近年来,中国新能源车企掀起了一股“出海热”的浪潮。根据公开数据,我国2023年全年汽车整车出口491万辆,同比增长57.9%,首次跃居全球第一。其中新能源汽车出口120.3万辆,同比增幅高达77.60%。
伴随着中国车企“出海”浪潮的出现,欧洲市场成为越来越多国内车企的“兵家必争之地”。为了融入当地市场,中国车企面临着方方面面的挑战,其中之一就是欧盟当地较为严苛的数据合规监管要求以及较高的合规门槛。
走出去智库(CGGT)特约法律专家、鸿鹄律师事务所(Bird & Bird)合伙人龚钰推出中国车企出海欧盟合规系列文章,对欧盟数据合规法律框架进行整体的介绍,并对中国车企在出海欧盟市场过程中,所关注的数据合规重点问题进行总结与分析,以期为中国车企出海欧盟提供关于开展数据合规工作的基本概览。
今天,走出去智库(CGGT)刊发系列文章之三《欧盟数据保护影响评估》,供关注欧盟数据合规的读者参阅。
要点
1、欧盟《通用数据保护条例》(GDPR)第35条第1款规定,数据控制者在开展可能对自然人的权利和自由产生高风险的数据处理活动前,必须开展数据保护影响评估(DPIA)。
2、涉及处理大量敏感个人数据的车机功能(例如语音交互)、个人数据处理活动相对较为复杂的车机功能(如OTA升级)以及可能被监管部门重点关注的车机功能(如哨兵模式),被认定为高风险的车机功能的可能性较高。对于部分高风险车机功能所涉及的个人数据处理活动,可能需要提前进行DPIA。
3、在完成DPIA后,数据控制者需要针对评估结果、基于GDPR及相关成员国本地法律进行合规整改。
正文
一、引言
在本系列的第一篇文章中国车企出海:欧盟数据合规法律框架概览和第二篇文章中国车企出海:欧盟数据保护重点问题概述中,我们介绍了欧盟数据合规的整体法律框架,并初步介绍了出海欧盟市场的车企所关注的部分重点问题。在本篇文章中,我们将关注出海车企在欧盟数据合规工作中所面临的一项重难点问题,即GDPR项下的“数据保护影响评估”。
二、欧盟数据保护影响评估机制介绍
数据保护影响评估(Data Protection Impact Assessment, 以下简称“DPIA”)是GDPR第35条确立的一项强制性法定义务,其要求数据控制者在开展可能对自然人的权利和自由产生高风险的个人数据处理活动前进行风险评估,以识别和采取适当措施降低数据处理活动的风险。开展DPIA不仅是为了履行法定合规义务,对于优化企业内控机制、维护公司品牌声誉也有重要意义。
(一)谁需要开展DPIA?
数据处理活动的DPIA应由数据控制者开展。例如,智能网联汽车制造商收集驾驶人开启自动驾驶功能的频率、驾驶地点、时间、心率、眼球运动等数据,并上传云端进行保存,该数据处理活动中,智能网联制造商是数据控制者,云服务商是数据处理者,应当由前者决定是否开展DPIA。
(二)何时需要开展DPIA?
