特斯拉女车主在上海车展维权的事件在网络世界不断发酵,成为一个引起广泛关注的社会公共议题。事关财产安全、人身安全和公共安全,在大众追问的情绪因素以外,我们更需要理性地检视特斯拉事件折射的诸多数据治理问题。
从事主方和公司方的多轮公开发声,到各级监管部门以及消费者保护组织的多次立场表达,不难观察到,虽然话语角度存在差异,但都涉及一个共同的关切,就是包括数据收集、存储、使用、加工、传输、提供、公开等诸多场景在内的数据流转利用,应该依据何种法规的问题。更进一步而言,车主作为数据主体对于其自有车辆的车身数据和行车数据拥有什么样的权利?特斯拉等车企在各项数据的采集、处理、存储、提供以及披露等各个环节承担什么样的义务?对于这两个问题的回答正是务实探讨现行法律规范与未来生态完善的钥匙。
从历史上看,我国高度重视数据主体的权益保护,从2012年全国人大常委会《关于加强网络信息保护的决定》到2017年6月1日实施的网络安全法,从刑法到民法典,现行法律法规都要求网络产品和服务提供者应当满足用户围绕其数据的安全可信利益。一方面,应当保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;另一方面,应当保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己系统的控制权;此外,保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,损害用户的数据安全和利益。
而在今年4月26日提请十三届全国人大常委会第二十八次会议二次审议的数据安全法草案和个人信息保护法草案,更是以明确的规范设计再次强调充分尊重和切实保障数据主体对数据尤其是其个人数据在流转利用全生命周期的充分控制权益。由此意味着在国家法律层面,用户个人(如车主)对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;有权查阅、复制其个人信息;有权请求更正、补充不准确或者不完整的个人信息;有权依法请求删除个人信息;有权要求相对方(如车企)对其个人信息处理规则进行解释说明。
这一系列关于数据的法定权利为我们回答上述第一个问题提供了明确的答案。也即,当事车主有权要求车企提供其个人数据的复本,也有权要求车企明确解释对其个人数据的处理方式和业务规则。
在数据流转利用的过程中,网络产品和服务提供者扮演着重要的生态角色,他们担负义务的实现程度在相当程度上决定了数字生态的法治水平。目前各界从业单位纷纷响应国家号召,积极履行主体责任,全面建设数据合规风控体系,自觉以实际行动遵从法律法规要求,满足民众的各项数据权益诉求,提升自身的能力建设与品牌形象。事实上,在当下实践层面,企业等各类主体依法根据个人在充分知情的前提下自愿、明确做出同意,开展数据采集、处理以及披露等活动,已经成为普遍的业务共识。而除非取得个人单独同意,企业等网络产品和服务提供者不得公开披露处理的个人信息,更是个人信息保护法草案二审稿的明文要求。
这一揽子关于数据的法定义务为我们回应上述第二个问题提供了清晰的依据。在特斯拉维权事件当中,由于相关行车数据构成当事车主的个人信息,因此在对外披露的过程当中,应当征得当事人的明确同意。
就在5月12日,国家网信办发布关于《汽车数据安全管理若干规定(征求意见稿)》公开征求意见的通知,就收集个人汽车数据应取得被收集人同意等事关车主和车企所对应的权利与义务两大问题做出了规定。我们相信,随着国家持续建立健全数据安全与数据保护制度,预防和惩治侵害各类数据权益的行为,加强数据治理和数字素养的宣传教育,民众持续提升自身数据权利意识和维权能力,各方企业主动落实数据处理义务,基于数据流转利用法律规则的数字生态必将成为可期的未来。
(作者:吴沈括,系北京师范大学网络法治国际中心执行主任)