汽车用户数据隐私和安全——行车数据之争和启示
汽车用户数据隐私和安全——行车数据之争和启示
随着智能网联汽车技术的快速发展,汽车数据呈现出类型更复杂、数量更庞大、利用价值更大的趋势。尤其随着自动驾驶[1]技术的发展,相关行车数据因其与车辆事故判定、行车行为分析等关联性高,近年来常在车企与用户之间的纠纷中成为博弈的核心焦点。这也使得智能驾驶场景下行车数据所产生的一系列用户隐私保护和车企数据正当权益的法律问题从司法领域延伸至公共舆论场,企业和用户个人期待更为明确的数据权属争议解决方案。本文试图从法律定义、合规要求、典型案例三个维度系统剖析智能驾驶场景下行车数据争议现状和起因,从数据分类及个人信息定性、个人信息主体权益和车企视角尝试建立争议解决的方案。
一、行车数据与个人信息的关系
1、行车数据是个人信息吗?
目前对于何为行车数据并未有明确的法律法规予以规定,实践中由于技术复杂且变化快,对于这些数据的划分和界定也存在多种不同的标准。从一般意义理解,与车辆行驶过程相关的数据都可以成为行车数据,例如车辆工控类数据、行车记录仪记录数据、控车指令等车辆在运行过程中通过传感器、控制器等设备和系统采集的数据。
本文旨在针对目前用户与车企之间常见的数据争议(事故判定数据)进行讨论,即,行车数据是指车辆发生特定事件时系统所记录的数据。根据相关国家标准[2]规定,行车数据包含:监测、采集和记录汽车碰撞事件的数据记录器(Vehicle Event Data Recorder,EDR)所记录的数据;具备自动驾驶功能的车辆,其装载的用于监测、采集和存储数据和支持读取数据的系统(Data Storage System for Automated Driving)所记录的数据。
根据《个人信息保护法》关于个人信息的定义规定,汽车场景下,个人信息是指以电子或者其他方式记录的与已识别或可识别的车主、驾驶人、乘车人、车外人员有关的各种信息,不包含匿名化处理后的信息。现行国家标准要求下EDR数据和自动驾驶数据均需包含车辆识别代号(VIN)以及其他数据。而《汽车数据通用要求 GB/T44464-2024》)等国家标准均明确将售出车辆的VIN认定为个人信息[3],而与该等VIN所关联的行车数据,也将落入个人信息的范畴。
2、实践中存在哪些争议?
(1)前《个人信息保护法》时代的查博士案
广州互联网法院审理的“余某诉查博士App”一案[4]中,原告主张其车况报告能反映行驶轨迹、消费习惯等,构成个人信息或隐私;法院则认定,包含VIN码在内的相关车况信息,不含身份证、联系方式、维修地点、具体时间等可直接识别自然人身份的信息,并且并非唯一指向车主本人,普通人无法单独或结合其他信息识别车主身份,亦不涉及对个人私人生活带来不当干扰,因此不构成个人信息或隐私权侵害。判决体现法院理解二手车交易中,获取车况信息是交易的前置条件和保障,交易主体对数据的“信赖利益”应得到保护;同时,法院以人格权与数字经济发展并重的视角,通过排除相关数据落入个人信息范围的路径,在公共利益、数据流通与个人信息权益间实现动态平衡。
然而,该等判决发生在“前《个人信息保护法》时代”,而目前《个人信息保护法》确定的“识别+关联”标准下,题述数据仍有可能构成个人信息,如类似案例重新上演,最终判决论证路径和结果或有区别。
(2)《个人信息保护法》项下的车企实践
目前实践中车企对于行车数据的处理理由更为复杂,并非简单收集VIN及VIN相关数据,对于个人信息的判定又增加了多重因素。我们列举了以下常见情形以及对应车企实践做法:
- 行车数据仅在车端处理并不涉及出车
行车记录仪[5]和车内驾驶监测[6]是常见场景,当该等数据仅在车端存储且车企无法以获取和接触到相关数据时,因该等数据并未出车,车企并未获得数据控制权,该等行为构成个人数据个人信息处理的可能性有限。但因行车数据对于用户隐私影响程度较高且关系用户行车安全记录,车企仍然构成了提供数据采集工具的角色,因此实践中多数车企仍在隐私政策中针对车端数据处理活动进行披露。
- 行车数据可能上传至车企后台或以其他方式被车企访问
此种情况下,如果行车数据未以任何方式与个人相关联,仅仅是车辆驾驶状况等信息,落入个人信息的可能性较低。但是在车企实践中,基于满足监管要求、提供服务以及改进产品等需求,行车数据很难完全脱离与车主本人相关联的范畴,由此车企常见的合规操作包含:a.提示用户在未与用户关联的前提下不构成个人信息,并且会采取无法解密的存储/不可访问等措施对于相关数据进行日常保护;b.特定事件触发、经用户同意(通常为产品改进用途)或者基于行车安全的必要,相关数据将会被关联至个人并且传输给车企进行处理,同时可能会采取有限时间/里程的间隔收集、目的完成后删除等方式以降低其对于用户权益的影响[7]。
此外,结合行业实践,相关数据亦可能由于在经销商及维修商处进行远程诊断等方式被车企访问。
因此,可以理解,对于行车数据是否构成个人信息仍然需要结合具体的数据处理场景进行分析和判定。
二、用户对其行车数据有何权益?