一项原则:GDPR第35条第1款规定,数据控制者在开展可能对自然人的权利和自由产生高风险的数据处理活动前,必须开展DPIA。
三类示例:GDPR第35条第3款列举了三类必须开展DPIA的数据处理活动:(1)对自然人进行系统性和广泛性的个人情况评估,且该评估基于自动化处理(包括数据画像)并且基于该评估作出对该自然人产生法律效力或类似重要影响的决定;(2)大规模处理GDPR项下的“特定类型数据”或者“有关刑事定罪和犯罪的个人数据”;(3)对公共区域的大规模系统性监控。
九项标准:WP29工作组[1](以下简称“WP29”)在其发布的DPIA相关指南[2](以下简称 “WP29指南”)中提供了九项标准作为数据控制者评估是否需要开展DPIA的参考。一般情况下,同时满足其中两项标准的,通常需要数据控制者开展DPIA,若仅满足一项标准,则视情况可能需要开展DPIA。WP29指南提到的九项标准具体如下:
- 评估或评分:特别是关于数据主体在工作表现、经济状况、健康、个人喜好或兴趣、可靠性或行为、位置或移动等方面的评估。
- 自动决策:具有法律或类似效果的自动决策;如GDPR第35条(3)(a)所述:“对自然人产生法律效果”或“类似地对自然人产生重大影响”。
- 系统性监控:用于观察、监测或控制数据主体的处理,包括通过网络或“对公众可进入的区域进行系统监测”收集个人数据。数据主体可能对该数据处理不知情且无法避免。
- 敏感数据或高度个人化的数据的处理:包括但不限于GDPR第9条所述的特殊类别的数据(也称为敏感数据)以及与犯罪定罪或犯罪行为相关的数据。
- 大规模处理的数据:规模可指涉及的数据主体的数量、数据的量级、不同数据项的范围、数据处理活动的持续时间以及处理活动的地域范围。
- 匹配或组合数据集:将数据匹配或组合并用于不同的目的,或者超出了数据主体的合理预期。
- 涉及弱势数据主体的数据:弱势是相对于数据控制者而言,包括但不限于儿童、员工和其他可能需要特殊保护的人,如精神病患者、寻求庇护者、病人、老年人等。
- 应用创新的技术或解决方案:例如,数据控制者结合指纹和面部识别实现访问控制。
- 处理活动将阻止数据主体行使权利、接受服务或实现合同:例如,处理活动可能会导致数据主体访问数据的权利遭到拒绝。
行业指南:欧洲数据保护委员会(European Data Protection Board,下文简称“EDPB”)发布的有关网联汽车的个人数据保护指南[3]强调,鉴于互联网车辆可产生的个人数据的规模和敏感性,其数据处理活动(特别是在车外处理个人数据的情况下)很可能会对个人的权利和自由造成高风险。在这种情况下,行业参与者应当开展DPIA,以识别和降低风险。EDPB推荐在智能网联汽车上市前的产品设计阶段(理论上包括路测阶段)开展DPIA,即使这并不是一项强制性的法律要求。
监管机构清单:根据GDPR第 35(4)条的规定,监管机构必须制定并公布一份需要按照GDPR开展DPIA的数据处理活动正面清单。例如,2018年10月17日,德国联邦及州政府的独立数据保护监管机构DSK(Die Datenschutzkonferenz)在其官网发布了必须进行DPIA的处理活动清单[4]。该清单承袭了WP29的指南,并进一步列举了多项必须开展DPIA的数据处理活动,其中包括两类典型的与车辆数据相关的处理活动:
- 广泛处理与自然人行踪有关的个人数据。例如,一家公司提供汽车共享服务或其他移动服务,并为此处理大量位置和费用数据。
- 在公众场所对个人数据进行移动式光学电子记录,并将来自一个或多个收集系统的数据大规模集中处理。例如,一家公司收集车辆产生的有关周围环境的个人数据,并将其用于确定空闲停车位或改进自动驾驶算法等(该示例也适用于广泛处理与自然人行踪有关的个人数据)。
(三)未开展DPIA的法律后果
若数据控制者未按照GDPR第35条开展DPIA,将面临欧盟监管机构的高额罚款,最高罚金可达企业全球营业额的2%或1000万欧元(两者中取较高者),若因为未按照要求开展DPIA,造成其它严重违规情形(如不遵守数据处理的一般原则,缺乏数据处理的法律依据,无法满足数据主体的访问权等),最高罚金为全球年营业额的4%或2000万欧元(两者中取较高者)。据网站GDPR Enforcement Tracker(GDPR执法追踪)[5]上有关GDPR执法案例的统计数据显示,欧盟监管机构就未合规开展DPIA及其他合规义务,一般处以6000欧元至110万欧元不等的处罚。
