在此仅讨论GDPR的适用条款

自动驾驶相关技术正不断发展，因此本文讨论的驾驶员监控系统只是目前正在研究或预期的系统的一些示例。这样的系统最终是否会出现在公共道路上行驶的车辆中还有待观察。用例分为不同的部分，每个部分处理一个特定的问题，在此仅讨论GDPR的适用条款。

1.数据类型

想象一下，一个用户经常使用SAE3级车辆。她用这辆车上下班，开车去她最喜欢的餐厅、去找她的朋友和家人、去看医生、去她女儿的托儿所，以及去她最喜欢的俱乐部看足球比赛。这辆自动驾驶汽车配备了心率传感器和跟踪她眼球运动的摄像头。所有收集的数据都存储在用户的详细信息下。

用例中的数据可用于识别自然人，即用户。因此，这些数据是GDPR意义上的个人数据。如上所述，这些个人数据是否符合健康数据的条件取决于具体情况。在这种情况下，有关用户位置的数据不一定是有关健康的数据：如果这些数据与用户的朋友共享以在拥挤的城市见面，则这些数据不是有关健康的数据。当车队运营商不使用这些数据来评估用户的健康状况时，有关用户位置的数据不是有关健康的数据。

这也适用于有关用户使用自动驾驶汽车的频率和行驶距离的数据：如果这些数据不用于评估她的健康状况，则这些数据不是有关健康的数据。但是，如果医疗保险公司使用相同的数据来评估她的总体健康状况，则这些数据将成为有关健康的数据。此外，有关用户眼球运动和心率的数据始终是有关健康的数据。毕竟，原始传感器数据本身可以用来得出有关用户健康状况的结论。

2.收集数据

有关用户使用自动驾驶汽车的频率、开车到哪里、在一天中的什么时间、心率和眼球运动的数据都由车队运营商收集，并通过基于云的服务保存。

在此用例中，车队运营商是控制者，基于云的服务是个人数据的处理者。如上所述，车队运营商收集的有关用户位置、用户使用车辆和行程持续时间的数据不是与健康有关的数据。但是，它们是个人数据，因此车队运营商必须遵守GDPR第5条和第6条的一般原则。从GDPR第5条中提到的六项原则来看，在讨论用例中的数据收集时，关于处理合法性、目的限制和数据最小化的原则是最相关的。

根据GDPR第6条，可以确定处理是否合法。个人数据的处理是合法的：(a)如果数据主体同意处理，(b)如果处理是履行合同所必需的，(c)如果需要处理以遵守法律义务，(d)如果处理对于保护数据主体或其他自然人的切身利益是必要的，(e)如果处理对于执行为公共利益而执行的任务是必要的，或者(f)如果处理对于控制者追求的合法利益是必要的。关于用户位置、用户使用车辆和行程持续时间的数据，考虑因素(a)和(b)是最相关的。

车队运营商需要知道谁租用了车辆、车辆使用了多长时间、行驶距离、行程结束时车辆停放的位置，以及承租人的详细信息，以便向她收取车辆使用费。这些数据对于车队运营商向承租人收取使用费用以及允许多个用户租用车辆是必要的。

为了向用户提供服务，车队运营商必须收集所有这些数据。因此，处理这些数据对于履行与用户（包括用例中的用户）的合同是必要的。但是，如果车队运营商想要收集其他数据，例如用户是否与车辆一起运输她每周购物的车辆，车队运营商将不得不征求用户（数据主体）的同意（考虑因素a）。这些数据对于履行合同不是必需的（GDPR第6(1)条的考虑因素b），因此收集这些数据不符合数据最小化和目的限制的要求。

车队运营商收集的健康数据包括自动驾驶汽车用户的眼球运动和心率。鉴于即将出台的《通用安全法规》第6(3)条，如果“就收集数据的目的而言是必要的”，则可以收集这些数据，这是本用例的前提。因此，只有GDPR为收集这些与健康有关的数据设定了界限。

GDPR第9(1)条规定，原则上不允许收集这些与健康有关的数据，除非适用GDPR第9(2)条的例外情况。最引人注目的是GDPR第9(2)(h)条的豁免，该条款允许在医疗诊断需要数据时进行处理。此豁免必须与GDPR第9(3)条一起解读，该条规定这些数据必须由负有专业保密义务的专业人员处理或由其负责处理。车队运营商不受专业保密的约束，因此，此豁免不适用。

在这种情况下，另一个可能值得关注的豁免是GDPR第9(2)(g)条，该条款规定出于重大公共利益的原因进行处理的必要性。这必须以欧盟或成员国法律为基础，这些法律应与所追求的目标相称，并尊重数据保护权的本质。此外，该条亦应规定适当和具体的措施，以保障数据主体的基本权利和利益。有人可能会争辩说，道路安全关系到重大的公共利益。

因此，在拥有GDPR第9(2)(g)条所述法律的成员国中，此豁免可能适用。但是，如果成员国没有GDPR第9(2)(g)条中提到的法律，则GDPR第9(2)(a)条规定的豁免可能适用：数据主体（自动驾驶汽车的用户）必须给予明确同意。此外，处理应符合GDPR第5条的一般要求。

3.共享数据

在她的一次旅行中，由于道路工程导致的复杂情况，车辆要求用户从自动系统中接管驾驶。方向盘中的心率传感器用于监测驾驶员的意识，可检测用户心律的偏差。这种偏差非常严重，可能是危及生命的疾病的征兆。因此，车辆的自动化系统会警告紧急服务，紧急服务会向用户发送救护车。

