iLaw
编者按:
作者:辛小天
单位:北京德和衡(深圳)律师事务所合伙人,数字经济和人工智能业务中心总监,深耕数据和网络安全法律服务领域。
一
欧盟主要规定和要求
欧盟主要规定和要求
作为车企出海至关重要的市场,德国拥有多个世界第一。德国联邦运输和数字基础设施部(BMVI)下属道德委员会制定《自动化和网联化车辆交通伦理准则》,是全球首个针对自动驾驶的伦理指南;德国颁布的《道路交通法》,是全球首部正面回应并规制自动驾驶相关问题的;同时,德国还是世界上第一个允许自动驾驶汽车进入日常运行场景的国家。
此外,自动驾驶车辆的型式认证法规Reg.(EU)2022/1426-《全自动车辆自动驾驶系统(ADS)型式认证的统一程序和技术规范》同样是全自动驾驶车企出海欧盟必备的认证和规范要件,其中将隐私设计,安全设计,数据安全合规治理等要求纳入规范内容。
欧盟针对汽车数据的监管要点
1.识别个人信息
即明确哪些数据构成个人数据。
2.设计产品/服务时考虑到目的合法和比例原则
既包括是汽车厂商设计产品时考虑到目的合法和比例原则,同时也涵盖对和汽车厂商相关的第三方的设计过程。
3.透明度原则
包括告知原则和同意的合法性原则。
4.建立个人数据保护强制执行措施
集中在技术安全措施方面。
二
GDPR适用的注意要点
基础框架
组织架构(DPO)
任命数据保护官的法律义务的决定性因素不是公司的规模,而是数据处理,特别是有关于个人敏感信息是否达到了三个关键词:大规模,经常性,系统性。
具体来说,“大规模”的判断标准有:有关的数据主体的数量(具体数量或比例);数据量和/或正在处理的不同数据;数据处理活动的持续时间;处理活动的地理范围。“经常性”的判断标准有:持续的或在特定时期内以特定间隔发生的,反复出现或在固定时间内重复出现,或不断地或定期地发生。“系统性”的判断标准有:根据一个系统发生的;预先安排的、有组织的或有方法的;作为数据收集总体计划的一部分而进行的;作为战略的一部分进行的。对于智能汽车,业内公认其属于“系统性”和“经常性”的涵盖范围,所以DPO建设和车企关联度较高。
除了关注欧盟GDPR的规定,还应关注欧盟成员国的法律要求,其往往起到加成作用。车企在出海过程中,应充分了解目标国家市场有无特殊规定。
人脸识别信息收集
我国和欧盟均对人脸识别信息收集要求进行了相应规定。
1.国内规定
我国建立了人脸识别信息收集处理的精度范围适用原则要求。《汽车数据安全管理若干规定(试行)》第六条规定“汽车数据处理者在开展汽车数据处理活动时需根据所提供服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。”《信息安全技术网联汽车采集数据的安全要求(草案)》对“精度范围适用原则”提出了细化规定,提出除清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据外的数据,未经被收集者的单独同意,不得通过网络、物理接口向车外传输。
在技术处理要求方面:《汽车数据安全管理若干规定(试行)》第八条允许个人信息处理者为保证行车安全的需要,在缺少个人明示同意的情况下采集车外人脸信息,但是要求个人信息处理者应以“删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理”等方式对信息进行匿名化处理。《智能网联汽车数据通用要求(征求意见稿)》第5.6.2条也在人脸匿名化对象、匿名化处理性能等方面对匿名化处理的要求进行了细化规定。
2.欧盟规定
GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非涉及公共利益等重要事件,不得处理该等数据。人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”,而且同意须“自愿作出的、具体的、知情的以及明确的”。
《人工智能法案》将人脸识别等远距离生物识别系统认定为“高风险”级别。
