董佳乐|论自动驾驶汽车个人数据的利用与保护:以场景区分为中心

适用个人数据保护规范的前提是厘清“个人数据”的含义。典型立法例通常采用弹性化表述加以界定。依据我国《个人信息保护法》规定，个人数据是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种数据，不包括匿名化处理后的数据。在汽车领域，该“自然人”包括车主、驾驶人、乘车人、车外人员等主体。“与已识别或者可识别的自然人有关”这一限定，揭示了数据与特定个人的双向关联路径，但基于以下理由，其在具体场景中的含义仍然显得过于模糊。

一方面，数据的复杂性使“个人数据”与“非个人数据”的界限不清。在自动驾驶汽车场景中，数据主要围绕人与车产生，算法驱动的常态化采集使其具有种类多、来源广的复杂性特征。其中包括用户姓名、手机号、身份证号、行踪轨迹等明确关联个人的数据，也包括车辆运行参数、控制器信息、标识码等功能运行数据。前者的法律属性毋庸置疑，后者则不无疑问。此类以车辆为对象收集或衍生的数据，理论上仅能识别到特定车辆，但自动驾驶技术在人车感知、决策与通信等方面的高度协同，意味着这些数据的汇聚足以具备定位特定个人的可能。这就对自动驾驶汽车场景中的个人数据界定提出了如下关键问题：其一，哪些功能运行数据能够指向特定车辆？其二，若能识别到特定车辆，是否必然意味着能够识别到特定个人？其三，应当依据何种标准判断哪些数据具备识别到特定个人的能力？

另一方面，技术发展加剧了匿名化数据被重新识别的风险，进一步模糊了个人数据的识别边界。匿名化要求数据经处理后达到不可识别且不可复原的状态，但现行的数据匿名规则存在标准不明、目的不清、可执行性弱等问题，其实践效果存疑。且即便可暂时实现匿名化，随着识别技术的演进与新数据的聚合，去匿名化风险仍然存在。因此，完满的匿名化状态更多只是一种理论假定。出于数据可能被重新关联的担忧，有必要反思匿名化即排除保护这一规则的合理性与周延性。数据脱敏到何种程度可以被认定为“匿名”？又应如何通过制度设计弥补个人数据概念的固有缺陷？

　　自动驾驶汽车个人数据识别边界不清，容易导致数据被过度获取，发生类似于2022年滴滴公司过度收集用户信息的不良事件。而且，也无法准确判断应被纳入保护范围的数据类型，出现类似于余某诉北京酷车易美网络科技有限公司的隐私权争议纠纷。前者不利于数据保护，后者不利于数据合理利用。尽管因技术快速发展、数据类型持续扩张，客观上完全消除概念的模糊性确有难度，但尽早在制度层面减少概念的模糊性，还是能够弥合用户与数据控制者在数据保护范围上的理解差异，降低数据采集的合规成本，减少数据处理与利用的顾虑，从而更好平衡数据安全与利用效率之间的关系。

近年来，知情同意的异化一直是学界关注的焦点。数据的密集收集、频繁处理和多方共享增加了获取有效同意的难度与成本；“全有全无”式告知框架带来的捆绑效应，使信息自决渐趋虚化；脱离实际的理性人假设以及用户的认知局限持续削弱同意质量，知情同意制度本身的结构性问题，与数据主体的认知悖论共同导向了一个被异化的结果。对此，学界提出了多种改良方案，甚至有观点主张放弃将同意视为个人数据处理的正当性基础。

　　在自动驾驶汽车场景中，上述问题则更为突出：技术的高度专业性加剧了企业与用户之间的信息鸿沟，复杂冗长的隐私条款难以对不同文化水平的用户实现有效告知，同意的作出已经基本异化为一种使用即同意的默示机制。除此之外，同意规则在自动驾驶汽车场景中还面临两个特有挑战。一是多主体同意困境。车辆在运行过程中往往涉及车主、驾驶人、乘车人、车外人员等众多数据主体，但并非所有人都能够提前阅读隐私政策或用户协议并给出有效同意。二是实时数据处理与交通安全的冲突。无论是单车智能还是车路协同，自动驾驶汽车都必须依赖网络系统实时进行数据收集、交互与分析，以维持基本功能。但驾驶过程中状况多变，紧急情况也偶有发生，期待用户在每个环节都作出完全自主的选择，几乎不可能。任何要求中断连接以等待获得深思熟虑后作出的同意都可能危及交通安全。因此，要求获取真正同意是极端困难的。要兼顾个体核心利益与公共安全诉求，无疑对同意规则的落实提出了更高要求。

