EDPB《车联网个人数据保护指南》评析及启示

关键词：智能网联汽车；个人数据保护；场景化规制；流通利用；平衡

1《指南》亮点概述

1.1明确车联网场景下专业术语定义

随着智能网联汽车的飞速发展，各国在法律保护与规制方面的探索日益积极，但由于概念术语的不统一，严重影响了国际间的交流借鉴与规则适用。2021年3月9日，欧洲数据保护委员会（EDPB）通过了《车联网个人数据保护指南》（以下简称《指南》），对车联网领域的专业术语进行了明确和统一，如数据处理、数据主体、数据控制者、数据处理者、接收方等，并通过实例（如数据主体可能包括驾驶员、乘客或车辆所有人）进行了详细阐释。这一举措极大促进了各方对指南内容的理解和适用。

1.2指明隐私和个人数据保护风险

智能网联汽车运转离不开海量的数据支持，但数据的收集与处理引发了诸多隐忧。为此，《指南》提炼出3大风险：一是缺乏控制和信息不对称；二是获得用户同意的“质量”低；三是数据过度收集。具体而言：首先，当下技术水平与法律保护力度欠缺，容易在个人无意识的情况下触发车辆对数据的收集、处理。此外，传统获取个人同意的机制与智能网联汽车环境难以兼容，若任何冗杂细节均需同意，将牺牲效率；而采取程式化的同意程序，则缺乏实质意义。最后，智能网联汽车传感器多，为实现自动驾驶等基于机器学习算法的功能，可能会长期收集大量的数据，数据最小化原则等极易沦为纸面条款。

1.3个人数据精准分类保护

个人数据，实质系广义而非狭义概念，倘若不严格区分，责任归属混乱，不利于定分止争。《指南》明确了其所关注的个人数据具体又可分为3类：一是在车内处理的个人数据；二是车辆和与之相连接的设备（如用户的智能手机）之间交换的个人数据；三是在车内收集和为进一步处理而向外部实体（如汽车制造商、基础设施管理者、保险公司、汽车修理者）输出的个人数据。针对不同类型的个人数据，《指南》制定了不同的保护规则，为具体场景下的数据保护提供了精准指导。

1.4明晰设计默认提供的数据保护措施

《指南》特别关注地理位置数据、生物识别数据以及揭露犯罪行为或其他违法行为的数据，对这类数据的收集和处理提出了严格的原则规范。同时，针对车联网场景下的其他数据类型，也设定了包括本地化处理、匿名或假名化处理、数据保护影响评估、知情权保障、选择权保障、数据安全及保密措施等一系列保护措施，确保用户数据在全生命周期内得到有效保护。

1.5对5种车联网应用场景进行实例分析

《指南》选取了按里程付费保险、租用或预订停车位、紧急呼叫、事故防范和汽车盗窃5个现实生活场景，对每个场景下的个人数据进行了深入分析。通过分析法律依据、数据类型、保存期限、数据主体权利实现路径等内容，为这些场景下的数据保护提供了具体的指导。如在汽车盗窃这一场景之下，查找车辆位置会涉及到地理位置信息，而这又属于受特别保护的敏感数据，依照《指南》规定，其使用仅限于调查必需和主管法律部门对案件的评估，且仅能在宣布遭到盗窃时传输，不得在其余时间连续收集。此外，里程付费保险、租用或预订停车位这样的场景，创新性极强，值得深入分析权责义务。这种结合场景的定制保护措施，体现了欧洲数据保护委员会对用户数据保护的严谨态度和创新精神。

综上所述，各国很早就开始探索智能网联汽车项下个人数据保护道路，但所定规则零散且不成体系。《指南》的出台，从更高的层次统筹整合，明确相关概念术语，分级分类，保护措施，创新性场景，各主体权责义务等，其与《一般数据保护条例》（GDPR）和《电子隐私指令》相结合，具体问题具体分析，影响力卓然，诸多亮点值得深入学习借鉴。

2《指南》困境与解决之道探究

2.1核心问题：个人数据保护与利用间的平衡

用户数据保护的重要性不言而喻，制定严苛的规则以规范数据控制者、处理者、接收方等行为，确实在数据全生命周期流转中起到了保驾护航的作用，这体现了先进性和必要性。然而，数据流通与利用的平衡问题依然是核心议题。数据的价值在于流通，数据流通是实现数据社会化利用和最大化数据资源价值的必经之路。正是基于社会化数据的流通和利用，数据经济才得以形成和发展。因此，在赋予用户合理的控制权的同时，也应当厘清保护的限度，避免设置过多的障碍，阻碍数据的正常流通和利用。

