走出去智庫(CGGT)觀察
近年來,我國新能源汽車企業掀起了一股“走出去”的浪潮。 公開資料顯示,2023年中國汽車出口量為491萬輛,同比增長57輛9%,首次位居世界第一。 其中,新能源汽車出口120輛3萬輛,同比增長77輛60%。
隨著中國車企“走出去”浪潮的出現,歐洲市場成為越來越多國內車企的“戰場”。 為了融入本土市場,中國整車廠面臨著各種挑戰,其中之一就是歐盟相對嚴格的資料合規監管要求和較高的合規門檻。
鴻鵠律師事務所特約法律專家、鴻鵠律師事務所合夥人龔宇針對中國車企出海推出了歐盟合規系列文章,整體介紹歐盟資料合規法律框架,總結分析中國車企在出海歐盟市場過程中關注的關鍵資料合規問題, 以便為中國車企出海歐盟提供資料合規工作的基本概述。
今天,CGGT為關注歐盟資料合規性的讀者發布了系列文章的第二篇文章,“歐盟關鍵資料保護問題概述”。
要點:
1. 歐盟成員國一般對路試中收集的個人資料沒有本地化的儲存要求,但如果此類個人資料需要轉移到歐盟以外的國家或地區(例如,中國汽車公司的研發中心可能在中國設立),則會觸發GDPR下關於跨境傳輸的合規義務。
2、車企可以考慮將不同資料處理活動的決策權分割開來,形成中歐實體之間最大程度的分離,通過建立涵蓋組織、技術、合同等的完整體系,確保歐洲實體需要具備高度的業務和決策獨立性。
3、車載APP合規工作中常見的合規問題還包括通知義務的履行、敏感個人資料(如位址)的收集、特定功能的DPIA、APP雲部署帶來的跨境傳輸問題等。
身體
1. 引言
在本系列的第一篇文章中,我們介紹了歐盟資料合規的法律框架,重點介紹了與汽車行業相關的資料保護法律、法規和指南。 為了符合歐盟當地的資料保護要求,一般要求中國整車廠在進入歐盟市場之前,根據其本地業務發展計畫和本地上市車型,進行全面的資料合規差距分析和計畫整改,以達到合規在歐盟市場開展業務的目標。 雖然不同車企的業務需求不同,但在資料合規過程中關注的關鍵問題上,還是存在一定的共性。 本文將從這個角度出發,初步介紹一下歐盟市場車企關注的一些關鍵問題。
2. 資料合規關鍵問題概述
2.1 路測階段
一些海外車企在歐盟批量銷售汽車之前,需要進行本地路試,以達到提高車輛自動駕駛能力的目的。 例如,一些成員國要求車企在進行道路測試前,必須獲得本國交通監管機構的許可,特別是對於涉及更高水平自動駕駛技術的車型,監管機構會提出更高的審批和合規要求。
從資料合規的角度來看,道路測試車輛在進行道路測試的過程中,不可避免地會在公共區域收集自然人的個人資料,例如攝像頭拍攝的路人人臉資訊、車牌號等。 其中,中國整車廠經常關注的問題包括但不限於以下幾點:
·對跨境資料傳輸的限制歐盟成員國通常對路試期間收集的個人資料沒有本地化的儲存要求,但如果此類個人資料需要轉移到歐盟以外的國家或地區(例如,中國汽車公司的研發中心可能位於中國),則將觸發GDPR下關於跨境傳輸的合規義務。 在大多數情況下,中國汽車製造商會選擇標準合同條款(“SCPsscc並正在進行轉移風險評估(“)。tia“),並實施相關的安全補充措施。 當然,為了不落入上述跨境轉讓義務的適用範圍,一些車企也會選擇對路試中收集的個人資料進行假名化甚至匿名化處理,但需要注意的是,為了實現完全匿名化,需要達到極高的標準, 也就是說,從技術上講,匿名化資料本身或與其他資料相結合,無法識別個人資訊主體,大多數企業從技術層面基本上無法達到這一要求。
·資料保護影響評估(“DPIA”):根據 GDPR 第 35 條,資料控制者必須對可能對自然人的權利和自由構成高風險的資料處理活動進行 DPIA,尤其是在涉及對公共區域進行大規模監控的情況下。 此外,EDPB還建議在聯網車輛的發布前產品設計階段(理論上也在道路測試階段)進行DPIA,即使這不是強制性的法律要求。
·必要性原則考慮到路考過程中收集的個人資料的敏感性和合規難度(例如難以完全履行告知義務),車企在處理個人資料的過程中應盡可能遵守必要性原則,包括但不限於僅出於路考目的處理所收集的個人資料, 嚴格限制內部人員接觸相關資料。此外,車企在確定不再需要相關資料後,應及時刪除或匿名化處理資料。
