霸王條款？理想汽車不授權不讓用，專家：不合規，應儘快整改

近日，“理想汽車軟體更新再現霸王條款”的新聞登上熱搜。智慧電動車品牌理想汽車在最新的智慧系統軟體協議中規定，在使用者使用車載應用平臺期間，將收集其車輛駕駛行為資料、車載導航應用資料、車載娛樂系統資料等使用資訊，不同意協議則無法繼續使用汽車。

報道一出，南都·隱私護衛隊聯絡了理想汽車進行求證，但未能收到答覆。此前，理想汽車方曾向其他媒體回應稱對此事並不知情，近日沒有向用戶推送新的智慧系統軟體協議。

南都·隱私護衛隊注意到，應用超範圍收集使用者個人資訊的問題近年來十分突出，大量應用透過捆綁基本功能服務，“一攬子”強制要求使用者授權。在此事件中，理想汽車的軟體協議是否違反了法律法規？使用者應如何維護個人資訊權益？導航應用資料、駕駛行為資料等資訊一旦洩露，又可能帶來哪些安全隱患？

有專家表示，理想汽車的許可協議並不合理，它違反了多個相關法規在收集個人資訊方面的要求；使用者可透過向監管部門舉報、向法院起訴等方式維權；車輛駕駛資料屬於重要資料，一定程度上能反映出關鍵社會利益。

理想汽車強制過度索權 已查實大量類似案例

據報道，9月18日，進行車機升級的部分理想汽車使用者收到了“理想智慧系統軟體許可協議”的更新推送。

協議內容顯示，在使用者使用車載應用平臺期間，理想汽車將收集使用者應用賬號資訊、車載應用裝載及使用情況、個性化設定資料、車輛駕駛行為資料、車載導航應用資料、車載娛樂系統資料以及輸入法輸入的內容結果等使用資訊。

值得注意的是，整個推送頁面上只有“已閱讀，並同意許可協議”這唯一選項，不同意則無法繼續使用汽車。這也意味著，使用者必須接受如開車去了哪、開了多長時間、開車時聽什麼音樂、搜尋過什麼地點等資訊都會被傳送到理想汽車後臺這一事實。

“霸王條款使不得，應該尊重使用者體驗”“這對車企改進駕駛體驗有什麼幫助”“就好像你買的房子被物業裝了攝像頭，不給看就不讓住”……登上熱搜後，該事件受到廣泛關注，網友們紛紛表示“這不叫協議，這是通知”。

南都·隱私護衛隊注意到，透過捆綁基本功能服務，強制索取非必要的使用者個人資訊授權一事早已屢見不鮮，但同時監管方面也動作不斷。

2019年12月，國家網際網路資訊辦公室（下稱“網信辦”）、工業和資訊化部（下稱“工信部”）、公安部、市場監管總局聯合制定了《App違法違規收集使用個人資訊行為認定方法》，對“未經使用者同意收集使用個人資訊”、“違反必要原則，收集與其提供的服務無關的個人資訊”等應用違法違規收集使用個人資訊的行為作出界定。

今年3月，網信辦、工信部、公安部、國家市場監督管理總局聯合制定了《常見型別移動網際網路應用程式必要個人資訊範圍規定》，明確39類常見型別應用的必要個人資訊範圍，並要求應用程式運營者不得因使用者不同意收集非必要個人資訊，而拒絕使用者使用應用的基本功能服務。

相關法規出臺後，網信辦、工信部等部門多次針對應用非法獲取、超範圍收集、過度索權等侵害個人資訊的現象，對常見型別應用的個人資訊收集使用情況進行檢測。到目前為止，因上述原因被通報整改的應用數量高達數百個，其中不乏抖音、百度、快手、高德地圖、360瀏覽器等知名應用。

專家：明確違反法規，應及時自行整改

那麼，就此事件而言，理想汽車的軟體協議是否違反了法律法規？使用者可透過哪些渠道打破“霸王條款”、維護個人資訊權益？導航應用資料、駕駛行為資料等重要資訊被收集後一旦洩露，可能帶來哪些安全隱患？

在北京清律律師事務所首席合夥人熊定中看來，理想汽車的這份協議顯然是不合理的，它明確違反了網路安全法中的相關規定，並且與即將實施的個人資訊保護法的精神以及一系列相關監管要求相違背。

自2017年6月起施行的網路安全法中規定，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，徵得被收集者同意，且不得收集與其提供的服務無關的個人資訊。將於今年11月施行的個人資訊保護法規定，收集個人資訊，應當限於實現處理目的的最小範圍，不得過度收集個人資訊。

“首先明確一點，該事件中使用者所遇到的OTA（即空中下載技術，可實現業務選單的動態下載、刪除與更新）推送系統更新是一種很常見的情況。目前國內的智慧汽車，包括智慧車機系統、車聯網系統都具備OTA升級功能，與手機的OTA升級機制類似，這種行為本身沒有任何問題。”熊定中解釋，但如果要額外收集非必要資訊，則需要徵得使用者的明確同意。

對此，熊定中舉了個例子：“以車載導航系統為例，理論上只有當用戶使用車機系統裡自帶的導航系統時，它才能夠去收集使用者的位置資訊。如果使用者要使用車載導航系統，但又不願提供相關資訊，系統此時可以拒絕提供導航服務，但不得拒絕其他基本功能的使用，例如此時使用者不使用導航功能而是自行駕駛，則系統並沒有合法性依據要求使用者提供相關許可權。”

今年8月，國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部、交通運輸部聯合釋出《汽車資料安全管理若干規定（試行）》，明確規定車輛行蹤軌跡等資訊為敏感個人資訊，汽車資料處理者在資料處理活動中應堅持“預設不收集”、“精度範圍適用”等資料處理原則，減少對汽車資料的無序收集和違規濫用。

熊定中指出，車輛駕駛資料屬於重要資料範疇，尤其在使用者數量較多的情況下，它能夠反映很重要的社會利益，因此理想汽車這一行為非常不妥。“我認為理想汽車的做法非常不明智，應該自己及時整改。”

此外，談及使用者維護個人資訊權益的渠道，熊定中直言，最簡單、快捷的方法是向交通運輸部門、工信部門等監管機構投訴。此外，由於這是“明顯且緊迫”的危害，使用者還可以考慮向法院起訴，要求法院向理想汽車發出一個行為禁令，禁止其在判決結果出來之前收集上述資訊。

採寫：南都個人資訊保護課題組研究員 樊文揚