而在汽车行业,某德国车企在驾驶辅助系统路测中通过摄像头收集车辆周围的交通情况,因并未就该高风险数据处理活动开展DPIA、未向数据主体尽告知义务等违规行为而被当地数据保护机构除以高额罚款,并严重影响了品牌声誉。
三、出海车企如何开展数据保护影响评估
(一)如何判断是否需要开展DPIA
目前出海欧盟的中国车企大多主推具备智驾功能的智能网联汽车。智能网联汽车涉及的车机功能可能达到上百个,涉及的数据交互关系复杂,要筛选并判定应当对哪些数据处理活动开展DPIA,具有较高的难度。一般情况下,涉及处理大量敏感个人数据的车机功能(例如语音交互)、个人数据处理活动相对较为复杂的车机功能(如OTA升级)以及可能被监管部门重点关注的车机功能(如哨兵模式),被认定为高风险的车机功能的可能性较高。对于部分高风险车机功能所涉及的个人数据处理活动,可能需要提前进行DPIA。
实践中,对于部分数据处理活动是否需要进行DPIA,通常难以直接进行判断,需先进行DPIA的预测评(“Pre-DPIA”),一般需专业的本地律师或数据保护官结合具体场景具体判断。需注意的是,即使是同样的车机功能,若其数据处理的方式存在差异,其是否需要开展DPIA的结论就可能不同。以下我们列举部分案例供参考:
语音交互功能:
1) 模式一:车企在提供语音交互功能的过程中,实际不抓取用户的语音音频记录,亦不存储语音转文字时产生的文本信息,而是进行实时的语音与文字转换并即时删除所有的数据,并且语音命令的文字转换不会与用户账户或车架号相关联。
分析:该车机功能不涉及对敏感数据或高度个人化的数据的存储,也不涉及车外处理,对车主及乘车人造成的风险相对有限,因此可能不需要进行DPIA。
2) 模式二:车企在提供语音交互功能的过程中,通过车内麦克风实时采集车内语音音频信息,将车内音频信息上传至云端进行处理和存储。
分析:该车机功能可能涉及到在车外、大规模处理敏感个人数据,并可能符合两项WP29指南中的两项标准(大规模处理数据、处理敏感数据或高度个人化的数据),GDPR35条列举的情形以及EDPB有关网联汽车的个人数据保护指南所述的高风险情况,因此需要开展DPIA的可能性较大。
导航功能:
1) 模式一:导航功能由驾驶人自行选择的第三方导航地图服务商提供,通过手机接入车机端在车机端屏幕进行导航地图显示,车辆位置数据由第三方实时处理而不传输给车企。
分析:车企不是导航功能下的数据控制者,无需就该导航功能下的车辆位置数据处理进行DPIA。
2) 模式二:用户授权其导航App账户与网联汽车账户建立绑定关系,允许车企基于车辆位置或目的地向驾驶者推荐周边的4S店、充电桩、停车场或其他生活服务类信息。
分析:车企可能涉及处理敏感数据、车外处理、用户画像及不同账号下的数据集匹配或组合,可能符合两项WP29指南中的三项标准(处理敏感数据或高度个人化的数据、匹配或组合数据集、评估或评分),GDPR35条列举的情形以及EDPB有关网联汽车的个人数据保护指南所述的高风险情况,因此很可能需要开展DPIA。
哨兵模式:
1) 模式一:哨兵模式的功能实现方式通常是通过车辆传感器及外部摄像头监测驻车期间的可疑活动或对车辆的严重威胁。若监测到可疑情况或威胁,哨兵模式指示摄像头进行录制并存储于车主已安装的USB设备中,并向车主配对的手机发送提醒。该情况下,车外视频数据不会传输给车企。
分析:车企不是该模式下的数据控制者,无需就该哨兵模式下的车外视频数据处理进行DPIA。
2) 模式二:车企将车外视频数据上传至云端进行保存,允许车主通过配对手机实时查看车辆周边环境视频。该情况下,车企将在云端接收和处理车外视频数据。
分析:车企可能涉及系统性监控车外周边环境信息(可能包含车外人脸信息、敏感地理位置信息)并进行车外处理,可能符合WP29指南中的三项标准(对公众区域进行系统性监控、应用创新的技术或解决方案、处理敏感数据),GDPR35条列举的情形以及EDPB有关网联汽车的个人数据保护指南所述的高风险情况。若车企在德国,还可能属于德国监管机构所要求必须开展DPIA的情形之一(在公众场所对个人数据进行移动式电子记录,并将数据进行大规模集中处理)。因此车企很可能需要就此开展DPIA。
(二)如何开展DPIA
