产品、数据双跨境，中国智能网联汽车如何合规出海？

IDC《全球智能网联汽车预测报告（2020-2024）》预测，到2024年，全球出货的新车中超过71%将搭载智能网联系统。

当世界积极拥抱智能网联汽车之时，随之而来的数据安全问题正在引发担忧与关注。在欧洲，随着《一般数据保护条例》（General Data Protection Regulation，GDPR）的推出，智能网联汽车的推广可能受到不小影响。

或面临严格监管

智能网联汽车在全生命周期中会采集、生产大量数据，并且与其他终端进行数据交互。据研究估算，一辆汽车在测试的过程中每天将会产生大约10TB的数据。海量数据的交互使汽车从信息孤岛转变成为网络信息节点，与此相承，数据安全风险应运而生。

目前，智能网联汽车的大部分功能（驾驶辅助系统、车载DMS摄像头、车辆和机器系统的语音信息采集等）都涉及到部分用户信息和车辆产生的重要数据的调用。比如，在运营过程中会产生和可能泄露的客户信息包括装配线和工厂示意图、保密协议、机器人配置、规格、动画及设计图纸、身份证和VPN访问申请表，以及客户联系信息等。

近期，特斯拉率先表示，已在中国建立数据中心，实现数据存储本地化。宝马、戴姆勒等车企也表示，将在中国建立数据中心，旨在解决数据安全疑虑。

而中国汽车企业走出国门，数据问题同样不容忽视。事实上，在产品与数据均跨境的背景下，中国车企往往要面临多法域的数据安全合规审查。进入欧洲市场，中国车企面临的出海合规挑战则更为明显。

2016年4月，欧洲议会通过了《一般数据保护条例》（GDPR），并于2018年5月25日生效，这一条例被称为“史上最严格的个人信息保护法规”。

GDPR的严苛不仅体现在其对于个人数据保护责任的高标准上，还在于极大地扩大了欧洲个人数据保护监管机构的管辖范围，使得欧洲的“长臂管辖”延伸到世界的每一个角落。

金诚同达律师事务所律师宋鹤年向记者表示，中国企业为数据收集、使用、处理等行为提供涉及欧盟市场的产品或服务，无论该企业是否设立于欧盟境内，只要为欧盟内的数据主体提供商品或服务，或服务或发生在欧洲的数据主体活动监控范围内，都必须受GDPR监管。

而在技术规范方面，GDPR的监管涵盖三个方面：

• 首先，GDPR要求产品提供商不得以“默认允许”的方式获取用户的数据收集权限。获取用户许可的申请应当符合真实、准确、完整和可读的用语要求。
• 其次，数据收集的整个过程需要更加透明。当用户数据传输到欧盟以外时，提供商必须向客户发出明示、明确的告知。用户可以随时下载、复制完整的个人资料，同时保留删除所有个人资料的权利，并有权追究其责任。
• 最后，GDPR要求产品提供者在使用算法根据自己的数据（例如购买建议）向用户提出建议时，必须告知用户该建议是否由算法自动生成，以及用户是否可以对此进行人工干预。

“在上述规范的框架下，GDPR将对整个汽车行业产生影响。零售商需要确保此前收集的任何客户数据都符合GDPR要求，具有合法的权利基础，并且已确定和记录了未来将收集的个人数据范围。”宋鹤年表示，“从原始设备制造商和供应商处接收个人数据的组织也将因扮演‘数据处理者’的角色，承担GDPR项下的数据保护责任。”

如何应对合规性压力

走进欧洲，中国企业的信息安全和移动应用安全合规性方面将面临多个隐私压力。

“GDPR包含删除元素，消费者在任何时候都有权要求处理或存储其隐私信息的公司销毁相关信息。而且，GDPR强制要求软件必须能够在整个开发阶段和操作数据处理阶段保护个人数据的隐私。此外，GDPR还要求安全措施必须能够应对数据处理的风险，这些都可能给中国企业走进欧洲带来一些合规性压力。”宋鹤年表示。

摩拜单车在拓展欧洲市场的过程中，就曾被报道因涉嫌违反GDPR，可能面临德国监管机构的调查。

而包括宝马、奥迪和丰田在内的主要汽车生产商表示，已使用加密技术来保护汽车数据。

对于中国的智能网联车企出海，宋鹤年提出一些合规应对建议：“个人数据泄露应在72小时内报告给地方当局。公司还应谨慎记录所有个人数据泄露事件，包括与个人数据披露相关的事实、影响和采取的补救措施。”

目前，GDPR在与欧盟同等保护水平的指导下，为欧洲相关数据的跨境流动制定了多种法律途径。主要路径是以国家白名单制度为手段的充分性保护认定。也就是说，其他国家在与欧盟及其成员国进行数据跨境流动的时候，要先经过欧盟委员会的严格审查，判定该国的数据保护水平达到了与欧盟相当的水平之后，欧盟委员会才会将该国列入白名单。该国境内的市场主体与欧盟境内的市场主体开展业务时，可实现自由跨境，享受欧盟成员国的便利条件。

值得注意的是，中国并未在“白名单”之内，也暂未与欧盟签订类似的官方合作协议。

“中国企业在对欧盟公司或在欧盟境内提供数据云端存储服务时，若其服务器在中国境内，因业务需要须对欧盟数据进行跨境传输的，应当注意跨境传输过程中的数据合规要点。这其中，可以使用标准合同，或尝试建立约束性公司规则。”

“此外，鉴于GDPR促进问责制和治理的规定，已经初步建立该领域立法基础的国家具有很大的优势。中国国家互联网信息办公室于2021年5月12日发布了《汽车数据安全管理若干规定（征求意见稿）》，在此意见稿的基础之上进行条件符合与再探讨将使中国企业在应对欧盟审查时更容易达到合规要求。”宋鹤年说。

记者 袁源