走出去智库(CGGT)观察
近年来,中国新能源车企掀起了一股“出海热”的浪潮。根据公开数据,我国2023年全年汽车整车出口491万辆,同比增长57.9%,首次跃居全球第一。其中新能源汽车出口120.3万辆,同比增幅高达77.60%。
伴随着中国车企“出海”浪潮的出现,欧洲市场成为越来越多国内车企的“兵家必争之地”。为了融入当地市场,中国车企面临着方方面面的挑战,其中之一就是欧盟当地较为严苛的数据合规监管要求以及较高的合规门槛。
走出去智库(CGGT)特约法律专家、鸿鹄律师事务所(Bird & Bird)合伙人龚钰推出中国车企出海欧盟合规系列文章,对欧盟数据合规法律框架进行整体的介绍,并对中国车企在出海欧盟市场过程中,所关注的数据合规重点问题进行总结与分析,以期为中国车企出海欧盟提供关于开展数据合规工作的基本概览。
今天,走出去智库(CGGT)刊发系列文章之一《欧盟数据合规法律框架概览》,供关注欧盟数据合规的读者参阅。
要点
1、即将于2025年生效的《数据法案》(Data Act)以及目前正在定稿中的《人工智能法规》(AI Act)出台后,欧盟委员会后续发布的配套法案也会对出海车企及相关智能网联汽车服务供应商的合规义务产生影响。
2、虽然AI Act本身并不直接适用于具有辅助驾驶和自动驾驶能力的智能网联汽车及其人工智能组件,但因为AI Act规定欧盟委员会在将来出台机动车辆型式批准框架的补充指令时融入AI Act针对高风险人工智能系统提出的合规要求,所以人工智能法案项下的部分要求也可能在将来适用于具备辅助驾驶和自动驾驶能力的汽车。
3、欧盟数据保护委员会(EDPB)特别针对汽车行业个人信息处理活动发布了车联网指南。该车联网指南根据《通用数据保护条例》(GDPR)、《电子隐私指令》(ePD)要求,为车机端功能模块的隐私默认设置提供了参考意见。
正文
1、引言
随着智能网联汽车功能模块的更新迭代,汽车在为车主提供智能化、个性化的驾驶体验的同时,也收集、处理、生成了海量数据。作为典型的需要处理海量数据的企业,中国车企在进入欧洲市场正式展业或大规模展业前,需要重点关注欧盟关于个人数据处理的相关法律法规及最佳行业实践指南,以期尽早将该等要求嵌入车辆默认功能设置和数据处理的全生命周期。
2、欧盟个人数据保护法律概览
2.1欧盟层面的条例或指南
目前欧盟层面现行有效的、和汽车行业个人数据处理密切相关的法律主要包括《通用数据保护条例》(General Data Protection Regulation[1],下文简称“GDPR”)和《电子隐私指令》(ePrivacy Directive[2],下文简称“ePD”)。
GDPR对个人数据处理的全生命周期提出了系列要求。GDPR不仅适用于欧盟境内的实体机构与其营业活动相关的境内数据处理活动,也具有域外适用效力;若欧盟境外实体向欧盟境内的自然人提供产品或服务,或是监控其行为,则GDPR也适用于该等境外实体。违反GDPR的后果包括但不限于高额罚款(2千万欧元或企业全球营业额的4%,以较高者为准)。
ePD适用于向终端用户提供电子通信网络和服务的提供者。特别地,ePD也为存储或访问存储于终端设备(“terminal equipment”)中的用户数据设定了要求,该等存储或访问行为原则上均需要获得用户的同意,除非是基于下述两种例外情形:(1)基于通讯传输之必要,(2)提供信息社会服务(“information society service”)[3]所必需,且该等服务是由用户明确地自主选择。根据欧洲数据保护委员会(European Data Protection Board,下文简称“EDPB”)发布的车联网指南[4],智能网联汽车属于ePD语义下的终端设备,数据控制者(大多情况下是汽车制造商)在访问智能网联汽车存储和产生的个人数据时,需获得用户的同意,除非相关存储和访问行为满足上述无需获得用户同意的例外情形。
除了现已生效的GDPR和ePD,作为欧盟最新数字战略的一部分,即将于2025年生效的《数据法案》(下文简称“Data Act”)[5]以及目前正在定稿中的《人工智能法规》(下文简称“AI Act”)[6]出台后,欧盟委员会后续发布的配套法案也会对出海车企及相关智能网联汽车服务供应商的合规义务产生影响。
Data Act适用于在欧盟市场上投放互联设备的制造商以及支持互联设备功能正常运作的相关服务(除电子通信服务之外的数字服务,包括软件)的提供商,无论这些制造商和提供商是否在欧盟境内设立实体。Data Act赋予了互联设备(包括智能网联汽车)的个人和企业用户访问和再转移通过使用互联设备过程中所生成数据的相关权利。互联设备制造商(包括智能网联汽车制造商)需要提前评估Data Act是否适用于互联设备和/或相关服务,并适时修改落入Data Act适用范围的互联产品和/或相关服务的使用条款,更新产品设计以保障用户访问或要求再转移数据等Data Act项下义务的实现。
AI Act对被归类为高风险的人工智能系统提出了系列合规要求,而人工智能是实现辅助驾驶、自动驾驶的技术支撑。虽然AI Act本身并不直接适用于具有辅助驾驶和自动驾驶能力的智能网联汽车及其人工智能组件,但因为AI Act规定欧盟委员会在将来出台机动车辆型式批准框架的补充指令时融入AI Act针对高风险人工智能系统提出的合规要求,所以人工智能法案的项下的部分要求也可能在将来适用于具备辅助驾驶和自动驾驶能力的汽车。
2.2成员国层面的国家法
上述已生效以及未来即将定稿生效的法律法规中,GDPR、Data Act和AI Act属于欧盟条例(Regulation),直接适用于欧盟各成员国。ePD作为欧盟指令(Directive),各成员国需要将其条款转化成国内法。不同于欧盟层面普遍适用的条例,各成员国有义务在规定的期限内将指令规定内容转化为本国的国内法。例如,德国关于ePD的相关要求体现在《电信媒体数据保护法》(Telecommunications Telemedia Data Protection Act)。
