_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 如何从消费者权益保护视角做好车联网数据合规当前您所在的位置:首页 > 合规 > 网络安全与隐私保护 > 数字合规

 2022年5月19日,江苏省消保委发布了《新能源汽车行业不公平格式条款调查报告》(下称“《调查报告》”),该报告选取了市场上具有一定知名度和影响力的14家新能源汽车企业的隐私政策、用户协议等文本,从消费者权益保护角度一共梳理了十个方面的“不公平格式条款”问题,将汽车企业的目光聚焦到格式条款的合规问题上。本文拟就《调查报告》中公布的几个问题进行简要分析,结合我们在该领域的过往经验,从消费者权益保护视角审视数据合规问题,并为车联网企业提供整改的思路和建议,供各同行讨论及参考。

       民法典规定,“采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务。”该条款确定了格式条款应当遵循公平原则的基本理念。市面上较多汽车企业在用户协议、隐私政策这类文件中为了业务的便利而设置了相对严格的格式条款,也带来了企业数据合规的问题。

       一、格式条款文本篇幅长的问题

       江苏省消保委指出部分车企的用户协议及隐私政策的文本字数较多、篇幅较长、协议种类较多,不利于实现消费实质公平。而隐私政策的文本是为了向用户充分告知企业如何处理和管理用户的个人信息,部分企业因业务庞杂,其业务场景、个人信息处理情况的内容也相对较多,企业在力求精简文本的同时也不可避免出现文本字数较多的情况。

       为更清晰地向用户展示个人信息的处理情况,部分企业开始在向用户提供隐私政策的同时在其APP上显示简化版的隐私政策。我们建议,企业也可以参考工信部《关于开展信息通信服务感知提升行动的通知》(即“524行动”)中提出的“双清单”要求,一是“已收集个人信息清单”和“第三方共享信息清单”确实可以较为清晰地向用户展示企业的数据处理情况,二是,“双清单”目前虽然是仅针对部分互联网大厂提出的要求,但可能会成为大型数据处理者的合规趋势,企业可以提前进行规划布局。

       二、消费者权益保护问题    

       (一)协议主体不明确    

       《调查报告》首先指出的问题是协议主体不明确的问题。除民法典的规定外,在《个人信息保护法》中也规定了,个人信息处理者在处理个人信息前,应当向个人告知个人信息处理者的名称或者名字和联系方式等内容。对于在用户协议或隐私政策中尚未向用户完整披露名称和联系方式的企业需要及时完成文本修订,补充缺失信息。    

       而《调查报告》也提出很多企业采用了“参与服务的关联企业或第三方”的表述,使用户无法准确知晓协议的具体交易对象。对于很多企业而言,实践中确实存在多个主体为用户提供服务、多个主体处理个人信息的情形,我们建议,企业首先应厘清业务中多个主体之间的合作方式,与关联企业之间是共同处理者的关系还是数据共享(对外提供)的关系,与第三方之间是数据共享(对外提供)的关系还是委托处理的关系。在厘清法律关系的性质后,对应不同行为的合规要求,履行相应的合规义务,包括充分向用户告知每个交易对象的主体名称等。    

       (二)侵害消费者自主选择权和公平交易权    

       江苏省消保委在《调查报告》中指出,车企单方无限制修改协议的条款侵害了消费者的自主选择权和公平交易权,企业在用户协议中设置了企业可单方面修改、更新协议的权利,同时免除单独通知消费者的义务,而为用户设置了自行关注协议更新的义务,且采用了默示同意的方式获取用户的同意。在该条款的设置上,用户被设置不公平条款而处于弱势地位。    

       其实部分企业在设置此类条款时更多是为了方便开展业务的考量,然而企业也应当重视协议修改更新后可能对用户权益产生的影响。因此,我们建议,企业可以在用户协议更新后通过“弹窗”等方式通知用户并提示用户注意变更的内容,且更新后的协议应当重新获取用户的同意。当涉及到重大权益变更的时候,如产品价格的调整等,企业可以提前向用户发布公告,由用户自行选择是否接受变更后的条件。同时,企业也可以增加用户意见反馈渠道,接受用户的投诉建议并及时给予反馈,这也是促进业务良性发展的途径之一。    