·私隱設計為了降低風險,車企可以考慮提前為路考車配備適當的私隱功能設計,包括但不限於將採集到的路標、人臉等個人資訊直接在車內進行假名化處理,以及使用一定的方法將路考活動的資料處理情況告知公共場所的路人或司機。
由於篇幅所限,我們只介紹一些關於在路測期間收集的個人資料的保護問題。 除個人資料外,對路試階段收集的非個人資料的處理也可能受到特定法律領域的限制,例如可能觸發***的限制等。 例如,根據義大利《黃金動力法》的要求,如果一家進行道路測試的公司從一家義大利公司購買了一輛專業的資料採集車輛,並呼叫了道路測試車輛獲得的道路測試資料,這種行為不排除會被認定為“戰略市場行業(國防和安全、 通訊、運輸、能源)、敏感技術和相關資產的許可和使用“,這需要在與當地公司進行上述合作之前提前通知義大利**。
2.2、高風險車輛功能的實施
即將上市的車型的高風險車輛功能能否以及如何在歐洲本土市場落地,是海外車企合規工作的重中之重。 需要注意的是,這裡所指的“高風險”一般是通過對資料處理活動進行徹底摸底和差距分析來確定的,既要考慮資料處理活動本身的特點,還需要參考歐盟和當地的法律要求、執法風險和行業慣例。 一般而言,涉及處理大量敏感個人資料的車載功能(如語音互動)、複雜的個人資料處理活動(如OTA公升級)以及監管機構可能關注的車載功能(如哨兵模式)將被認定為高風險車載功能。
在高風險車機功能風險的識別和整改中,車企經常遇到的常見問題包括但不限於:
·個人資料的識別:歐盟定義下的個人資料範圍很廣,但可以直接識別所有者或乘客身份的資料除外(”個人身份資料只要在特定場景下與個人身份資料相結合,能夠反映自然人的身份或活動等資訊,此類資料就構成個人資料。 例如,車輛底盤域、動力域等產生的資料,因為大部分都是與車輛效能相關的資料,而自身無法識別車主的身份,車企可能會誤以為不構成個人資料,但在特定場景(如故障維護), 這些資料和車輛的VIN碼被傳送給車企,理論上,車企可以通過VIN碼識別車主的身份,通過車輛效能資料讀取車主車輛的相關資訊,甚至識別車主的其他資訊。在這種情況下,車輛效能資料也構成個人資料。在差距分析和補救中遺漏此類資料會帶來潛在風險。
·確定合法性的基礎對於不同的高風險車輛功能,有必要明確相應GDPR下處理個人資料的法律依據,並據此採取相應的合規措施。 例如,對於需要徵得同意的車載功能,車企需要在私隱設計中嵌入車主提前撤回同意的機制。 此外,確定車輛功能的法律依據需要考慮電子私隱指令中關於與智慧型和互聯車輛相關的資料處理活動需要同意的特殊要求,以及歐盟的強制性法律義務(例如提供電子呼叫功能)。
·必要性原則為了降低風險,高風險車輛功能處理的個人資料的數量、頻率和觸發場景必須符合必要性原則。 特別是對於一些客觀上難以實現完全合規的車輛功能,實施必要性原則是降低其實際風險的推薦做法。 例如,對於哨兵模式,可以設定為預設不開啟,所有者需要主動啟用並通知所有者僅依法使用該功能。 此外,在這種模式下收集的個人資料部分可以實時刪除或盡可能長時間地儲存,以降低相關風險。
·跨境轉賬雖然大多數中國汽車製造商會在歐盟部署本地雲伺服器來儲存本地資料,但由於研發和運維團隊主要位於中國,或者服務提供商位於歐盟以外,他們需要將一些資料傳輸到歐盟之外,從而觸發GDPR下的資料跨境傳輸義務。 針對這一風險點,首先需要確定相關資料傳輸是否構成GDPR下的“跨境傳輸”,以及相關合規義務是否由車企承擔,其次,需要根據企業的實際情況和合規成本,選擇GDPR規定的跨境傳輸合規路徑。 如上所述,在實踐中,大多數汽車製造商選擇簽署SCC,但在這條路徑下,汽車製造商往往難以根據資料傳輸路徑和架構明確正確的出境方和海外接收方。
·某些高風險車輛功能需要 DPIA:一些高風險的車輛功能需要提前進行DPIA。 我們將在本系列的第三篇文章中更詳細地介紹。
由於篇幅所限,我們僅舉例說明有關高風險車輛功能合規性的幾個常見問題。 在形成分析結果和整改建議的過程中,車企需要綜合考慮歐盟成員國當地法律的要求和當地資料保護監管機構的執法實踐,最終形成平衡合規要求和業務需求的最優解決方案。
