網上投稿
2022年5月19日,江蘇省消保委發布了《新能源汽車行業不公平格式條款調查報告》(下稱“《調查報告》”),該報告選取了市場上具有一定知名度和影響力的14家新能源汽車企業的隱私政策、用戶協議等文本,從消費者權益保護角度一共梳理了十個方面的“不公平格式條款”問題,將汽車企業的目光聚焦到格式條款的合規問題上。本文擬就《調查報告》中公布的幾個問題進行簡要分析,結合我們在該領域的過往經驗,從消費者權益保護視角審視數據合規問題,并為車聯網企業提供整改的思路和建議,供各同行討論及參考。
民法典規定,“采用格式條款訂立合同的,提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務。”該條款確定了格式條款應當遵循公平原則的基本理念。市面上較多汽車企業在用戶協議、隱私政策這類文件中為了業務的便利而設置了相對嚴格的格式條款,也帶來了企業數據合規的問題。
一、格式條款文本篇幅長的問題
江蘇省消保委指出部分車企的用戶協議及隱私政策的文本字數較多、篇幅較長、協議種類較多,不利于實現消費實質公平。而隱私政策的文本是為了向用戶充分告知企業如何處理和管理用戶的個人信息,部分企業因業務龐雜,其業務場景、個人信息處理情況的內容也相對較多,企業在力求精簡文本的同時也不可避免出現文本字數較多的情況。
為更清晰地向用戶展示個人信息的處理情況,部分企業開始在向用戶提供隱私政策的同時在其APP上顯示簡化版的隱私政策。我們建議,企業也可以參考工信部《關于開展信息通信服務感知提升行動的通知》(即“524行動”)中提出的“雙清單”要求,一是“已收集個人信息清單”和“第三方共享信息清單”確實可以較為清晰地向用戶展示企業的數據處理情況,二是,“雙清單”目前雖然是僅針對部分互聯網大廠提出的要求,但可能會成為大型數據處理者的合規趨勢,企業可以提前進行規劃布局。
二、消費者權益保護問題
(一)協議主體不明確
《調查報告》首先指出的問題是協議主體不明確的問題。除民法典的規定外,在《個人信息保護法》中也規定了,個人信息處理者在處理個人信息前,應當向個人告知個人信息處理者的名稱或者名字和聯系方式等內容。對于在用戶協議或隱私政策中尚未向用戶完整披露名稱和聯系方式的企業需要及時完成文本修訂,補充缺失信息。
而《調查報告》也提出很多企業采用了“參與服務的關聯企業或第三方”的表述,使用戶無法準確知曉協議的具體交易對象。對于很多企業而言,實踐中確實存在多個主體為用戶提供服務、多個主體處理個人信息的情形,我們建議,企業首先應厘清業務中多個主體之間的合作方式,與關聯企業之間是共同處理者的關系還是數據共享(對外提供)的關系,與第三方之間是數據共享(對外提供)的關系還是委托處理的關系。在厘清法律關系的性質后,對應不同行為的合規要求,履行相應的合規義務,包括充分向用戶告知每個交易對象的主體名稱等。
(二)侵害消費者自主選擇權和公平交易權
江蘇省消保委在《調查報告》中指出,車企單方無限制修改協議的條款侵害了消費者的自主選擇權和公平交易權,企業在用戶協議中設置了企業可單方面修改、更新協議的權利,同時免除單獨通知消費者的義務,而為用戶設置了自行關注協議更新的義務,且采用了默示同意的方式獲取用戶的同意。在該條款的設置上,用戶被設置不公平條款而處于弱勢地位。
其實部分企業在設置此類條款時更多是為了方便開展業務的考量,然而企業也應當重視協議修改更新后可能對用戶權益產生的影響。因此,我們建議,企業可以在用戶協議更新后通過“彈窗”等方式通知用戶并提示用戶注意變更的內容,且更新后的協議應當重新獲取用戶的同意。當涉及到重大權益變更的時候,如產品價格的調整等,企業可以提前向用戶發布公告,由用戶自行選擇是否接受變更后的條件。同時,企業也可以增加用戶意見反饋渠道,接受用戶的投訴建議并及時給予反饋,這也是促進業務良性發展的途徑之一。
(三)網絡安全漏洞過度免責