因此，需要回应的关键问题是：同意是否仍应作为处理个人数据的必要前提？是否应当限定以及如何限定同意的例外情形？如何高效实现数据主体的有效同意？当无法取得同意时，数据处理的合法性基础何在？如何调适同意规则与其他数据处理原则、规则之间的关系？要破解以上问题，应当更新理论认知，针对自动驾驶汽车场景化、差异化的数据处理需求，引入更具适配性的法律规范，重构数据利用与保护之间的制度性平衡。

2016年，欧盟协作式智能交通系统（C-ITS）的研究报告将协作感知数据（用于传输关键的车辆状态数据，例如车辆的速度、位置、方向灯以及交通系统状态）和分散环境通知数据（用于道路危险预警应用）列入了个人数据的范畴，认为这两种数据均具备间接识别到自然人的潜在可能。同年，德国汽车工业协会与德国联邦及地区独立数据保护机构委员会联合发布的《联网及非联网汽车使用的数据保护问题》也指出，若自动驾驶汽车运行中产生的数据可以关联到车辆标识码或者车牌，则属于个人数据。以上对个人数据范围的界定均较为严格，特别是在间接识别性的标准判定上，强调一种更紧密的关联性。虽然也只是潜在的可能性，但数据主体与车辆之间的连接距离实际上更近，要求不仅能够定位至特定车辆，而且会对用户的行为或权益产生影响。

　　根据对域外经验的探索可知，自动驾驶汽车的部分功能运行数据同样具有读取时识别到特定个人的可能。特别是与位置有关的类型，基本都被纳入规制范围。归纳来看，判断的标准就回到了自动驾驶汽车场景中数据产生的两个中心点——人与车之间“连接距离”所体现的可识别性关联强度。具体而言，可从如下四个方面展开认定。

　　其一，直接源于个人生物特征或行为的数据，因与特定个人存在直接对应关系，具备唯一识别性，因而当然地构成个人数据。例如面部、指纹数据，车内视频监测数据等。

　　其二，对于特定车辆与特定个人之间存在较为紧密、稳定的对应关系，由人与车交互产生的数据，因存在连接上的直接性、稳定性，若能识别到特定车辆，就具有特定个人的间接识别性，因而属于个人数据。例如行驶路线、即时地理位置等。

　　其三，对于仅源于车辆的数据，不当然由载体可识别性导向主体可识别性，必须要求具体场景中人车之间的连接是直接、稳定且必要的。例如，生产商收集车辆的维修记录等数据用于自动驾驶系统缺陷预警，虽可关联至特定车辆，但无从直接反映特定个人的活动情况，且处理目的限于系统状态监控，与个人的身份、行为无涉，不宜认定为个人数据。但是，保险公司为制定个性化的保险费率，收集轮胎磨损系数、新能源车辆的电池健康度等数据，并结合保单号、驾驶时间等其他资料进行关联分析，足以形成指向特定个人的驾驶习惯、驾驶风险特征。此时，这些车辆数据才有可能属于个人数据。在认定时，一是要考虑不同类型的车辆数据单独识别到特定个人的可能性；二是判断特定场景中数据结合起来识别到特定个人的可能性，分析一般理性人在实现数据处理目的时会综合考虑的行为成本，比如技术门槛、其他数据来源、经济成本、还原时间等；三是以目的必要性作为补充，若数据处理仅为实现自动驾驶系统的基础安全功能（如碰撞预警），对于连接的评价应趋严格，若为提升用户体验、舒适度或提供其他增值服务，则应适度宽松评价连接的直接性、稳定性、必要性。