2.3 地方組織結構
大多數中國整車廠將在歐盟設立實體,作為向歐洲市場擴張的基點。 除了市場、稅收和物流因素外,未來如何安排歐洲實體在處理本地使用者個人資料中的角色,以及它們與集團內其他實體的分工,也是許多中國汽車製造商關注的問題,這部分的決定也將影響後續汽車製造商開展的GDPR資料合規工作的整體結構。
根據GDPR的規定,資料控制者的認定應以事實為依據,即對某一特定資料處理活動的目的和方式具有實際決策權的主體,應視為該資料處理活動的資料控制者,並承擔相應的資料合規責任。 例如,在特定的個人資料處理活動(其目的是向歐洲使用者提供服務)的情況下,如果資料處理的實際決定是由受GDPR域外效力的中國實體做出的,則中國實體應構成資料控制者; 如果一家公司在其內部和外部合規檔案(例如私隱政策)中將歐洲實體反映為資料控制者,則不符合事實,並可能面臨受到監管機構處罰的風險。
因此,在可行的前提下,企業在進入歐盟市場之前,應根據未來業務發展需求,兼顧合規成本等因素,為各大本地個人資料處理活動建立資料控制主體。 在此基礎上,可以有效開展後續資料合規工作,包括私隱政策的起草、跨境傳輸機制的實施、資料處理協議的簽署等。
一些中國汽車製造商在出海過程中會考慮將其歐洲業務與中國業務隔離開來,包括希望在這種隔離機制下,中國實體可以完全脫離其與處理歐洲居民個人資料相關的責任。 客觀地說,由於主要決策機構位於中國總部,企業很難充分實現上述需求,特別是對於汽車公司來說,其產品研發等團隊可能主要位於中國,相關資料處理活動的決策權仍需歸屬於中國實體。 在這種情況下,車企可以考慮對不同的資料處理活動進行決策權分離,以最大限度地實現中歐實體的分離,通過建立涵蓋組織、技術、合同等的完整體系,確保歐洲實體需要具備高度的業務和決策獨立性。
但需要注意的是,即使上述方面已盡最大可能進行隔離,這種分割安排在實踐中是否最終會得到主管監管機構的認可仍存在一定的不確定性。 監管機構在確定責任實體和此類確定的標準方面擁有一定程度的自由裁量權。 此外,關於GDPR下的罰款基數問題(GDPR罰款的計算基數為集團公司全球總營業額),即使海外車企已實現很大程度的業務隔離,監管部門理論上仍可確定其全球總營業額(包括中國實體)作為罰款的計算依據, 但在實踐中,具體罰款金額需要根據具體情況來判斷,中國實體參與歐洲資料處理活動決策的程度可能構成需要考慮的因素之一。
2.4 海外APP合規
除了整機端的合規,海外車企配套車企推出的海外APP在上市前,還需要完成相應的資料合規審核和合規措施整改。 對於車載配套APP的資料合規,除了一般的GDPR合規要求外,還需要關注APP的身份驗證機制和有效賬號隔離的要求。
由於車主可以通過APP遠端控制車輛的狀態,因此需要確保相關資料或指令傳輸的安全性。 除了必要的安全技術措施外,車企還應採取嚴格的身份驗證措施,確保登入使用者是車輛的車主或被授權使用車輛的人。 此外,歐洲當地監管機構可能會對驗證機制不符合安全標準的公司進行處罰。 例如,德國當地監管機構對一家使用“電子郵件+生日”作為身份驗證資訊的公司進行了處罰,認為該驗證機制沒有達到資料安全的目的。 此外,考慮到同一輛車可能被不同的使用者使用,為了保護車主的私隱,應考慮採取適當的賬號隔離措施,允許不同的車輛使用者註冊和登入不同的APP賬號。
此外,車載配套APP合規工作中常見的合規問題包括通知義務的履行、敏感個人資料(如位址)的收集、特定功能的DPIA、APP雲部署帶來的跨境傳輸問題等。 在APP上線前,車企應根據APP各業務功能梳理相關合規義務,並進行整改,以達到合規目的。
以上總結了中國車企在出海歐盟市場時在資料合規方面關注的一些關鍵問題,通過這部分內容的介紹,希望能為中國車企在海外開展資料合規工作提供一些基本思路和路徑參考。 由於篇幅原因,本文僅選取一些普遍關注的問題進行闡述,歐盟出海資料合規專案中還有較難的問題進行進一步思考。 在本系列接下來的兩篇文章中,我們將介紹中國汽車企業在歐盟資料合規工作中面臨的兩大挑戰——DPIA的發展和跨境資料傳輸的合規。