编辑风采丨余俊达:自动驾驶汽车用户隐私的公私合作保护
- 2026-06-08 19:26:43
点击蓝字 关注我们
编辑部按语
2026年,《清华法律评论》编辑部计划开设全新专栏“编辑风采”,转载编辑部成员新近发表的佳作,向广大读者朋友推介~
作者简介
余俊达,清华大学法学院博士研究生,主要研究领域为民法学、海商法学、数字法学,《清华法律评论》责任编辑。
自动驾驶汽车用户隐私的公私合作保护
余俊达(清华大学法学院博士研究生)
|目次
一、用户隐私的识别
二、隐私保护困局及其成因
三、政府与车企对用户隐私的公私合作保护
四、结论
|摘要
随着自动驾驶汽车的发展,车企与用户之间的矛盾更加紧张。车企需要用户数据以改进产品,而用户则担忧其隐私存在被泄露或滥用的风险。自动驾驶汽车的用户隐私保护有待法律回应。现有隐私保护框架力有不逮,究其原因是其无法应对“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的巨变。应当走向政府与车企对用户隐私的公私合作保护,由车企身居一线保护用户隐私,行政机关则退居二线监管车企的信息处理活动,形成“行政机关监管车企,车企保护用户隐私”的二层隐私保护框架,从而走出隐私保护困局。
|关键词
自动驾驶汽车;隐私保护;公私合作保护
|正文
随着自动驾驶汽车的发展,车企(包括自动驾驶系统商)与用户之间的矛盾更加紧张。一方面,车企需要获取用户数据(也称用户信息),以此支撑其自动驾驶产品的运行,或用以改进、升级产品,提升商业竞争力。另一方面,用户担忧其隐私存在被泄露或滥用的风险。车企不仅可能因为商业上同行竞争压力而过度获取或者不当获取用户数据,还可能进行二次的商业化利用,比如,与广告商进行合作。[1]在自动驾驶领域,用户隐私保护被认为是在社会文化方面最具挑战性的问题。[2]如何保护用户隐私,成为了自动驾驶治理必须回应的重要问题。
在实践中,有关车企泄露用户隐私的情况时有发生。[3]实务部门尽管已经意识到了这一问题,并在自动驾驶相关立法中专门就用户隐私保护进行了规定,[4]但很多实践问题尚未得到解决。目前学界对自动驾驶汽车用户隐私保护问题的关注还不够,专门研究很少,更广泛层面的、涉及自动驾驶汽车隐私保护的研究也不多。[5]
本文所关注的基本问题是:如何保护自动驾驶汽车的用户隐私?对此,本文拟论证的基本命题是:自动驾驶汽车的用户隐私保护,应当走向政府与车企对用户隐私的公私合作保护。为此,本文首先讨论用户隐私的识别以及边界,这是设计和论证行之有效的保护措施的前提和基础。然后,本文描摹出目前所面临的隐私保护困局,并分析其成因。最后,本文提出政府与车企对用户隐私的公私合作保护,以期为走出隐私保护困局提供参考。
一、用户隐私的识别
在讨论用户隐私的保护措施之前,先要讨论用户隐私的识别路径。表面是论证逻辑使然,实则大有深意。一是弄清了用户隐私的内涵与外延,也就大概划定了用户隐私与不构成隐私的用户信息之间的边界。二是用户隐私往往需要车企特别留意,不构成隐私的信息在用户的观念里原本就可以公开,而且可能已经被用户在其他场合公开。
用户隐私识别的逻辑结构,是从事实到法律层面的识别过程。首先,在事实层面,是否构成用户隐私?其次,如果构成用户隐私,法律是否承认,使之成为法律层面的用户隐私?最后,对于保护方式而言,如果事实层面的隐私构成法律意义上的隐私,该如何保护?如果不构成法律意义上的隐私,又该如何保护?本文沿着这一逻辑结构展开论述。
(一)事实层面的用户隐私
在技术层面,用户相关数据有不同的分类,包括车内数据与交互数据; [6]存储数据、共享数据以及广播数据;[7]行驶和环境数据、状态数据、舒适度数据等。[8]基于这些技术层面的分类,本文从数据功能出发,区分为刚需型数据与改善型数据,并以此为基础,讨论如何识别用户隐私。
1.刚需型数据与改善型数据
自动驾驶汽车的用户数据可以分为刚需型数据与改善型数据。刚需型数据是车企为了维持自动驾驶汽车正常运行所必需的数据;改善型数据是车企为了给用户提供更好的产品体验而获取的数据。刚需型数据与改善型数据对车企有着不同的商业意义。
以用户选择购买自动驾驶汽车或使用自动驾驶功能为前提,车企可以直接获取刚需型数据。原因在于,自动驾驶汽车如果在缺乏刚需型数据的状态下运行,将产生道路安全隐患,有损社会公共利益。车企出于法律要求以及社会责任的考虑,只要用户购买自动驾驶汽车或选择自动驾驶功能,就默认用户同意车企获取刚需型数据。如果用户提出相左的决定,车企也要尊重用户的意愿,但不能销售自动驾驶汽车或开放自动驾驶功能给用户。
从用户购买到使用自动驾驶汽车,车企所获取的刚需型数据,可以过程论为视角进行观察。在购买前,车企需要了解用户可能影响行车安全的信息。随着无人驾驶技术的推广,自动驾驶汽车将有潜力服务于任何群体。 [9]原本因年龄、生理缺陷、驾驶水平等原因不能拥有汽车的用户,完全可能因政策调整而获得自动驾驶汽车。如果用户自身不具备安全行车的能力,车企只能销售无人驾驶汽车,而非辅助驾驶汽车给用户。[10]在购买后,用户在使用自动驾驶汽车的过程中,有三类数据车企必需采集:一是事故数据,包括事件数据记录器中的数据、实时上传系统平台中的数据等,这对民事责任、保险均有意义。二是为保障行车安全所搜集的数据,主要为用户状态数据,特别是在辅助驾驶汽车的情况下,确保用户不疲劳驾驶、不分心驾驶、不违规驾驶。三是为完成行驶任务而获取的数据,包括出发与目的地、行驶线路等。
