观韬解读 | 如何从消费者权益保护视角做好车联网数据合规
作者:王渝伟 朱敏婕
2022年5月19日,江苏省消保委发布了《新能源汽车行业不公平格式条款调查报告》(下称“《调查报告》”),该报告选取了市场上具有一定知名度和影响力的14家新能源汽车企业的隐私政策、用户协议等文本,从消费者权益保护角度一共梳理了十个方面的“不公平格式条款”问题,将汽车企业的目光聚焦到格式条款的合规问题上。本文拟就《调查报告》中公布的几个问题进行简要分析,结合我们在该领域的过往经验,从消费者权益保护视角审视数据合规问题,并为车联网企业提供整改的思路和建议,供各同行讨论及参考。
《民法典》规定,“采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务。”该条款确定了格式条款应当遵循公平原则的基本理念。市面上较多汽车企业在用户协议、隐私政策这类文件中为了业务的便利而设置了相对严格的格式条款,也带来了企业数据合规的问题。
一、格式条款文本篇幅长的问题
江苏省消保委指出部分车企的用户协议及隐私政策的文本字数较多、篇幅较长、协议种类较多,不利于实现消费实质公平。而隐私政策的文本是为了向用户充分告知企业如何处理和管理用户的个人信息,部分企业因业务庞杂,其业务场景、个人信息处理情况的内容也相对较多,企业在力求精简文本的同时也不可避免出现文本字数较多的情况。
为更清晰地向用户展示个人信息的处理情况,部分企业开始在向用户提供隐私政策的同时在其APP上显示简化版的隐私政策。我们建议,企业也可以参考工信部《关于开展信息通信服务感知提升行动的通知》(即“524行动”)中提出的“双清单”要求,一是“已收集个人信息清单”和“第三方共享信息清单”确实可以较为清晰地向用户展示企业的数据处理情况,二是,“双清单”目前虽然是仅针对部分互联网大厂提出的要求,但可能会成为大型数据处理者的合规趋势,企业可以提前进行规划布局。
二、消费者权益保护问题
1、协议主体不明确
《调查报告》首先指出的问题是协议主体不明确的问题。除《民法典》的规定外,在《个人信息保护法》中也规定了,个人信息处理者在处理个人信息前,应当向个人告知个人信息处理者的名称或者名字和联系方式等内容。对于在用户协议或隐私政策中尚未向用户完整披露名称和联系方式的企业需要及时完成文本修订,补充缺失信息。
而《调查报告》也提出很多企业采用了“参与服务的关联企业或第三方”的表述,使用户无法准确知晓协议的具体交易对象。对于很多企业而言,实践中确实存在多个主体为用户提供服务、多个主体处理个人信息的情形,我们建议,企业首先应厘清业务中多个主体之间的合作方式,与关联企业之间是共同处理者的关系还是数据共享(对外提供)的关系,与第三方之间是数据共享(对外提供)的关系还是委托处理的关系。在厘清法律关系的性质后,对应不同行为的合规要求,履行相应的合规义务,包括充分向用户告知每个交易对象的主体名称等。
2、侵害消费者自主选择权和公平交易权
江苏省消保委在《调查报告》中指出,车企单方无限制修改协议的条款侵害了消费者的自主选择权和公平交易权,企业在用户协议中设置了企业可单方面修改、更新协议的权利,同时免除单独通知消费者的义务,而为用户设置了自行关注协议更新的义务,且采用了默示同意的方式获取用户的同意。在该条款的设置上,用户被设置不公平条款而处于弱势地位。
其实部分企业在设置此类条款时更多是为了方便开展业务的考量,然而企业也应当重视协议修改更新后可能对用户权益产生的影响。因此,我们建议,企业可以在用户协议更新后通过“弹窗”等方式通知用户并提示用户注意变更的内容,且更新后的协议应当重新获取用户的同意。当涉及到重大权益变更的时候,如产品价格的调整等,企业可以提前向用户发布公告,由用户自行选择是否接受变更后的条件。同时,企业也可以增加用户意见反馈渠道,接受用户的投诉建议并及时给予反馈,这也是促进业务良性发展的途径之一。
3、网络安全漏洞过度免责