《个人信息保护法》明确了个人对于个人信息享有知情权、决定权、限制或拒绝处理权、查阅权、复制权、可携带权、更正和补充权、删除权等。《汽车数据安全管理若干规定(试行)》中也提及了汽车数据处理者应向用户提供查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径。
这其中最常出现争议的部分是,出现行车事故后用户主张查询行车记录数据,车企是否应响应用户的主张,以及能在多大数据范围内响应用户主张?这个问题大体可以分为以下核心要点讨论:
1、车企是否是响应用户请求权的主体?
首先需要明确,个人信息处理者是法律规定的响应用户个人信息请求的主体。而车企只有在满足1)其处理用户个人信息;2)构成数据处理者两个要件下,才应当履行响应要求。如前述对行车数据和个人信息的讨论,对于要件1)应当结合实际数据处理场景判断车企是否处理了用户个人信息,如不构成个人信息的,则无需予以响应。对于要件2)车企通常情形下为车辆服务提供主体,决定数据处理目的和方式,构成数据处理者。但实践中也存在由车企合作伙伴等作为数据处理者身份处理数据的,此种情形下,响应用户请求的义务主体则为车企合作伙伴。
2、车企响应用户的请求是否存在限制?
目前《个人信息保护法》等法律并未明确对个人行使个人信息权利设置明显限制,但从其第十三条合法性基础的规定来看,我们理解个人信息主体的权利并不是绝对的,处理者可依赖的合法基础除了同意之外还存在合同履行所必需,履行法定义务等情形,不同情形下用户行使各项权利有对应限制,具体从删除权的规定可窥见一斑。
此外,参考《信息安全技术 个人信息安全规范 GB/T35273-2020》的规定,个人信息处理者响应个人信息行权时可以存在限制情形,包含:
(1)个人信息主体提出查询非其主动提供的个人信息时,个人信息处理者可在综合考虑不响应请求可能对个人主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明;
(2)直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息处理者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益;
(3)以下情行可不响应个人信息主体依法提出的请求,包括:
a) 与个人信息处理者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和执行判决等直接相关的;
e) 个人信息处理者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
f) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
g) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
h) 涉及商业秘密的。
上述标准在平衡数据处理者和个人信息主体权益之间作出了具体情形说明,也就意味着并不是在所有情形下,用户只要主张个人信息权益,车企都应当全部响应。这一点也在车企的隐私政策“个人信息主体权利-例外情形”中进行体现,多家车企[8]的隐私政策均按照上述标准所述例外情形进行说明。
三、车企与用户间行车数据之争
2021年,某品牌车主驾驶品牌产品车辆疑因刹车失灵发生事故,随后车主要求该品牌提供相应的行车数据,并表示,不认同该品牌所称的驾驶人以118.5km/h的车速行驶,并对该品牌提供的行车数据的真实性持怀疑态度。车主提出,其曾多次向品牌方面要求提供车辆事故前的行车数据,但均被拒绝。此后多起消费者投诉均显示多家车企在发生事故后以“涉及商业秘密”“隐私保护”等理由拒绝提供行车数据[9]。