　　其四，无法识别到具体车辆的数据，例如道路、天气等方面的数据，不属于个人数据。

敏感个人数据的归入标准也应大体遵循如上判断路径。在此基础上，对敏感性的判断应考量以下因素：一是特别关注主体的某些特定数据，即《个人信息保护法》第28条第1款所列举的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等数据以及不满十四周岁的未成年人的个人数据；二是数据类型对数据主体人格尊严或者人身、财产安全的影响程度；三是我国本土化因素的影响，例如文化传统、社会普遍价值观、法律传统、风俗习惯等；四是数据处理目的与场景目的之间的一致性。第四点也是判断个人数据是否具有敏感性的最终择出标准。已形成的共识是，个人数据保护规范的目的并非禁止数据流通，而在于追求在合法、合理且必要的场景中，实现平衡维护数据安全与促进数据合理利用的社会秩序。这种符合社会公众利益且为一般人所共同认可的场景目的，构成敏感性判断的最后防线。也就是说，即使某个数据依据前述标准被初步界定为敏感个人数据，但当特定场景中的处理目的符合该场景的内在目的与价值时，就应将其视为一般个人数据，适用相应的规范要求。而这种目的和价值多表现为对安全的保证。

数据匿名化技术的初衷在于，在降低公民隐私泄露风险的同时，促进数据流通与价值挖掘。但受制于技术局限性，匿名化数据仍然存在重新识别到特定个人的风险。为此，应当建立相对客观且可执行的匿名化审查标准，这就涉及对个人数据择出标准的完善。欧盟采用的“合理可能标准”能够在一定程度上给予启发。

　　欧盟《通用数据保护条例》序言提出，在综合考量识别成本、所需时间、数据控制者单独识别能力以及当时技术水平等客观因素之后，如果包括数据控制者及第三方在内的各主体穷尽所有合理可能的方法或手段，仍然无法直接或间接地识别数据主体，则可以认定该数据达到了匿名化标准。欧盟委员会内部咨询机构第29条数据保护工作组在《关于匿名化技术的意见》中规定，可识别性可从指向性、关联性、推断性三个维度展开判定，即能否从群体中指向相应主体，关联到与个人有关的信息，较为准确地推断出与个人对应的特征属性。欧盟的合理可能标准要求考虑所有客观因素来综合评估指向、关联与推断出特定个人的可能，相较于我国现行静态单一的判断标准，更具综合性、动态适应性，也更容易细化落实。有学者分析，这种审查框架亦是场景一致性理论的体现，已经认识到该理论与匿名化动态相对特征的适配性，以及对去匿名化风险评判与控制的重要性，因而选择采用更为灵活的用语尽力弥合理想与现实间的距离。

　　不过，合理可能标准没能很好回应当前大数据分析技术催生的群体隐私问题。已有研究揭示，即便匿名化技术可以阻断对特定个人的再识别，也无法避免在横向群体关系层面对个人隐私的算法析出。这是一种基于群体形态的新型隐私侵权路径，用户画像即为典型例证。在自动驾驶汽车场景中，即便对个人数据作了匿名化处理，算法也可以利用其他与个人身份无关的数据而对用户进行群体划分，通过聚合归纳出特定群体的行为模式、习惯甚至敏感关联，进行身份建构和未来行为的识别预测。例如，对某科技园区内大量自动驾驶汽车数据的收集分析，可以描绘该区域车辆整体的通勤高峰、常访地点分布，推断出该区域内特定职业人群的集体加班文化、社交偏好或者消费水平。此类群体画像虽不直接对应具体个人，却可能使部分用户作为群体成员，因共享的标签化特征而面临歧视性或营销服务。

　　在商业实践中，这种基于用户标签构建的数字业务，为市场需求分析、个性化推荐服务等追求经济效益的行为提供前提。有学者指出，具备一定经济价值的数据集合必然包括自然人一定数量的身份属性值，而数个属性点的组合又可能识别到特定个人。尽管如此，对匿名化数据再识别风险的预防却并不要求消除任何再识别的可能。因为基于场景一致性理论对个人数据安全与利用之间动态平衡的要求，法律对数据处理行为的干涉须存在界限，至少应当保留数据控制者实现基本经济价值的空间。完全禁止群体层面的数据价值挖掘会抑制技术创新与合理的商业利用。因此，在引入合理可能标准时，应进一步将“可识别”的对象扩展至特定个人以及与特定个人显著相关的群体关系两个层面，要求数据控制者采取所有合理可能的方法或手段，确保无法识别到特定个人以及与之显著关联的群体关系。而判断是否构成显著关联，应当结合数据处理的场景目的（如商业位置服务、公共安全监控）、所涉群体特征的敏感程度（如健康状况、宗教信仰或兴趣爱好、一般消费习惯）以及群体成员的合理隐私期待（如在私人社区、医疗机构周边的行驶数据应享有更高的保护期待），进行动态评估。即便判定为非显著关联，对群体画像的结论也应当建立严格的授权与使用限制机制，将群体隐私风险控制在与特定场景目的相符且社会可接受的范围之内。

