今年早些时候,在公开咨询之后,欧洲数据保护委员会(EDPB)批准了其关于在连通车辆和移动相关申请的背景下处理个人数据的准则( 这里 )。

为什么需要这些指导方针?

在指导方针中,EDPB指出,“车辆正在成为大规模的数据集线器”和“连接的车辆正在产生越来越多的数据量,其中大部分都可以被视为个人数据,因为它们与司机或乘客有关。有趣的是,EDPB也认为“[E] Ven如果被连接的汽车收集的数据没有直接与名称直接相关联,而是对车辆的技术方面和特征,它将关注驾驶员或乘客汽车。“为了说明后一点,EDPB列出了以下类型的数据,该数据将落在此类别中:速度,距离,发动机冷却剂温度,发动机转速和轮胎压力。这是对综合数据保护条例(GDPR)构成“个人数据”的广泛解释。

在连接的车辆上下文中处理个人数据的一些风险包括:

  1. 没有充分通知所有数据受试者正在处理其个人数据。更常见的是,它只是提供所需透明信息的驾驶员或所有者;
  2. 确保数据受试者的同意符合GDPR根据GDPR的有效同意,需要在GDPR下的个人数据处理的背景下审议,并且与Eprivacy法规有关,因为信息将在终端设备中存储或访问信息;
  3. 合法处理初始收集所考虑的个人数据的任何额外处理,例如,出于执法的目的;
  4. 由于车辆制造商希望使用此类数据来开发新功能,收集过多的个人数据;和
  5. 由于连接的车辆中使用的不同类型技术的数量增加,增加了安全风险(例如,Wi-Fi,USB,RFID)。

一般性建议

eDPB在连接的车辆的上下文中,包括与处理个人数据相关的一般性建议,包括与其考虑“特别关注”的个人数据,例如位置数据,生物识别数据(以及任何其他特殊类别数据)和包括交通违规行为的刑事犯罪;

  • 只收集绝对必要的位置数据。例如,EDPB表明陀螺仪可能足以检测车辆的运动,而无需收集位置数据;
  • 除了在一系列非常狭窄的情况下,禁止揭示刑事犯罪或其他违规行为的个人数据的外部处理;
  • 为否则处理生物识别数据的功能提供非生物识别替代物;
  • 尽可能尝试使用不涉及在车辆之外处理个人数据的流程(即内部个人数据处理);
  • 通过处理匿名或假帐的个人数据而不是原始数据来实现同一结果的可能性。和
  • 制定安全措施,保证个人数据的安全性和机密性,包括每个车辆的加密,加密密钥管理,并启用允许允许快速修补安全漏洞的措施。

车辆只是运输工具的日子已经一去不复返了,他们现在代表巨大的“数据集线器”。因此,制造商和其他控制人员尤其应该注意这些指导方针,这并非最不重要的是,因为许多人可以将车辆视为他们可以期望合理预期隐私的私人区域。