对企业而言,首先要保证个人信息真实、准确和完整,同时还要尊重用户个人信息权益。
一份行驶数据,将近期沸沸扬扬的上海车展特斯拉女车主维权事件推向高潮。
4月22日晚间,特斯拉向《中国市场监管报》提供了河南“刹车失灵”事故前的原始数据。
在被释放当天(4月25日)深夜,涉事人张女士就对特斯拉提供的数据提出了质疑,并发布微博称:“关于22号特斯拉公布的数据,以及特斯拉发到我邮箱的数据,我认为这并不是我车辆的原始数据,请特斯拉公布数据来源、提取方式、制作方式及筛选原则。”
对于张女士的要求,特斯拉至今并未给出明确回复。
中共中央党校(国家行政学院)政法教研部教授张效羽认为,这次特斯拉存在两个问题,第一,郑州市场监管局在进行调查时,没有及时提供相关数据;第二,擅自向社会公开消费者行车数据。
对公众而言,质疑的一个焦点在于,特斯拉应如何证明自己公布的数据真实性?
另一个焦点是,特斯拉在没有消费者授权的前提下,向媒体提供车主数据,等于间接公开,做法是否恰当?
第三点往往最易被忽视:就此事而言,消费者是否有权要求企业提供原始数据?
01
数据是否真实?
在4月22日随数据一并公布的声明中,特斯拉描述了涉事车辆发生事故前的时速、制动主缸压力、驾驶员作出相应反应的具体时间等信息:
“在驾驶员最后一次踩下制动踏板时,数据显示,车辆时速为118.5千米每小时。在驾驶员踩下制动踏板后的2.7秒内,最大制动主缸压力仅为45.9bar,之后驾驶员加大踩下制动踏板的幅度,制动主缸压力达到了92.7bar,紧接着前撞预警及自动紧急制动功能启动(最大制动主缸压力达到了140.7bar)并发挥了作用,减轻了碰撞的幅度,ABS作用之后的1.8秒,系统记录了碰撞的发生。驾驶员踩下制动踏板后,车速持续降低,发生碰撞前,车速降低至48.5千米每小时。”
但这样一份描述,连带那份受到质疑的数据表格,是否能够在法律中定义为“数据”呢?
对外经济贸易大学数字经济与法律创新研究中心执行主任许可给出了否定回答。
“事实上,不论特斯拉提供的这份文件,都应属‘个人信息’而非‘数据’。”许可解释,就此案而言,法律意义上的“数据”应被定义为行驶过程中产生的的原始及其衍生的物理符号组合。数据一个特征是,能且仅能被机器读写。
而根据新版《个人信息保护法(草案)》的定义,个人信息是以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
“信息一定是能被人读懂的。”许可表示,信息是对原始数据再加工后的成果,它永远存在被转换甚至伪造的可能。很难证明其真实完整性。
事实上,对特斯拉提供数据的真实性,有人也早已提出质疑。
4月23日下午,特斯拉方面回应,相关行车数据采用加密技术记录,无法直接读取、修改或是删除。
但一位不愿具名的数据安全工程师对《财经》(博客,微博)E法表示,特斯拉的说法“完全是在说谎”。他指出,特斯拉公布的并非原始数据,“因为原始数据都是由‘0’或‘1’组成的二进制,普通人是看不懂的”。此外,特斯拉承认对自身数据加密,那么也一定存在解密算法,这意味着特斯拉拥有对自身数据库进行修改的能力,“但技术上很简单”。
换句话说,二进制的原始数据即使被修改,也会难以避免地留下修改记录;但此次特斯拉提供的信息则很难“自证清白”:无论是“车辆时速118.5千米每小时”还是“驾驶员踩下制动踏板后2.7秒内,最大制动主缸压力仅为45.9bar”等数字和描述,都是在原始数据进行再次转换“翻译”后形成的,无法证明自己“未经篡改”。
特斯拉提供的所谓“数据”未必真实,甚至其本身连数据都算不上,只能被当做“经过加工的个人信息”,只有提供原始的二进制数据,在法律上才更可靠。
02
数据究竟是谁的?
要回答特斯拉公开数据是否恰当,以及车主是否有权要求特斯拉提供原始数据这两个问题前,需要先厘清一个关键概念——个人行驶数据的所有权究竟属于谁?
西南财经大学金融学院数字经济研究中心主任陈文对《财经》E法表示,通常而言,个人数据信息的所有权归属个人,但实际操作中界定权属存在难度:一是个人数据信息存在存储成本,企业或者运营方往往出于商业价值的考虑,会存储有价值的数据,而这些数据又构成了企业的“核心资产”的有机组成部分;二是个人数据具有社会网络的属性,尤其是在互联网时代更为突出,个人的数据跟其他人的数据往往交融在一起,如果将数据完全划归某个人,可能存在侵犯他人数据隐私权之嫌。
陈文强调,在这个案例中,车主要求特斯拉提供自己的行车数据,是一个正当的请求,与用户要求银行提供银行卡消费记录类似。
中国社会科学院大学互联网法治研究中心执行主任刘晓春则认为,《民法典》第1037条规定,个人可以向信息处理者查阅或复制个人信息。具体实现方式虽要看双方约定,但原则上应该保障用户的这个权利。
许可则认为,通过事先法定的方式确定权利边界和内容,在世界范围内“都是一个难题”,并未形成共识。
为什么这样说呢?
