近日，“理想汽車軟件更新再現霸王條款”的新聞登上熱搜。智能電動車品牌理想汽車在最新的智能系統軟件協議中規定，在用戶使用車載應用平臺期間，將收集其車輛駕駛行為數據、車載導航應用數據、車載娛樂系統資料等使用信息，不同意協議則無法繼續使用汽車。

　　報道一出，南都·隱私護衛隊聯系了理想汽車進行求證，但未能收到答復。此前，理想汽車方曾向其他媒體回應稱對此事并不知情，近日沒有向用戶推送新的智能系統軟件協議。

　　南都·隱私護衛隊注意到，應用超范圍收集用戶個人信息的問題近年來十分突出，大量應用通過捆綁基本功能服務，“一攬子”強制要求用戶授權。在此事件中，理想汽車的軟件協議是否違反了法律法規？用戶應如何維護個人信息權益？導航應用數據、駕駛行為數據等信息一旦泄露，又可能帶來哪些安全隱患？

　　有專家表示，理想汽車的許可協議并不合理，它違反了多個相關法規在收集個人信息方面的要求；用戶可通過向監管部門舉報、向法院起訴等方式維權；車輛駕駛數據屬于重要數據，一定程度上能反映出關鍵社會利益。

　　理想汽車強制過度索權 已查實大量類似案例

　　據報道，9月18日，進行車機升級的部分理想汽車用戶收到了“理想智能系統軟件許可協議”的更新推送。

　　協議內容顯示，在用戶使用車載應用平臺期間，理想汽車將收集用戶應用賬號信息、車載應用裝載及使用情況、個性化設置數據、車輛駕駛行為數據、車載導航應用數據、車載娛樂系統資料以及輸入法輸入的內容結果等使用信息。

　　值得注意的是，整個推送頁面上只有“已閱讀，并同意許可協議”這唯一選項，不同意則無法繼續使用汽車。這也意味著，用戶必須接受如開車去了哪、開了多長時間、開車時聽什么音樂、搜索過什么地點等信息都會被傳送到理想汽車后臺這一事實。

　　“霸王條款使不得，應該尊重用戶體驗”“這對車企改進駕駛體驗有什么幫助”“就好像你買的房子被物業裝了攝像頭，不給看就不讓住”……登上熱搜后，該事件受到廣泛關注，網友們紛紛表示“這不叫協議，這是通知”。

　　南都·隱私護衛隊注意到，通過捆綁基本功能服務，強制索取非必要的用戶個人信息授權一事早已屢見不鮮，但同時監管方面也動作不斷。

　　2019年12月，國家互聯網信息辦公室（下稱“網信辦”）、工業和信息化部（下稱“工信部”）、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》，對“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”等應用違法違規收集使用個人信息的行為作出界定。

　　今年3月，網信辦、工信部、公安部、國家市場監督管理總局聯合制定了《常見類型移動互聯網應用程序必要個人信息范圍規定》，明確39類常見類型應用的必要個人信息范圍，并要求應用程序運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用應用的基本功能服務。

　　相關法規出臺后，網信辦、工信部等部門多次針對應用非法獲取、超范圍收集、過度索權等侵害個人信息的現象，對常見類型應用的個人信息收集使用情況進行檢測。到目前為止，因上述原因被通報整改的應用數量高達數百個，其中不乏抖音、百度、快手、高德地圖、360瀏覽器等知名應用。

　　專家：明確違反法規，應及時自行整改

　　那么，就此事件而言，理想汽車的軟件協議是否違反了法律法規？用戶可通過哪些渠道打破“霸王條款”、維護個人信息權益？導航應用數據、駕駛行為數據等重要信息被收集后一旦泄露，可能帶來哪些安全隱患？

　　在北京清律律師事務所首席合伙人熊定中看來，理想汽車的這份協議顯然是不合理的，它明確違反了網絡安全法中的相關規定，并且與即將實施的個人信息保護法的精神以及一系列相關監管要求相違背。

　　自2017年6月起施行的網絡安全法中規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，征得被收集者同意，且不得收集與其提供的服務無關的個人信息。將于今年11月施行的個人信息保護法規定，收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

　　“首先明確一點，該事件中用戶所遇到的OTA（即空中下載技術，可實現業務菜單的動態下載、刪除與更新）推送系統更新是一種很常見的情況。目前國內的智能汽車，包括智能車機系統、車聯網系統都具備OTA升級功能，與手機的OTA升級機制類似，這種行為本身沒有任何問題。”熊定中解釋，但如果要額外收集非必要信息，則需要征得用戶的明確同意。

　　對此，熊定中舉了個例子：“以車載導航系統為例，理論上只有當用戶使用車機系統里自帶的導航系統時，它才能夠去收集用戶的位置信息。如果用戶要使用車載導航系統，但又不愿提供相關信息，系統此時可以拒絕提供導航服務，但不得拒絕其他基本功能的使用，例如此時用戶不使用導航功能而是自行駕駛，則系統并沒有合法性依據要求用戶提供相關權限。”

　　今年8月，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定（試行）》，明確規定車輛行蹤軌跡等信息為敏感個人信息，汽車數據處理者在數據處理活動中應堅持“默認不收集”、“精度范圍適用”等數據處理原則，減少對汽車數據的無序收集和違規濫用。

　　熊定中指出，車輛駕駛數據屬于重要數據范疇，尤其在用戶數量較多的情況下，它能夠反映很重要的社會利益，因此理想汽車這一行為非常不妥。“我認為理想汽車的做法非常不明智，應該自己及時整改。”

　　此外，談及用戶維護個人信息權益的渠道，熊定中直言，最簡單、快捷的方法是向交通運輸部門、工信部門等監管機構投訴。此外，由于這是“明顯且緊迫”的危害，用戶還可以考慮向法院起訴，要求法院向理想汽車發出一個行為禁令，禁止其在判決結果出來之前收集上述信息。