在预筛选需要进行DPIA的场景、并由欧盟当地专业律师或DPO确认后,车企可以对其作为数据控制者的高风险个人数据处理活动开展DPIA。欧盟的监管机构并未发布有关DPIA的强制性的统一模板,出海企业可根据其目标市场国家、所在的行业特点等因素设计贴合需求的DPIA体系。企业可对DPIA评估项进行赋分,以衡量风险大小,并最终结合风险发生的可能性及风险严重程度,综合评估数据处理活动的风险等级,并在评估结果的基础上采取适当的整改措施。
根据GDPR第35条(7)的规定,DPIA应当至少包括如下内容:
- 系统性描述拟开展的数据处理活动的目的和方式、数据控制者追求的合法利益;
- 评估与处理目的相关的处理方式的必要性和合理性;
- 评估对数据主体的权利和自由可能产生的风险;
- 评估消除上述风险的安全措施和机制。
企业也可参考欧盟各成员国监管机构发布的DPIA框架及WP29发布的指南开展DPIA。在评估过程中,需要咨询DPO、相关数据主体(适当情况下)对拟进行的数据处理活动的意见。
以下我们亦列出部分DPIA中的评估重点供参考:
- 合法性基础:相关个人数据处理活动是否取得数据主体的同意或符合合同必要、法定义务或正当利益等法定基础(例如,在适用正当利益时是否开展了利益平衡测试,在适用合同必要时是否在与用户的合同中包含支撑相关服务/功能的合同条款)。
- 透明性及必要性:相关个人数据是否为实现处理目的所必需。以自动驾驶功能为例,在自动驾驶L2或L3级车辆中,出于驾驶安全目的,驾驶员监控系统有必要检查用户是否专注于驾驶,因此可能收集用户的眼球或头部运动信息、心率、呼吸频率,但这些数据可能对于达到L4级的自动驾驶车辆不是必需的。
- 处理的数据类型:例如是否包括GDPR第9条(1)规定的敏感个人数据,如健康相关数据、基因数据、政治观点、宗教或哲学信仰。位置数据虽然未被明确列入敏感个人数据,但是其可能间接反映驾驶人的宗教信仰、健康状况,因此也属于敏感度较高的个人数据。
- 数据主体类型:例如是否涉及弱势群体,如员工、儿童、老年人等。
- 数据处理方式:例如是否涉及向第三方共享、是否涉及数据跨境传输至欧盟以外等。
(三)针对高风险点开展合规整改
在完成DPIA后,数据控制者需要针对评估结果、基于GDPR及相关成员国本地法律进行合规整改。常见的整改方式包括:优化数据处理活动(如缩减数据类型至必要范围、缩短数据存储期限至必要时长)、采取适当的技术措施(如数据脱敏、加密)、采取适当的组织措施(例如对相关部门人员开展合规培训、设置负责与数据主体沟通的联系人)、优化第三方管理(例如对第三方服务商进行数据安全能力评估、与第三方签订数据保护协议)、优化特定功能(例如调整高风险的车机功能,包括但不限于尽量避免数据的车外处理,允许用户自行选择何时、何处启用特定车机功能等)。上述整改,应尽早地结合到车机功能的设计过程中,以避免后期产生额外的整改成本。
(四)定期评估是否需要重新开展DPIA
由于车机功能的实现方式可能随时发生变化,导致数据交互关系变化、数据敏感程度变化、数据处理规模变化等,在开展DPIA后,仍需要跟踪数据处理活动的变化情况,定期评估是否要重新开展DPIA,并定期结合当时的法律法规要求及行业实践更新DPIA评估模板。
四、结语
开展DPIA是一项较为复杂且耗时的合规工作,对于出海欧洲的车企是不小的挑战,既需要企业给予相当的重视和资源投入,一般也依赖于熟悉GDPR及欧盟成员国当地法律的专业律师团队支持。考虑到需要进行DPIA的车机功能一般涉及高风险的个人数据处理活动,若未能进行必要的风险评估并及时采取合适的合规措施,则面临较高的处罚风险,因此需要车企予以足够的重视。
注释:
1. WP29工作组是根据95/46/EC指令的第29条设立的数据保护和隐私相关的独立欧洲咨询机构,处理GDPR生效前与隐私和个人数据保护相关的问题。可以说,EDPB是WP29的继任者。
2. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679。
3. Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications:
5.https://www.enforcementtracker.com/
来源:走出去智库
作者:龚钰,走出去智库(CGGT)特约法律专家,鸿鹄律师事务所(Bird & Bird)合伙人;在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富,曾为来自多个行业的中国和跨国客户提供境内外法律服务,擅长解决行业相关的复杂法律问题。
延伸阅读:中国车企出海:欧盟数据合规法律框架概览