汽车出海法律观察系列：汽车出海数据合规（EEA篇）

发布日期：2023-11-28

“汽车出海法律观察”专栏开篇词

根据中国汽车工业协会及海关总署统计数据，自2001年中国加入世界贸易组织（WTO）到2020年20年间，中国汽车出口总量从零起步，逐渐提升到了年出口约110万辆的水平。

自2021年起，最近三年时间里，中国汽车出口完成了三级跳。中国汽车工业协会数据显示，2021年，全年出口汽车201.5万辆，超越韩国，成为世界第三大汽车出口国。2022年，中国汽车出口量达到311.1万辆，进一步超越德国，成为仅次于日本的世界第二大汽车出口国。2023年上半年中国汽车整车出口234.1万辆，同比增长76.9%；整车出口金额464.2亿美元，同比增长1.1倍。[1]中国乘联会预测，今年中国汽车出口量将达到400万辆，全年有望超过日本，成为世界第一大汽车出口国。[2]

出海业务的高速发展给中国汽车企业带来了巨大的机遇，随之而来的，是中国车企在海外面临的诸多法律合规挑战，包括但不限于资质牌照、知识产权、产品质量、数据隐私、金融监管、自动驾驶监管、人工智能监管、反倾销与反补贴、竞争法、进出口、消费者权益保护、环境与能源、国际制裁等。法域众多、文化多元、语言隔阂以及地缘政治冲突等因素，加剧了出海业务法律合规工作的挑战。

随着中国汽车出海业务的进一步增长，各种风险正在聚集，不排除未来出现多点爆发的局面。出海企业宜未雨绸缪，建立与出海业务规模、分布、模式、规划相适应的法律合规管理体系，以有限的资源投入，实现对重大法律合规风险的有效管控。

为协助出海企业开展出海业务合规管理工作，我们推出了新专栏“汽车出海法律观察”，通过系列文章介绍相关法域相关立法、执法和司法情况，以期助中国出海企业一臂之力。

中国汽车出海数据隐私合规观察之一：欧盟

一、欧盟数据隐私保护法律体系

欧洲经济区（EEA）[3]的数据隐私保护立法历史较长，文件较多，体系比较完善。一般法律主要包括《电子隐私指令》（ePrivacy Directive）[4]和《通用数据保护条例》（General Data Protection Regulation，GDPR）[5]。《电子隐私指令》旨在保护个人在电子通信领域的隐私和数据保护权利，它规范了网络和通信数据保护、Cookie的使用、直接营销和垃圾邮件、数据跨境等内容。而2018年实施的GDPR则被称为史上规则最严、适用范围广、罚则较高的个人信息保护法规。中国车企拟出海汽车及相关产品或服务至EEA，不论是否在EEA区域内设立有运营主体或分支机构，只要其为EEA区域内的数据主体提供产品或服务，或对EEA区域内的数据主体的相关活动进行监控，相关数据处理活动均受GDPR管辖。

为落实、细化、澄清GDPR的相关规则，欧洲数据保护委员会（EDPB）针对GDPR发布了系列指南及建议，截至本白皮书发布之日，已有44项指南、9项建议，包括《关于数据控制者和处理者概念的指南》《GDPR下透明性要求指南》《GDPR第三条适用范围与第五章数据跨境转移之间的配合适用指南》等。其中，与汽车领域高度相关的是2021年3月通过的《车联网个人数据保护指南》（Guidelines 01/2020 on Processing Personal Data in the Context of Connected Vehicles and Mobility related applications）[6]，该指南阐释了车联网不同场景下的隐私保护和数据风险以及应对措施。

监管机构方面，EEA的主要数据保护监管机构包括欧洲数据保护委员会（EDPB）和各成员国数据保护监管机构（DPA），例如德国的BfDI、法国的CNIL、挪威的Datatilsynet等。

二、欧盟数据隐私保护的一般规则

（一）个人数据/敏感个人数据

根据GDPR第4条，个人数据是指任何与已识别或可识别的自然人相关的信息，如姓名、身份证号、地理位置、在线身份标识符等。GDPR未对敏感个人数据作出定义，但第9条以列举方式规定了特殊类别的个人数据的处理要求。其中，特殊类别个人数据包括：能够揭示种族或民族、政治观点、宗教或哲学信仰、工会身份、遗传数据、生物识别特征、健康信息、性生活或性取向等数据。