改善型数据,只关乎用户的产品体验,而无关产品安全,更不会影响到社会公共利益。因此,车企不能直接获取改善型数据。车企为了给用户提供更好的产品体验,应当争取得到用户的同意。如果用户不愿意开放过多的相关数据给车企,也无意使用改善型数据获得更好的产品体验,车企应当尊重用户的意愿,不获取改善型数据,仅获取刚需型数据。
改善型数据与车企的商业想象力密切相关,因而是开放的、不断丰富的。车企可以改善、提升用户产品体验的路径很多。大体上,改善型数据包括:用户的生物识别信息,如面部信息、指纹等,用于解锁自动驾驶汽车;用户的习惯信息,包括默认的座椅角度、车内温度等;用户的偏好信息,比如车内音乐、广告等。
2.“默认隐私—个体隐私”的识别路径
观察上述刚需型数据与改善型数据的分类,可以发现,用户隐私既可能出现在刚需型数据,也可能出现在改善型数据。例如,色盲通常属于个人隐私,但是车企为了确保行车安全,需要知悉用户的这一情况。一般而言,刚需型数据中的用户隐私要少于改善型数据。在确定用户要购买自动驾驶汽车、使用自动驾驶功能的前提下,用户同意与否,只影响车企的信息收集权限是“刚需型数据+改善型数据”抑或“刚需型数据”。无论何种情形,都需要进一步区分用户隐私与不构成隐私的用户信息。
隐私的基准在于场景的一致性。[11]因此,需要进入到特定场景中对隐私加以识别。在自动驾驶场景中,诚然,不同用户对隐私的理解会有些许差别,但是,不应过分放大这些细微差别,泛泛而谈,从而止步于“何谓隐私难有定论”的阶段性结论。更要看到,虽然不同用户对隐私的理解不尽相同,但在总体上仍然是大同小异。比如,车内通话、用户指纹构成隐私,几乎不会有用户对此产生疑问。这就为自动驾驶场景中用户隐私的识别提供了基础。对于自动驾驶场景中的用户隐私,可以沿着“默认隐私—个体隐私”的路径进行识别。
“默认隐私”是基于普通用户对隐私的理解而形成的、默认的用户隐私。“默认隐私”应尽可能贴合普通用户对于隐私的预期,尽量不让普通用户感到出乎意料。这里的普通用户,实则为大多数用户。“默认隐私”中的“默认”体现在,如果用户没有提出个性化要求,则“默认隐私”成为事实层面的用户隐私。大体上,用户的生物识别信息,如指纹、面部信息;用户的住址;用户的出行线路、定位;车内空间、通话等属于“默认隐私”。“默认隐私”需要自动驾驶行业跟进技术的发展并不断地完善。
如果“默认隐私”足够贴近普通用户的预期,那么仅凭“默认隐私”便能满足绝大多数用户的隐私保护诉求,至少能够控制在用户可以接受、容忍的限度内。另外,还有一些特殊群体、特殊职业的用户存在着“个体隐私”,会因此提出一些个性化要求。“个体隐私”也应当在技术条件允许的情况下得到关照。从尊重用户、商业竞争的角度,车企应当有动力尽可能满足用户的个性化要求。用户可以身份、职业等原因,要求车企不仅保护“默认隐私”,还对“个体隐私”加以保护。作为对价,车企在此过程中所付出的更多工作,用户理应为此支付额外的费用。在用户提出个性化要求的情况下,该用户在事实层面的隐私是“默认隐私”以及“个体隐私”。
(二)法律意义上的用户隐私
事实层面的用户隐私折射到法律层面,在这个过程中会有所变化,其背后融入了价值判断。另外,在事实层面构成隐私,但却不被法律所承认的用户信息,也会受到法律的保护,只是保护程度稍弱于法律意义上的隐私。
1.价值判断
在法律层面,用户隐私与不构成隐私的用户信息的边界,是经过价值判断而形成的。如果事实层面的用户隐私被承认为法律意义上的隐私,则意味着隐私信息将会受到更加严格的保护,并严格限制车企对隐私信息的处理。因此,法律对事实层面用户隐私的承认程度越高,说明法律越重视用户隐私保护,反之,承认程度越低,说明法律推动科技发展的力度越大。在法律层面,用户隐私与不构成隐私的用户信息的边界不是恒定的,而是会受到认知水平、文化观念、技术条件等多种因素的变化而变化。
目前来看,考虑到自动驾驶正值关键的发展阶段,如果事实层面的用户隐私数据属于技术提升、改进产品绕不开的数据,则法律不宜承认其构成隐私。例如,面部信息通常被认为属于隐私。但是,如果对面部信息做模糊化处理,伴随的是数据价值的减损。自动驾驶需要了解面部信息,以此作为进一步训练的参考。又如,把用户数据全部留在车内处理,不与外界交互,显然对于保护用户隐私大有帮助。但是,这就占用了车内大部分空间,导致没有更多空间提供更好的产品体验。因此,只能各退一步,部分数据留在车内,不与外界交互,其他数据则作为可以交互的数据。
2.区分第一层次和第二层次的保护方式
如上所述,如果法律采取更加鼓励科技发展的立场,那么,难免有一部分事实层面的用户隐私,因为它们位于改进产品的关键环节,而暂时不被法律承认为隐私。如果认为法律层面的用户隐私,可以受到第一层次的保护,也就是配备更高程度的保护措施。而那些在事实层面构成隐私,却还未被法律所承认的用户信息,退而求其次,可以受到第二层次的保护,为它们配备程度稍弱的保护措施。换言之,法律还要对事实层面的用户隐私作价值判断。事实层面的用户隐私折射到法律层面:如果构成隐私,则受到第一层次的保护;如果不构成隐私,则受到第二层次的保护。回到上述两个例子,在允许自动驾驶汽车分析用户面部信息的情况下,应当严格保护这类数据避免泄露,这类数据与公开数据仍有实质区别;车企应当将重要数据留在车内处理,而相对次要的数据可以与外界交互。
二、隐私保护困局及其成因
现有隐私保护框架在有效保护自动驾驶汽车的用户隐私方面显然力有不逮,难以对隐私泄露进行事前预防、事后救济,由此形成了隐私保护困局。究其原因,是因为现有框架无法有效回应“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的巨变。