如前所述，《指南》为车联网场景下用户数据保护设定了高标准，各项措施细致全面，极大程度上避免了不必要的冲突，优势显著。但其也并非十全十美，辩证观之，对数据控制者、数据处理者等施加过于严苛的义务，可能导致权责失衡，长期来看，不利于健康稳定的发展。

对于我国而言，在学习《指南》亮点的同时，也应增强敏锐性，不能简单照搬照抄。我们应秉持的核心方向是寻找用户个人数据保护与流通利用之间的平衡。在技术的设计上，应尽量减少个人数据的收集，提供隐私保护的默认设置，并确保数据主体充分知情，能够轻松地修改与其个人数据相关的配置。但在此基础上又应避免过于僵化，应结合具体场景进行灵活处理，保障必要的对数据的访问、收集与处理。

2.2破解之法探析

《指南》对于用户数据的详尽保护，无疑是一大亮点，但同时也暴露出在数据流通利用方面的潜在阻碍。本文将结合具体范例，探讨其疏漏之处，并寻求破解之法，以期在数据保护与利用之间找到平衡点，为我国智能网联汽车制度设计提供启示。

2.2.1删除权行使范畴过广

依据《指南》的规定，数据主体享有删除权，即其有权停止处理数据或删除已处理的数据，如数据主体应该能够在车辆上市销售之前永久删除任何个人数据。从数据主体的角度出发，此项规定于己有利，得以在最大限度内避免个人隐私信息泄露，但变换角度，则结论可能截然不同。

欧洲汽车制造商协会ACEA（The European AutomobileManufacturers' Association）对此进行了评论，立足于他们的立场，从数据保护的角度来看，这既不可行，也没有必要。该协会在欧洲数据委员会数据分类的基础上，进一步进行了细分：其一是与车辆有关的技术数据：与车辆部件相关的数据（如序列号、软件版本）、与车辆质量和维修相关的数据（如诊断故障代码）；其二是与数据主体（拥有人、司机、乘客、订户、服务用户）有关的数据：具体可分为有关驾驶／司机行为的资料（例如使用统计数字）、由数据主体直接提供的数据（如连接手机、播放音乐）、合同和财务数据（如发票）；最后一类则是与车辆环境相关的数据：即与外部环境相关的数据（如外部温度、自动模式下雨刷开启／关闭）、车辆附近被外部摄像头“看到”或被其他传感器识别的其他数据对象（如行人、其他司机或乘客、其他牌照）的数据。数据主体在车辆上唯一能够行使访问权和删除权的限于他们自己提供的那些数据（诸如手机数据、导航数据、信息娱乐和舒适设置的内容）。删除其他技术性的车辆数据并不太合适。如果与车辆部件或健康状况有关的数据因纳入个人数据的更广泛定义而被删除（软件版本或诊断故障代码），这将使制造商无法履行其在产品安全、产品责任和保修方面的责任，例如没有这些资料，修理工就无法进行足够的维修和保养工作，相关责任主体也不能遵照欧盟法律规定进行定期的技术检查。在某些情况下，删除特定数据（如里程表读数）甚至可能是非法的。因此并非所有车辆数据都应被视为个人数据，数据主体行使权利的范围也应当进行进一步的商榷与限定。

但凡涉及到多方权责义务，规则制定都应注重守恒，避免偏废。如上述范例，赋予数据主体删除权，固然有积极意义，但必须意识到权利的行使并非毫无边界，自由受到规则约束方可长久。从中也得以总结提炼出对我国的启示：应当明晰用户主体权利的界限，以及企业数据处理规则。

以案释之，2021年4月，某知名新能源品牌汽车车主因刹车失灵向企业维权，但是该汽车企业拒绝“无条件提供”车辆发生事故前半小时完整行车数据，最终的处理结果系责成该品牌销售服务公司立即无条件向车主提供该车事故发生前半小时的完整行车数据。本案引发了极大争议，焦点即用户是否有权要求车企提供相应的行车数据，而企业是否在任何情况下都予以无条件配合，抑或只有在发生事故的前提下调取数据交由审查？若制定明确的规则，明晰用户对行车数据的知情权与访问权行使范畴，以及企业在何种情形下有提供相应数据之义务，照章办事，即可使实践中屡见不鲜的争端消弭于无形，兼顾数据主体与数据处理者间的利益平衡，节约资源，也能大幅提高效率。

