2022年7月21日,国家互联网信息办公室(以下简称“国家网信办”)开展对滴滴全球股份有限公司(以下简称“滴滴”)的网络安全审查。根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》,国家网信办认定滴滴存在16项违法事实,主要涉及个人信息处理和数据处理两个层面。在个人信息处理层面,国家网信办对滴滴违法收集、过度收集、违法存储特定个人信息;侵犯乘客知情权分析特定个人信息;侵犯乘客知情权未准确清晰说明特定信息处理目的;以及违反必要性原则索取无关权限的违法行为进行了全面的评估。在数据处理层面,经网络安全审查,网络安全审查办公室发现滴滴的数据处理活动给国家关键信息基础设施安全和数据安全带来严重安全风险隐患,严重影响国家安全。滴滴也因此被处以人民币80.26亿元的罚款,其两位高管也各被处以人民币100万元罚款。滴滴被处罚案件作为我国在个人信息和汽车数据领域的重大关键性执法案件,标志性地表明了国家不断加强对个人信息、数据和网络安全保护与执法力度的态度和决心。笔者以为,滴滴被处罚案件不仅对出行服务平台具有极大的借鉴意义,而且对涉及处理大量个人信息即汽车数据等关键信息基础设施的有关行业具有重要的警示作用,对企业全方位的合规运营提出了更深层次的要求。本文旨在通过阐述新能源充电桩业务中所收集的数据类型、以及个人信息保护与汽车数据的法定要求,对新能源充电桩业务在愈加趋严的执法趋势中更好地把握数据合规要点提出初步建议。
一、 新能源汽车充电桩近期发展概况及收集的数据类型
自2015年至今的八年来,我国机动车保有量与新能源汽车保有量同步持续迅速增长,新能源汽车行业的高速发展进一步拉动新能源充电桩需求,至2022年6月份,我国已形成全球最大规模的充电基础设施。据中国电动企业充电基础设施促进联盟(以下简称“充电联盟”或“EVCIPA”)数据,截至2022年7月份,我国全国充电桩累计数量达到398万台,同比增加97.5%。中国公共充电桩保有量在近12个月中持续上升,具有建设区域较为集中、充电电量集中度较高、运营商头部聚集效应明显的特点。国家能源局表示,中国在已形成全球最大规模的充电基础设施,并预计2025年将满足超过2000万辆电动汽车的充电需求。2020年初,新能源汽车充电桩被正式纳入新型基础设施建设,国家大力投入发展新能源汽车及配套基础设施,新能源汽车充电桩以其清洁能源的特性将有力助推我国“双碳”目标实现。
(2015年-2022年7月份中国充电桩及公共充电桩保有量)
当前,新能源汽车充电桩产业链主要包括上游的充电桩部件制造商(装备端);中游的充电桩运营服务提供商(运营端);以及下游的充电桩用户,如新能源车企和车主。其中,装备端和运营端是充电桩产业链中最主要的环节(以下统称“新能源充电桩企业”),而运营端企业在提供充电桩服务时,会直接收集用户的相关个人信息和汽车数据,但所收集的数据类型则因服务内容的不同而有所差异(详见下图)。在当前的商业实践中,充电桩运营端企业通常会根据企业特定的商业目的和独特的服务板块,大致将拟收集的数据类型区分为:运营端企业自主认定为业务必需收集的用户信息,和用户可自主选择提供或拒绝提供的信息。业务必须收集的用户信息也区分因充电业务(如使用充电服务、查看充电状态、结束充电、支付充电费用)和具体业务(如客服服务、运营活动)而收集的信息。此外,由于部分用户会使用运营端企业平台内的第三方服务,因而运营端平台向第三方服务商提供的信息以及就相关服务从第三方服务商处间接收集的信息,也是运营端企业充电桩业务中所收集、使用和处理的信息。新能源充电桩业务中的第三方服务,通常是指营销活动推广和优惠券服务、电子钱包储值服务、会员服务、客户服务、支付服务以及导航服务等。
当前,因使用基础的充电服务,充电桩的运营端平台通常收集的信息包括用户注册该平台的账户和密码信息,手机号和验证码信息;若使用第三方平台账号登录,如微信、支付宝等,则需收集第三方账号名称信息以识别该用户;位置信息,如IP地址、GPS定位信息;设备信息,如设备型号、软硬件信息,设备运营商;以及支付信息等。下图为几个常见的充电桩运营端企业收集的个人信息和汽车数据类型:
(部分充电桩运营端企业平台数据收集的类型)
二、 新能源充电桩业务中的个人信息保护
如上所述,新能源的充电桩运营端平台在业务运营中往往会收集大量的个人信息,比如通过微信、支付宝登录的账号信息,登录平台的手机号码信息、支付信息等。因此,运营端平台作为个人信息的处理者,应当遵循严格的个人信息保护义务,以防止未尽合法合规义务而导致的个人信息的泄露、篡改和丢失。
1. 个人信息的概念和范围
个人信息最鲜明的核心特征在于其具有“可识别性”和“有关性”,是反映有关个人的特征所具有的识别信号。我国《民法典》第1034条清晰地界定了个人信息的范畴。而《个人信息保护法》与2021年10月1日实施的《汽车数据安全管理若干规定(试行)》(以下简称“《汽车数据若干规定》”)中进一步明确界定和区分了个人信息与敏感个人信息,具体见下表。