(一)隐私保护困局
隐私保护框架,以过程论为基础,可以展开为事前预防、事中处理、事后救济。具体而言,事前预防,着眼于如何防止隐私泄露的发生;事中处理,主要是在出现隐私泄露后,如何快速控制、消除影响;事后救济,则是在隐私泄露事件结束后,赔偿受害人遭受的损失。在隐私保护的现有框架中,事前预防主要交由告知同意完成,事后救济则主要由侵权法落实。[12]可是,在实践中,告知同意已经被虚化,侵权法在法院中的表现也表明其不契合隐私保护的特点。[13]隐私保护的现有框架,既不能在事前有效预防隐私的泄露,也不能在事后为当事人提供可行的救济。同时,数据基于其可复制、可保存等属性,一旦泄露,再进行事中处理会面临巨大的困难。由此,形成了隐私保护困局。
(二)形成隐私保护困局的深层次原因
深挖隐私保护困局背后的原因,可能在于,随着汽车行业数字化、智能化的推进,逐渐步入自动驾驶时代。这改变了基于传统驾驶员而构建的现有框架所默认的诸多理论预设,出现了“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的根本转变。这场巨变不仅放大了现有框架的漏洞,也带来了新的冲击。以传统驾驶员为理论预设而构建的现有框架,显然不足以应对这场巨变。
1.从驾驶员到用户
自动驾驶汽车的所有人、管理人,相较于传统意义上的驾驶员,更像是用户。因为用户在使用自动驾驶汽车时,可以将驾驶任务交由自动驾驶系统来完成,由此产生了从驾驶员到用户的转变。
从驾驶员到用户的转变,使得传统汽车中并不突出的隐私保护,在自动驾驶汽车却成为了不可忽视的问题。其一,用户数据对于车企变得意义重大,车企对用户数据的需要、关注程度非常高,从而产生过度获取、不当获取用户数据的可能。其二,用户需要提供更多的数据,确保自动驾驶汽车安全运行、获得更佳的产品体验。在这个过程中,用户往往没有能力、条件保护其隐私。[14]
2.从个体隐私到群体隐私
自动驾驶汽车的隐私泄露,相较于传统汽车的隐私泄露有很大不同。传统汽车的隐私泄露,往往是个体之间的纠纷。大数据时代,分析海量数据、群体的行为成为可能,数据收集的变化使得群体层面的隐私得到关注。 [15]群体隐私无法简化为个体隐私,每一个体的隐私得到保护不等于群体的隐私得到保护。[16]自动驾驶汽车,一旦出现隐私泄露,往往是群体性的,用户群体的隐私都出现泄露。这是因为不同用户与车企签订的隐私政策、车企对不同用户的隐私保护措施,基本上都大同小异。因此,出现了从个体隐私到群体隐私的转变。
从个体隐私到群体隐私的转变,导致私法的底层逻辑不再契合自动驾驶汽车用户隐私保护的需要。首先,私法侧重于纠纷发生之后的事后救济,不善于事前预防。私法的逻辑在于,民事主体之间只有出现了纠纷,才有解决纠纷的必要。但是,自动驾驶汽车隐私泄露的规模化特征,决定了事前预防的重要性远超事后救济。况且,基于数据可复制、可保存的属性,事后救济甚至可能于事无补。其次,私法主要处理个体之间的纠纷,关注点不在公共事务。如果仅是个别的、一对一的纠纷,作为私法问题,通过侵权法得到救济,尚能应对。但是,面对规模化的隐私泄露,法院将处理很多实质相同的案件,这会造成司法资源耗费的不合理局面。[17]最后,私法以平等民事主体为理论预设构建相应的规则。传统汽车的侵犯隐私事件,双方仍然分庭抗礼,可谓平等关系。反观自动驾驶场景,车企单方面享有事实上的私权力, [18]并与用户构成不平等关系。[19]这就在根本上突破了私法的理论预设,私法自然难以发挥作用。
3.从私人利益到社会公共利益
社会公共利益通常被理解为不特定多数人的利益。[20]传统汽车的侵犯隐私事件,往往不涉及社会公共利益,仅涉及私人利益,比如,有损个人声誉。然而,自动驾驶汽车的隐私泄露事件,有可能超越私人利益,影响到社会公共利益。传统汽车的驾驶员隐私保护与自动驾驶汽车的用户隐私保护,成为了两个性质不同的问题。依此,产生从私人利益到社会公共利益的转变。
从私人利益到社会公共利益的转变,致使国家不能再将自动驾驶汽车的用户隐私保护作为一个完全的私法问题来看待。自动驾驶汽车的用户隐私如果频繁泄露,可能对不特定多数用户的生活产生影响,甚至导致社会秩序出现混乱,还可能影响公众对自动驾驶汽车的信任,打消支持自动驾驶发展的积极性,影响自动驾驶的发展。因此,国家不仅会通过注入法律要求对车企的数据处理活动进行规范,同时也会加强对车企数据处理活动的监管,确保用户隐私得以保护,以防社会公共利益受损。
三、政府与车企对用户隐私的公私合作保护
面对上述隐私保护困局及其背后“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的巨变,如何应对?对此,应当走向政府与车企对用户隐私的公私合作保护。
(一)公私合作保护的引入
时至今日,自动驾驶领域的具体理论还比较少,但隐私保护的一般理论较为丰富,不妨结合自动驾驶场景,适当参考或援引一般理论,进行论述。大体而言,隐私保护一般理论的若干观点,可以归入四种模式:自我保护模式、行政监管模式、行业自治模式以及公私合作模式。本文将穿插着这四种模式进行讨论,通过比较,说明公私合作模式的优势,并论证其契合自动驾驶场景,值得引入。
