自动驾驶的数据保护

如果您的汽车知道您的心率或计算您眨眼的次数，您会有什么感觉？随着自动驾驶汽车的出现，监视您（车辆用户）的传感器数量将会增加。汽车会知道您是否能够收回对方向盘的控制，或者交通状况何时让您大汗淋漓。听起来令人不安吗？

利益相关者已经表示，检测用户身体状态的传感器和摄像头对于道路安全可以发挥重要作用，但隐私问题也同样存在。例如，欧盟成员国在2016年关于互联和自动驾驶领域合作的阿姆斯特丹宣言中已经提到了隐私权和数据保护，并同意一项联合议程，其中包括确保隐私和数据。在本文中，我们将仔细研究有关在欧盟境内公共道路上行驶的车辆用户健康数据的隐私问题。

如果车辆通过传感器和摄像头收集有关用户心率、眼球运动以及用户身体和精神状态的其他指标的信息，这些数据是否可以由自动驾驶车辆的运营商存储并可能出售给例如用户的保险公司。是否允许将这些数据与其他数据（例如车辆位置和一天中的时间）结合起来，并将其出售给想要向用户宣传其餐厅的公司？

我们将探讨根据GDPR处理和使用这些数据的可能性和限制。GDPR 是一种技术中立的通用数据保护工具，适用于自动驾驶汽车收集的数据。

除了设定法律界限外，GDPR 还为如何在这个技术丰富的世界中处理数据保护问题提供了启发。这一灵感成为应用于自动驾驶汽车的新颖的三步方法的起点，以将数据保护集成到自动驾驶汽车中。

这种方法将确保未来人们在使用自动驾驶汽车时不再需要担心个人数据的保护。首先，讨论不同的自动化水平以及通过传感器和摄像头收集健康相关数据的不同可能性。在介绍 GDPR 后，我们将探讨收集和使用与自动驾驶车辆用户的身体状态相关数据的可能性和局限性。

通过使用案例，我们将确定根据 GDPR 通过自动驾驶车辆中的传感器和摄像头收集健康相关数据（也称为健康数据）的法律后果。 

正如用例所示，通过自动驾驶车辆处理的个人数据的收集、共享和销售存在一些挑战。尤其是涉及健康数据等敏感数据时，GDPR 提出了严格的要求。幸运的是，GDPR 还就组织如何遵守这些严格要求提供了指导。

在用例中，控制者可以使用三步方法：首先是数据保护影响评估（DPIA），其次是设计数据保护，最后是默认数据保护。设计和默认情况下的数据保护是 GDPR 第 25 条规定的法律义务。DPIA 可以帮助遵守这两项义务等。

第一步：数据保护影响评估DPIA

控制者必须确定 DPIA 是否是强制性的。在用例中，控制者是车队运营商或制造商，具体取决于谁决定处理的方式和目的。GDPR 第 35 条列出了在确定 DPIA 是否具有强制性时非常重要的几个方面。如果个人数据的处理“可能会对自然人的权利和自由造成高风险（……）”，则此类 DPIA 是强制性的。此外，第29条工作组（the Article 29 Working Party,WP29）确定了也应考虑的九项标准。这九个标准是：

1.评估或评分：特别是“有关数据主体的工作表现、经济状况、健康、个人偏好或兴趣、可靠性或行为、位置或活动的方面”（GDPR 第 71 条和第 91 条）；

2.具有法律或类似效力的自动决策：如 GDPR 第 35 (3)(a) 条所述：“对自然人的法律影响”或“对自然人产生类似的重大影响”；

3.系统监测：WP29 将“系统性”解释为以下一项或多项：(a) 按照系统进行，(b) 预先安排、有组织或有条理，(c) 作为数据收集总体计划的一部分进行，以及 (d) 作为战略的一部分实施；

 4.敏感数据或高度个人化的数据：包括（但不限于）GDPR 第 9 条的数据（特殊类别的数据，也称为敏感数据）以及与刑事定罪或犯罪相关的数据；

 5.大规模处理的数据：这里涉及的数据主体数量以及数据量、不同数据项的范围、数据处理活动的持续时间以及处理活动的地理范围都是相关的；

 6.匹配或组合数据集：出于不同目的或超出数据主体的合理预期；

 7.有关易受攻击的数据主体的数据：例如：儿童、雇员和其他可能需要特殊保护的人，如精神病患者、寻求庇护者、病人等；

 8.创新地运用新技术或组织解决方案：例如，结合指纹和面部识别进行访问控制时；

 9.当处理本身阻止数据主体行使权利或使用服务或合同时：例如，当操作旨在允许、修改或拒绝数据主体的访问时。

从用例的数据主体收集的数据涉及两种类型的个人数据：常规个人数据和属于 GDPR 第 9 条个人数据特殊类别的数据（所谓的敏感数据）。如果数据被认为是有关健康的数据，并且作为特殊类别数据的一部分，则根据WP29标准的第四个标准，DPIA 是强制性的。

此外，我们认为，即使对于与健康无关的个人数据，DPIA 也是强制性的，因为自动驾驶车辆中的所有个人数据都在大规模处理。在将数据主体的个人数据出售给保险公司，存在数据集的匹配或组合（标准 6）。即使 DPIA 不是强制性的，仍然建议执行 DPIA。根据 GDPR 第 35 (1) 条，必须在处理之前进行 DPIA。由于这个时机，DPIA 可以帮助控制者默认和按设计遵守数据保护义务。

从逻辑上讲，DPIA 还可以帮助控制者遵守 GDPR 的其他数据保护原则，例如 GDPR 第 5 条的数据保护原则。用欧洲数据保护监管机构的话说：“数据保护风险的管理是隐私设计和默认方法的核心。”

第二步：设计数据保护

GDPR 第 25 条第 1 款规定了设计数据保护的义务。通过设计保护数据需要从设计的早期阶段（在本例中为自动车辆系统）开始就考虑数据保护。通过设计保护数据保护的技术和组织措施取决于以下几个要素：例如：“（……）现有技术、实施成本以及处理的性质、范围、背景和目的，以及处理对自然人的权利和自由造成的不同可能性和严重程度的风险。”因此，在处理 GDPR 第 9 条之外的敏感数据时，必须采取更先进的技术和组织措施。

第三步：默认数据保护

默认数据保护是指实施保护数据保护权的保障措施作为默认设置。GDPR 第 25 (2) 条规定，默认数据保护义务适用于：“……收集的个人数据量、 它们的处理程度、存储期限及其可访问性”。根据欧洲数据保护监管机构的说法，这意味着默认情况下应设置对隐私最友好的配置。根据 GDPR 第 25 (2) 条，此配置至少涉及数据最小化、用途限制、存储限制和保密性的一般原则。这些原则均在有关 GDPR 第 5 条数据保护原则的一般条款中提到。

欧洲数据保护监管机构使用一个示例来解释适用于用例的默认数据保护：

“例如，如果我使用汽车共享应用程序，我希望我的位置能够让我知道最近的汽车停在哪里，并且我的联系方式能够让我在服务中与我取得联系。这并不意味着默认情况下，我的位置和联系方式应该发送给当地的自行车卖家，以便向我发送广告和优惠信息。”