巡游出租车行业数据安全与个人信息保护合规小议

一、前 言

2021年，《数据安全法》《个人信息保护法》的相继施行明确了违法处理数据、侵害个人信息权益的法律责任，严厉的处罚力度为广大市场经营主体敲响警钟。

随着部门规章、办法等各类型细则式规定陆续落地，2021年，国家互联网信息办公室等部门陆续发布汽车出行服务数据合规有关规定及国家标准征求意见稿，如《常见类型移动互联网应用程序必要个人信息范围规定》《汽车数据安全管理若干规定（试行）》《信息安全技术网络预约汽车服务数据安全指南》征求意见稿；2022年，国家互联网信息办公室、全国信息安全标准化技术委员会秘书处等部门陆续发布APP个人信息处理活动、数据类型识别的国家标准征求意见稿，如《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》《信息安全技术应用商店的App个人信息处理规范性审核与管理指南》《信息安全技术重要数据识别指南》征求意见稿。

由此可见，数据合规立法逐步体系化、精细化，对数据处理者开展数据处理活动提出更高要求的同时，也为数据处理者推进数据合规提供了更具体可参考的法律依据与标准。

基于上述，笔者拟结合多年来为广州各大传统巡游出租车企业提供法律服务的实践经验以及所发现的问题，对巡游出租车行业数据与个人信息安全保护合规话题小议一二。

二、巡游出租车行业数据安全与个人信息保护法律风险

（一）收集个人信息过程中的风险

1. 未经乘客同意，收集乘客个人信息

《个人信息保护法》第十三条规定，“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意……（三）为履行法定职责或者法定义务所必需……”。

《汽车数据安全管理若干规定（试行）》第八条第一款规定，“汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。”

具体到传统巡游出租车企业，根据《广州市巡游出租汽车客运管理条例》的规定，巡游出租车应当“配置具备驾驶员从业资格信息显示、电子支付、卫星定位、调度管理、电召、视频监控、录音、应急报警、服务评价等功能的车载终端”，要求巡游出租汽车经营者应当“将有关设备以及数据库接入政府监管平台，实时报送卫星定位装置相关数据、巡游出租汽车和驾驶员对应信息等相关运营信息，并接收交通行政主管部门反馈的管理信息……”。

上述规定中，并未明确赋予巡游出租汽车可以不经乘客同意直接收集乘客个人信息的权利。因此，如出租汽车经营者未经履行取得乘客同意相关程序，即自行通过视频、音频记录等方式，收集乘客个人信息（包括人脸记录），都可能触发违法行为。

此外，在巡游出租汽车电召服务过程中，也涉及到对用户移动电话号码、乘车人出发地、到达地、位置信息、行踪轨迹等的收集，需要进一步核查相应的应用程序中，是否已经就信息处理者收集、存储用户个人信息相关事项履行了必要的告知义务并取得了用户同意。

2.过度收集司机个人信息

《个人信息保护法》第十三条还规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：……（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需……”。

收集劳动者个人信息属公司对内管理的企业管理合规问题，同样受到《个人信息保护法》等法律法规的规制，应当遵循必要性原则，在最小范围内收集个人信息；对于与履行劳动合同无关的个人信息，不应当进行过度收集。

（二）处理个人信息过程中的风险

《汽车数据安全管理规定（试行）》第三条第五款规定，“敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。”第八条规定，“因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。”第九条规定，“汽车数据处理者处理敏感个人信息，应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求：……（三）应当取得个人单独同意，个人可以自主设定同意期限；（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利……”。

巡游出租汽车通过安装车内监控装置，对乘客信息进行获取，涉及乘客的音频、视频、生物识别特征（人脸信息）；通过安装GPS定位系统，对车辆行踪轨迹和车外信息（包括车外个人信息）进行记录，均属于《汽车数据安全管理规定（试行）》中的“敏感个人信息”。

除前述“未经乘客同意，收集乘客个人信息”的法律风险外，还包括在处理敏感个人信息过程中，可能存在未经匿名化处理或脱敏处理、未遵循最小原则等违规风险。

（三）法律后果

根据《个人信息保护法》第六十六条规定，违反法律规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

三、基于数据安全和个人信息保护风险分析的合规要点

基于《个人信息保护法》《数据安全法》关于个人信息保护、数据安全保护的制度要求与义务要求，结合巡游出租车企业上述数据安全合规问题，笔者认为，巡游出租车企业数据管理工作中的合规要点主要体现在“个人信息保护合规”和“数据安全保护合规”。

（一）个人信息保护合规

1.关于乘车人及车外人员的个人信息保护

（1）遵循最小必要原则

《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”以此为前提，如何解读“限于实现处理目的的最小范围”（即最小必要原则）对于企业设计其产品交互页面至关重要，直接决定了其产品流程的合法性。

《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定：“常见类型App的必要个人信息范围：……（二）网络约车类，基本功能服务为‘网络预约出租汽车服务、巡游出租汽车电召服务’，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）……”。以上规定可以为企业判断“必要”的信息范围提供参考。

需要注意的是，上述规定的信息范围只是立法者基于立法技术，在保证实现相应APP基本功能下的最基础的规定，并不能穷尽所有情形。实践中，由于不同的APP所服务的业务场景，以及所需实现的功能千差万别，企业应当基于特定目的，进一步参考《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》¹等要求，对自身业务所必须收集的个人信息的范围进行充分评估后实施。在此过程中，应当对评估过程进行记录及留存。