（二）义务主体

GDPR将规制对象分为数据控制者（controller）与数据处理者（processor）。根据GDPR第4条，数据控制者指单独或与他人共同决定处理目的和方式的自然人、法人、公共机构、行政机关或其他实体；数据处理者指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体。

（三）告知与合法性基础

控制者在收集个人数据前应履行告知义务，并具备处理个人数据的合法性基础。

根据GDPR第12、13、14条，控制者应向数据主体告知以下事宜：a）控制者的身份和联系方式，以及控制者代表的身份和联系方式（如适用）；b）数据保护官DPO的详细联系方式（如适用）；c）个人数据的处理目的，个人数据的类别，以及处理的合法性基础（如适用正当利益这一合法基础，还需说明控制者或第三方追求的正当利益）；d）个人数据的存储期限；e）个人数据的接收方名称或数据接收方的类别（如有）；f）是否涉及跨境转移，以及针对跨境转移采取的适当的保障措施；g）数据主体权利（包括向数据保护监管机构投诉举报的权利）；h）自动化决策及用户画像应用描述、运行逻辑以及对个人产生的影响。

根据GDPR第6条，GDPR项下的合法性基础包括：i）数据主体的同意；ii）为订立或履行数据主体作为一方的合同所必需；iii）为履行控制者所负担的法定义务所必需；iv) 为保护数据主体或另一自然人的重大利益所必需；v）为执行公共利益领域的任务所必需或为行使控制者被赋予的公务职权所必需；vi）为实现控制者或第三方的合法利益所必需（正当利益不得违背数据主体的基本权利和自由，且政府机关履行职责处理数据的行为不适用本项）。

（四）合作方数据交互

根据GDPR第13、14、26、28条，控制者如涉及委托第三方处理数据（controller to processor）或向第三方共享数据（controller to controller），控制者应向数据主体告知合作方的名称或类型，并与合作方订立数据保护协议。如双方均系独立的控制者的情况下，法律未强制要求双方签署协议，但双方通常会签署。

（五）数据本地化存储

GDPR对个人数据无本地化存储要求。

（六）数据跨境转移

GDPR建立了一套阶梯式的数据出境路径。首选路径是欧盟委员会的保护水平认定决定（“白名单国家/地区”）。[7]截至本白皮书发布之日，白名单国家/地区共有15个：包括安道尔共和国、阿根廷、加拿大（仅限《个人信息保护及电子文档法》的适用范围）、瑞士、法罗群岛、根西岛、以色列、英属曼岛、泽西岛、新西兰、乌拉圭、日本、英国、韩国、美国。

如接收方不属于白名单所在国家/地区，则需选择其他常规出境路径，包括：标准合同条款（SCCs）、约束性公司规则（BCRs）、行为准则、认证机制等。

在无法满足常规路径的例外情况下，数据控制者还可依赖GDPR第49条规定的克减条款。不过，根据EDPB发布的《关于第2016/679号条例项下第49条“克减”的第2/2018号指南》，个人数据出境仅在满足“必要性”（necessity）和“偶然性”（occasional）的条件下，才能够适用克减条款。

（七）数据主体权利

根据GDPR第12-23条，数据主体享有知情权、访问权、更正权、删除权（被遗忘权）、限制处理权、可携权、反对权和拒绝自动化决策权。

不同权利的行使需满足一定的限制条件。如数据主体有权随时拒绝控制者依据公共利益或正当利益的合法基础处理个人信息的情形，例如以直接营销为目的处理数据的，数据主体有权随时拒绝该等营销目的的数据处理活动（包括画像）。

控制者接收到请求后应及时（不超过1个月）回复用户。如请求较为复杂或数量较大，处理时间可再延长至2个月。延迟需告知数据主体延迟原因。

（八）数据保护负责人/组织

根据GDPR第37条，若控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控，或者控制者或处理者的核心活动包含了对某种特殊类型数据的大规模处理和对定罪和违法相关的个人数据的处理，即应当任命数据保护负责人（DPO）。

