近年来，中国新能源车企掀起了一股“出海热”的浪潮。根据公开数据，我国2023年全年汽车整车出口491万辆，同比增长57.9%，首次跃居全球第一。其中新能源汽车出口120.3万辆，同比增幅高达77.60%。

伴随着中国车企“出海”浪潮的出现，欧洲市场成为越来越多国内车企的“兵家必争之地”。为了融入当地市场，中国车企面临着方方面面的挑战，其中之一就是欧盟当地较为严苛的数据合规监管要求以及较高的合规门槛。

走出去智库（CGGT）特约法律专家、鸿鹄律师事务所（Bird & Bird）合伙人龚钰推出中国车企出海欧盟合规系列文章，对欧盟数据合规法律框架进行整体的介绍，并对中国车企在出海欧盟市场过程中，所关注的数据合规重点问题进行总结与分析，以期为中国车企出海欧盟提供关于开展数据合规工作的基本概览。

本文为走出去智库（CGGT）刊发系列文章之二《欧盟数据保护重点问题概述》，供关注欧盟数据合规的读者参阅。

要点

1、欧盟成员国对于路测中收集的个人数据一般没有本地化存储的要求，但如果该等个人数据需要传输至欧盟之外的国家或地区（例如中国车企的研发中心可能设立在国内），则会触发GDPR项下关于跨境传输的合规义务。

2、车企可考虑通过不同数据处理活动决策权的分拆，使得中国与欧洲实体之间形成最大程度的区隔，并通过建立涵盖组织、技术、合同等方面的完整体系，保障欧洲实体需要有高度的业务与决策独立性。

3、车辆配套APP的合规工作中一般常见的合规问题还包括告知义务的履行，敏感个人数据（例如地址）的收集、特定功能的DPIA以及App云部署带来的跨境传输问题等。

正文

一、引言

在本系列的第一篇文章中，我们介绍了欧盟数据合规法律框架，并着重介绍了与汽车产业相关的数据保护法律、条例与指南。为了符合欧盟本地的数据保护要求，中国车企在进入欧盟市场之前，一般需基于在当地展业的计划，结合拟在本地上市的车型，进行充分的数据合规差距分析以及方案整改，以达成在欧盟市场合规开展业务的目标。虽然不同车企的商业需求存在差异，但其在开展数据合规工作的过程中所关注的重点问题存在一定的共性。本文将从该角度入手，对出海欧盟市场的车企所关注的部分重点问题进行初步的介绍。

二、数据合规重点问题概述

（一）路测阶段

部分出海车企在欧盟境内批量售车前，有在本地开展路测的需求，从而实现提高车辆自动驾驶能力等目的。欧盟国家对于路测开展的开展有着较为严格的监管体系，例如部分成员国家要求车企在开展路测前需取得本国交通监管机构的许可，尤其是对于涉及到更高级别自动驾驶技术的车型，监管机构会提出更高的审批与合规要求。

从数据合规的角度来看，在开展路测的过程中，路测车辆不可避免地存在收集公共区域自然人个人数据的情况，例如摄像头捕捉的路人人脸信息、车牌号等，对于这部分个人数据，如何合规地处理或者进行再利用，是开展路测的车企需解决的难题。其中，中国车企经常关注的问题包括但不限于以下方面：

· 数据跨境传输的限制：欧盟成员国对于路测中收集的个人数据一般没有本地化存储的要求，但如果该等个人数据需要传输至欧盟之外的国家或地区（例如中国车企的研发中心可能设立在国内），则会触发GDPR项下关于跨境传输的合规义务。大部分情况下，中国车企会选择签署标准合同条款(Standard Contractual Clauses, “SCC”)，并在开展跨境传输风险评估（Transfer Risk Assessment, “TIA”）后落实相关的安全补充措施。当然，为了不落入上述跨境传输义务的适用范围，部分车企也会选择对路测中收集的个人数据进行假名化处理甚至匿名化处理，但需注意的是，要达成完全的匿名化需要符合极高的标准，即从技术上将，匿名化的数据无论自身或与其它数据结合均无法识别个人信息主体，而大部分公司实质上无法从技术层面实现该要求。

· 数据保护影响评估（“DPIA”）：根据GDPR第35条的要求，对于可能对自然人的权利与自由造成高风险的数据处理活动（尤其是在涉及到对于公共区域进行大规模的监控的情形中），数据控制者在开始处理活动前，需要就该数据处理活动开展DPIA。此外，EDPB也推荐在智能网联汽车上市前的产品设计阶段（理论上也包括路测阶段）开展DPIA, 即使这并不是一项强制性的法律要求。

· 必要性原则：考虑到路测过程中收集的个人数据的敏感度，以及合规难度（例如告知义务难以完整履行），车企需在处理个人数据的过程中应尽可能地遵守必要性原则，包括但不限于仅基于路测的目的处理所收集的个人数据，严格限制内部人员对于相关数据的访问权限等。此外，在车企判定不再需要相关数据后，应及时删除该等数据或将其匿名化。