2. 个人信息的处理规则
个人信息处理者在处理个人信息时应严格遵循告知同意规则、自动化决策处理规则、公共场所图像和身份识别信息处理规则、敏感个人信息处理规则以及个人信息跨境提供规则。
处理规则 |
主要的具体要求 |
告知同意规则 |
个人信息处理者在处理个人信息之前应当以显著、清晰易懂的语言真实、准确、完整地向个人告知法律、行政法规规定应当告知的事项,如个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等。 个人信息处理者应当获得个人同意,方可处理个人信息。同意应在个人充分知情的情况下自愿、明确作出;且同意可以撤回。 |
自动化决策处理规则 |
个人信息处理者利用个人信息,通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策活动的,应保证决策透明、公平、公正,不得在交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 |
公共场所图像和身份识别信息处理规则 |
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。 所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 |
敏感个人信息处理规则 |
只有在具有特定目的和充分必要性且采取严格保护措施的前提下,个人信息处理者方可处理敏感个人信息。 处理敏感个人信息应当取得个人的单独同意或按照法律、行政法规的有关规定取得书面同意。除例外情形,处理敏感个人信息应当向个人告知必要性及对个人权益的影响。 处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则,且须取得未成年人的父母或者其他监护人的同意。 |
个人信息跨境提供规则 |
个人信息处理者因业务等需要确需向境外提供个人信息的,应当满足有关前提条件、向个人告知境外接收方的有关事项并取得个人单独同意、达到规定数量存储在境内、以及遵循国家对于司法协助、限制性措施以及反制措施的有关规定。前提条件包括通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务、或满足法律、行政法规或者国家网信部门规定的其他条件并应当采取必要措施,保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准。 |
3. 个人信息处理活动中的个人权利以及个人信息处理者的义务
根据《个人信息保护法》的规定,个人在个人信息处理活动中主要享有:
1) 知情权与决定权。除例外情形,有权限制或拒绝他人对个人信息进行处理;
2) 查阅复制权;
3) 个人信息不准确不完整时的更正补充权;
4) 当处理目的已实现、保存期限已届满、个人撤回同意等情形下的删除权;以及
5) 获得个人信息处理者对处理规则的解释说明权。
个人信息处理者在处理个人信息时负有严格的法律义务,主要包括:
1) 采取措施确保个人信息处理活动合法并保护安全的义务。个人信息处理者应当采取加密和去标识化等安全技术措施、制定内部管理制度和操作规程、对个人信息实行分类管理、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、以及制定并组织实施个人信息安全事件应急预案等措施防止未经授权的访问以及个人信息泄露、篡改、丢失;定期合规审计等;
2) 在特定情形下,进行个人信息保护影响评估与记录的义务。特定情形如处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息以及其他对个人权益有重大影响的个人信息处理活动等;
3) 对个人信息泄露及时采取补救措施与通知的义务;以及
4) 提供重要互联网平台服务、用户数量巨大、业务类型复杂的特殊个人信息处理者应当履行的义务。
三、新能源充电桩业务中的汽车数据合规
新能源充电桩企业在收集、存储、使用、加工、传输、提供、公开以及其它处理汽车数据的活动时,对不同类别的汽车数据负有不同程度的合规义务,应当执行不同的合规管控措施。
1. 汽车数据的法律界定
根据《汽车数据若干规定》,汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
对于汽车数据中涉及的个人信息数据,既要符合汽车数据立法文件、国家标准和团体标准的有关合规要求,又要符合《个人信息保护法》的有关规定。汽车数据中的重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,具体包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。由此可知,重要数据与个人信息数据存在一定程度上的重合,当个人信息的数量达到一定数值,或车外视频、图像数据中包含人脸、车牌等内容,这些含有个人信息的数据便升级定性为重要数据。