DPO无需在欧盟当地，但其联系方式应上报给数据监管机构，且需保持联系畅通。根据GDPR规定，对于非在欧盟境内设立实体但受GDPR管辖的主体应以书面方式任命一名在欧盟境内的代表（自然人/法人均可），但DPO与本地代表具有不兼容性，无法保障DPO的独立性，因此不建议将本地代表与DPO设置为同一自然人/组织。

（九）数据安全事件处置

根据GDPR第33、34条，在发生数据泄露的情况下，控制者应毫不迟延，在可行的情况下，不迟于发现数据泄露后72小时，将个人数据泄露事件通知监管机构[8]，除非个人数据泄露不太可能对自然人的权利和自由造成风险。个人数据泄露可能会对自然人的权利和自由造成高风险，必须及时告知数据主体。

此外，处理者必须在意识到个人数据泄露后立即通知控制者，不得无故拖延。

三、欧盟汽车领域高频场景数据隐私合规要点

（一）汽车营销场景

1、隐私通知：

根据GDPR第13、14条，汽车销售商应制定隐私通知等告知文件，向客户披露如下内容：i）控制者及其代表的身份和联系方式；ii）数据保护官的详细联系方式；iii）个人数据的处理目的，个人数据的类别和来源，以及处理的合法性基础；iv）个人数据的存储期限；v）个人数据的接收方名称或数据接收方的类别；vi）是否涉及跨境转移，以及针对跨境转移采取的适当的保障措施；vii）数据主体权利；viii）自动化决策及用户画像应用描述、运行逻辑以及对个人产生的影响。

2、电话营销：

根据《电子隐私指令》第13（3）条，成员国应至少确保个人享有选择退出（opt-out）的权利。部分成员国提出了更高的选择加入（opt-in）同意的要求，如匈牙利、斯洛文尼亚。但是，使用自动外呼系统进行电话营销时，都需要取得选择加入（opt-in）同意。因此，汽车企业应当根据当地的法律行事。

3、电子邮件、短信、传真营销：

根据《电子隐私指令》的规定，使用电子邮件、短信、传真方式进行商业营销时原则上需获得用户的明确同意，并保留同意证明，内容包括同意时间、相关人员和取得方式。作为例外，对于已经建立业务关系的客户而言，如该客户在最初收集其信息及每次营销沟通时均未明确提出反对，汽车企业营销自身的类似产品或服务可以无需取得同意。此外，推广电子邮件、短信、传真中应提供方便取消订阅的选项。

（二）汽车金融场景

1、告知数据共享的情况：

如涉及向银行、融资租赁公司等金融机构提供消费者数据的，根据GDPR第13条，汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方名称或类型，并具备相应的合法性基础，如数据主体的同意。

2、响应数据主体行权：

根据GDPR第12-23条，汽车企业应当保障数据主体的访问权、知情权、更正权、删除权等一系列数据权利。

案例1:

D车企在拒绝客户的贷款申请后，客户提出数据访问请求，D车企仅提供了一份他们为申请贷款而提交的文件副本，并概述提及使用信用度评估，邀请客户自行联系信用信息系统（下称“SIC”）经理，以查看信用度评估的相关情况。意大利数据保护局认为，这一响应方式不满足GDPR的要求。根据GDPR，D车企有义务向客户提供其从SIC获得的所有信息。[9]

（三）车联网场景

1、告知与显著提示：

根据GDPR第13、14条以及EDPB发布的《车联网个人数据保护指南》，车企可以通过车辆销售合同、服务提供合同、车辆维护记录手册等书面材料、车载计算机等方式向个人告知必要的信息。此外，控制者宜进一步通过标准化图标的形式提供与处理相关的隐私保护提示。例如，在采集座舱内的视频时，可通过车载信号灯的方式提示乘客相关数据正在被采集。

2、合法性基础：

根据《电子隐私指令》第5条以及《关于电子隐私指令和GDPR之间相互作用的意见》（Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR）[10]，在联网车辆中存储或获取已存储的信息应取得个人同意，同时对于后续处理也应具有相应的合法性基础。

