来自国家发改委、证监会、中国汽车工业协会、上海数据交易所、德国外贸与投资署、比亚迪、吉利、奇瑞、一汽、江淮汽车、宁德时代、华为、腾讯、百度、商汤科技、Nullmax纽劢、意法半导体、现代摩比斯、塞默勒中国、埃森哲、凯捷等单位的嘉宾参会。
本次研讨会在中国汽车产业扬帆出海的大背景下,围绕中国汽车产业在欧盟市场的机遇与挑战、数据合规、地缘政策与舆情风险,从中国企业决策管理的战略视角和实务角度,提供应对欧盟数据监管的策略。
一、欧盟作为中国车企海外的重要市场,企业面临哪些风险?
走出去智库(CGGT)总经理陆俊秀在主持研讨会时表示,全球电动车的时代正在加速到来,各国的数字监管政策会深刻影响智能网联车走进各国市场。
当前,欧洲作为中国车企出海的重点市场之一,根据走出去智库会前的问卷调查显示,企业最关注的国别市场包括:德国(占比88%)、法国(56%)、英国(占比54%)、荷兰(42%)、挪威(32%)等。
中国车企出海欧洲,须高度重视面临的政策风险。根据走出去智库会前的问卷调查,企业最关注的政策壁垒包括:市场准入(90%)、技术标准(70%)、进口关税(64%),以及补贴政策(58%)等。
特别需要指出的是,企业最关注的合规风险包括:数据隐私风险(92%)、产品安全风险(64%)、知识产权风险(58%),以及环保风险(54%)等。
另一方面,全球权力日益分散,超级选举年,地缘政治环境充满竞争与冲突。世界经济更加碎片化和区域化,影响增长潜力。中国企业推进全球化经营,尤其需要关注地缘政治风险、舆情风险和合规风险的多重复杂关系。
企业需要采取有效措施来应对上述风险,包括:
(1)加强对地缘政治形势的监测和分析,及时调整企业策略;
(2)建立良好的舆情监测和应对机制,及时化解舆情危机;
(3)建立健全的合规管理体系,确保企业遵守法律法规。
二、中国车企出海欧盟数据合规实操经验分享
鸿鹄律师事务所(Bird & Bird)合伙人龚钰在主旨演讲中表示,目前欧盟层面现行有效的、和汽车行业个人数据处理密切相关的法律包括《通用数据保护条例》(GDPR)、《电子隐私指令》(ePrivacy Directive)、《数据法案》(Data Act)、《人工智能法案》(AI Act)。除了现已生效的GDPR和ePD等法案,作为欧盟最新数字战略的一部分,即将于2025年生效的《数据法案》(Data Act)以及后续发布的配套法案,也会对出海车企及相关智能网联汽车服务供应商的合规义务产生影响。
对于预期进入欧盟市场、或已经进入欧盟市场且在可预期的未来扩大欧盟业务的中国车企以及上游软硬件供应商而言,目前需要评估其是否落入GDPR和ePD的管辖范围并尽快采取系列数据合规保护措施,同时也需要提前判断Data Act对相关产品和服务可能带来的潜在影响并提前进行合规改造,此外还需要密切关注AI Act出台后欧盟委员会后续发布的和汽车行业相关的补充指令。
部分出海车企在欧盟境内批量售车前,还有在本地开展路测的需求,从而实现提高车辆自动驾驶能力等目的。欧盟国家对于路测开展的开展有着较为严格的监管体系,例如部分成员国家要求车企在开展路测前需取得本国交通监管机构的许可,尤其是对于涉及到更高级别自动驾驶技术的车型,监管机构会提出更高的审批与合规要求。拟上市车型的高风险车机功能是否能在欧洲本地市场落地,以及如何落地,是出海车企合规工作的重中之重。
从数据合规的角度来看,在开展路测的过程中,路测车辆不可避免地存在收集公共区域自然人个人数据的情况,例如摄像头捕捉的路人人脸信息、车牌号等,对于这部分个人数据,如何合规地处理或者进行再利用,是开展路测的车企需解决的难题。
除车机端的合规之外,出海车企配套汽车产品推出的海外App也需要在上市前完成相应的数据合规审查与合规措施整改。对于车辆配套App的数据合规而言,除了需要关注一般的GDPR合规要求,也需重点关注APP的身份验证机制以及实现有效的账户隔离等方面的要求。
出海车企在欧盟数据合规工作中所面临的一项重难点问题,即GDPR第35条确立的一项强制性法定义务——“数据保护影响评估”(DPIA),要求数据控制者在开展可能对自然人的权利和自由产生高风险的个人数据处理活动前进行风险评估,以识别和采取适当措施降低数据处理活动的风险。考虑到需要进行DPIA的车机功能一般涉及高风险的个人数据处理活动,若未能进行必要的风险评估并及时采取合适的合规措施,则面临较高的处罚风险,因此需要车企予以足够的重视。开展DPIA是一项较为复杂且耗时的合规工作,对于出海欧洲的车企是不小的挑战,既需要企业给予相当的重视和资源投入,一般也依赖于熟悉GDPR及欧盟成员国当地法律的专业律师团队支持。
此外,对于出海欧盟的中国车企而言,数据跨境传输几乎是不可避免的议题。实践中,针对和外部供应商的数据交互所涉及的跨境传输活动,首先需要评估企业目前和外部供应商的服务协议中是否有针对数据处理以及数据跨境传输活动的相关条款,若没有,我们建议企业准备一份符合GDPR规定的数据处理协议,且该等数据处理协议应包括对应模块的欧盟标准合同条款(SCCs),并与外部供应商签署该数据处理协议。
案例分析一:
案例分析二:
案例分析三:
案例分析四:
来源:走出去智库
演讲专家:
龚钰,走出去智库(CGGT)特约法律专家鸿鹄律师事务所(Bird& Bird),合伙人;在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富。他曾为来自多个行业的中国和跨国客户提供境内外法律服务,擅长解决行业相关的复杂法律问题。
陆俊秀,走出去智库总经理、高级合伙人,清华大学工学博士;专业领域:地缘政治风险与合规研究、国别政策法律监管逻辑、企业地缘危机解决实务、企业跨境并购和投融资战略、金融科技研究。
延伸阅读:中国车企出海:欧盟数据合规法律框架概览