除了上述法律、规章的规定,针对汽车数据或汽车采集数据的定义,2021年10月由全国信息安全标准化技术委员会发布的国家标准《信息安全技术 汽车采集数据的安全要求》(征求意见稿)(以下简称“《汽车采集数据国家标准》”)以及2022年3月由中国汽车工业协会发布的团体标准《智能网联汽车数据安全评估指南》(以下简称“《智能网联汽车指南》”)均有相关规定。《汽车采集数据国家标准》中的汽车采集数据,是指通过汽车传感设备、控制单元采集的数据,以及对其进行加工后产生的数据(不包含通过网络或物理接口获取的其他系统或设备的数据)。汽车采集数据分为车外数据、座舱数据、运行数据以及位置轨迹数据四大类。《智能网联汽车指南》中的汽车数据则是包含了设计、生产、销售、使用、运维、管理汽车等过程中,采集、传输、存储、使用、共享、销毁(统称处理)全生命周期的数据。
2. 汽车数据合规的基本要求
汽车数据处理者,在处理汽车数据时应当:遵循合法、正当、具体、明确,且与汽车设计、生产、销售、使用、运维等直接相关的规则;落实网络安全等级保护等制度;坚持四大处理原则(非确有必要不向车外提供的车内处理原则;非驾驶人自主设定,每次驾驶时默认设定为不收集状态的默认不收集原则;根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率的精度范围适用原则;以及尽可能进行匿名化、去标识化等脱敏处理原则);处理个人信息的告知同意规则;敏感个人信息处理规则;重要数据处理规则;以及建立便捷的投诉举报机制。
因为重要数据处理规则极为特殊与重要,新能源充电桩企业在运营充电桩时,应重点谨慎把握关于重要数据的合规要求。根据《汽车数据若干规定》,开展重要数据处理活动应进行风险评估并报送省、自治区、直辖市网信部门和有关部门;重要数据应当在境内存储,因业务确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估,且不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。同时,汽车数据处理者每年应当在法定期限前向省级网信部门年度汽车数据安全管理情况,比如汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;处理汽车数据的种类、规模、目的和必要性;汽车数据的安全防护和管理措施,包括保存地点、期限等;向境内第三方提供汽车数据的情况;汽车数据安全事件和处置情况;汽车数据相关的用户投诉和处理情况等。如果向境外提供重要数据的,汽车数据处理者应当按照法定要求补充相关情况的报告。
四、合规建议
新能源充电桩企业在运营充电桩时,在个人信息和汽车数据的全生命周期流程应严格遵守有关法律法规要求,合法、合规地进行对内对外的风险防控,制定并有效执行个人信息保护及汽车数据合规的相关制度、政策、内控流程,以降低企业的合规风险。
1. 数据收集阶段
新能源充电桩企业应当严格按照本企业商业目的和特色业务,精准定位具体业务应收集的信息和数据的种类和范围,将信息和数据的收集范围限制在必需收集的最低限度,并确定默认不收集的个人信息和汽车数据范围。同时,新能源充电桩企业应当升级制定权利义务清晰、内容涵盖全面、重点突出、提示到位、披露第三方服务商的用户协议和隐私协议,就特定个人信息和汽车数据向用户进行告知,并取得其书面同意;在收集敏感个人信息,如面部识别信息和金融账户信息时,单独获得用户的书面同意;不得非法购买和收集有关个人信息和汽车数据。
2. 数据存储阶段
新能源充电桩企业应确保收集来的个人信息及汽车数据在我国境内存储,且储存完成应当满足限定的期限要求。此外,应当采取加密和去标识化的信息安全技术,并制定有效的数据安全应急预案,在个人信息和汽车数据不慎泄露时,及时通知并采取补救措施等。
3. 数据加工阶段
新能源充电桩企业严格按照已经获得同意的处理种类、规模、目的、方式等对个人信息和汽车数据进行加工。如变更前述内容及方式的,应重新获得同意。
4. 数据使用阶段
新能源充电桩企业不得非法使用已收集的个人信息和汽车数据,如将个人信息与汽车数据非法出售;未获得单独同意即提供给境外;违反我国有关主管部门的限制性规定、反制措施提供给被限制或制裁的对象;违反司法协助的有关规定,绕过中国主管机关将信息直接提供给境外等。
5. 数据传输及跨境提供阶段
新能源充电桩企业应当在数据的传输中使用有效的安全技术,非经单独同意,不得披露给公众。如果将个人信息提供给境外时,应当进行安全评估、信息保护认证、及按照标准合同订立有关合同等;如果将汽车数据中的重要数据提供给境外时,应当开展安全评估,并补充报告境外数据提供的相关事项及接收者的相关信息等。
6. 数据删除阶段
当保存期限届满、无需继续保存、用户撤回同意、被要求删除等情形时,新能源充电桩企业应当删除有关个人信息和汽车数据。