EDPB《车联网个人数据保护指南》草案全文翻译

2020年2月，欧盟数据保护委员会（European Data Protection Board，“EDPB”）发布了《车联网个人数据保护指南（征求意见稿）》。该指南聚焦联网车辆和出行相关应用背景下的个人数据处理，揭示了此场景下的隐私和数据保护风险，并为行业参与者提供了参考建议。DPO社群全文翻译了这份文件，供大家参考。

译者说明

随着车联网功能的普及，汽车从过去的一个封闭空间逐渐变得开放起来，并逐渐成为巨大的数据中心。来自传统汽车行业和新兴数字行业的利益相关者纷纷参与对车联网生态系统的塑造和相关数据处理。与其他物联网系统一样，车联网也引发了很多隐私和数据保护风险，此外，由于汽车还关系到人身安全，车辆的数据安全问题更加敏感。因此，EDPB认为，在处理车联网相关的个人数据时应当保持谨慎，并遵守个人数据保护相关的法律。

在此背景下，EDPB分析了车联网语境下GDPR和《电子隐私指令》（ePrivacy Directive）的适用。GDPR适用于对联网车辆产生的个人数据所进行的处理。此外，根据指南，联网车辆和任何一个与其相连的设备均被视为《电子隐私指令》第5条第3款意义上的“终端设备”，因此《电子隐私指令》第5条第3款也必须适用。根据《电子隐私指令》第5条第3款，除特定情形外，在终端设备中存储信息或访问已经存储的信息必须事先取得同意。并且就存储在终端设备中的个人数据而言，在存储或访问该信息时，《电子隐私指令》第5条第3款优先于GDPR第6条适用。

EDPB在指南中对三类数据予以了特别关注：（1）地理位置数据；（2）生物识别数据；（3）可以揭露犯罪或其他违法行为的数据，并且针对这三类数据分别提出了相应的处理原则。此外，EDPB还从设计和默认的数据保护、本地化处理、匿名化和假名化、数据主体权利的保障、数据保护影响评估、安全性和保密性等方面为行业参与者提供了一般性建议。例如，EDPB建议，指纹等生物识别数据应当存储在车内；除绝对必要外，不应收集用户的地理位置信息；应当从设计阶段开始就纳入对数据保护的考虑；为每一辆车（而不是型号）建立独有的加密密钥管理系统；使用标准化图标等简单易懂的方式向用户履行告知义务等等。

指南的第三部分列举了五个示例场景，分别是：由第三方提供服务（包括基于驾驶行为的保险、停车位的租赁和预订）、自动紧急呼叫、事故防范学研究、应对汽车盗窃和存储在租赁车辆仪表盘上的个人信息。这五个场景下的个人数据处理涉及不同的法律依据、数据类型、接收方，在保存期限、数据主体权利的实现和安全方面亦有不同。

鉴于车联网生态系统和数据保护法的双重复杂性，EDPB的这份指南旨在为车联网的相关行业参与者提供隐私和数据保护方面的有益指引。目前，该指南还在征求意见中，截止日期为3月20日。