專家傳真-從隱私權談車聯網的法律遵循
近來車輛功能日新月異,可以偵測胎壓、提醒保養時數,還能偵測失竊車輛位置,甚至能透過各車回報資訊在App上告知各地天氣及路段即時交通情況。這些便利的功能都來自於車聯網的概念,即運用衛星定位、感測器、電子標籤、無線網路通訊、數據處理等技術,將車輛所蒐集之車輛及道路環境等訊息進行即時處理與傳遞,以提供用車人及大衆即時更新的訊息及應用。但便利的背後,不可避免帶來個人隱私是否會藉由即時網路連結而受以及駕駛安全的擔憂。
在隱私法令遵循部分,目前以歐盟GDPR最受注目,而歐盟個資保護機關針對車聯網的隱私保護問題,已經發布「Guidelines 1/2020」指引;而就安全性及設計架構部分,國際標準化組織(International Organization for Standardization,ISO)早已發佈ISO 15638供廠商遵循。囿於篇幅,本文先針對隱私權部分,將歐盟幾點重要遵循意見整理分析:
一、保護好三大個資:位置、生物特徵、有關個人開車是否守法的資料:
歐盟特別提醒,車輛蒐集的許多資料,例如胎壓、速度、剎車使用情形,雖然乍看之下屬於技術性的資料,但因爲這些資料跟車輛駕駛者的使用習慣相關,可藉由此資料特徵而特定駕駛者,故亦屬於個資。而在衆多車輛蒐集的資料中,歐盟特別點出三大重點:位置資訊、生物特徵以及有可能推導出駕駛人是否守法的資料。這三類資料,有可能歸納出一個人的私人生活習性、開車習慣還有生物特徵,如果加以應用,可能會影響個人的保險費率增長、繳納罰單或者有造成私生活曝光的風險。因此歐盟特別指出,期待車聯網業者能加強這三類資料的保護。
二、產品設計階段應有個資保護影響分析
車聯網蒐集的資料類別多元廣泛,未必一概都需要做個資保護影響分析;不過爲了達成「只蒐集必要的個資」、「儘可能給予當事人控制個資權限」、「資料傳輸時進行匿名化/假名化」的目標,從一開始就讓技術與設計人員瞭解產品在隱私保護面向上需要滿足的需求,對於降低法遵風險將會有極大的幫助。
三、儘可能用車輛本身的設備處理資料
雲端運算能力雖然驚人,但是多一次傳輸,就多一層風險,因此歐盟建議儘可能用車輛本身的運算力處理資料,並設置車輛的資安及加密措施,而且儘可能提供使用者刪除資料的選項。此外,歐盟也提醒,車輛所蒐集的資訊,可能透過車輛配合的軟體傳輸到相對應的應用程式上,這時車商必須注意車輛提供給應用程式的個資,是否符合比例原則。例如針對天氣預報App,車輛就不適合每分鐘傳輸資料,而應該設置更合理的傳輸間隔時間。
四、傳輸給第三方的注意事項
車聯網在傳輸資料給第三方前,建議事先向駕駛或乘客等資料主體進行告知,再取得同意。至於告知的方式,考量到告知內容繁多,歐盟也建議先針對重點事項進行告知,例如蒐集者的身分、蒐集的目的、接收者身分、當事人的權利以及其他可能突襲當事人的資料使用方式等資訊,屬於必須重點告知的事項,應該可以讓駕駛人及乘客清楚瞭解。在個資傳輸過程中,也建議採用匿名化或假名化措施,以降低隱私侵害的風險。歐盟再次提醒,如果個資傳輸到非歐盟國時,必須確認接收者是否符合個資跨境傳輸的要求。
我國主管機關目前尚未頒佈類似歐盟指引之規範,但我國廠商作爲重要的電子與車用零件供應鏈,在產品外銷導向趨勢下,在設備與服務的設計時,如先行考慮產品使用地法規範的需求,或可提升產品之競爭力。此外,就我國隱私權法規立法沿革觀之,歐盟法規往往爲我國主管機關參考之重要依據,是以,國內車聯網相關業者若可參考歐盟規範,提前部署,不僅可提升消費者隱私權之保障,取得消費者對其產品之信任,同時亦可降低未來政府強化車聯網隱私保障法令時所產生之衝擊。