不同,在安排用户同意的环节,不必拘泥于点击同意才能继续使用,可以结合邮件、短信、链接或者在汽车APP上让用户事先完成同意的操作等等。
2.1.3虽然在我国未成年人不能合法驾驶汽车,但随着汽车智能座舱的快速发展,“副驾驶”的屏幕已经开始承载越来越多的交互功能,所以也要关注儿童的个人信息特殊保护。
2.1.4智能汽车采集的个人信息中不乏个人敏感信息,比如人脸信息、指纹信息等,这些信息采集需要获得用户的明示同意,不能采用概括同意。
2.3.2智能汽车是用大数据喂出来的,不是造出来的。所以大量数据将被用作数据分析和数据挖掘,则相关数据融合所产生的隐私泄露问题不容忽视。根据相关规定,在使用数据时不能超过用户授权使用的范围,如需使用,可将数据进行匿名化后再行使用。
2.3.3数据如果是通过API、SDK等技术提供的,还应当注意遵守相关规定,在《隐私政策》中依法披露、告知相关处理主体,并同第三方主体签订使用协议。
2.4智能汽车个人信息-数据跨境合规
2.4.1值得注意的是,根据相关标准草案,即使数据存储在中国,境外主体能够访问的,也属于数据出境。
2.4.2根据《个人信息和重要数据出境安全评估办法》(征求意见稿)规定,含有或累计含有50万人以上的个人信息;或数据量超过1000GB;或包含敏感地理信息数据等,网络运营者应报请主管部门组织安全评估。所以,若涉及数据出境的,应当尝试积极开展相关安全评估工作。
除了上述合规工作外,智能汽车还涉及其他网络合规工作:个人信息主体控制权合规、个性化推荐及退出合规、网络安全等级保护评测备案、网络实名制、自动驾驶法律风险防范与密码法合规等等。
我们根据以往项目经验部分列举了以上合规事项,也在实践中形成了智能汽车相关的数据合规清单,欢迎交流讨论。合规工作是一项系统性工作,需要根据自身所处的阶段,按照优先级进行整改。在数据隐私保护意识急剧上升的时代,合规也能创造价值。
03