数据是智能网联汽车飞速发展的核心要素,所需的数据类型不仅依赖于车外环境数据的采集分析,也涉及车辆行驶数据与驾驶舱数据的收集。根据《中华人民共和国个人信息保护法》的相关要求,无论个人信息处理的目的和法律基础是什么,都需要提前告知个人主体,履行告知义务。
因此智能网联汽车如何做好用户告知,是当前汽车行业发展阶段必须优先解决的重要合规问题,但是在汽车场景下,具体告知哪些内容,如何告知就成为亟待解决的难题。通过综合梳理对汽车行业影响较大的法规标准,《个人信息保护法》从纲领层面对告知进行了概括性规定;《汽车数据安全管理若干规定(试行)》则从汽车行业的专业视角阐述了对告知方式和告知内容的要求;而国家推荐性标准《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)则进一步明确了相关细化要求,2023年5月发布的《信息安全技术 个人信息处理中告知和同意的实施指南》也补充了对告知的具体规定。通过梳理,具体包括以下要求:
告知方式
- 《个保法》:以显著方式,清晰易懂的语言,真实、准确、完整地向个人告知
- 《若干规定》:通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式告知必要性以及对个人的影响
- 《安全要求》:使用清晰易懂的文字向个人信息主体说明收集个人信息的具体情境和必要性。显著方式包括用户手册单独章条提示、语音播放、车载显示面板单独弹窗提示、汽车使用相关应用程序交互、汽车销售协议单独章条提示、维修服务协议单独章条提示或出行服务应用程序交互等。
- 《实施指南》:个人信息处理者实施告知时,需结合产品或服务的业务功能特点,选择适当的告知方式或多种告知方式的组合。
告知内容
- 《个保法》:告知下列事项:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。
- 《若干规定》:处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;收集各类个人信息的具体情境以及停止收集的方式和途径;处理各类个人信息的目的、用途、方式;个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;用户权益事务联系人的姓名和联系方式;法律、行政法规规定的应当告知的其他事项。
- 《安全要求》:向个人信息主体告知各类型个人信息的保存期限时,应具体且明确,例如30天或1年等;向个人信息主体告知其个人信息保存地点时,应将保存地点位置精确到地级市并告知所有保 存地点。
- 《实施指南》:告知个人信息处理者的身份和联系方式等基本情况,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、安全措施等规则,个人的权利及行使方式和程序,处理个人询问、投诉的渠道和机制等内容。除上述内容外,为满足不同业务功能特点、不同收集个人信息方式告知的具体需求,尽可能全面、清晰阐述个人信息处理规则,还可考虑使用一般告知方式展示如下内容: 1) 产品或服务中所有业务功能可能收集的个人信息种类,可根据5.1所列情形予以分类描述; 2) 区分产品或服务提供的不同业务功能,并明确基本业务功能,说明各业务功能所收集的个人信息种类,或逐一说明每类个人信息的处理目的、方式; 3) 涉及自动采集个人信息的,说明自动采集个人信息的方式、时机、频次。
敏感个人信息的告知要求
- 《个保法》:应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
- 《若干规定》:通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响。
- 《安全要求》:应通过车载显示面板图标或信号装置指示灯的闪烁或长亮等方式提示收集状态;持续提示收集敏感个人信息时,应根据信息类型的不同设置差异明显且清晰易懂的提示;可通过摄像图标闪烁或长亮提示正在收集车内视频数据,通过录音图标闪烁或长亮提示正在收集车内语音数据,通过斜向上三角图标的闪烁或长亮提示正在收集位置数据。
- 《实施指南》:收集的个人信息涉及敏感个人信息的,说明处理敏感个人信息的必要性以及对个人权益的影响。可通过明确标识或突出显示等方式标注处理敏感个人信息相关的告知内容,以提醒个人予以重点关注。
根据梳理,法规标准中对用户告知的形式、内容等,已经做出了相对明确的要求,而在实践中,最常见的告知方式就是通过隐私协议。在汽车行业的隐私协议管理中,也存在着一系列痛点:
1、隐私协议通常由法务人员牵头负责,但具体内容与数据处理活动及业务场景有密切关系,编写与日常维护需要消耗大量的协调与沟通成本;
2、汽车行业存在多个场景的隐私协议并存的实际需求,如何高效实现多场景、多版本的隐私政策管理成为实际难题;
3、随着汽车行业的高速发展,数据采集及处理活动的变化也相对频发,隐私协议也需要高频更新,如何及时更新协议内容并保障上线时效形成挑战。
针对上述问题,用九智汇开发了隐私协议统一管理平台,可实现隐私协议的集中管理,历史版本留存、集成发布等功能,并提供各行业头部企业的隐私相关协议订阅功能:
特点1:联动数据处理活动,自动生成协议内容并进行更新提醒。隐私协议管理与数据处理活动打通,将处理活动中包含的数据处理活动生成通顺的文字描述,提高协议起草效率;同时,一旦数据处理过程发生变化,系统将自动创建协议更新任务,一键进行数据更新,节省人工校对更新时间成本。
特点2:隐私协议集成发布,可由法务合规部门直接完成发布动作。进行隐私协议集成后,可设置审批流程,流程完成后直接执行线上发布,避免对技术发版的依赖。审批流程可与企业微信等移动端办公软件打通,审批更灵活。
特点3:支持市场主流隐私相关协议订阅,提供智能对比功能。可通过主题、标签搜索主流同类型协议,形成协议起草参考建议,提高内部协议起草效率和规范性,并实时追踪协议更新情况,支持前后多版本智能对比,快速了解协议的更新内容,辅助合规专家分析监管趋势。