3、数据最小化：

根据GDPR第5条以及EDPB发布的《车联网个人数据保护指南》，控制者应当仅处理相关且限于处理目的所必需的个人数据。在车联网场景下，原则上车辆和设备制造商、服务提供商等不应收集个人的位置数据，除非这样做对于处理目的是绝对必要的。例如，当处理是为了检测车辆运动时，陀螺仪足以实现该功能，无需收集位置数据。基于必要目的确需处理位置数据也应当充分配置所收集的位置数据的访问频率和详细程度。

4、设计与默认隐私保护：

根据GDPR第25条及《车联网个人数据保护指南》，车企应当尽可能遵守数据本地处理原则。该原则旨在保护车主享有数据的控制权、满足特殊数据的处理要求、减少云端处理的安全风险以及减少自动驾驶的时延。对于生物识别数据而言，应保证数据主体对其数据的完全控制，仅在车辆本地以加密形式存储和对比生物特征模板，确保不可被外界读取/通过比较终端处理。车企如需将个人数据传输至车外，应考虑在传输前将其匿名化；此外，车企可采取去标识化进一步降低数据处理风险。

5、数据保护影响评估：

根据GDPR第35条及《车联网个人数据保护指南》，考虑到联网车辆生成的个人数据的规模及敏感性，车联网场景下处理个人数据，特别是在车外处理个人数据很可能对个人的权利和自由产生高风险，车企需要进行数据保护影响评估以确定和减轻风险。

6、保障个人行权：

根据《车联网个人数据保护指南》，车企应通过特定工具帮助用户有效行使其权利，特别是访问权、更正权、删除权、限制处理权、数据可携权及反对权。此外，制造商应部署一套个人数据管理系统，以存储驾驶者的偏好，并帮助他们更改其隐私设置。为了让数据主体能够更加方便地删除可存储在汽车仪表盘上的个人数据（例如GPR导航历史记录、网页浏览等），EDPB建议制造商可以提供一个删除按钮。

7、安全保障措施：

根据《车联网个人数据保护指南》，车企应采取措施确保处理数据的安全性和保密性。EDPB建议，行业参与者应采取算法加密通信信道、加密密钥管理、哈希、认证技术等方式增强对个人数据的保护；车辆制造商应采取如下措施：i）区分关键功能与依赖通信的功能（如信息娱乐）；ii）实施技术措施使其能够在车辆全生命周期内快速修补安全漏洞；iii）针对关键功能，尽可能优先考虑使用专门的安全通信手段；iv）车辆系统受攻击时设置报警系统并可能在降级模式下运行；v）存储对车辆信息系统的任何访问的日志历史并定期审查等。

*细分场景之一：UBI保险

UBI保险（Usage Based Insurance）是一种基于车主驾驶行为以及使用车辆相关数据相结合的可量化的保险。UBI保险场景下涉及处理车主的个人信息。在开展UBI保险业务时，企业应遵循如下合规要求：

8、获得同意：

根据《电子隐私指令》第5（3）条，UBI保险需要征得个人的同意。《电子隐私指令》第5（3）条规定，投保人必须有权选择投保非UBI保险。否则，同意将不被视为自由给予，因为合同的履行将以同意为条件。此外，根据GDPR第7（3）条规定，数据主体必须有权撤销同意。

9、本地处理：

EDPB认为，虽然不可能对每种使用情况都进行数据本地处理，但通常可以“混合处理”。例如，对于UBI保险而言，有关驾驶行为的个人数据（如踩在制动踏板上的力度、行驶里程等）可以在车机本地处理，也可以由远程信息处理服务提供商（数据处理者）代表保险公司（数据控制者）处理，以生成分值，并在规定的基础上（如每月一次）传送给保险公司。

10、数据最小化：

EDPB认为，UBI保险模式下应遵循数据最小化处理原则。原始数据和与驾驶员身份直接相关的数据必须分开。也就是说，远程信息处理服务提供商接收实时数据，但不应获知保单持有人的姓名、车牌等信息。另一方面，保险公司知道投保人的姓名，但只收到分值和总里程数，而无需知道用于产生这些分值的原始数据。此外，如果只有里程数是履行合同所必需的，则应仅收集里程数，而不应收集具体的位置数据或车辆行驶轨迹。