回顾历史,隐私保护的任务主要交由侵权法来完成。[21]自我保护模式最接近传统的模式,可以自我保护模式作为讨论的起点。所谓自我保护模式,就是通过确立民事主体对个人数据的民事权利,依托私权制度对个人数据予以保护。[22]“民法作为保护人之主体性的重要手段,能够为个人信息保护提供坚实的基础。”[23]理论也在不断调适侵权法现有框架,使之适配于隐私保护。但是,随着实践的检验,自我保护模式越来越站不住脚。
自我保护模式认为,如果数字技术剥夺了用户的权利,那么就将用户的权利归还他们。但是,自我保护模式试图赋予用户权利,而用户却常常将这些权利拱手相让。结果是,自我保护模式非但没有实现真正的赋权,反而导致权利的进一步丧失。[24]比如,用户存在着“隐私悖论”,用户会为了一些微小的便利而放弃隐私。[25]反观行政监管模式,却更可能有效地解决这些问题。强化行政监管有助于维护个人信息处理的法秩序,解决数据处理中内在的、系统性的问题。[26]行政监管介入的正当性,亦有理论支撑:作为基本权利的个人信息权双重性质表现为防御国家不当侵害,同时要求国家的保护。[27]
对于行政监管模式,仍应理性看待,不可过分放大行政监管的作用。大数据时代的隐私保护,过度依靠行政机关同样存在问题。首先,虽然行政机关因为公共行政的原因,可以了解到前沿的产业状况,但是,行政机关不像车企位于一线参与自动驾驶技术的研发设计,对于技术的熟悉程度不及车企。在行政机关与车企对于自动驾驶的认识不同频的情况下,强调行政机关的监管并一味要求车企的响应,很可能无法进行契合自动驾驶特点的、有效的监管。车企为了满足行政监管的要求,可能付出额外的工作,却没有实质提升隐私保护的质量。其次,隐私保护是自动驾驶的核心问题之一,但对于行政机关,这仅是公共行政的内容之一,行政机关还有很多职责需要履行。过度依靠行政监管,要求行政机关为此投入大量工作,而行政机关又不可能时刻监管每一环节。这绝非长久之计,可能让行政机关不堪重负。最后,自动驾驶场景中的隐私保护,涉及人工智能、数据信息、网络安全等新兴领域,监管难度大,行政机关一时间也难以配备各种专业领域的公务人员进行监管。
由于不可过度依靠行政监管,转而寻求行业自治的可能性,似乎可以找到不同答案。行业自治模式,就是通过软法的实施、企业的自我规制,将隐私保护融入商业发展当中。“数据治理的普遍性、技术性、复杂性和应时性,决定了其对软法有着非常大的需求。”[28]软法虽然有别于硬法,却也会对车企产生实效,并获得普遍遵守。当软法的内容符合社会对用户隐私保护的更好期待时,车企不去遵守它,本身就会承担更多的压力。车企最了解如何将技术发展与隐私保护相结合,如果车企能够自觉保护用户隐私,行业自治模式可以最大限度地减少车企的不必要负担。但是这仅是理想情况下的图景,目前来看,行业自治仍停留在观念层面。这在人工智能软法及其“实效赤字”中能够得到佐证。[29]究其原因,一是因为车企参与自动驾驶,本质仍是商业活动,当隐私保护与商业利益发生冲突,前者很可能被放弃。二是因为自动驾驶尚在发展阶段,还没有形成有着内生约束力的行业共同体。[30]
总结而言,自我保护模式逐渐没落,行政监管模式存在着不可忽视的问题,行业自治模式还只是停留在观念层面。因此,这三种模式都不宜选择。但是,它们均有合理的部分,值得关注。具体而言,自我保护模式给用户自我保护提供了通道,行政监管模式指出了行政监管在隐私保护中的重要意义,行业自治模式则发现可以借助车企的技术优势。由此,可能吸收这三种模式的合理部分,建构更具包容性的公私合作模式,为回答隐私保护问题提供新的思路。
公私合作模式强调政府与企业的合作,目前已经被学者主张运用于平台治理、人工智能等领域,[31]也有学者将之引入个人信息保护领域。[32]公私合作模式应用于自动驾驶场景,就体现为政府与车企对用户隐私的公私合作保护。公私合作模式契合自动驾驶的特点,有助于实现用户隐私保护。首先,公私合作模式强调发挥车企的技术优势保护用户隐私。这与“设计隐私”的理念相契合。“设计隐私”源于“设计中的价值方法”,被认为是应对智能交通的有用策略,要求车企在各业务环节考虑到隐私问题,进行负责的信息管理。[33]车企在产品开发过程中采取保护措施,在各个层面将对用户隐私的侵犯限制在最低限度。[34]其次,根据公私合作模式,当车企未能保护用户隐私时,行政机关才会介入,这符合包容审慎监管的要求。包容审慎监管要求行政机关给予企业必要的发展时间和试错空间,根据风险适时适度干预。 [35]最后,公私合作模式能够与商业活动相协调。在实践中,不乏重视用户隐私的企业,展现了较高的隐私保护水准。以《华为隐私保护治理白皮书》为例,华为区分“隐私保护治理”与“个人信息生命周期保护”两条主线。“隐私保护治理”从顶层设计出发,集合了政策、组织、人员意识等控制域和控制项。“个人信息生命周期保护”从收集、使用、披露、留存等个人信息处理环节分别提出工作要求。“设计隐私”、个人信息主体权利请求等也有所体现。 [36]企业完全可以在国家的政策激励与责任约束下,将隐私保护水准作为企业竞争策略,持续优化企业内部的隐私治理体系,营造良好的隐私文化。[37]
(二)公私合作保护的展开
政府和车企对用户隐私的公私合作保护,展开为“行政机关监管车企,车企保护用户隐私”的二层隐私保护框架。第一层为车企的主体责任。车企身居一线负责隐私保护。车企具有技术优势,能够将隐私保护融入商业活动之中。如果车企能够完成隐私保护,行政机关可以退居二线不介入影响车企的活动。第二层为行政机关的监管职责。在车企完成隐私保护不利时,原本退居二线的行政机关将介入一线,确保用户隐私得到保护。