1、公开行车数据侵权吗?关于两起新能源汽车涉异常驾驶行为争议的诉讼比较
在近年来新能源车企面临的数据权益争议中,A公司(某国内知名新能源汽车厂商)与B公司(某外国知名新能源汽车厂商)处理用户争议时所涉行车数据公示与维权行为,呈现出企业在维护合法利益与尊重个人信息保护之间的微妙张力。
(1)核心事实简述
A公司在面对网络博主姚某发布“18L/100km”极端油耗测评视频后,为澄清事实、保护品牌商誉,依法调取其后台行车数据,并公开姚某存在超速、急加减速等异常驾驶行为的具体记录。法院认定用户行为构成侵害A名誉权的行为,理由是该自媒体博主关联企业与某汽车企业存在竞争关系,相关测评视频部分观点未提供任何数据依据,且开展以消费者测评为名义的密集发布,存在多处虚构部分,损害商誉行为成立。
B公司则在一起车主X女士交通事故后的舆论争议中,公开接受采访时对于相关情况,使用包含“洗白”,“只愿意接受高额赔偿”等措辞对X女士进行评价;并且公开事故前一分钟的简要数据,以回应其产品设计安全性的质疑。X女士随后提起侵权诉讼,主张其名誉与个人信息被侵犯。法院认为相关公开采访内容是对事实叙述和对X女士的诉求进行回应,并未使用侮辱性言辞,不存在贬损、丑化其人格的情况;该数据已由用户自行公开,B公司及媒体公开的内容仅仅是对相关数据的描述和说明,不能关联到其个人私密信息,车架号(VIN)出厂时已在车前挡风玻璃下方公开标识,B公司及相关媒体实施行为不具备违法性并且在处理已经公开得相关信息时未超过合理范围,故未构成名誉或个人信息侵害。
(2)共同点与区别分析
两案的共同点在于:1)涉案数据均为车载驾驶有关数据;2)车主身份信息以及相关数据均已通过社交媒体或诉讼等渠道广泛传播,处于“已公开”状态;3)车企主张数据使用目的系回应外界误解或恶意指控;4)法院明确肯定了B企业行为合法,未认定为侵害用户个人信息权或名誉权,亦在A企业的诉讼中支持了A企业的诉求(并未评价个人信息相关事项)。
但两者亦有关键区别:其一,用户主观动机不同——A案中用户具有明显炒作引流和虚构事实的恶意,B案中用户系事故当事人,主张权利救济;其二,A公司属主动以名誉权侵权为由发起诉讼并获得支持,B公司则为被动应对争议并最终胜诉。其三,类似余博士案件,对于B公司被诉侵犯个人信息主体权益的情况,法院依然从私密信息这一隐私权视角出发,得出并未侵害原告个人信息权益的结论,此种判断体现出法院依然从实质权益影响角度出发衡量相关侵权损害的思路。
(3)权利冲突与平衡评述
上述案件反映出新能源车企在数字化经营中普遍面临“用户个人信息权”与“企业合法维权”正当权利之间的制度张力。一方面,用户数据涉及个人行踪、行为偏好,依法应受到《民法典》《个人信息保护法》等法规的严格保护;另一方面,企业在遭遇恶意评价或产品误解时,需合理利用自身掌握的后台数据进行澄清,以防舆论偏向失衡。
司法实践展现出对“公开已存在”“正当回应”的适度容忍态度,构建出“审慎利用公开数据对抗恶意”的合规通道。企业在行使反诽谤、防欺诈等权利时,应控制披露范围,确保不超越“最小必要”原则,同时保持数据处理过程的可追溯性与目的正当性。但该等实践并不意味着车企的公示行为不存在侵害个人信息主体合法权益的风险,相关操作仍应审慎评估。未来制度完善宜在车载数据的分类管理、用户协议授权机制和公共回应标准上建立更明确规范,以实现在用户权益与车企正当防卫之间的良性平衡。
2、索取“完整”的行车数据的权利诉求边界?