11、存储期限：

在确定数据存储期限前，区分商业和交易数据（数据主体的识别信息、交易相关数据、支付数据等）以及使用数据（车辆产生的个人数据、驾驶习惯、位置数据等）。

- 针对商业和交易数据，在合同期间内，此类数据可保留在生产环境的数据库中；在合同结束后，此类数据可采用物理存档（在单独介质上，如DVD）或逻辑存档（通过授权管理），以防可能发生的诉讼。法定时效期限结束时，此类数据应当被删除或匿名化。

- 使用数据又可细分为原始数据和汇总数据。如前所述，车企和保险公司应尽可能不处理原始数据。如有必要，只应在需要详细说明汇总数据和检查汇总数据过程有效性时保留原始数据。在提供服务所必需、欧盟或成员国法律要求的情况下车企应当保留汇总数据。

*细分场景之二：哨兵模式

12、法律风险告知：

企业宜通过用户手册、车载显示面板、语音等方式提醒车主哨兵模式下车主系数据控制者，应由其承担数据处理相应的义务和责任，并注意广告宣传中的相关用语和引导。

案例2：

德国联邦消费者保护机构（VZBZ）曾于2022年7月指控T公司在广告中误导消费者，隐瞒了哨兵模式存在令用户承担法律后果的风险。法庭听证后，T公司发布了一份法律文件，向法庭陈述将改变对“哨兵模式”的宣传方式。[11]

13、默认不收集：

设计哨兵模式功能时应遵循默认不收集或不启动原则，即除非车主或其授权的驾驶人自主设定开启哨兵模式，应当默认关闭。

14、开启前确认：

车机摄像头开启录制前宜向车主的手机端推送通知，并由车主再次确认。例如，在荷兰，在哨兵模式激活后，特斯拉会向车主发送一条短信，要求车主批准拍摄行为。[12]

15、处理必要性：

哨兵模式开启车外视频的录制应当具备充分的必要性。作为参考，特斯拉向车主提供了关闭基于摄像头检测的设置选项；在荷兰，特斯拉目前仅在汽车被触碰后才开启摄像，而非检测到可疑运动即触发。[13]此外，企业宜控制录制视频的长度，以免录制到过多其他非必要内容，例如，特斯拉目前已将存储视频长度从1小时缩短到最多10分钟。[14]

（四）充电场景

EEA目前未见有关充电场景的专门数据隐私保护法律。车企应当遵守GDPR规定的数据保护原则（包括合法、公平、透明、目的限制、数据最小化、准确性、存储限制、完整性和保密性等）以及数据处理的一般规则（参见第2小节），开展充电场景的数据处理活动。

（五）自动驾驶场景

在自动驾驶场景下，车企如需开展道路测试或提供辅助驾驶等功能，应落实如下合规要求：

1、告知：

根据GDPR第13条，在处理数据时，应告知数据主体控制者的身份、数据处理的目的以及个人数据的存储期限等内容。

2、签署数据处理协议：

根据GDPR第28条，控制者委托第三方处理数据的，控制者应确保处理者安全可靠并且有能力保障数据主体权利，并与处理者签署数据处理协议，明确数据处理范围、数据处理期限、数据主体类型，并约定处理者依指示处理数据、保密义务、数据处理安全措施、委托终止后删除或返还数据、配合响应个人信息主体行权、配合控制者开展数据保护影响评估（DPIA）、受控制者审计和监督权等条款。

3、数据保护影响评估：

根据GDPR第35条，对于特别使用新科技处理数据，且考量该处理之本质、范围、使用情形及目的后，认为该处理可能导致自然人之权利及自由的高度风险时，控制者应于处理前开展数据保护影响评估（DPIA）。尤其是，涉及对公共区域进行大范围监控时，DPIA被认为是必需的。因此，在公共道路上开展测绘活动前，应当开展DPIA。

4、数据处理的记录：

根据GDPR第30条，员工规模达到250人及以上的数据控制者和数据处理者应当对其数据处理操作制作登记册加以记录，包含相关处理操作的具体情况，记录内容至少包括：（a）控制者及控制者的代表、DPO等的姓名及联系方式；（b）数据处理的目的；（c）对数据主体类型及个人数据类型的描述；（d）对个人数据接收者类型的描述；（e）个人数据转移到第三国或国际组织的记录，及采取的保障措施的记录；（f）技术性与组织性安全措施的一般性描述等。

