来源:法人杂志
文 | 张韬略
中国汽车产业出海和生产经营的全球化已是大势所趋。根据中国汽车工业协会的最新数据,今年1月至9月,汽车整车出口568.4万辆,同比增长20.9%;出口金额达971.2亿美元,同比增长10.8%。然而,随着国际社会和我国跨境数据管理制度的日趋成熟和完善,汽车数据跨境合规将成为企业在数字时代的重大挑战。例如,2024年,荷兰数据保护机构基于欧盟《通用数据保护条例》(GDPR)的规定发布了一项最终调查决定,对美国网约车服务运营商优步公司处以2.9亿欧元罚款,原因是该公司将欧洲地区司机的个人数据传送至美国时,未能遵守GDPR第五章有关个人数据跨境传输的合规要求。这类针对违规跨境传输汽车数据的高额处罚案件,在全球范围内引起了广泛关注。
汽车数据出境合规是一项系统工程,我国车企既面临所在国家(或地域)的数据法律体系的规制,又受到数据跨境法律体系的约束,还受到汽车行业特殊规范体系的限制。这几个法规体系不但相互关联,而且所涉及的规范层级和类型繁多,从法律、行政法规、部门规章、规范性文件,到国家标准、行业指引乃至汽车行业通用实践等。本文结合我国相关法律体系的进展,分析我国汽车数据出境的主要法律风险点和合规应对。
我国汽车数据出境的规范体系
我国数据治理法律体系的核心包括网络安全法、数据安全法、个人信息保护法以及《网络数据安全管理条例》。其中,网络安全法把关键信息基础设施运营者的个人信息和重要数据跨境作为切入点,明确了个人信息和重要数据的数据类型,形成了我国数据治理及跨境数据监管的雏形。数据安全法进一步区分了关键信息基础设施的运营者和其他数据处理者,从数据处理者类型视角,确定了数据出境的安全义务。个人信息保护法以个人信息为对象,在坚持网络安全法的跨境管理制度的基础上,确立了出境的三种方式,即安全评估、保护认证和标准合同。作为重要配套法规,2025年1月1日起实施的《网络数据安全管理条例》用专章对数据跨境进行规定,并首次明确回应了重要数据识别的实践问题。
在法律和法规之下,我国相关部门自2022年起,通过部门规章和规范性文件的形式,逐步确定了专门面向数据跨境的规范体系,具体包括《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》《促进和规范数据跨境流动规定》及配套规则或标准。其中,《数据出境安全评估办法》明确了通过安全评估方式进行数据出境的适用情形以及申报流程;《个人信息出境标准合同办法》规定了个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的适用范围和条件;《关于实施个人信息保护认证的公告》规定了对个人信息处理者开展个人信息收集、存储、使用以及跨境等处理活动进行认证的基本原则和要求;《促进和规范数据跨境流动规定》则对免予申报安全评估的情形和免予所有申报手续的情形予以明确,有效促进数据依法有序自由流动。
在汽车行业,2021年公布的《汽车数据安全管理若干规定(试行)》以及有关行业标准,如GB/T 41871-2022《汽车采集数据处理安全指南》、YD/T 3751-2020《车联网信息服务 数据安全技术要求》以及《汽车数据出境安全指引(2025版)(征求意见稿)》等进一步明确了汽车数据、汽车数据处理者的类型,并列举了相关重要数据的细分类型。
由此可见,在宏观层面,我国已通过立法和政策明确了汽车数据的分级分类思路;在中观层面,国家已指导汽车行业出台了重要数据的目录以及相关标准,协助落实上位法。
识别数据出境的行为场景
《数据出境安全评估申报指南(第一版)》第一部分“适用范围”对“数据出境”行为作出了界定,将数据跨境传输的场景归纳为三种行为:数据处理者将在境内运营中收集和产生的数据传输、存储至境外;数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;网信办规定的其他数据出境行为。《汽车数据出境安全指引(2025版)(征求意见稿)》将前述第三种行为改为在境外处理境内自然人个人信息(符合个人信息保护法规定)的情况。