《关于个人数据自动处理过程中的个人保护公约》(The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)咨询委员会在2021年发布了一份《关于人脸识别的指南》,要求使用人脸识别技术前必须进行DPIA,针对立法者与决策者、人脸识别技术的开发商、制造商及服务提供商、使用人脸识别技术的实体等角度分别提供了相应的合规措施参考建议。
数据处理要求的应用
1.合法基础的适用:正当利益原则
该条规定专指商业机构追求其商业利益的情形。例如“对于客户或雇员数据的使用”、“推广营销”、“欺诈防护”、“集团内部数据转移”、“IT安全”等。在适用过程中,需要谨慎分析,平衡考量。如果商业利益的追求侵犯了数据主体更值得保护的权利(例如:处理敏感个人数据或数据主体是儿童时),商业机构就应作出让步。
案例:Google Spain一案中,Google认为其收集和处理个人数据用于搜索引擎业务,属于追求正当利益所必需。法院在考虑运营商的正当利益与使用者的权利平衡时认为,虽然未经告知同意收集这些数据,侵犯了被收集人的隐私权,运营商的商业利益不应凌驾于被收集人隐私权之上,但公众使用搜索引擎获取信息也是一种正当利益。公众与运营商的正当利益之和应高于被收集人一般的隐私权。但是,对于个人敏感数据的处理,这一平衡就会被打破,需要经过数据主体的知情同意。
2.匿名化处理的要求
我国的匿名化侧重于“不能恢复的不可识别”,而欧盟的匿名化侧重于“合理可能的不可识别”。相比较而言欧盟的合理可能(reasonably likely)原则考量要更加复杂一些,除技术要素外,还要要综合考虑成本、时间等因素,意即数据控制者或其他人采用了所有合理可能的方法,仍无法直接或间接识别数据主体。
3.数据跨境
案例:Schrems II案的判决反射,即使使用SCC等适当的保护措施,组织也应始终评估第三国的数据接收者是否能够遵守GDPR的所有要求,包括对于技术补充措施的充分保护评价。
这种补充性认定可能影响对于中国总部影响的延伸判断,包括决策机制和面向的用户主体。
4.透明度原则
透明度原则意味着告知同意规则的合理设置。需要注意同意机制的适用上要关注欧盟的全面规定。例如,欧盟委员会《电子隐私指令》中规定,在用户终端设备中存储信息、访问已经存储的信息必须取得个人数据主体的事先同意,即意味着用户授权对于终端设备的全面覆盖要求。
案例:2021年7月,中国企业字节跳动海外短视频平台TikTok,因违反GDPR第12条被荷兰数据保护局以侵犯儿童隐私为由罚款75万欧元。这也是GDPR实施三年以来,中国企业首次因违反GDPR而受到处罚。
在TikTok处罚案中,荷兰数据保护局就是以没有用“可以理解的语言”告知儿童关于个人数据的处理,从而违反了GDPR第12(1)条的规定对TikTok进行处罚。
5.数据删除
在欧盟地区,关于“数据存储超期限”“数据未及时删除”主题的案件近年也已逐渐受到相关执法部门重视。《车联网个人数据保护指南》规定,更换车主(例如车辆过户)或驾驶人(例如租赁到期)的,应当永久删除该主体相关的个人信息,除非法律另有规定。
案例:德国某住房公司因缺少完备的信息删除机制和流程,导致某租户个人信息在租期结束后数年内还长期保存在公司数据库里,因这些信息的收集使用目的早已不复存在,无任何理由再继续存储,且该公司在监管部门两次检查间的一年半期间内,一直未采取有效措施改正违规操作,故被认定为非法存储个人信息,并处罚金1450万欧元。
丹麦数据保护机构第一份GDPR处罚即是对出租车公司“Taxa 4×35”的处罚通知。据悉,丹麦数据保护机构发出此份处罚通知的原因是Taxa过度保留了大量客户数据。
THE END.
Copyright©2023iLaw.All rights reserved.
本文正文内容由作者享有版权,除此之外的内容及配图设计为iLaw原创版权所有,任何个人或公司未经授权严禁转载使用。
如需转载请微信联络 @ilawhegui3
原文始发于微信公众号(ArtiAuto 匠歆汽车):【AutoCS】车企出海之欧盟网络安全与隐私合规(上)