案例3：

D品牌汽车曾使用了一辆安装了摄像头的测试车进行户外活动，目的是针对为防止交通事故而设计的驾驶辅助系统进行测试和训练。然而，D品牌汽车由于疏忽，没有为数据主体（其他道路使用者）提供带有摄像头图示及其他规定信息的标志，被德国下萨克森州（Lower Saxony）数据保护局认定违反了GDPR第13条。

此外，D品牌汽车未与进行测试的服务提供商签订数据处理协议，在开展测绘前未事前评估可能的风险及其缓解措施，在数据处理活动的记录中未对公司采取的组织和技术方面的保护措施进行说明，被同时认定违反了GDPR第28、30、35条。

5、保障网络安全：

根据欧盟委员会发布的《全自动车辆自动驾驶系统（ADS）型式认证的统一程序和技术规范》（Reg.(EU)2022/1426）[15]，自动驾驶系统运营者应保证自动驾驶系统免遭未经授权的访问，并支持软件更新。

（六）售后维修

1、网络漏洞管理：

根据《关于在整个欧盟全境实现高度统一网络安全措施的指令》（“NIS2指令”）[16]，互联汽车制造商应采取适当的安全措施，向国家监管部门报告数据安全漏洞，以及在产品售出后通过软件更新修复软件漏洞等。

2、共享维修保养等信息：

根据欧盟第2018/858号条例（Regulation (EU) 2018/858 of the European Parliament and of the Council）第61条等规定[17]，网联汽车制造商应向独立运营商（零部件制造商、零部件经销商和技术信息提供商）提供车辆维修与保养信息或相关软件工具，从而保障消费者自由选择维修商的权利，避免垄断和不正当竞争。特别是，关于汽车制造商是否需要提供VIN码以便独立运营商能够分配替代备件到个别车辆可能存在一定的争议。在GVA诉Scania案中，欧洲法院总检察长即认为汽车制造商有义务向独立运营商披露VIN码。[18]目前该案欧洲法院仍在审理中。

3、数据跨境转移：

在售后维修场景下，鉴于中国车企部分能力在国内，海外消费者在申请售后维修时可能涉及将用户信息传输至中国大陆进行处理。在此情形下，车企应遵循GDPR有关数据跨境转移的要求。

4、保障删除权：

用户应该有能力根据 GDPR第17条的规定删除存储在汽车维修店或经销商系统中的数据。

（七）OTA汽车远程升级

联合国世界车辆法规协调论坛（UN/WP.29）在《1958年协定书》框架下制定了法规UN R156《关于软件升级和软件升级管理系统的汽车型式批准统一规定》（UN Regulation No. 156 - Software update and software update management system）[19]，已于2021年在欧盟国家生效。根据该规定，OTA汽车远程升级过程中应注意如下事项：

1、升级前：实施OTA汽车软件远程升级前，主机厂应评估OTA升级与目标车辆配置的兼容性，是否会影响或改变性能参数、增加任何可能需获批或禁止性的车辆功能，并提前通知用户升级的目的、变更内容、升级预估完成时间、升级时影响的车辆功能等内容。

2、升级时：确保OTA汽车远程升级期间驾驶人无法驾驶车辆，或使用任何可能影响车辆安全或更新成功执行的车辆功能；确保OTA升级的完整性和有效性；确保升级时车辆具有的足够的动力完成升级过程；确保车辆在升级失败或中断情况下，车辆系统可回复至前一版本。

3、升级后：主机厂应告知用户OTA汽车远程升级的结果（成功或失败）、OTA后的功能更改、用户手册更新等内容，并记录每次升级信息。同时，升级失败时仍应保证车辆安全。此外，主机厂应内部建档，记录和存储对应车型的OTA升级信息，包括：升级的目的、升级可能影响的车辆系统或功能、已通过R156认证的车型型号（如有）、升级是否影响系统批准参数、是否向审批机构申请OTA升级、如何执行升级以及在何种条件下执行升级、升级过程中的安全保障措施、升级结果与验证程序等。