实践中,如何界定“在境内运营中收集和产生”以及“向境外提供”或境外主体的“查询、调取、下载、导出”容易出现争议。对此应注意:第一,境内应指“关境内”而非“国境内”,由中国内地向港澳台地区传输数据的行为属于“出境”行为;第二,境外员工或人员出差到境内,访问境内系统或在境内接收数据属于数据跨境传输的范围;第三,境内运营包括在境外注册但向境内开展业务;第四,向境外提供或传输汽车数据包括:汽车数据处理者在向境内用户提供产品或服务过程中跨境直接收集用户数据;外资企业的境内子公司直接使用境外母公司在海外部署的云服务器或者客户关系管理系统(CRM),方便母公司进行产品销售历史、客户行为等策略分析;境内收集的数据在境内存储之后,再以其他途径(例如,由第三方包括委托处理数据的供应商)向境外传输。
汽车企业应当综合参考《关键信息基础设施安全保护条例》等规定,根据自身属性的不同,判断需要相应承担的不同层次数据出境合规义务。从自身属性角度看,当数据出境主体构成关键信息基础设施运营者(CIIO)时,在境内运营期间收集和产生的个人数据与重要数据的出境活动是存在限制的。
值得注意的是:并非整个智能汽车产业链的企业都从事关键业务,但如果自动驾驶业务涉及重要网络设施、信息系统的,通常属于CIIO的范围;由于认定CII(关键信息基础设施)的工作具有动态性,相关企业应当密切关注行业主管部门的认定和通知。
正确选择数据出境安全保障模式
根据个人信息保护法的规定,CIIO和处理个人信息“达到国家网信部门规定数量”的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。《数据出境安全评估办法》和《网络安全审查办法》等从个人信息角度,规定了达到需要进行数据出境安全评估的“规定数量”。就此应该特别注意:(1)针对CIIO并不存在数据类型和数据量的要求;(2)100万人以上个人数据,应该根据数据处理的全周期进行统计;(3)个人数据不仅包括To C端的用户个人数据,也包括To B端的企业内部员工、人力资源部以及上下游供应商、服务商等联系人的个人数据;(4)数据是否属于个人数据,应以数据出境的状态为准,事后的匿名化或删除处理,不影响个人数据出境的认定。
根据我国相关法律法规包括《汽车数据出境安全指引(2025版)(征求意见稿)》的规定,我国汽车数据出境的安全保障模式主要有三种:一是通过国家网信部门组织的出境安全评估;二是进行个人信息保护认证;三是按网信部门的标准合同与境外接收方订立合同。我国汽车企业在数据出境之前,必须建立内部的管理小组,牵头组建数据合规团队,将各类合规资源和信息汇集起来,设计适当的流程,依法评估企业数据出口的安全风险,列明风险清单,并逐一采取相应的保障措施:
控制数据处理风险
在控制境内数据处理者自身的风险方面,汽车企业应当建立相应的风险防控机制。首先应设立由特定部门或团队牵头、统筹协调,各相关部门联动配合的工作机制。例如,由法务部门牵头,法务部门或其聘请的第三方咨询机构设计企业个性化的数据合规工作指引,确保数据出境各环节合法合规。其次,企业内部管理也需要满足以下事项:(1)制定内部管理制度和操作规程;(2)对汽车数据实行分类分级管理;(3)从产品和服务的设计到应用,遵循数据保护原则和设计保护原则,采取相应的加密、去标识化等安全技术措施;(4)合理确定数据处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施数据安全事件应急预案。
控制来自境外(接收方和接收国)的风险。由于境外数据接收方可能不会特别履行配合数据安全责任,我国汽车企业应做好如下工作:(1)与境外数据接收方进行充分沟通,强调数据出境安全评估的重要性、提供境外材料的必要性以及评估活动开展时间的紧迫性。(2)借助法律工具对接收方行为进行约束,包括履行相关的管理和技术保障措施。应以排他性列举的方式,明确境内企业所认可的境外第三方,约定未经境内个人信息处理者同意,不得再向境外第三方提供个人信息,并要求境外数据接收方对第三方的过错承担连带责任。(3)汽车企业在出具《数据出境风险自评估(DERSA)报告》时,应将境外接收方履行责任义务的管理和技术措施、能力等能否保障出境数据的安全列为重点评估事项之一。
汽车数据出境的法律风险具有复杂性与多样性,涵盖合规性、安全性及国际规则冲突等多个维度。我国汽车企业需从制度、技术、能力三个层面构建系统化的应对体系:通过全流程合规管理制度满足程序性要求,借助技术创新实现实体性合规,依托能力建设适配国际规则差异。
随着全球数据治理体系的完善与技术的进步,我国汽车企业需持续动态调整应对策略,在合规的前提下实现数据跨境价值挖掘,推动产业高质量发展。
全部评论 (0)