其他
智能汽车正在获取我们的个人信息,哪些合规问题值得法律人重点关注?
文 | 史宇航 法学博士/注册信息安全专业人员(CISP)
注册信息隐私管理人员(CIPM)
本文由作者向新则独家供稿
车主个人信息:车主需要注册账号、密码,车辆的行车轨迹、驾驶状态也会涉及。 乘客个人信息:车内活动信息。 行人与其他车辆的个人信息:外置摄像头会收集到行人的肖像以及其他车辆的车牌号码,均属于个人信息。 环境信息:可能涉及地理信息或测绘信息,甚至可能构成国家秘密。
我部支持各地针对矢量数据、栅格数据、三维模型、实景数据以及导航电子地图(含智能汽车基础地图)等涉密地理信息,研发对其空间位置、精度、属性内容及其相互关系等全部或者部分进行保密处理的技术方法。鼓励有关测绘资质单位单独或联合具备保密条件的境内研究单位积极研发地理信息保密处理技术。相关技术及应用系统应确保自主、可控、安全,处理后的结果具备不可逆性。
哪些数据对智能网联汽车来说是必要信息,哪些是非必要信息; 如果车主不提供非必要信息,如何确保不会对车辆的行驶安全造成影响; 在哪个环节向用户告知个人信息处理的规则,是否需要委托4S店来收集车主的同意,还是需要用户在官网、官方App、小程序进行注册; 贷款购车时所需个人信息能否与车厂的个人信息一并获得车主授权; 如果涉及融资租赁,车主是谁,如何协调与融资租赁公司之间关系; 如果是企业购车,是否还存在个人信息,如何区别于个人购车制定政策; ……
车辆通过哪些传感器采集数据,采集以后是否会上传云端,这些数据有着怎样的生命周期; 境外能否访问采集的地理信息及环境数据, 传感器采集的数据是否包括路人、其他车辆、车内人员的个人信息,处理是否具有合法性基础; 采集环境数据是否涉嫌测绘,如何规避测绘的法律风险; 车辆的行驶会生成哪些类型的数据,会被如何利用; ……
会有哪些第三方参与处理数据,法律关系是委托处理还是共同控制,抑或是第三方可以获得完全控制能力; 保险公司会获取哪些数据,是否会影响保费; 海外总部、股东、第三方是否会访问、利用车辆的数据,数据跨境问题如何解决; 在数据本地化方案如何搭建,是否需要与云服务商合作; 4S店会被委托参与到哪些类型的数据处理中,是否有机制确保4S店不会泄露个人信息; ……
网络安全等级保护是否完成,如何定级; 合作方接入的网络系统是否完成等级保护; 网络系统是否具有应急预案; 网络系统是否被认定为关键信息基础设施; 去标识化技术、假名化、匿名化技术部署于数据生命周期中的哪个环节; 加密措施是否符合《密码法》的规定; 可能需要类似于“云上贵州”的数据本地化方案; ……