赛迪观点丨简析欧盟《车联网个人数据保护指南》

明确了网联汽车语境下数据保护相关术语的定义。《指南》对网联汽车个人信息保护涉及的数据主体、数据控制者、数据处理者、数据接收方、数据处理都进行了明确定义。同时也明确了数据在多个控制者和处理者间流转过程中，各方的权责与义务。

指出了车联网面临的个人数据保护风险。针对网联汽车的特殊环境，《指南》提出了可能面临的隐私和数据保护风险。

提出了网联汽车设计默认提供的数据保护措施。《指南》从多方面为行业参与者提出了网联汽车数据保护应提供的一般性、基本性保护规则。

对五种车联网应用场景进行了实例分析。针对汽车盗窃、事故防范等五个应用场景，《指南》分析了其中个人数据处理涉及的法律依据、数据类型、数据保存期限、数据主体权利实现路径。

与上位法进行了衔接匹配。《指南》分析了车联网语境下欧盟《通用数据保护条例》（下称“GDPR”）和《电子隐私指令》的适用情况，并指出了网联汽车的信息处理能力及工作特性已经符合法律中关于“终端设备”的定义，即“直接或间接与一个公共网络的接口相连接，进而发送、处理或接收信息的设备”，网联汽车应被视为与手机、电脑、智能电视一样的终端设备。

首次界定了网联汽车个人数据的边界。网联汽车涉及汽车、个人、路况、媒体娱乐等多类数据，《指南》首次对网联汽车个人数据的边界进行了界定，明确其关注的数据是通过车辆传感器、车载T-box、手机应用等方式收集的，与自然人直接或间接相关的数据。

强调对三类个人数据予以特别关注。网联汽车涉及大量数据，包括车辆运动的技术数据（车速、行驶距离等）、车况数据（发动机转速、胎压等）。根据数据敏感度及对数据主体权益潜在影响的大小，《指南》认定了三类应特别关注的个人数据，分别是“地理位臵数据”、“生物识别数据”、“可以揭露犯罪或其他违法行为的数据”。针对三类数据分别提出了收集和处理原则。

率先提出网联汽车环境中数据保护可能面临的特殊风险。《指南》首次提出“缺乏控制和信息不对称”的隐私和数据保护风险。

建立专业第三方检测评估体系。针对网联汽车领域的复杂性，支持开展专业第三方网联汽车个人信息保护测评，建立市场化的检测评估机制。