如此设计隐私保护框架的原因在于:首先,车企身居一线保护用户隐私。车企相较于行政机关更熟悉自动驾驶产业,应当充分借助车企的技术优势,实现有效的预防性、过程性治理。车企本身直接对接用户,用户有问题车企能够立即处理,展现对用户的诚意。其次,行政机关退居二线对车企进行监管。行政机关督促车企在发展产品的同时注意保护用户隐私,如果车企的隐私保护工作可能存在问题,甚至已经出现问题,行政机关可以直接介入,甚至接管车企的隐私保护工作。最后,二层隐私保护框架给车企和行政机关均留有了一定空间,能够有效化解车企与行政机关之间紧张的矛盾。车企留有一定空间自主探索兼顾产品发展与隐私保护的商业模式,行政机关则通过借助车企的技术优势分担了保护用户隐私的工作压力。
以上是公私合作保护的静态框架,需要注入公私法融合性质的法律要求使之运行。公私法融合性质的法律要求具有两层涵义:一是车企对用户必须履行的私法义务,违反义务可能导致民事责任;二是车企对国家必须履行的公法义务,行政机关也因此具有主动监督和及时干预的职责。由此,公私法性质的法律要求对车企、用户、行政机关均有意义。首先,对车企而言,这些法律要求指导车企如何落实隐私保护的同时,也成为了车企规范处理用户信息的公法要求。其次,对用户而言,用户可以依据这些法律要求,请求行政机关介入监管,改正车企违反法律要求的行为,并要求车企赔偿用户在此过程中遭受的损失。最后,对行政机关而言,行政机关应当以法律要求为依据,在监管过程中审查车企的信息处理活动是否符合要求。
公私合作使得原本的“用户—车企”两方关系,转变为“用户—车企—行政机关”三方关系。原本简单的责任划分也因此复杂化,需要予以明晰。否则,车企可能只会行使公私合作中的便利,而不发挥隐私保护的作用,还可能出现车企与行政机关相互推卸责任的情况。[38]首先,车企对用户的责任,没有因为行政机关的加入而发生任何变化。车企不得泄露用户隐私、不得滥用用户隐私,这一底线要求始终没有变化。其次,行政机关介入的根本原因在于,自动驾驶汽车的用户隐私泄露问题,可能具有普遍性,会影响到社会秩序。当车企保护用户隐私的工作出现偏差时:如果车企可以通过企业内部的响应回到正轨,这最为理想;如果事态超出了车企的控制能力,行政机关基于维护社会秩序的职责,应当直接介入,解决隐私泄露的问题。最后,待隐私泄露事件平息后,车企不仅要对遭受损失的用户承担民事责任,还会承担行政处罚等行政责任。
1.车企对用户的隐私保护
“任何主体都有权利追求自身的主体利益,但主体利益的追求应同主体责任的承担相统一,主体应抑制自身的不合理需求。”[39]在政府与车企对用户隐私的公私合作保护中,车企身居一线保护用户隐私,同样是主体责任的体现。而强化车企的主体责任需要借助公私法融合性质的法律要求得以实现。
公私法融合性质的法律要求,应当具有指导性、原则性,并以结果为导向。车企相较于行政机关对自动驾驶更为熟悉,车企需要根据技术发展变化的特点,构建具有可操作性的隐私保护措施。过于具体、细化、注重程序的法律要求,不仅容易随着技术发展而变得不合时宜,也可能束缚车企的活动,给车企增添不必要的负担。具体而言,这些法律要求在自动驾驶领域主要包括依法处理信息、比例原则以及正当程序。
第一,依法处理信息。依法处理信息,要求车企合法处理信息。车企处理用户信息须有法规范依据、符合法规范要求,而不能与法规范发生抵触和冲突。一方面,车企应合法处理用户信息,用户的哪些信息车企可以直接处理,哪些信息需要征求用户同意后处理,须遵循法规范的要求。另一方面,如果车企与用户关于隐私保护的约定不符合法规范,原则上,隐私政策中违反法规范的部分无效。关于隐私保护的规范在性质上属于混合性规范。[40]如果车企与用户关于隐私保护的约定不符合法规范的要求,不利于保护用户隐私,则原则上该约定无效;如果车企与用户的约定,虽不符合法规范的要求,但却更加有利于保护用户隐私,则该约定仍然有效,这属于例外情形。此外,由于车企已经将自动驾驶汽车卖给用户,隐私政策因违法无效而缺失的部分,可以通过默认规则进行填补。
依法处理信息不仅限于合法处理信息,还要求车企合理处理信息。首先,目的适当。车企获取用户信息的目的,仅是为了保障自动驾驶汽车的安全运行、提升用户的产品体验、进行产品升级等。车企对信息的选取,应当围绕上述目的展开。其次,不得明显不当。车企获取用户信息,在形式上虽然符合法规范的要求,但在实质上却背离了隐私保护这一制度价值,则违背了合理处理信息的要求。
第二,比例原则。比例原则起源于公法,是以控制公权力为理论预设而构建的行政法基本原则。与此同时,比例原则有着超越私法与公法的共通价值,经过不断发展,其适用范围已从公法扩大至私法。[41]比例原则控制公权力行之有效,可以期待其在控制私权力中发挥作用。但是,车企的私权力毕竟有别于行政机关的公权力,不可照搬照抄,而应当进行相应的修葺,使之成为一种较低强度的比例原则。
车企处理用户信息应当做到最小侵害。首先,车企为了自动驾驶汽车安全出行、产品升级等目标收集用户信息,产品的部分功能在绕开对用户信息的获取也能实现时,车企应当在相应的部分不再收集用户信息。其次,如果车企收集用户信息所欲实现的目标,通过获取不构成隐私的用户信息足以达到,车企不应该获取用户的隐私信息。再次,如果不得不获取用户的隐私信息,也应当选择获取用户隐私信息最少的方案。最后,车企获取用户信息的程度应与其理由的充分程度成比例。例如,车企为了改进产品,几乎要搜集用户的所有信息,但实际上对于改进产品的意义微乎其微,这就是不成比例的情形。