进一步而言，还应当结合场景一致性理论对行为主体、数据属性及传输原则三要素的阐述，提炼更具体的参考指标。一是，在行为主体方面，应考察数据控制者是否建立匿名化数据的定期评估、安全审计等风险防控规范和内部管理制度；数据主体是否事前对匿名化后风险明确表示同意；技术处理者是否依靠可信第三方执行匿名化并隔离原始数据，是否预判并消除了任何其他意图再识别的第三方成功去匿名化的可能。二是，在数据属性方面，应关注个人数据的体量、规模、处理技术以及具体用途对匿名化风险程度的影响。三是，在传输原则方面，应审视数据控制者是否在传输过程中采取了非公开方式，数据是否具有二次流转的可能，二次流转是否受到合同条款等约定的限制。这些辅助指标是对合理可能标准的进一步细化落实，应纳入匿名化数据的审查框架中一并考虑。对于不符合匿名化标准的部分数据，仍要适用个人数据保护的基本规范。

　　自动驾驶汽车个人数据范围的归入与择出，具有弹性、发展的特征。匿名化也不意味着免除数据控制者的合规义务。随着技术的不断发展，各类数据关联或定位到特定个人的可能性越来越大，数据控制者的保护义务也应随之增强，通过践行“数据保护设计和默认数据保护”（Data Protection by Design and by Default, DPbDD），能够在技术可能的范围内最大限度地实现个人数据规制目标。

当下对知情同意困境的分析多集中于同意作出的有效性，却相对忽视了知情这一有效同意的前提问题。破解知情困境因此成为革新的首要路径。

在告知内容上，《个人信息保护法》第17条第1款、第30条及《汽车数据安全管理若干规定（试行）》第7条要求数据控制者告知个人数据处理种类、具体收集情境及停止收集的方式和途径，处理目的、用途、方式，以及数据保存地点与期限等事项。处理敏感个人数据的，还应当告知处理的必要性以及对个人权益的影响。但这些内容的涵盖范围还较为狭窄，很多数据处理过程中的关键信息并未得到强调，例如数据控制者的身份、数据主体享有撤回同意、选择退出的权利，以及是否会用于自动化决策等。有必要对此予以完善。当然，也要警惕走向另一极端，认为告知事项越多越好。过度堆砌专业术语反而会加剧用户的理解负担，导致同意疲劳。数据控制者应当秉持诚信原则，针对不同告知对象，差异化呈现核心事项，务求具体、清晰，且不遗漏可能实质影响个人同意与否的重要内容。

在告知形式上，前述规定要求数据控制者采取用户手册、车载显示面板等显著方式，以清晰易懂的语言真实、准确、完整地对所需告知的事项进行充分说明。考虑到自动驾驶汽车的隐私政策专业性强，数据控制者应当以一般人的认知水平为标准拟定文本，尽量避免冗长晦涩的表述。对于关键信息，应采取标注提醒或让用户摘抄等方式强化认知。对于专业术语，应提供弹窗、超链接等详细解释服务，强化告知的有效性。此外，可以考虑提炼简化版的隐私政策，与完整版一并展示给用户。但应注意，简化版不能单独作为履行告知义务的有效文件，仅是出于便利用户快速抓取核心信息的目的而出具。