· 隐私设计：为了缓释风险，车企可提前考虑给路测车辆配备适当的隐私功能设计，包括但不限于在车内对于收集到的路牌、人脸等个人数据直接在车辆内进行假名化处理，采用一定的方式向公共场所的路人或司机告知路测活动的数据处理情况等。

因篇幅有限，我们在此处仅介绍部分关于路测过程中收集的个人数据的保护问题。而除了个人数据之外，路测阶段收集的非个人数据，其处理可能也受到特定领域法律的限制，例如可能会触发国家安全等方面的限制。尤其是对于中国车企而言，其在本地的路测活动可能会触发部分成员国基于国家安全而对投资、交易等进行的约束，例如根据意大利的黄金权力（“Golden Power”）法案的要求，如果开展路测的公司从意大利公司购买专业数据采集车辆，并调用路测车辆获得的路测数据，该行为不排除会被认定为“战略性市场行业（国防安全、通信、交通、能源）内任何方式购买股份、业务或资产、许可和使用敏感技术及相关资产的交易”，从而需要在与本地公司开展上述合作前提前通知意大利政府。

（二）高风险车机功能的落地

拟上市车型的高风险车机功能是否能在欧洲本地市场落地，以及如何落地，是出海车企合规工作的重中之重。 需注意的是，此处所指的“高风险”一般是通过充分的数据处理活动摸排以及差距分析之后而确定，其不仅要考虑数据处理活动本身的特性，也需要参考欧盟及本地的法律要求、执法风险以及行业实践。一般情况下，涉及处理大量敏感个人数据的车机功能（例如语音交互），个人数据处理活动较为复杂（例如OTA升级）以及可能会受监管部门重点关注的车机功能（例如哨兵模式），会被认定为高风险的车机功能。

在高风险车机功能风险的识别与整改中，车企常遇到的共性问题包括但不限于：

· 个人数据的识别：欧盟定义下的个人数据范围较为广泛，除了可直接识别车主或乘客身份的数据之外（“个人身份识别数据”），只要在特定场景下与个人身份识别数据结合，能够体现自然人的状态或活动等信息的，该等数据均构成个人数据。例如车辆底盘域、动力域等产生的数据，由于大部分是与车辆性能相关的数据，其本身并无法识别车主身份，车企可能误认为其不构成个人数据，但在特定的场景下（例如故障维修），这些数据和车辆的VIN码发送至车企，理论上车企可以通过VIN码识别车主身份并通过车辆性能数据读取该车主车辆的相关信息，并甚至可从中识别出其它关于车主的信息，在该场景下，车辆性能数据亦构成个人数据。若在差距分析与整改中遗漏该等数据，则会造成潜在的风险。

· 合法性基础的识别：针对不同的高风险车机功能，需明确处理其对应的GDPR项下的个人数据处理合法性基础，并根据该合法性基础采取相应的合规措施。例如，对于需取得同意的车机功能，车企需提前在隐私设计中嵌入车主撤回同意的机制。此外，对于车机功能的合法性基础确定，还需综合考虑《电子隐私指令》（”e-Privacy Directive”）关于智能网联汽车相关的数据处理活动需获取同意的特殊要求，以及欧盟本地的强制性法律义务（例如E-call功能的配备）等方面。

· 必要性原则：基于风险缓释的目的，高风险车机功能处理个人数据的数量、频次以及触发场景均需遵守必要性原则。尤其是对于一些客观上实现完全合规难度较高的车机功能，落实必要性原则是降低其实际风险的推荐做法。例如，对于哨兵模式而言，可设置为默认不开启的状态，并需车主主动激活并告知车主仅在符合法律规定的前提下使用该功能；此外，对于该模式中所收集的车外数据的个人数据部分，可尽量做到实时删除或缩短存储时间，以降低相关风险。

· 跨境传输：虽然大部分中国车企会在欧盟本地部署当地的云服务器存储本地数据，但由于研发与运维团队主要位于国内，或者服务供应商位于欧盟境外，其需将部分数据传输至欧盟境外，从而触发GDPR项下关于数据跨境传输的义务。关于该风险点，首先需识别相关数据传输是否构成GDPR项下的“跨境传输”以及相关的合规义务是否由车企承担，其次需基于企业的实际情况与合规成本考量选择GDPR规定的跨境传输合规路径。如上文所述，实践大部分车企会选择签署SCC，但在该路径下，基于数据的传输路径与架构，厘清正确出境方与境外接收方，往往是车企在开展合规工作中遇到的难点。

· 特定高风险车机功能需进行DPIA：部分高风险车机功能的个人数据处理活动需要提前进行DPIA。我们将在本系列第三篇文章中详细介绍。

因篇幅有限，以上我们仅举例说明几项开展关于高风险车机功能合规的普遍关注要点。在开展相关工作的过程中，车企首先要联动各部门，就各项车机功能的数据处理情况进行摸排，并在此基础上进行合规差距分析，在形成分析结果以及整改建议的过程中，车企需综合考量欧盟成员国本地法律的要求、本地数据保护监管部门的执法实践，最后形成平衡合规要求与商业需求的最优方案。