第三,正当程序。在车企单方享有事实上的私权力、车企与用户之间构成事实上的不平等关系的前提下,强调正当程序有助于规范车企的信息处理活动。与此同时,考虑到技术发展较快、不具有稳定性,对车企的正当程序要求,应当是一种较低限度的正当程序,体现在“武器平等”与透明化。
“武器平等”要求车企不得对用户滥用技术优势。告知同意之所以流于形式,很大程度源于程序被滥用。[42]因此,需要回到正当程序,使告知同意发挥原本的意义。“武器平等”的要求是,车企与用户在签订隐私政策时,至少在对隐私政策关键要点的认识上,双方的理解应在同一层面。隐私政策往往由车企设计、制作,车企的掌握程度不言自明。但是,一个复杂的隐私政策在技术上完全可能简化为通俗的几个核心要点,即使没有专业背景的用户也能够理解。与此同时,还应当注意,自动驾驶汽车的购买场景与手机软件的购买场景存在实质区别。后者之所以让告知同意流于形式,主要原因在于用户即便有困惑,一时间也找不到工作人员沟通。[43]但是,购买自动驾驶汽车时,用户与车企员工是面对面交流,车企应尽最大诚信,在销售时向用户解释说明。用户理解隐私政策后的同意,才能发挥出告知同意原本的意义。
透明化的要求是单向的,允许用户访问隐私,但禁止车企访问隐私。一方面,用户应当有权限知悉车企获取的数据信息。[44]车企所获取的用户隐私,可以依用户申请公开。同时,车企还应当定期主动向用户汇报其隐私保护情况。另一方面,车企对用户隐私的保护措施,不仅要防止用户隐私向外部人员泄露,更要防止用户隐私向车企内部人员泄露。后者因为熟悉车企的隐私保护措施,更加需要提防。在技术上,车企可以尝试将隐私保护措施分解到不同部门,如此,车企内部人员便很难知悉完整的保护措施体系及其运行机理,从而有效防止用户隐私向车企内部人员泄露的潜在风险。
2.行政机关对车企的行政监管
在自动驾驶领域,应当搭建一个行政机关监管框架,分为事前监管、事中监管、事后监管。
第一,事前监管。行政机关应当在车企收集、信息处理活动之前采取监管措施。事前监管的内容包括风险评估、制定技术规范、备案登记等。事前监管的意义在于,通过一系列事前措施,使得车企处在有能力保护用户隐私的状态下,再去处理用户信息,从而起到预防作用。就其要点而言,首先,车企需要具备一定资质才能通过事前监管。公私合作中的车企,必须居于该自动驾驶产品商业活动的核心地位,有能力调动该商业链条上的各种商业资源保护用户隐私,特别是对自动驾驶系统应当非常熟悉。其次,车企设计和制作的隐私政策,在作为标准格式合同与不同用户签订前,应当向行政机关备案。
第二,事中监管。事中监管是行政机关在车企进行信息处理活动的过程中实施的持续性监管。事中监管的意义在于及时发现车企在信息处理活动中出现的偏差、风险或违规行为,督促车企持续规范信息处理活动,防范个别的用户隐私泄露变为大规模的用户隐私泄露。在事中监管的过程中,行政机关需要注意平衡:一方面,行政机关应当进行有效监管。行政机关通过监管,确保车企将隐私保护融入其商业活动。另一方面,行政机关不得过度监管。行政机关仅作最低限度的监管,不影响车企原本正常的商业活动。在行政机关进行事中监管时,隐私政策是非常重要的参考。[45]行政机关先对隐私政策进行合法性审查,审查车企设计和制造的隐私政策是否符合相关法律要求,再依据隐私政策对车企的信息处理活动进行合约性审查,审查车企是否依照隐私政策从事信息处理活动。
第三,事后监管。事后监管的形式包括主动监管和被动监管,其中,主动监管是指行政机关发现车企的信息处理活动存在问题并进行监管,被动监管是指行政机关接到用户的投诉,对车企的相关信息处理活动进行监管。事后的主动监管往往是事中监管的延续,而事后的被动监管则有助于帮助行政机关及时关注到隐私泄露问题。另外,行政机关应当充分考虑各种相关因素,作出合乎比例的行政处罚。相较于有限的罚款金额,行政处罚对车企的深远影响更值得关注。其引发的声誉危机与信任流失,将对企业的商业竞争力与长远发展造成不可忽视的影响。
在公私合作保护框架中,不仅用户可能受到不当侵害,车企也可能受到不当监管,需要分别为用户、车企构建相应的救济途径。一方面,对于用户而言,用户隐私可能被车企不当收集、处理。首先,用户可以要求行政机关对车企的信息处理活动进行调查和处理。如果行政机关对用户的申诉不及时处理,用户还可以请求行政复议、行政诉讼。[46]其次,用户保留着通过民事诉讼得到救济的选择。如果用户因为隐私泄露遭受了损失,并且拥有相应的举证能力,用户完全可以选择通过私法的途径得到救济。公私合作保护本身并不排除私法救济的可能。另一方面,对于车企而言,在与行政机关的合作中,车企可能受到行政机关的不当监管。对此,车企可以通过行政复议、行政诉讼得到救济。另外,还应该建立退出机制,如果车企没有能力、没有意愿再继续合作,车企可以选择从公私合作中退出。
四、结论
为了回答自动驾驶汽车的用户隐私保护问题,本文先后对用户隐私的识别和保护进行讨论,并得出相应的结论。第一,用户隐私的识别是从事实到法律层面的识别过程。先通过“默认隐私—个体隐私”的路径识别出事实层面的用户隐私。然后,法律对事实层面的用户隐私再进行价值判断:如果构成隐私,则受到第一层次的保护;如果不构成隐私,则受到第二层次的保护。第二,隐私保护困局的出路是走向政府与车企对用户隐私的公私合作保护。根据公私合作保护,由车企身居一线保护用户的隐私,而行政机关则退居二线监管车企的信息处理活动,形成“行政机关监管车企,车企保护用户隐私”的二层隐私保护框架,从而走出隐私保护困局。
|参考文献