同时，跟踪用户眼球运动的摄像头发出信号，表明用户慢慢失去意识。然后，自动驾驶汽车将自己停在安全的地方。得益于来自心率传感器的数据，医护人员能够快速诊断和治疗用户的心脏状况。用户的医疗保险也希望访问这些数据，以评估治疗产生的费用是否成比例。

关于与护理人员共享这些数据，GDPR开辟了处理健康数据的可能性，以保护数据主体的切身利益，在本例中数据主体是自动驾驶汽车的用户。只有当数据主体无法给予同意时，才允许这样做。用例中就是这种情况：用户无法同意，因为当医护人员到达时她已经失去知觉。然而，GDPR的考虑因素表明，如果在处理上有不同的法律依据，则予以优先。在这种情况下，还有另一个处理的法律依据，即GDPR第9(2)(h)条关于医疗诊断的规定。

除车队运营商外，护理人员均负有职业保密义务，并且该处理对于用户的医疗诊断和治疗是必要的。同样，必须考虑GDPR第5条的要求。然而，即将出台的《通用安全法规》第6(3)条规定，关于所讨论的数据，“这些数据在任何时候都不得访问或提供给第三方，并在处理后立即删除”。

另一方面，在《通用安全法规》的第14条中提到，“对个人数据的任何处理，例如在事件数据记录器中处理的有关驾驶员的信息或有关驾驶员嗜睡和注意力或驾驶员分心的信息，应根据欧盟数据保护法进行，特别是欧洲议会和理事会的条例(EU)2016/679”。

这似乎与《通用安全法规》第6(3)条相矛盾。也许《通用安全法规》第6(3)条应被解释为在GPDR规定之上的一项额外严格的措施。然而，应该注意的是，在这种特定情况下，这将导致不良结果（例如，无法为患者提供适当的医疗帮助）。鉴于对《通用安全法规》第6(3)条的解释的不确定性和本条的范围，本条将不再进一步讨论。然而，重要的是要探讨《通用安全法规》和GDPR之间的关系，以澄清此处描述的问题。

接下来是与用户的医疗保险公司共享有关眼球运动和心率的数据。GDPR第9(2)(h)条的豁免不适用于此处，因为医疗保险公司不受职业保密义务的约束。GDPR第9(2)(c)条所指的切身利益不存在，因为数据是在事件发生后用户能够给予同意的情况下请求的。GDPR第9(2)(g)条可以适用，因为“用于解决健康保险系统中福利和服务索赔的程序的成本效益”符合公共利益。

4.购买数据

用户的医疗保险公司后来要求车队运营商提供有关此事件期间用户的心率和眼球运动的数据，该运营商在事件发生时将SAE3级车辆出租给用户。有关用户使用该车队运营商的一辆车进行的所有旅行的所有数据都存储在用户详细信息下的一个帐户中。这些数据由基于云的服务存储。健康保险公司希望购买所有收集到的数据，因为它希望更好地了解用户的总体健康状况，以便他们可以根据其健康风险的高度调整保费。

这家医疗保险公司有兴趣从车队运营商那里购买有关自动驾驶汽车用户的所有可用数据。由于保险公司希望使用这些数据来评估用户的健康状况，因此这些数据被视为有关健康的数据（GDPR第4(15)条），因为它们用于得出有关用户健康状况和健康风险的结论。因此，除非满足GDPR第9(2)条的豁免，否则不允许处理这些数据（GDPR第9(1)条）。

如上所述，GDPR第9(2)(h)条的例外情况在此不适用。作者认为，GDPR第9(2)(g)条不适用于本案。尽管GDPR第52条提到“用于解决健康保险系统中福利和服务索赔的程序的成本效益”符合公共利益，但医疗保险公司要求的数据将用于另一个目的，即评估用户的总体健康状况。这些数据的使用不是为了解决索赔，而只是为了根据用户的健康风险调整保费。

但是，还有一项豁免可能适用：GDPR第9(2)(a)条。这意味着用户必须明确同意车队运营商为此目的出售她的数据。根据GDPR的定义，同意是“任何自由给予的、具体的、知情的和明确的数据主体意愿的指示，他或她通过声明或明确的肯定行动表示同意处理与他或她有关的个人数据”。自由给予同意意味着必须给予用户真正的选择权，如果她不同意，则不会产生负面后果。出售数据的同意不能与提供自动驾驶汽车服务的合同捆绑在一起，因为出售数据对于履行服务合同不是必需的。

第29条工作组强调，“同意和合同不能合并和模糊”。健康保险公司想要购买用户数据的目的应该对用户来说很清楚，因此她的同意具体是指该目的。在这种情况下，用户至少需要被告知：

·  第一，控制者的身份

·  第二，征求同意的每项处理操作的目的

·  第三，将收集和使用哪些（类型）数据

·  第四，存在撤回同意权

用户必须给予的同意，必须明确给予，因为它涉及敏感数据。“明确”（GDPR第9(2)(a)条）并不一定意味着必须通过书面和签署的声明来表达同意。例如，电子签名也可以被视为明示同意。此外，用户必须意识到这种可能性，并且必须能够随时撤回其同意（GDPR第7(3)条）。此处不讨论同意的其他要素，因为它们与用例的上下文不太相关。

文章来源：Trix Mulder、Nynke E Vellinga于2021年4月发表在Computer Law & Security Review上的文章，原标题“Exploring data protection challenges of automated driving”。