　　另外，个人数据的处理利用是一个动态持续的过程，数据主体难以在事前就清晰准确地了解所有潜在风险。为此，应当建立长效信息披露机制，推行动态同意模式。数据控制者应当在个人数据收集、转换、存储、公开、使用等各阶段持续披露信息，通过即时提示的方式告知变更事项，并支持用户根据情境变化实时调整授权。在这种持续互动下，用户可以保留根据场景与风险变化随时修正、撤回同意或选择退出的权利。尽管《个人信息保护法》已对前述构想作了初步规定，但自动驾驶汽车场景中的配套规范仍有待完善。除此之外，数据控制者还应当构建起一个便利的、用户友好型的交流平台，以便为持续有效的信息披露和动态同意提供方便易行的技术通道。

自动驾驶汽车牵涉的数据主体多样，数据类型复杂，且具有即时性。为适应这些特征，同意规则的革新应当保有足够的弹性与包容度，以应对复杂场景中的多元需求。这也是基于场景一致性理论的必然要求，因为不同场景中个人数据利用与保护的平衡点各不相同，要在多大程度上适用同意规则以规制或鼓励数据处理行为，取决于所处的具体场景。结合《个人信息保护法》第13条的规定，可以构建以个人数据分级为基础、以其他合法性基础为例外、以不同数据主体偏好为补充的三阶层适用规则。

1.第一阶层：基于个人数据分级的基础规则

　　关于自动驾驶汽车个人数据的分级，尽管中央尚未出台正式的法律文件，地方和行业界却已作出不少尝试。综合《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》、行业标准《车联网信息服务 用户个人信息保护要求》（YD/T 3746—2020）及多个车企参编的自动驾驶汽车数据分类分级白皮书或指南等文件，应当根据个人数据泄露或滥用后对国家安全、公共利益、组织合法权益、个人人格尊严、人身及财产等方面的影响程度进行敏感性分级，具体划分为4个级别（见附表），并采用差异化同意规则。

核心级数据（4级）直接关系国家安全和社会公共利益，且对实现相关公共目的具有决定性作用。对此类数据的处理无需取得数据主体同意。例如，包含人脸信息、车牌信息等车外视频和图像数据，涉及车辆防碰撞（如碰撞预警、紧急刹车预警、车辆失控预警等）或交通应急信息发布中的相关数据等，都与实现公共交通的基本功能、在紧急情况下保护数据主体和其他公民的生命健康、财产安全密不可分。若仍将同意作为处理这类数据的前置性规则，不仅会增加公共管理成本，还可能因数据实时交互的延迟而危及交通安全。此时，数据处理行为的合法性基础应当为《个人信息保护法》第13条第1款第（三）项规定的“为履行法定职责或者法定义务所必需”、第（四）项规定的“紧急情况下为保护自然人的生命健康和财产安全所必需”。或者通过引入第（七）项“法律、行政法规规定的其他情形”，经由国家统一立法予以授权，其正当性源于数据主体的有限理性和风险的社会性，这意味着国家可以从公共利益的角度对法益保护施加具体标准，在一定程度上进行干预。不过，核心级数据的处理须严格贯彻目的限制原则，且豁免同意不等同于豁免告知义务，数据控制者仍应及时、有效地履行告知义务。

　　敏感级数据（3级）一旦泄露或者滥用，可能导致车主、驾驶人、乘车人、车外人员等数据主体的人身、财产安全受到严重或特别严重危害，因此适用强同意保护规则。一般而言，这类数据关涉到数据主体不愿为他人知晓的私密信息，在处理时要求其自愿、知情且明确，形式上须取得书面、单独的明示同意。

　　重要级数据（2级）一旦泄露或者滥用，可能会给车主、驾驶人、乘车人、车外人员等数据主体的合法权益带来负面影响，以及可能危害数据控制者在业务发展、技术进步、经济收入等方面的利益，应当适用次强同意保护规则。次强同意的实质与强同意相同，但在形式要件上仅要求概括的明示同意，是否需要取得书面同意可以结合处理目的、处理方式、保护措施等因素综合确定。

　　一般级数据（1级）泄露或者滥用后不会对个人和组织的合法权益、社会公共利益及国家安全造成不良影响，可以适用弱同意保护规则，即基于数据主体的默示同意进行处理。弱同意在我国实践中并不鲜见。指导性国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 28828—2012）第5.2.3条明确规定，个人数据主体的同意包括明示同意与默示同意，收集个人一般数据时，允许只获取默示同意。在司法实践中，也早有案例认可默示同意可以成为隐私权侵害的豁免理由。弱同意的规范结构正是建立在场景一致性理论的基础之上，要求在具体场景中结合数据处理目的、保护义务履行、风险评估等进行合理性判断，检验该数据处理行为是否正当、必要、合比例。