基于本文第二节对于车企响应用户行权的前提和限制分析,用户向车企提出访问行车数据的请求时,车企作为数据处理者可以基于例外情形拒绝提供。但例外情形到底如何论证和建立以及车企能够拒绝提供的数据范围是多少,这些都存在争议。近期一起车主请求行车数据的案件中,法院给出的判决具有一定的启示意义[10]。
该案中车企因使用辅助驾驶功能过程中发生事故,并针对车企提起诉讼要求提供与事故相关的全部后台数据。车主此前已获取行车记录系统中的数据,但仍然要求车企提供车机端产生并由OTA传输的、车企可能掌握的元数据和其他原始数据。由于汽车数据过于庞杂,划清个人信息和非个人信息的边界极为困难。法院最终选择从数据财产权角度出发作出判决:
(1)从合法正当性上而言,车主作为额外数据的来源,从数据财产权角度有权向数据处理者-车企请求提供额外数据,法院将按照合法、正当、必要的原则考量是否支持车主行使数据权利;
(2)因而从必要性上而言,行车记录仪的数据已经满足了车主的查阅复制权利,没有必要将额外数据提供给车主;从公共利益的角度,提供额外数据一方面将增加车企的工作量,打击车企在数据使用过程中为车辆驾驶员提供更加便利服务的积极性;另一方面也可能涉及车企的商业秘密,提供可能将损害车企合法权益。由于无法通过必要性测试,最终法院驳回了用户的全部请求。
本案中,一方面,尽管法院未对用户请求数据是否构成个人信息进行明确划分,但间接支持了“部分元数据仅为车辆数据,无法直接关联个人”的观点,一定程度上对于行车数据和个人信息存在边界和区别进行了回应;另一方面,对于车企响应请求的边界和范围,法院从用户知情权和车企商业秘密合法权益、车企提供数据的成本和用户收益的角度出发进行利益衡平,认为行车记录仪的数据已经能够满足车主的诉求,由此无需提供额外数据,一定程度上对于前述国家标准所建立的“平衡数据处理者和个人信息主体权益的例外情形”进行回应。
3、超越个人信息——定责数据的真实性、完整性之辨
以上案例中均未回应实践中的一个核心问题——交通事故涉及的行车数据的完整性、真实性,这一点对于界定车企与用户责任至关重要。特别是目前智能驾驶技术并未演进成熟,不当驾驶责任通常归于用户的情况下,后台数据由车企掌握,如何保障用户在遇到车辆事故时能够获取完整、真实数据并以论证究竟是产品缺陷还是驾驶问题,亟需立法及行政部门、司法执法实践以及汽车行业进行回应。
除了个人信息保护规定之外,用户还可依赖《消费者保护法》关于消费者知情权的规定以及《民法典》关于举证责任分配的规定请求车企披露相关数据。在江苏法院网登载的一篇判决报道中,具备丰富经验的叶师傅驾驶新能源汽车突发加速失控遭遇车祸,经调查,涉事车辆在事故发生时间段内的车载终端TBOX及企业平台数据大量缺失,不符合国家标准GB/T32960。因此,无法判断驾驶人在事故发生时的操作,也无法确定车辆失控的具体原因。叶师傅家人起诉车辆生产商承担责任,法院认为,虽然无法直接证明数据缺失导致车辆失控,但缺失的数据对分析车辆运行状态至关重要。在数据缺失导致事故原因无法查明的情况下,应推定产品缺陷与损害结果之间存在因果关系。同时,法院还指出,涉事车辆未按照国家标准GB/T 32960的要求完整记录数据,应视为产品存在缺陷。[11]
四、合规启示
随着智能网联汽车的技术发展,行车数据呈现出类型日趋多元、数据量日益庞大的特征,这将导致在实践中难以有效识别其中个人信息保护边界的问题,应对用户请求实现访问权等数据保护相关权利的难度也相应增高。结合前述分析,我们建议车企尽早采取以下合规措施以应对个人信息主体权益保护与企业合法利益平衡的挑战:
1、开展数据处理合规评估工作,明确数据收集与使用的边界:结合业务需求开展的必要性,明确区分个人信息和非个人信息,在产品设计之初落实个人信息安全工程要求,将个人信息处理限于最小必要范围。确保数据处理符合《个人信息保护法》和《汽车数据安全管理若干规定(试行)》等相关法律法规及国家标准的要求。
2、保障用户知情权与访问权:车企应明确告知用户数据收集的目的、范围和方式,并在用户手册、隐私政策等文件中详细说明,确保用户了解其数据如何被使用。针对潜在的用户请求权响应,建立一定的合规论证和证明支持。
3、数据安全与隐私保护:采取合理的技术和组织措施,保障个人信息和非个人信息的隔离,确保车企对个人信息的处理能够实现内部合规技术追溯。同时对于个人信息的处理也应当保障技术安全措施等,防止数据泄露等。