2.2.2同意与合同之间具有矛盾

《指南》在制定时多处参照了GDPR以及电子隐私条令的规定，比如强烈建议汽车制造商和服务提供商将要求大多数数据处理操作应当取得数据主体同意，三者相互交织影响，导致矛盾丛生。一方面，《指南》规定同意很可能构成存储，获取已存储信息以及在上述处理操作后进一步处理个人数据的法律基础；但另一方面，依照GDPR的要求，合同履行同样可构成数据处理的法律基础。规章制度模糊化，车联网场景下用户数据的处理需要经过双重同意，而把同意和合同结合起来必然会产生问题，显得过于复杂，同时还不切实际。举例而言，在付费驾驶的情况下，获取数据需要获得同意，并且数据随后可以根据保险合同进行处理。倘若司机将他的同意撤回，即使合同仍然有效，数据处理也不能再进行，这样一来既显拖沓，也无益于数据分析应用。概括而言，《指南》过于强调数据主体的同意，而忽略了诸如合同的履行、合法性利益等其他的法律基础，若要改进，应当予以适当调整，使得同意和合同二者之间相辅相成，相互补充，以一种更加灵活的方式应对实践中各种复杂的情形。

针对这一问题，我国可从中获得的启示是：应当保证授权路径简洁清晰，且具有可操作性。处理与进一步应用数据不应瞒天过海，应具备正当合法的基础系通识，但实现路径值得考量。无论是取得用户的同意，抑或具体问题具体分析，针对场景定制不同合同，辅以技术标准和其他设计要求的约束等，都不失为解决之法，核心要点在于平衡而避免冲突，且可切实落地。此种情况下可以考虑赋予用户选择权，灵活选择授权同意方式，双方协商形成意思自治，依照合意处理收集到的用户数据，避免所谓的多重同意，层层授权，甚至相互矛盾。

2.2.3地理位置数据的异议

如前所述，地理位置数据属于受到特别关注的敏感数据类型，依照《指南》的规定：只有当用户启动一个需要知道车辆位置的功能时，地理定位才应该被激活，而不是在汽车启动时默认和持续启用，以及在任何时候停用地理定位功能。若仅通过文义解释，其似乎有利于保护用户隐私权。但是，不能忽略一些特殊情形，如果车辆用户订阅了“查找泊车”服务，遵照《指南》要求，只有当用户打开应用程序并搜索车辆的停车位置时，车辆才会向其发送实时定位信息。这一限制可能导致服务失效，因为请求定位的时间点往往滞后于车辆最后一次停车，从而无法利用存储的最后一次停车数据。同理，对于那些专门签署了合同来接收实时交通信息的车主而言，其可能会期望从他们启动车辆的那一刻起就可接收到相关地理位置信息数据，这对于实现合同目的具有充分必要性。假设每次都需要单独激活地理定位的功能，非常容易导致隐藏的负面后果，比如使得司机分心，或者引发同意“疲劳”，明明可以通过签署合同一次性解决问题，却不得不一次次反复同意，有悖于效率原则与以人为本宗旨。此外，欧洲互助和合作保险协会AMICE （Association ofMutual and Cooperative Insurers in Europe）针对这一问题也提出了异议。其举了一个典型案例，在极端天气或其他紧急情况下，如果无法主动提供地理定位，可能会破坏远程信息处理服务的功能，从而使得保险公司提供预防措施以减少损坏的风险或提高司机安全的努力付之东流。保险行业具有专业性与特殊性，禁止数据的收集可能与基于远程信息处理的保险政策相互之间不兼容，或许也会对基于车载信息的保险服务的有效性产生不利影响。如果得以在默认情况下启用地理定位，一是有利于车主与应急服务部门迅速取得联系，从而防止事故后果恶化并减少损失：二是持续对用户驾驶习惯进行监测，有利于向其支付公平的保险费用，这也是保险存在的初衷。

在这一问题项下，给我国的启示是：应当具体问题具体分析，分场景、分情形进行规制，而不是生搬硬套现有的规则与标准。是否应当收集访问地理位置数据，不应一概而论，要兼顾原则性与灵活性。一方面，可以借鉴《指南》中的建议，对地理位置数据的访问频率、细节程度进行充分的考量。如即使其获得了数据主体的同意，天气应用也不应当每一秒都访问车辆的地理位置，这是毫无正当理由且也完全不必要的；但另一方面，应兼顾灵活性，无须时刻遵循冗长的同意程序，每启用一项功能，都得单独授权一次。此时应关注双方间的合同约定，若用户在一开始就要求完整全套的合同服务，或启动一个需要知道车辆位置的功能时，应该立刻自动激活并持续启用地理定位功能，并赋予其停用地理定位功能的选项权限。既充分尊重数据主体的意思自治，又不至于使规则形同虚设，敏感数据外泄。