[1]See Matthew Gillespie, “Shifting Automotive Landscapes: Privacy and the Right to Travel in the Era of Autonomous Motor Vehicles”, Washington University Journal of Law & Policy, Vol.50, 2016, p.159.
[2]See Dorothy J.Glancy, “Privacy in Autonomous Vehicles”, Santa Clara Law Review, Vol.52, No.4, 2012, p.1172.
[3]自动驾驶汽车的用户隐私泄露问题及事件,在国内多以新闻报道形式出现。例如,王志远、张真齐:《严守汽车数据安全 让个人隐私不再“裸奔”》,载《中国青年报》2024年3月14日第8版;陈实:《无人驾驶技术引发新型纠纷应予以重视》,载《人民法院报》2024年9月10日第6版。在国外亦有相关案例及报道出现,See Lawsuits target Hyundai over data breach at in-house IT company, Westlaw Today, https://today.westlaw.com/Document/I8e4c7d7cc3c011f0b470b45bc685874d/View/FullText.html?transitionType=CategoryPa-geItem&contextData=(sc.Default)&firstPage=true.(2026-01-20 accessed).
[4]参见《汽车数据安全管理若干规定(试行)》(2021年);《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》(2022年)第25条;《深圳经济特区智能网联汽车管理条例》(2022年)第47-48条;《武汉市智能网联汽车发展促进条例》(2024年)第33条;《北京市自动驾驶汽车条例》(2024年)第39条;《广州市智能网联汽车创新发展条例》(2025年)第30条。
[5]参见唐兴华、郭喨、唐解云:《电车难题、隐私保护与自动驾驶》,载《华东理工大学学报》(社会科学版)2019年第6期,第73-79页;邓辉《论我国智能驾驶汽车中的个人信息保护》,载《电子科技大学学报》(社科版)2020年第1期,第20-28页;郑戈:《数据法治与未来交通——自动驾驶汽车数据治理刍议》,载《中国法律评论》2022年第1期,第202-214页。
[6]See Dorothy J.Glancy, “Privacy in Autonomous Vehicles”, Santa Clara Law Review, Vol.52, No.4, 2012, pp.1173-1176.
[7]See Mark Brady, “Data Privacy and Automated Vehicles: Navigating the Privacy Continuum”, Monash University Law Review, Vol.45, No.3, 2019, pp.594-598.
[8]参见郑戈:《数据法治与未来交通——自动驾驶汽车数据治理刍议》,载《中国法律评论》2022年第1期,第210页。
[9]See Matthew Gillespie, “Shifting Automotive Landscapes: Privacy and the Right to Travel in the Era of Autonomous Motor Vehicles”, Washington University Journal of Law & Policy, Vol.50, 2016, p.164.
[10]无人驾驶与辅助驾驶的分类,参见余凌云:《无人驾驶的道交法规范构建》,载《荆楚法学》2023年第5期,第94-95页。
[11]See Helen Nissenbaum, “Privacy as Contextual Integrity”, Washington Law Review, Vol.79, No.1, 2004, p.138.
[12]参见丁晓东:《数字时代的权利理论》,法律出版社2025年版,第50页。
[13]参见张新宝:《我国个人信息保护法立法主要矛盾研讨》,载《吉林大学社会科学学报》2018年第5期,第49页。
[14]See Daniel J.Solove, On Privacy and Technology, Oxford University Press, 2025, pp.88-89.
[15]See A.Mantelero, “From Group Privacy to Collective Privacy: Towards a New Dimension of Privacy and Data Protection in the Big Data Era”, in Linnet Taylor, Luciano Floridi and Bart van der Sloot eds., Groups Privacy: New Challenges of Data Technologies, Cham, Switzerland: Springer, 2017, pp.139-140.