（三）本地组织架构

大部分出海的中国车企会在欧盟本地设立实体，以作为开拓欧洲市场的基点。而本地实体的设立，除了需考虑市场、税收以及物流等因素外，如何安排欧洲实体未来在处理本地用户个人数据的活动中承担的角色，以及划分其与集团内部其它实体之间关于数据处理的分工，也是众多中国车企关注的议题，而关于该部分的决策，也将影响后续车企开展的GDPR数据合规工作的整体架构。

在GDPR项下，数据控制者的认定需基于事实情况，即实际具有对特定数据处理活动的目的与方式具有决策权的实体，应认定为该等数据处理活动的数据控制者，并应承担相应的数据合规责任。例如，针对于某项特定的个人数据处理活动（其目的是向欧洲本地的用户提供服务），若数据处理的实际决策均由受GDPR域外管辖效力的中国实体做出，则该中国实体应构成数据控制者；若企业在集团内外部的合规文件中（例如隐私政策）均体现欧洲本地的实体为数据控制者，则其与事实不符，并可能面临被监管部门处罚的风险。

因此，在具备可行性的前提下，企业应基于未来的展业需求，结合合规成本的考量等因素，在进入欧盟市场之前确立本地各项主要个人数据处理活动的数据控制者实体。在此基础上，后续的数据合规工作包括隐私政策的起草、跨境传输机制的落地、数据处理协议的签署等才能有效开展。

部分中国车企在出海的过程中会考虑到欧洲业务与中国业务的隔离，包括希望在此隔离机制下，能够使得中国实体完全隔离于处理欧洲本地居民个人数据相关的责任。客观上，由于主要的决策机构位于中国总部，企业的上述需求要完全实现难度较大，尤其对于车企而言，其产品研发等团队可能主要位于中国境内，相关的数据处理活动的决策权仍需归属于中国实体。在此情况下，车企可考虑通过不同数据处理活动决策权的分拆，使得中国与欧洲实体之间形成最大程度的区隔，并通过建立涵盖组织、技术、合同等方面的完整体系，保障欧洲实体需要有高度的业务与决策独立性。

但需注意的是，即使在上述各方面做到了最大程度的隔离，该等分割安排最终在实践中是否会被主管监管机构认可仍存在一定的不确定性。对于责任主体的认定与认定的标准，监管机构具有一定的自由裁量权。此外，关于很多出海车企关注的GDPR项下罚款基数问（GDPR罚款的计算基数是集团公司全球总营业额度），即便出海车企实现了较大程度的业务隔离，监管机构理论上仍有可能认定其全球的总营业额（包括中国实体）作为基数计算罚款，但实践中具体罚款的金额需要综合个案情形具体判断，中国实体对欧洲数据处理活动决策的参与程度可能构成考量因素之一。

（四）海外App合规

除车机端的合规之外，出海车企配套汽车产品推出的海外App也需要在上市前完成相应的数据合规审查与合规措施整改。对于车辆配套App的数据合规而言，除了需要关注一般的GDPR合规要求，也需重点关注APP的身份验证机制以及实现有效的账户隔离等方面的要求。

由于车主可通过App远程控制车辆的状态，因此需确保相关数据或指令传输的安全。车企需采取必要的安全技术措施外，还应采取严格的身份验证措施，以确保登录的用户是车主或授权使用车辆的人。此外，欧洲本地的监管部门可能会对验证机制不符合安全标准的公司进行处罚。例如，德国本地的监管部门就处罚了一家使用“邮箱+生日”作为身份验证信息的公司，认为该验证机制无法实现数据安全的目的。此外，考虑到同一车辆可能会被不同的使用人使用，为了保护车主的隐私，应考虑采取适当的账号隔离措施，让不同的车辆使用人注册并登录不同的App账号。

此外，车辆配套APP的合规工作中一般常见的合规问题还包括告知义务的履行，敏感个人数据（例如地址）的收集、特定功能的DPIA以及App云部署带来的跨境传输问题等。车企应在App上线前，根据App的每项业务功能梳理相关的合规义务，并进行整改，以达到合规的目的。

以上是我们总结的中国车企出海欧盟市场就数据合规方面关注的部分重点问题，通过这部分内容的介绍，期望提供给中国车企开展出海数据合规工作一些基本的思路与路径参考。因篇幅原因，本篇文章中我们仅选取部分普遍关注的问题进行阐述，而在欧盟出海的数据合规项目中，还有更多的难点问题直接进一步的探讨与思考。在本系列接下来的两篇文章中，我们将具体介绍中国车企在欧盟数据合规工作中的两大难点问题—DPIA的开展以及数据跨境传输的合规。

来源：走出去智库

作者：龚钰，走出去智库（CGGT）特约法律专家，鸿鹄律师事务所（Bird & Bird）合伙人；在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富，曾为来自多个行业的中国和跨国客户提供境内外法律服务，擅长解决行业相关的复杂法律问题。

延伸阅读：中国车企出海：欧盟数据合规法律框架概览