江蘇消保委還指出車企在提供網絡服務過程中,設置了較為寬泛的網絡安全漏洞的免責條款。因《網絡安全法》《數據安全法》中對企業提出了在網絡安全等級保護制度的基礎上,履行數據安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。那么企業在用戶協議中為自己設置較為寬泛的網絡安全漏洞的免責條款,實則免除了企業根據法律規定應當履行的網絡數據安全保障義務。當然,由于技術發展的限制問題,企業確實無法防范所有的計算機病毒或網絡攻擊,因此,我們建議,企業更應加強風險監測,發現數據安全缺陷、漏洞等風險時,立即采取補救措施。而車企和車聯網服務平臺運營企業可能會構成關鍵信息基礎設施的經營者,那么相應地,經營關鍵信息基礎設施的企業應當設置網絡安全監測預警制度以及網絡安全事件應急預案,通過技術配套制度履行網絡數據安全保障義務。
三、消費者個人信息保護合規問題
江蘇消保委在《調查報告》中也反饋了消費者個人信息保護中存在的問題,問題聚焦在個人信息的收集、使用、提供(共享)、跨境提供以及用戶權利的響應等方面。結合我們為車企提供數據合規服務的實踐經驗,這類問題確實是現階段企業在個人信息保護合規中存在的重點和難點問題。
(一)個人信息的收集
《調查報告》提到智能網聯汽車的個人信息默認不收集原則,《汽車數據安全管理若干規定(試行)》中提出的默認不收集原則是指除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態。而車企不收集特定的汽車數據則無法實現諸如自動駕駛、輔助駕駛等功能,這就要求企業進一步完善駕駛人的授權機制,在具體的場景中合理適當地設置駕駛人自主設定流程以完成授權。
收集個人信息必要性原則要求企業進一步審視收集的每一項個人信息種類是否都滿足最小必要的原則,是否與收集目的直接相關,是否對個人權益影響最小。尤其在收集用戶的敏感個人信息時,還需要向用戶告知處理該敏感個人信息的必要性以及對個人權益的影響。
(二)個人信息的使用
數據的價值也體現在對數據的二次開發利用上,企業收集個人信息后除用于業務開展中,也希望通過對數據進行分析加工,更多地發揮數據的價值,再通過改進服務從而改善用戶體驗,促進業務的良性發展。此外,企業也可以通過對用戶進行定向營銷開展推廣活動。這里面存在的合規風險是,在進行個人信息的分析時企業有沒有做到個人信息的匿名化處理,對于無法滿足匿名化要求的企業來說,分析加工個人信息的行為應當事先向用戶披露并取得用戶的同意。而企業通過對個人信息的分析形成用戶畫像,并進行用戶個性化推薦、定向營銷和推廣時涉及到自動化決策的問題,企業不得設置不合理的差別待遇,如“大數據殺熟”,或者為用戶提供拒絕個性化推薦、拒絕定向營銷推廣的途徑,且該途徑應是便捷、可實現的。
(三)單獨同意的特殊場景
《個人信息保護法》對個人信息提供(共享)、公開、處理敏感個人信息、個人信息出境等場景規定了單獨同意的要求。對于此類場景,企業如在隱私政策中通過一攬子的方式獲取同意顯然是不符合合規要求的。因此,我們建議,企業應當對單獨同意的場景進行梳理,針對具體的場景來設計滿足合規要求的處理方式。
(四)刪除權的響應
在個人權利的響應方面,江蘇省消保委著重關注了刪除個人信息的響應問題。在《汽車數據安全管理若干規定(試行)》中規定了個人要求刪除敏感個人信息的,汽車數據處理者應當在十個工作日內刪除。車企應當注意到該規定中提出的特殊要求,以避免出現合規風險。
然而企業在響應用戶的刪除權時也面臨著平衡企業權益的實際問題,如用戶“薅羊毛”行為,利用刪除權不斷地參與新用戶活動,或者用戶在與企業之間面臨仲裁訴訟的風險時向企業提出刪除權要求等。因此,我們建議,企業應在響應用戶刪除權的同時也需要在維護企業利益中尋找一個平衡點。目前的法律規定中暫未對此進行規定,《個人信息保護法》第四十七條第二款規定目前也無法適用于前述場景。我們認為,企業可以在用戶提出刪除權的響應過程中,與用戶進行公平合理的約定,達成用戶與企業之間關于實現刪除權的協議,在響應用戶刪除權的同時平衡企業的合理利益。
四、總結
我們理解江蘇省消保委出具的《調查報告》是針對車企協議中格式條款的合規情況做的一個摸底調查,部分問題也存在一定的爭議,如在約定查詢回復的響應過長的問題上,消保委引用的《信息安全技術網聯汽車采集數據的安全要求(草案)》能否直接適用該場景存在一定的探討空間。我們期待,江蘇省消保委在下一步與被調查車企開展約談,督促被調查車企進行整改的過程中,能給市面上企業的格式條款的合規整改提供切實可行的整改方向。
滬公網安備 31010402007129號