4、加强数据管理与合规审计:车企应定期进行数据合规审计,确保数据处理符合相关法律法规。对于涉及用户隐私的数据,应建立专门的数据管理团队,负责数据安全和合规性。
最后,特别是针对交通事故涉及的行车数据披露问题,监管部门应该尽早出台相关政策,对于车企在发生事故后提供的行车数据范围、提供对象以及提供流程进行规定。同时,作为车企,也应该根据监管要求以及自身的实践现状,建立一套完整的汽车数据披露流程,既能保障消费者及个人信息主体权益,又能在遇到披露要求时及时、高效率、合法、准确地对披露请求进行识别,并做出合法响应。
[注]
[1]自动驾驶汽车是指按照国家有关标准,在设计运行条件下具备执行全部动态驾驶任务能力、由工业和信息化部门将其纳入产品准入范围的汽车。自动驾驶技术包括国家标准《汽车驾驶自动化分级 GB/T40429-2021》明确的有条件自动驾驶、高度自动驾驶和完全自动驾驶。为表区分,本文所指智能驾驶仅指现行市面普遍应用3级以下驾驶自动化技术的组合辅助驾驶技术,不存在系统接管的情况。
[2]参考《汽车事件数据记录系统 GB 39732-2020》第4.2条和《智能网联汽车 自动驾驶数据记录系统 GB44497-2024》第4.4.2条。
[3]《汽车数据通用要求 GB/T44464-2024》附录A 表A.2 个人信息分类分级示例。
[4]光明日报:这款App提供二手车车况信息,法院判了,访问链接:https://m.thepaper.cn/baijiahao_12178677,最后访问时间:2025年6月16日。
[5]访问链接:https://profilesys.bydauto.com.cn/dilinkapp/dilink/pad/privacys/2023-7-24.html,最后访问时间:2025年6月16日。访问链接:https://www.tesla.cn/legal/privacy#information-we-may-collect,最后访问时间:2025年6月16日。
[6]访问链接:https://www.xiaopeng.com/content/4209.html?forcePlat=h5,最后访问时间:2025年6月16日。
[7]访问链接:https://www.tesla.cn/legal/privacy#information-we-may-collect,最后访问时间:2025年6月16日。访问链接:https://www.xiaopeng.com/content/4209.html?forcePlat=h5,最后访问时间:2025年6月16日。访问链接:https://www.bmw.com.cn/zh/topics/owners/connected-drive/service_claim_new.html,最后访问时间:2025年6月16日。
[8]包括多家车企,示例访问链接:https://auto.seres.cn/privacy,最后访问时间:2025年6月16日。
[9]新浪财经:315预警:被“雪藏”的行车数据,被“偷走”的私家车,访问链接:https://finance.sina.com.cn/roll/2025-03-05/doc-inenrcym1753868.shtml,最后访问时间:2025年6月16日。
[10]访问链接:https://www.fangdalaw.com/articles/%E6%95%B0%E6%8D%AE%E8%AF%89%E8%AE%BC%E7%B3%BB%E5%88%97%E4%B9%8B%E4%B8%80%EF%BC%9A%E4%B8%80%E5%AE%97%E8%BE%85%E5%8A%A9%E9%A9%BE%E9%A9%B6%E4%BA%8B%E6%95%85%E5%BC%95%E5%8F%91%E7%9A%84%E4%B8%AA%E4%BA%BA/?lang=zh-hans,最后访问日期:2025年6月16日。
[11]无锡市锡山区人民法院 刘燕妮:车载数据缺失、事故原因成谜,网约车司机车祸身亡由谁赔?访问链接:http://www.jsfy.gov.cn/article/101561.html,最后访问时间:2025年6月16日。