这是因为,数据往往是多元主体和多元利益的结合。如对消费者而言,数据中有司机驾乘方面的个人信息;对特斯拉而言,则可能包含其为了维护汽车运行安全、提升自动驾驶效能而搜集的大量数据;对政府而言,汽车在行驶过程中还收集的路面及周边地图、道路等信息。
“也正是因为这种特性,只是简单地说数据归属于谁,并没有办法解决多元利益冲突。”许可强调,即使确定权属,也不能解决权利的内容问题,更不能区分出权利冲突时何方更应当受到保护。
学者们普遍认为,个人信息所有权理所当然归属个人。但问题在于,特斯拉事件中的数据问题涉及到多元主体的多元利益。即使确定了各自权属,“谁的权利优先级更高”这种关键问题也没有得到回答。
也许,关键问题并不在于数据的归属,而在如何行使权利。
03
消费者与企业的数据边界在哪?
另一个问题也随之而来:在行使权利时,消费者“要求企业提供”信息的行为和企业保护自身信息的权利是否存在边界?
在特斯拉事件中,问题集中在消费者和企业对于产品责任的争论上。许可认为,鉴于特斯拉汽车的产品结构和技术原理复杂,消费者显然没有足够的知识和技术条件来证明汽车存在缺陷,对此应按照推定的一般原则,如果厂商无法证明自身提供的产品没有缺陷,那么就应推定缺陷客观存在。
许可分析,“所以对特斯拉来说,如果证明不了自己没有缺陷,那就要承担相应责任——当然,特斯拉没有必须提供原始数据的义务,但如果不提供,就有可能要承担败诉的后果和责任。”
对于消费者来说,特斯拉在其行驶过程中收集其信息是已知事实。具体到此次事件而言,由于特斯拉已知张女士是特定自然人,与特定自然人相关的行车记录等当然都属用户信息。基于用户对其信息的查询权、复制权、删除权,他们有权利要求特斯拉提供相关信息。
但提供信息,并不意味着特斯拉就有义务提供可能被认定为“商业机密”的相关原始数据。
而正如前所述,只有原始数据才可能保证自身的真实完整性。
那作为消费者,应该怎么办呢?
许可建议,虽然消费者不能直接针对原始数据要求权利,但鉴于其可以对信息产生主张权利,那么就应当试图将对信息的权利延伸到原始数据上。
“当怀疑你提供的信息不真实时,我可以要求你自证你提供的信息是真实的。基于这个原则,我可以要求你提供原始数据。”许可解释,基于《民法典》和《个人信息保护法(草案)》,个人有权查询企业收集的与自身相关的信息,并且,企业还有义务保证所处理个人信息的准确性,若个人对信息真实性有异议,则可以将自身对个人信息的权利自然延伸到原始数据上。
“消费者可以把举证的责任转移到特斯拉一方。这样一来,为了证明他们公布信息的真实性,就必须提供原始数据。”许可总结。
对于特斯拉未经允许公开车辆行驶信息的行为,许可认为不妥:“尽管相关信息不属于隐私,但依然受到法律保护。企业可以交给监管机构调查,或交给当事人,也可以交给第三方鉴定机构。但公开确实欠考虑。无论在现行《个人信息保护法(草案)》还是《民法典》中,公开个人信息必须经过当事人同意。”
张效羽也认为,汽车用户形成的数据信息属于个人隐私,企业未经法定程序、没有法定依据、没有消费个人同意,不能擅自向社会公开。他指出,在政府机关进行相关事故调查的时候,企业根据法律、法规的规定,可以提供数据给政府有关部门。政府有关部门也有义务对收到数据进行保密,仅用于事故调查。
04
企业应高度重视数据确权问题
多位学者指出,特斯拉维权事件,也给企业敲了警钟。
“比如,有些车企虽然一直在提车联网概念,但考虑的更多是怎么去利用新技术变现,对随之而来的责任和义务缺乏完整概念。”上海一位不愿透露姓名的车企工程师对《财经》E法表示。
刘晓春认为,个人信息权益保护已有法律上的依据,而企业数据权利还没有一般性规则,目前首先还是看合同约定,“约定不合理的地方才有法律介入的空间”。
刘晓春进一步表示,政府向企业要求提供数据应遵循相应规则依法安排,而特斯拉公开数据“的确有点欠考虑”,但未必是它缺乏数据管理意识,“也有可能是它为了应对公众舆论作出的主动选择”。
“数据在私营企业手上都会存在一些出于各种利益不愿意分享的问题。因此,部分数据也应该纳入公共管理部门。这一是便于更为高效的管理,二是为了代表公众利益,充分盘活数据价值。”陈文说。
对此,陈文举例称,比如车辆部分数据可以与交通部门共享,由政府介入将部分市场运营形成的数据成为公共数据,面向全社会提供有条件的个人数据查询服务,以及脱敏后的相关数据应用。
许可表示,在产业互联网发展的大背景下,所有企业都在进行数字化转型。类似传统的车企或那些被认为与“数据和个人信息”没有关系的企业,也应当高度重视个人信息。
“特斯拉截止到目前的表现,可以说缺乏最基本的法律的思维,也不具备起码的个人信息保护思维。”许可称。
许可认为,对企业而言,首先要保证个人信息真实、准确和完整,同时还要尊重用户个人信息权益。而这一点,被相当一部分企业忽略。这些企业只看到数字化转型中数据的价值,忽视了数据化转型背后的潜在风险。
“这件事,希望能给那些正数字化转型的企业敲一回警钟,”许可总结,“对它们来说,只卖产品的年代一去不复返了。他们未来将不可避免的进行个人信息的搜集整理,与‘新概念’打交道。因此,对个人信息的保护必须被高度重视。
(马金露 HF120)