对于预期进入欧盟市场、或已经进入欧盟市场且在可预期的未来扩大欧盟业务的中国车企以及上游软硬件供应商而言,目前需要评估其是否落入GDPR和ePD的管辖范围并尽快采取系列数据合规保护措施(详见本系列后续文章),同时也需要提前判断Data Act对相关产品和服务可能带来的潜在影响并提前进行合规改造,此外还需要密切关注AI Act出台后欧盟委员会后续发布的和汽车行业相关的补充指令。
3、汽车行业相关个人数据保护实践指南
欧盟数据保护委员会(EDPB)特别针对汽车行业个人信息处理活动发布了车联网指南。该车联网指南根据GDPR、ePD要求,为车机端功能模块的隐私默认设置提供了参考意见。例如,较为敏感的数据类型的收集(如生物识别数据、实时位置数据)应仅在提供服务所必需范围内进行收集处理,原始的人脸识别图像应尽量在车内本地进行即时处理,并严格限定存储期限,采取合适的技术保障措施。
成员国层面,部分成员国的数据保护主管机关也出台了和智能网联汽车个人信息处理相关的推荐性指南,例如德国发布的必须进行数据保护影响评估(更多关于数据保护影响评估机制的介绍,详见本系列后续文章)的处理活动清单就包括了智能网联汽车涉及的大规模的处理个人位置信息以及利用车载摄像头记录车外行人道路等公共区域的行为。 [7]
GDPR不仅是欧盟数字化转型的决定性一步,还为全球设定了数据流动和个人隐私保护的新标准。自实施以来,该法律已经对违规企业处以了数十亿欧元的罚款,显示了其强大的执行力。考虑到GDPR设定的高额罚款以及各成员国数据保护主管机关的活跃执法行动,中国出海车企应在设计车机功能的初期尽早将EDPB及成员国数据保护主管机关发布的系列指南中提出的合规建议嵌入产品前端的默认设置中,并及时采取内部合规评估措施,包括但不限于针对高风险的车机功能进行数据保护影响评估。我们将在下一篇中介绍中国车企出海欧盟市场在数据合规需关注的部分重点问题。
注释:
1. Regulation (EU) 2016/679, available at https://eur-lex.europa.eu/eli/reg/2016/679/oj.
2. Directive 2009/136/EC, available at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32009L0136.
3. Information Society service refers to any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.
4. https://edpb.europa.eu/system/files/2021-03/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_en.pdf
5. Regulation (EU) 2023/2854, available at https://eur-lex.europa.eu/eli/reg/2023/2854.
6. 截止本文发布之日,AI Act的官方正式文本尚未发布。本文下述内容基于欧洲议会于2023年6月14日发布的最新草案稿(参见https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html),该最新草案稿对欧盟委员会2021年4月发布的草案稿(参见https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206)提出了若干修改意见。
7. https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DPIA_list_1_1__Germany_EN.pdf
专家简介
龚钰
走出去智库(CGGT)特约法律专家
鸿鹄律师事务所(Bird & Bird)合伙人
龚律师领导鸿鹄律师事务所中国的数据保护和网络安全团队。他在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富。他曾为来自多个行业的中国和跨国客户提供境内外法律服务,擅长解决行业相关的复杂法律问题。龚律师的观点经常被媒体引用,并且作为业内认可的作者发表TMT及数据相关文章。
龚律师毕业于曼彻斯特大学,并获得法学学士学位。他拥有中华人民共和国法律职业资格和美国纽约州律师执业资格。他还是国际隐私专业人员协会成员,持有CIPP/E、CIPP/US 和CIPM证书。
业界荣誉:
中国《商法》2023-24法律精英:律界精锐
律师新星,2023
法律500强:
中国:数据保护(外资所)新生代合伙人,2024
中国:TMT(外资所)新生代合伙人,2022,2024
中国:公司法及并购(外资所)高度推荐律师,2024
亚洲法律杂志(Asia Legal Business)2022中国十五佳TMT律师
Lexology CMA:TMT - 亚太地区影响力律师(2023 Q1Q2,2022 Q2Q4)
执业经验:
为蔚来汽车、小鹏汽车、吉利汽车、北汽福田、比亚迪、石基信息、菜鸟网络、华为、千寻位置、迈瑞医疗、健世科技、小天才、Vivo、科大讯飞、中银国际、中国农业银行、美的、蚂蚁金服等就GDPR相关合规问题、隐私政策和数据处理提供法律服务。
延展阅读
▌地缘政治风险:
▌出口管制与制裁:
▌跨境数据监管:
▌全球科技竞争:
▌品牌声誉管理:
让中国企业更好预警跨境风险、掌握前瞻趋势,由走出去智库、道琼斯风险合规、卓纬律师事务所共同合作,并联合30多国家35家领先律所团队共同推出第一期《跨境数据合规和法律研究》报告。(如需报告可点击下文申请)