上海市消保委：车企收集个人信息应保持“边界感”

“上海市消保委”微信号2日发文称，车企收集个人信息应保持“边界感”。

上海市消保委汽车专业办介绍，近日，上海闵行区消保委与上海市消保委汽车专业办接到消费者李先生投诉：车机系统更新后，手机app中的新功能可以更新显示其行驶路径和相关车辆信息，但该功能默认开启无法关闭，认为企业未经其允许收集个人信息，要求关闭相关数据收集功能。

由于涉及汽车数据安全，上海闵行区消保委与汽车办高度重视，第一时间联系消费者了解车企手机端口收集的信息类别及内容，核实相关情况，并反馈车辆生产厂家。

据介绍，根据消费者提供的车机数据材料，该功能主要显示的数据类别为行驶数据，包括行踪轨迹、车辆操控数据、车辆工况数据、车辆行驶数据等信息。

上海市消保委汽车专业办进一步核验发现行驶轨迹并未涉及具体定位信息。经协调沟通，车辆生产厂家表示收到消费者的反馈后，已及时升级更新OTA，在手机端授权车主自主开启或关闭该功能。

对于上述投诉案中，双方争议在于显示的相关数据是否涉及个人隐私。上海市消保委汽车专业办表示，判断是否属于个人信息的标准是“可识别性”，即通过该数据是否可能找到特定个人。根据《个人信息安全规范》(GB/T35273-2020)，判定某项信息是否属于个人信息，应考虑以下两条路径：

一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人;

二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。数据经过差分隐私算法、匿名算法等处理，使个人信息主体无法被识别且不能被复原之后，这部分数据便不再属于个人信息。

就本案消费者提供的行踪轨迹、车辆操控数据、车辆工况数据、车辆行驶数据等信息来看，虽然信息关联到自然人，但经过匿名算法等处理后，数据已无法关联到特定自然人。

同时，上海市消保委汽车专业办认为，汽车企业要切实履行数据安全保护义务，保障数据安全，遵守2021年《汽车数据安全管理若干规定(试行)》，在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，做好网络安全自查、数据安全监督和治理，做好相应的管理，确保消费者的合法权益不受侵害。

另外，消费者要提高对“数据安全”重要性的认识，遇到企业收集使用自身数据信息时，应注意其是否尽到告知、征得同意、做好数据处理的匿名化脱敏，遇到问题一定要及时反馈，因为消费者也扮演着产品监督的角色。