2.2.4个人数据的本地处理和对原始数据的访问限制过于严苛

个人数据的本地化处理，限制对原始数据的访问，这并非是首创制度，但在《指南》的指导之下，其实际运用依然存在问题。结合保险行业及协会的特殊背景，《指南》规定：涉及驾驶行为的个人数据既可以在车辆内部处理，也可以由代表保险公司的远程信息处理服务提供商生成数字分数，以约定的时间及方式反馈传输给保险公司。简言之，即保险公司不能访问原始的行为数据，而只能访问处理结果的总成绩。这一规定的目的是确保制度设计满足数据最小化的原则。诚然，应当严格秉持数据保护原则，最大程度上维护数据主体的合法权益，但必须意识到，保险公司主要是基于驾驶行为和远程信息处理设备收集车辆运行的数据，其能够通过研究这些数据，从而更准确地为保单定价，评估索赔，甚至重现事故进行分析。立足保险公司的立场，《指南》对数据最小化原则的解释过于严格。获取访问车辆原始数据，对于确保公平定价和为消费者设计更高附加值的产品不可或缺。施加此类限制，意味着保险公司难以收回过去几年在创建风险模型和算法上所投入的海量资本。这些模型和算法通过更好的风险分割和定价，最终受益者是消费者，即规则的本意是保护用户，但矫枉过正，最终受损的依然是用户。不仅如此，过于严苛的限制还将对保险产品的质量产生极大的负面影响，同时对保险市场内的自由竞争造成严重的打击。

从这一角度分析，对于我国的启示众多：第一个可供借鉴的点是严格控制数据访问权限之外，可以考虑特殊主体的豁免，比如保险公司为保障公平定价，评估偿付而需要访问处理原始数据，应当取得许可，不应以违反数据最小化原则为由拒绝。这其中涉及到的是利益权衡的问题，允许访问数据，固然存在泄露与滥用的风险，但通过前文的分析，限制收集与利用数据将带来一系列负面的后果，两害相权取其轻，适当放宽，特殊情况特殊处理，以确保诸如保险公司之类的特殊主体更好地履职；第二点是建设数据保护影响评估机制，包括完善相应评估标准，建设人才队伍，提升评估监测能力。所谓的对特殊主体予以豁免，不陷入教条主义的陷阱，理应遵照大前提，即经过严格审批，确认具有充分必要性的情况下方可进行。若要将其落到实处，必须考虑的是数据保护影响评估机制的建立与完善。制度设计与创新并非易事，尝试往前迈步也应周密设置相应配套措施，只有保障制度、标准、人才等均到位，事前审批，事中执行，出现问题迅速处理，事后及时拨乱反正，方便复盘与问责，方可彻底解决后顾之忧；第三点是建设全方位的数据收集使用监督机制，由智能网联汽车企业、社会化监测机构、相关政府部门以及社会公众组成监督体系，明确要求涉及收集使用个人数据的智能网联汽车企业都必须公开相关用户协议，供公众监督。暗箱操作造成的危害性不容小觑，企业本身具有逐利性，完全依靠其自觉，进行自我监督与纠正显然不现实，因此尚需利用外部监督体系的力量。多管齐下，全方位，多角度，密切关注企业收集与处理利用用户个人数据的流程与方式，在外部监督的压力之下，企业也更倾向于尽己所能保障全过程的合法合规，不过多收集，不滥用或非法利用数据，与数据最小化的保护原则实质殊途同归，也更有利于维护数据主体与数据处理者之间的利益平衡。

3结语

论及数据，保护与流通利用是永恒的核心，置于智能网联汽车这一主题下也是如此，场景有异，但底层逻辑相通。欧洲数据保护委员会所制定的《车联网个人数据保护指南》在当前复杂多变的法律环境中为我们指明了方向，其亮点与特色值得我们深入学习与借鉴。无论是从我国当前的实践出发，还是针对《指南》本身进行反思，数据保护与流通利用之间的平衡既是我们面临的挑战，也是推动行业发展的突破口。我们应当以《指南》为蓝本，取其精华，去其糟粕，从不同层面发掘问题，探求解决方案。

我国已经陆续出台了一系列与车联网相关的法规政策，但还需要在现有规范的基础上进一步细化，具体问题具体分析，分场景规制。我们需要厘清数据保护的限度，确保数据在受到充分保护的同时，也能在合法的范围内得到流通和利用。为此，我们需要建立完善一系列制度与标准，如明确数据主体的权利界限、规范数据处理者的授权路径、建立数据保护影响评估机制、加强数据收集使用协议的监督等。这些措施将有助于明确各方的权责，降低潜在风险，促进数据在公开透明的背景下更好地流通与使用。在保障数据必要访问、收集与处理的同时，我们也要确保数据的价值得到充分发挥。通过权责明晰的制度设计，我们可以更好地平衡数据保护与流通利用之间的关系，为智能网联汽车的健康发展保驾护航。