（2）妥当落实“告知-同意”要求

《个人信息保护法》第十七条要求企业在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。

根据上述规定，传统巡游出租汽车应当考虑通过车载显示面板、计价器语音提示、张贴告示等显著方式，按照《汽车数据安全管理若干规定（试行）》的规定，对处理个人信息的种类、收集个人信息的具体情景及停止收集的方式和途径、处理个人信息的目的、用途、方式、信息保存情况、信息主体相应权利等事项，明确告知乘客。可考虑通过告知乘客若不接受该等信息收集行为，可以选择拒绝乘车等方式，从而确保落实“告知-同意”要求。

对于通过网络预约、电召等方式呼叫出租车出行服务的，应当在APP产品中对上述《汽车数据安全管理若干规定（试行）》中规定须告知事项进行明示，通过用户勾选/电子签名/明示同意等方式落实“同意”要求。

（3）处理个人信息的特别要求

① 处理乘客敏感个人信息

针对敏感个人信息，出租车企业在履行告知、征得个人单独同意等义务基础上，还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利²等具体要求，向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

② 处理车外个人信息

严格按照《汽车数据安全管理若干规定（试行）》的规定，对于因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

③ 风险评估工作

《汽车数据安全管理若干规定（试行）》将涉及个人信息主体超过10万人的个人信息作为重要数据，要求汽车数据处理者开展此类数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

巡游出租车企业应当核查个人信息主体数量，对于满足以上认定条件的，应当尽快开展风险评估工作。

2.关于司机的个人信息保护

用工企业员工信息保护合规是《个人信息保护法》下，企业用工合规的新要求。从员工招聘到员工入职、从用工管理到员工离职，个人信息保护的合规风险具象化于人力资源管理的各个环节；从个人简历的投递到规章制度的送达、从日常的考勤到工资的发放，员工个人信息保护贯穿于企业人力资源管理的全流程。

司机作为出租车公司员工的主要构成，其个人信息保护与乘客个人信息保护在总体制度与义务上要求相同，在此基础上，需要企业结合用工管理的不同环节、不同场景平衡人力资源管理与个人信息保护。具体而言，包括但不限于以下方面内容：

（1）收集新入职司机个人信息时，企业需遵循最小必要原则，明确实施人力资源管理（如采集体检与考勤信息、购买社保）所必需的个人信息范围，不过度收集个人信息；

（2）为司机购买商业保险的，用工企业需获得司机的合法授权，并注意与保险公司签订合同/协议是否明确约定了“存储、使用、传输、提供个人信息”的合规义务与责任；

（3）对于所收集的未入职人员信息，在无其他合法必要下，我们建议用工企业应当及时删除；

（4）在上述场景下，企业还应注意是否涉及第三方（如招聘网站的应用程序、提供人脸识别服务的平台）。此时，企业需要审查合作方与第三方的协议/三方协议是否约定了“处理个人信息”的合规义务与责任；同时，人脸识别属敏感个人信息，企业应更加重视审查是否已经履行了告知司机有关处理其人脸信息的规则、目的、方式、范围、第三方验证、对个人权益的影响等内容，并取得司机的单独明确同意。

由于员工个人信息处理场景的不断增加，需要通过尽职调查对人力资源管理各环节的不同场景进行数据盘查，在了解用工企业所处理的个人信息类型以及涉及不同相对方的业务情况后，就具体情况、具体法律法规进行具体分析。

（二）数据安全保护合规

《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》通过“第三章 制度规范建设”章节，对相关企业建立数据安全合规管理的标准、制度和规范，建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险时间报告、应急处置机制、教育培训等管理事项应当建章立制作出明确规定。

具体到出租车行业，企业应当首先遵循国家数据安全等法律法规对核心业务的现有数据进行分级分类，在此基础上，通过技术手段落实安全管理要求，定期对新增数据进行梳理，确保所有数据的分类及分级管控。同时，结合法律法规、行业标准的变化，及时更新内部数据分级分类标准。

由于出租车企业所掌握的相关数据可能涉及到军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等信息，在一定程度上可以反应汽车充电网的运行数据，大型出租车企业亦可能掌握涉及个人信息主体超过10万人的个人信息。该等信息均可能影响到国家安全、公共利益，也关系到个人合法权益，因此，出租车企业应当属于数据安全风险较高的企业。参考《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》的要求，应当建立安全合规评估及审计机制，自行或者委托有相关资质的机构，每年至少进行一次全面的网络安全检测和风险评估，并对发现的问题及时进行整改。同时，还应当建立数据安全应急响应机制和重大数据安全合规风险实践报告制度，降低因数据安全事故引发的损失。

注释 

1.由电信终端产业协会公布的一项行业标准，明确APP收集使用个人信息最小必要评估规范系列标准中术语定义，规定了收集使用的最小必要原则及要求，是APP收集使用个人信息最小必要评估规范系列标准的引领部分，或为其他移动终端数据相关标准提供参考。

2.《汽车数据安全管理若干规定（试行）》第九条规定，“个人要求删除的，汽车数据处理者应当在十个工作日内删除”。

特别声明：

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。