江苏消保委还指出车企在提供网络服务过程中,设置了较为宽泛的网络安全漏洞的免责条款。因《网络安全法》《数据安全法》中对企业提出了在网络安全等级保护制度的基础上,履行数据安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。那么企业在用户协议中为自己设置较为宽泛的网络安全漏洞的免责条款,实则免除了企业根据法律规定应当履行的网络数据安全保障义务。当然,由于技术发展的限制问题,企业确实无法防范所有的计算机病毒或网络攻击,因此,我们建议,企业更应加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施。而车企和车联网服务平台运营企业可能会构成关键信息基础设施的经营者,那么相应地,经营关键信息基础设施的企业应当设置网络安全监测预警制度以及网络安全事件应急预案,通过技术配套制度履行网络数据安全保障义务。
三、消费者个人信息保护合规问题
江苏消保委在《调查报告》中也反馈了消费者个人信息保护中存在的问题,问题聚焦在个人信息的收集、使用、提供(共享)、跨境提供以及用户权利的响应等方面。结合我们为车企提供数据合规服务的实践经验,这类问题确实是现阶段企业在个人信息保护合规中存在的重点和难点问题。
1、个人信息的收集
《调查报告》提到智能网联汽车的个人信息默认不收集原则,《汽车数据安全管理若干规定(试行)》中提出的默认不收集原则是指除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。而车企不收集特定的汽车数据则无法实现诸如自动驾驶、辅助驾驶等功能,这就要求企业进一步完善驾驶人的授权机制,在具体的场景中合理适当地设置驾驶人自主设定流程以完成授权。
收集个人信息必要性原则要求企业进一步审视收集的每一项个人信息种类是否都满足最小必要的原则,是否与收集目的直接相关,是否对个人权益影响最小。尤其在收集用户的敏感个人信息时,还需要向用户告知处理该敏感个人信息的必要性以及对个人权益的影响。
2、个人信息的使用
数据的价值也体现在对数据的二次开发利用上,企业收集个人信息后除用于业务开展中,也希望通过对数据进行分析加工,更多地发挥数据的价值,再通过改进服务从而改善用户体验,促进业务的良性发展。此外,企业也可以通过对用户进行定向营销开展推广活动。这里面存在的合规风险是,在进行个人信息的分析时企业有没有做到个人信息的匿名化处理,对于无法满足匿名化要求的企业来说,分析加工个人信息的行为应当事先向用户披露并取得用户的同意。而企业通过对个人信息的分析形成用户画像,并进行用户个性化推荐、定向营销和推广时涉及到自动化决策的问题,企业不得设置不合理的差别待遇,如“大数据杀熟”,或者为用户提供拒绝个性化推荐、拒绝定向营销推广的途径,且该途径应是便捷、可实现的。
3、单独同意的特殊场景
《个人信息保护法》对个人信息提供(共享)、公开、处理敏感个人信息、个人信息出境等场景规定了单独同意的要求。对于此类场景,企业如在隐私政策中通过一揽子的方式获取同意显然是不符合合规要求的。因此,我们建议,企业应当对单独同意的场景进行梳理,针对具体的场景来设计满足合规要求的处理方式。
4、删除权的响应
在个人权利的响应方面,江苏省消保委着重关注了删除个人信息的响应问题。在《汽车数据安全管理若干规定(试行)》中规定了个人要求删除敏感个人信息的,汽车数据处理者应当在十个工作日内删除。车企应当注意到该规定中提出的特殊要求,以避免出现合规风险。
然而企业在响应用户的删除权时也面临着平衡企业权益的实际问题,如用户“薅羊毛”行为,利用删除权不断地参与新用户活动,或者用户在与企业之间面临仲裁诉讼的风险时向企业提出删除权要求等。因此,我们建议,企业应在响应用户删除权的同时也需要在维护企业利益中寻找一个平衡点。目前的法律规定中暂未对此进行规定,《个人信息保护法》第四十七条第二款规定目前也无法适用于前述场景。我们认为,企业可以在用户提出删除权的响应过程中,与用户进行公平合理的约定,达成用户与企业之间关于实现删除权的协议,在响应用户删除权的同时平衡企业的合理利益。
总结
我们理解江苏省消保委出具的《调查报告》是针对车企协议中格式条款的合规情况做的一个摸底调查,部分问题也存在一定的争议,如在约定查询回复的响应过长的问题上,消保委引用的《信息安全技术网联汽车采集数据的安全要求(草案)》能否直接适用该场景存在一定的探讨空间。我们期待,江苏省消保委在下一步与被调查车企开展约谈,督促被调查车企进行整改的过程中,能给市面上企业的格式条款的合规整改提供切实可行的整改方向。