日前,小鹏汽车因“擅自采集43万张人脸照片被罚10万元”登上热搜。虽然其声明收集的人脸信息已删除,但车企如何保护消费者个人信息的话题仍受到各方关注。小鹏汽车等企业想跑出更快的加速度,就要在数据采集和使用方面重视“安全驾驶”,不能忽视合规风险。
随着新能源汽车的快速发展,相关数据安全问题愈发突出。今年8月,国家网信办等五部门出台《汽车数据安全管理若干规定(试行)》。其中明确,人脸信息、涉及个人信息主体超过10万人的个人信息等即为“重要数据”。在个人信息保护法实施的背景下,因非法收集人脸信息而被罚是一个必然结果。
小鹏汽车作为“造车新势力”之一,最近交出亮眼成绩单:今年11月小鹏汽车总交付量15613台,连续3个月实现单月交付破万台,环比增长54%,同比增长270%。在加紧销售和服务网络建设方面,到今年底,小鹏汽车计划销售门店的数量将超过350家。
可是,跑得快,更要跑得稳。从有关案例看,对用户个人信息侵权问题的发生,原因是多方面的,包括企业自身经营不重视,行业规范标准不完善,监督执法力度不够,处罚较轻、违法成本低等。
作为敏感个人信息,人脸信息安全不可忽视。根据去年10月实施的新版《信息安全技术个人信息安全规范》,人脸信息属于生物识别信息,也属于敏感个人信息,收集个人信息时应获得个人信息主体的授权同意。此类信息一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到损害。
此类个人信息的侵权行为并不鲜见。如今比较“流行”的做法是,通过算法对面部数据进行识别计算,以此统计门店客流量并进行分析,包括进店人数统计、男女比例、年龄分析等。有的为了谋取更大利益,将其拿来作为“杀熟”工具,侵犯消费者权益。此类技术应用的初衷,是要通过这种收集和分析,改善接待流程,更好地服务客户,但若有意或无意中采取了错误的方式方法,就容易触碰法律红线。
也就是说,企业可以依赖大数据技术做经营参考,但要依法合规进行数据开发和利用,保障用户个人信息安全。按照有关规范要求,在启动收集个人生物识别信息前,企业应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。
进一步看,为了解决汽车行业采集数据在传输、存储和出境等环节出现的个人信息或重要数据泄露、滥用等安全问题,汽车数据安全亟需标准化、规范化。目前,国家标准《信息安全技术 汽车采集数据的安全要求》已从草案阶段进入征求意见稿阶段。根据相关规范指引,企业可仅存储个人识别信息的摘要信息,在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后,及时删除可提取个人生物识别信息的原始图像,这些做法将为企业发展减少后顾之忧。