2.第二阶层：基于其他合法性基础的例外规则

　　第二阶层规则处理数据分级同意规则的例外情形，是《个人信息保护法》第13条中两项“无需取得个人同意”规定在自动驾驶汽车场景中的具体适用。质言之，即便数据属于第一阶层中的敏感级而要求书面、单独的明示同意，但只要符合该阶层中的如下两种例外情形之一者，即具有合法性基础，从而可以直接处理该个人数据。

　　第一，在未来自动驾驶汽车普遍投入运行之后，在第三方运营模式中，约车服务或者订阅服务可能会成为常态化的商业形态。由此，《个人信息保护法》第13条第1款第（二）项规定的“为订立、履行个人作为一方当事人的合同所必需”可能成为日后常被援用的合法性基础。不过，相比于知情同意，“履行合同所必需”只是立法者考虑到经济社会生活的复杂性及个人数据处理的不同情况所作的例外规定，其须受到目的限制原则的约束，例如数据处理者不得据此进行个性化营销。只有在为履行基于有效合同所生义务，且纯粹服务于数据主体合同利益的情形中，才能适用这一规则，例如增强行车安全、实现自动驾驶的功能等，且处理行为仍须符合比例原则。

　　第二，未来自动驾驶汽车相关立法的完善必然会强化数据控制者在数据保护方面的义务。这是因为，数据安全是自动驾驶汽车合格的基本条件，是其作为商品获得消费者认可的前提；而个人的有限理性与风险的社会性均要求政府干预数据治理，数据控制者作为具备技术能力的主体，在数据安全、隐私保护方面应尽主体责任，积极回应有关部门的监管要求。这意味着，尽管当前尚不存在，但从长远来看，《个人信息保护法》第13条第1款第（三）项规定的“为履行法定职责或者法定义务所必需”可能成为重要的合法性基础。不过，该合法性基础的产生应当通过立法来明确，并须特别考虑比例原则和目的限制原则的要求。

3.第三阶层：基于不同数据主体偏好的补充规则

　　补充规则包括概括同意等情形。本质上，知情同意依然是个人自主的问题，设置此类自治性条款，尊重少数主体的意志自由，是对数据自决的必要补充。不过，宽泛型同意模式的适用不能无范围、无期限，如敏感个人数据的概括同意期限不应长于三个月，用户有权随时撤回同意、变更同意类型。超出授权范围、期限或变更处理目的、方式的，应重新取得同意。与此同时，其适用须加强行政监管，例如建立隐私协议的备案审查制度、接受主管机关的特别审查等。在发生纠纷时，对同意模式是否适当的判断应当由法官根据个案情形分析酌定。

数字技术的变革正深刻地重塑权利与自由的界限。如何在保障技术、行业产业可持续性发展的同时，兼顾数据主体权利保护的合理诉求，构成自动驾驶汽车个人数据保护规范体系的核心议题。对个人数据有效保护与合理利用的平衡，需要结合具体场景，在技术可行性与权利保护必要性之间作出判断，并形成明确、可操作的规范。本文引入场景一致性理论作为解答“药方”。行政立法在框定个人数据的边界时，应综合考量具体场景中的处理目的、方式、程度以及是否符合数据主体的合理隐私期待，在可利用与需保护的数据之间划出合理界限。与此同时，对同意规则的改造，应区分个人数据的敏感程度和使用场景，构建以数据分级为基础、以其他合法性基础为例外、以不同数据主体偏好为补充的三阶层适用规则，从而指引不同场景中数据利用与保护的权衡。此外，数据控制者与数据主体权利、义务与责任规范的完善，也应以场景一致性理论为导向。制度设计应避免脱离具体场景的抽象预判，而是要将个人数据保护的合理程度置于具体环境中综合审视，在充分保护用户权益的同时，避免为数据控制者带来过于繁重的合规负担。