网络与数据｜车联网个人数据合规漫谈

数字新基建

证券金融

2020年2月，国家发改委等11个部委联合出台了《智能汽车创新发展战略》，我国智能汽车发展的脚步开始加快。为保证车联网企业在日常工作中不必因数据合规而受监管困扰，本所特将目前车联网趋势进行梳理，并将车联网企业特点与传统数据合规融合，希望可以对车联网企业合规有所助益。

一、研究意义

汽车，作为第二次工业革命的产物，极大的改变了人们的出行方式。彼时，汽车还具有稀有属性，非政商豪门而不可得。时至今日，汽车已经作为寻常工具，飞入寻常百姓家，参与人们的日常生活。随着科技的不断发展，人与人之间的联系变得更加快捷，与此同时，车联网的需求正逐渐凸显出来，各国在车辆网乃至无人驾驶方面都逐渐发力。而中国，拥有5G商用领先的优势，极有可能在这个方向实现弯道超车。企业风控的基本理念，前期建立完备合规体系优于事后的纠纷解决。只有具备前瞻性的思考方式才可以帮助企业成长，所以我们对车辆网合规体系进行初步探索，有益于迎接未来可能存在的挑战。

二、我国车联网发展现状

笔者认为，作为专业律师首先要对行业了解透彻，理解行业的发展趋势和商业逻辑才可以为客户提供专业建议，所以本节会对国内目前的车联网概况进行简要阐述。

目前车联网一共有两种模式，国际上各国各有取舍，在国内我们一般统称的车联网应表述为V2X（Vehicle to Everything）。目前我国已有部分车辆实现了“单车智能”，未来的发展方向是希望实现“人、车、路、云”的实时互动。车联网目前的设定场景一般分为三个方向，包括驾驶安全（车辆汇入汇出、编队行驶等）、交通效率（交叉口同行、交通信号配时实时化等）、信息服务（车辆路径引导、智能停车等）。车联网的产业链可以分为六部分，分别为通信芯片、通信模组、终端与设备、整车制造、测试验证、运营与服务，下图为产业链各部门目前代表性企业。

我国已在各地建立多个地区建立车联网试验基地，各地也对车联网技术提出支持。以上海为例，中国智能网联汽车产业创新联盟、IMT-2020(5G)推进组C-V2X 工作组、上海国际汽车城（集团）有限公司联合主办的V2X“三跨”互联互通应用展示，由不同的车企、LTE-V2X 终端和芯片模组互相交叉，对7 个典型的车-车、车-路应用场景进行了集中演示。除此之外，上海还在2025年的规划中，将汽车列为重点发展“3+6”行业之一，这与各车联网企业计划在2025年逐渐推广商用的计划不谋而合。加上V2X技术可以通过5G技术实现过渡升级，这对中国在车联网行业占据领先位置提供了巨大优势。

三、车联网个人数据合规

我们可以通过利用《通用数据保护条例》（以下简称《GDPR》）研究《个人信息保护法》的思路，先参考国外已有较为成熟的规范，再结合我国实际，对车联网的数据保护进行探索。本次我们主要参考的是2020年1月28日，欧盟数据保护委员会（European Data Protection Board，EDPB）发布的《在联网车辆和出行相关环境下处理个人数据的指南（公开征求意见稿）》（以下简称为“《车联网个人数据保护指南》”）。

（一）车联网环境下的个人数据范围

沿用一贯的“可识别性”的标准，车联网环境下的个人数据可以定义为与联网车辆交互所产生的大部分数据可以识别到特定的自然人或与识别自然人有关。具体包括：

①在车内处理的个人数据；

②车辆和与之相连的设备（例如车主、驾驶员或乘客的智能手机）之间交换的个人数据；

③在车内收集并为进一步处理而向外部实体（如汽车制造商、保险公司、汽车维修商等）输出的个人数据。

（二）车联网环境下的个人数据潜在风险

1、个人数据过度收集

车联网由于其技术本身的复杂性以及目前技术的变动性较大，导致车辆上传感器的数量不断增加，导致收集数据的类型更为复杂，这导致了收集个人信息的风险变大。另一方面，车联网的多项技术正处于研发状态，需要大量的数据进行学习，存在过度收集个人数据的风险。

2、个人数据的处理没有获得权限

车联网产业链中的部分企业，因为曾属于传统企业，所以没有处理个人数据的经验。而整个车联网过程中，个人数据在终端、整车等交互频繁，传统企业可能没有涉及数据全生命周期处理的经验，导致数据处理违规。

3、个人数据的安全风险较高

目前国家对车联网的接入协议、频谱等制定了新标准，同时车联网正逐渐实现与云的交互。新技术与云服务器的两项因素导致个人信息网络安全问题需要得到关注。如果出现数据安全问题，则极大可能影响个人的生理健康和生命安全。而且车辆网的网络安全涉及车辆运行驾驶，其人身危险性将不同以往。

（三）车联网环境下企业的数据合规思路

车联网企业的数据合规，需要从两方面考虑，一方面是传统的数据合规工作，另一方面是根据车联网企业的性质，针对其行业性质对传统的数据合规工作进行细化，构造一个全面立体的合规体系。

1、常规的合规工作

①对可能存在收集个人信息的情形进行梳理；

②对收集的个人信息进行分类；

③针对生物数据等数据类型针对不同的收集、处理、存储策略；

④遵循最小必要的数据处理原则；

⑤充分保护个人主体的信息权利；

2、针对车联网行业的合规工作

①数据的存储

因为汽车行业的特殊性，汽车行业可以销往海外，而且导航、数据分析处理等可能存在跨境问题。针对数据跨境各国的限制都比较严格，所以尽量采用本地存储、本地处理的原则。如果是在有必要跨境，要针对数据收集地和数据处理地的双向合规体系。

②车联网的网络安全问题

针对车联网的车、管、端建立防控体系。并根据车辆的重要功能和娱乐功能等采取不同的防控措施，为每辆车设置单独的加密密钥以及通道加密等。

结语

在中国新基建的加持下，各项新型基础设施的落成将极大助力车联网的发展。我国也出台政策加快推进智能汽车的创新发展，各项标准也在逐渐完善。过去的几年我们充分体会到数据发展带来的便利，也体会到了数据泄露带来的影响。我们面对一个即将接触数据的新行业，更要重视数据合规的重要性。同时，为了保证企业在不同执法环境中的稳定发展，要将数据合规纳入到日常合规工作中。

谢连杰律师团队

xielianjie@yingkelawyer.com

北京盈科（上海）律师事务所

互联网法律事务部主任