日前，小鹏汽车因“擅自采集43万张人脸照片被罚10万元”登上热搜。虽然其声明收集的人脸信息已删除，但车企如何保护消费者个人信息的话题仍受到各方关注。小鹏汽车等企业想跑出更快的加速度，就要在数据采集和使用方面重视“安全驾驶”，不能忽视合规风险。

　　随着新能源汽车的快速发展，相关数据安全问题愈发突出。今年8月，国家网信办等五部门出台《汽车数据安全管理若干规定(试行)》。其中明确，人脸信息、涉及个人信息主体超过10万人的个人信息等即为“重要数据”。在个人信息保护法实施的背景下，因非法收集人脸信息而被罚是一个必然结果。

　　小鹏汽车作为“造车新势力”之一，最近交出亮眼成绩单：今年11月小鹏汽车总交付量15613台，连续3个月实现单月交付破万台，环比增长54%，同比增长270%。在加紧销售和服务网络建设方面，到今年底，小鹏汽车计划销售门店的数量将超过350家。

　　可是，跑得快，更要跑得稳。从有关案例看，对用户个人信息侵权问题的发生，原因是多方面的，包括企业自身经营不重视，行业规范标准不完善，监督执法力度不够，处罚较轻、违法成本低等。

　　作为敏感个人信息，人脸信息安全不可忽视。根据去年10月实施的新版《信息安全技术个人信息安全规范》，人脸信息属于生物识别信息，也属于敏感个人信息，收集个人信息时应获得个人信息主体的授权同意。此类信息一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到损害。

　　此类个人信息的侵权行为并不鲜见。如今比较“流行”的做法是，通过算法对面部数据进行识别计算，以此统计门店客流量并进行分析，包括进店人数统计、男女比例、年龄分析等。有的为了谋取更大利益，将其拿来作为“杀熟”工具，侵犯消费者权益。此类技术应用的初衷，是要通过这种收集和分析，改善接待流程，更好地服务客户，但若有意或无意中采取了错误的方式方法，就容易触碰法律红线。

　　也就是说，企业可以依赖大数据技术做经营参考，但要依法合规进行数据开发和利用，保障用户个人信息安全。按照有关规范要求，在启动收集个人生物识别信息前，企业应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。如业务中需要重复或多次采集个人生物识别信息的，应每次单独向用户进行告知，并取得用户的明示同意。

　　进一步看，为了解决汽车行业采集数据在传输、存储和出境等环节出现的个人信息或重要数据泄露、滥用等安全问题，汽车数据安全亟需标准化、规范化。目前，国家标准《信息安全技术汽车采集数据的安全要求》已从草案阶段进入征求意见稿阶段。根据相关规范指引，企业可仅存储个人识别信息的摘要信息，在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后，及时删除可提取个人生物识别信息的原始图像，这些做法将为企业发展减少后顾之忧。李万祥