       (三)网络安全漏洞过度免责    

       江苏消保委还指出车企在提供网络服务过程中,设置了较为宽泛的网络安全漏洞的免责条款。因《网络安全法》《数据安全法》中对企业提出了在网络安全等级保护制度的基础上,履行数据安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。那么企业在用户协议中为自己设置较为宽泛的网络安全漏洞的免责条款,实则免除了企业根据法律规定应当履行的网络数据安全保障义务。当然,由于技术发展的限制问题,企业确实无法防范所有的计算机病毒或网络攻击,因此,我们建议,企业更应加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施。而车企和车联网服务平台运营企业可能会构成关键信息基础设施的经营者,那么相应地,经营关键信息基础设施的企业应当设置网络安全监测预警制度以及网络安全事件应急预案,通过技术配套制度履行网络数据安全保障义务。  

       三、消费者个人信息保护合规问题    

       江苏消保委在《调查报告》中也反馈了消费者个人信息保护中存在的问题,问题聚焦在个人信息的收集、使用、提供(共享)、跨境提供以及用户权利的响应等方面。结合我们为车企提供数据合规服务的实践经验,这类问题确实是现阶段企业在个人信息保护合规中存在的重点和难点问题。  

       (一)个人信息的收集      

       《调查报告》提到智能网联汽车的个人信息默认不收集原则,《汽车数据安全管理若干规定(试行)》中提出的默认不收集原则是指除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。而车企不收集特定的汽车数据则无法实现诸如自动驾驶、辅助驾驶等功能,这就要求企业进一步完善驾驶人的授权机制,在具体的场景中合理适当地设置驾驶人自主设定流程以完成授权。    

       收集个人信息必要性原则要求企业进一步审视收集的每一项个人信息种类是否都满足最小必要的原则,是否与收集目的直接相关,是否对个人权益影响最小。尤其在收集用户的敏感个人信息时,还需要向用户告知处理该敏感个人信息的必要性以及对个人权益的影响。    

       (二)个人信息的使用      

       数据的价值也体现在对数据的二次开发利用上,企业收集个人信息后除用于业务开展中,也希望通过对数据进行分析加工,更多地发挥数据的价值,再通过改进服务从而改善用户体验,促进业务的良性发展。此外,企业也可以通过对用户进行定向营销开展推广活动。这里面存在的合规风险是,在进行个人信息的分析时企业有没有做到个人信息的匿名化处理,对于无法满足匿名化要求的企业来说,分析加工个人信息的行为应当事先向用户披露并取得用户的同意。而企业通过对个人信息的分析形成用户画像,并进行用户个性化推荐、定向营销和推广时涉及到自动化决策的问题,企业不得设置不合理的差别待遇,如“大数据杀熟”,或者为用户提供拒绝个性化推荐、拒绝定向营销推广的途径,且该途径应是便捷、可实现的。    

       (三)单独同意的特殊场景      

       《个人信息保护法》对个人信息提供(共享)、公开、处理敏感个人信息、个人信息出境等场景规定了单独同意的要求。对于此类场景,企业如在隐私政策中通过一揽子的方式获取同意显然是不符合合规要求的。因此,我们建议,企业应当对单独同意的场景进行梳理,针对具体的场景来设计满足合规要求的处理方式。    

       (四)删除权的响应      

       在个人权利的响应方面,江苏省消保委着重关注了删除个人信息的响应问题。在《汽车数据安全管理若干规定(试行)》中规定了个人要求删除敏感个人信息的,汽车数据处理者应当在十个工作日内删除。车企应当注意到该规定中提出的特殊要求,以避免出现合规风险。    

       然而企业在响应用户的删除权时也面临着平衡企业权益的实际问题,如用户“薅羊毛”行为,利用删除权不断地参与新用户活动,或者用户在与企业之间面临仲裁诉讼的风险时向企业提出删除权要求等。因此,我们建议,企业应在响应用户删除权的同时也需要在维护企业利益中寻找一个平衡点。目前的法律规定中暂未对此进行规定,《个人信息保护法》第四十七条第二款规定目前也无法适用于前述场景。我们认为,企业可以在用户提出删除权的响应过程中,与用户进行公平合理的约定,达成用户与企业之间关于实现删除权的协议,在响应用户删除权的同时平衡企业的合理利益。    

       四、总结      

       我们理解江苏省消保委出具的《调查报告》是针对车企协议中格式条款的合规情况做的一个摸底调查,部分问题也存在一定的争议,如在约定查询回复的响应过长的问题上,消保委引用的《信息安全技术网联汽车采集数据的安全要求(草案)》能否直接适用该场景存在一定的探讨空间。我们期待,江苏省消保委在下一步与被调查车企开展约谈,督促被调查车企进行整改的过程中,能给市面上企业的格式条款的合规整改提供切实可行的整改方向。 


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送