[16]See L.Kammourieh et al., “Group Privacy in the Age of Big Data”, in Linnet Taylor, Lucian Floridi and Bart van der Sloot eds., Group Privacy: New Challenges of Data Technologies, Cham, Switzerland: Springer, 2017, p.52.
[17]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第134页。
[18]数字时代的到来,导致一些平台、企业凭借其技术优势形成了“私权力”,并进行“私治理”。只要能够不顾他人反对而强行贯彻其意志,即构成一种权力。参见刘晗:《平台权力的发生学——网络社会的再中心化机制》,载《文化纵横》2021年第1期,第31-32页。
[19]参见丁晓东:《法律如何调整不平等关系?论倾斜保护型法的法理基础与制度框架》,载《中外法学》2022年第2期,第446页。
[20]参见兰楠:《个人信息保护法中的社会公共利益》,载《国家检察官学院学报》2023年第1期,第156-157页。
[21]参见丁晓东:《个人信息保护:原理与实践》,法律出版社2021年版,第21页。
[22]参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第110页。
[23]王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019年第6期,第146页。
[24]See Daniel J.Solove, On Privacy and Technology, Oxford University Press, 2025, pp.89-90.
[25]See Daniel J.Solove, “The Myth of the Privacy Paradox”, George Washington Law Review, Vol.89, No.1, 2021, p.1.
[26]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第129页。
[27]参见张翔:《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》,载《环球法律评论》2022年第1期,第57页。
[28]沈岿:《数据治理与软法》,载《财经法学》2020年第1期,第11页。
[29]参见沈岿:《论软法的实施机制——以人工智能伦理规范为例》,载《财经法学》2024年第6期,第111-115页。
[30]参见张涛:《通过技术标准规制人工智能:基于合作规制的法理》,载《比较法研究》2025年第4期,第178页。
[31]参见赵鹏:《从平台责任到合作规制——互联网规制模式转型及其正当程序规范》,载《法商研究》2025年第3期,第35-48页;张涛:《通过技术标准规制人工智能:基于合作规制的法理》,载《比较法研究》2025年第4期,第169-187页。
[32]参见王心阳:《公私合作治理模式在个人信息保护中的应用》,载《科技与法律》(中英文)2024年第5期,第46-55页。
[33]See Dorothy J.Glancy, “Privacy in Autonomous Vehicles”, Santa Clara Law Review, Vol.52, No.4, 2012, pp.1226-1227.
[34]See Jack Boeglin, “The Costs of Self-Driving Cars: Reconciling Freedom and Privacy with Tort Liability in Autonomous Vehicle Regulation”, Yale Journal of Law and Technology, Vol.17, 2015, p.177.
[35]参见刘权:《数字经济视域下包容审慎监管的法治逻辑》,载《法学研究》2022年第4期,第38页。
[36]参见《华为隐私保护治理白皮书》,华为官网,https://www-file.huawei.com/-/media/corp2020/pdf/trust-center/huawei_privacy_protection_governance_white_paper_2022_cn.pdf.(最后访问时间:2026年1月17日)。
[37]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第127页。
[38]参见王心阳:《公私合作治理模式在个人信息保护中的应用》,载《科技与法律》(中英文)2024年第5期,第49页。
[39]刘权:《论互联网平台的主体责任》,载《华东政法大学学报》2022年第5期,第93页。
[40]参见王轶:《民法典的规范类型及其配置关系》,载《清华法学》2014年第6期,第63页。
[41]参见郑晓剑:《比例原则在民法上的适用及展开》,载《中国法学》2016年第2期,第143-144页。
[42]企业通过一系列技术性的处理,引导用户的选择,以争取用户最大限度的同意。See Jamie Luguri and Lior Jacob Strahilevitz, “Shining a Light on Dark Patterns”, Journal of Legal Analysis, Vol.13, 2021, p.44.
[43]参见刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期,第3页。
[44]在澳大利亚,机动车辆的个人车主有权访问和使用车辆中的任何系统,除非有明文禁止。See Mark Brady, “Data Privacy and Automated Vehicles: Navigating the Privacy Continuum”, Monash University Law Review, Vol.45, No.3, 2019, p.604.
[45]参见丁晓东:《数字时代的权利理论》,法律出版社2025年版,第39-40页。
[46]参见邓辉:《论我国智能驾驶汽车中的个人信息保护》,载《电子科技大学学报》(社科版)2020年第1期,第25页。
孙瑜晨:迈向软硬法均衡:人工智能治理中软法依赖的隐忧及其应对
沈伟:制度型开放赋能金融监管现代化:以自贸区规则对接与路径创新为视角
华子岩:行政法上公共利益认定程序的反思与重构——以土地征收成片开发为例
秦前红、李天雨:风险预防:检察机关参与社会治理的范式转型与履职边界
《行政法学研究》创刊于1993年,是由中华人民共和国教育部主管、中国政法大学主办、《行政法学研究》编辑部出版的国内外公开发行的我国首家部门法学杂志。本刊是国家社科基金资助期刊,已被列入“中国人文社科核心期刊”“法律类中文核心期刊”“中文社会科学引文索引(CSSCI)来源期刊”“中国法学核心科研评价(CLSCI)来源期刊”“中国社会科学期刊精品数据库来源期刊”“中国学术期刊综合评价数据库来源期刊”和“中国核心期刊(遴选)数据库”。
行政法学研究编辑部
欢迎您关注订阅赐稿!
欢迎各位读者通过全国各地邮局订阅!
地址:北京市海淀区西土城路25号
中国政法大学法治政府研究院
邮编:100088
联系电话:010-58908184
投稿网址:http://xzfx.cbpt.cnki.net
