文/北京市集佳律师事务所 吴恙 杨玥珺
伴随着国内新能源智能汽车行业的蓬勃发展,新势力车企纷纷开始推行国际化战略,新能源汽车出口成为新的业务增长点,比亚迪,蔚来及小鹏等新能源智能汽车生产商正在以欧洲为跳板,积极布局开拓海外市场。【1】
同时,车辆智能化水平的飞速提升,使得汽车由单纯的交通运输工具逐步转变为智能移动终端。在国家政策的扶持和指引下,以“电动化、智能化、网联化、共享化”为核心的智能汽车网联技术正在全面普及并快速迭代。
智能网联汽车技术(V2X,Vehicle-to-Everything)融合现代通信与网络技术,通过先进的车载传感器、控制器、执行器等装置,在实现车与X(人、车、路、云端等)智能信息交换、共享的同时,还具备复杂环境感知、智能决策、协同控制等功能。【2】
智能网联汽车作为集合联网信息节点和数据枢纽功能的移动终端,在运行过程中深度收集、处理、传输和使用大量包括个人信息、车辆运行数据和环境数据等在内的信息数据。而数据作为车联网系统的核心要素,对于以网络通信技术为基础的智能网联汽车而言相当于“人体的血液”。正因车联网数据安全保护问题牵涉到行车安全、生命财产安全、个人信息安全乃至国家安全,对于相关企业数据安全的监管合规就显得尤为重要,尤其是涉及到个人信息数据跨境传输。
本文以欧盟与中国为例,试图通过分析智能网联汽车领域涉及到个人信息数据跨境传输的业务场景,厘清个人信息出境的合规路径,为我国车企出海业务提供规则指引。
一、智能网联汽车涉及的个人数据类型
厘清车联网个人信息跨境合规路径,首先需要明确对应法域对于个人信息的定义,从而分析智能网联汽车运行过程中可能涉及到的个人数据类型及其数据出境业务场景。
自欧盟推出《通用数据保护条例(GDPR)》以来,全球各法院相继出台相关领域的法律文件,我国以2017年颁布的《网络安全法》为起始点,先后出台了《数据安全法》及《个人信息保护法》。数字信息领域“三大基本法”及相关配套法律文件的颁布,标志着我国正在以“前进三”的速度开启数据经济时代法治建设。其中,我国与欧盟关于个人信息的定义基本一致,均采取扩张主义进行原则性规范。
《通用数据保护条例》第4条明确了“个人数据(personal data)”的定义,即“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息。【3】而《个人信息保护法》对于个人信息的定义与之类似,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”由此可见,个人信息数据的外延较为宽泛,任何能够识别定位到自然人的信息均在其语意范围之内。
而智能网联汽车在运行过程中通过视频音频设备、人体传感器、智能车机系统等硬件设备,实时收集用户的行为习惯和个人隐私等信息,包括车主和乘客信息、消费与生活习惯信息、用户部分生理数据、乘车人图像及语音数据,以及驾驶活动数据,如驾驶员习惯、车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行驶轨迹)等。【4】
智能网联汽车收集个人信息数据的应用场景主要在于提升用户驾驶体验的信息服务应用以及增进车辆驾驶协同系统。【5】为方便管理相关信息以及提供相应的保护,以数据内容及用途划分可以将车辆网相关数据分为用户身份数据,车联网信息服务用户数据和服务内容信息,以及用户服务数据。
用户身份数据指车联网信息服务活动过程中与用户自然人身份和标识信息、用户虚拟身份和鉴权信息密切相关的用户个人信息。车联网信息服务用户数据和服务内容信息主要指车联网信息服务过程中用户服务内容信息和用户资料信息。用户服务相关信息指车联网信息服务过程中用户服务使用信息、用户车辆基本标识信息和用户设备、系统和平台信息。
基于用户个人信息的敏感程度和发生风险事件后危害程度的敏感性等级划分,对于个人信息跨境传输更具有实践性意义。由国家网信办发布的《汽车数据安全管理若干规定(试行)》以及工信部发布的《车联网信息服务用户个人信息保护要求》均以敏感等级为标准,将个人信息划分为个人敏感信息、个人重要信息以及个人一般信息。个人信息的敏感等级主要以发生个人信息泄漏等安全事件后对于个人所造成的影响为基础进行划分,价值考量因素包括人身财产、个人名誉、身心健康以及歧视性待遇等。
二、欧盟与中国个人信息跨境传输法律机制
《通用数据保护条例》为欧盟确立了一系列较为成熟的个人信息跨境传输机制,我国2022年7月颁布的《数据出境安全评估办法》所进一步明确的个人信息出境路径与之亦有共通之处。同时,基于目前我国车企出海战略目标也以欧盟地区为主要支撑点,下文主要介绍欧盟与中国的个人信息跨境传输法律机制。
(一)以“适当性评估”为核心的欧盟个人数据跨境流通的混合模式
欧洲个人数据跨境流动之法律规制经历了较长的探索期,直至《通用数据保护条例》才构建起以“充分平等保护(Adequate Level of Protection)”为原则,以“适当性评估(Adequacy Decision)”为核心,以“适当性保护措施”、“特殊情形”以及“国际双边/多边协议”为补充的个人数据跨境流通的混合模式。
适当性评估模式是欧盟数据跨境流通的基本模式,即只有当第三国的个人数据保护满足充分保护水平的要求时,成员国才能将个人数据跨境转移到第三国。由欧盟委员会基于多种因素考量第三国是否能够满足适当保护水平的要求,包括法治、人权以及基本自由,数据保护相关立法及实施,司法救济途径,公共机构访问个人数据的规则等。【6】
适当性评估模式相当于经过欧盟认证的“白名单”,但是认证的过程繁琐复杂,可操作性较差,实施至今仅12个国家或地区通过认证,中国并未在其中之列。【7】而适当性保护措施作为适当性评估模式的重要补充手段则具有较强的灵活性,标准合同条款(SCC)以及约束性企业规则(BCRs)对于企业等法人主体的可实施性更高。
数据保护标准合同条款(SCC)是从欧洲经济区(EEA)向区域外未达到“充分保护水平”的第三国或组织跨境传输数据时使用的标准合同文本,通过合约的形式约束数据输出者和数据输入者以确保个人数据获得充分的保护。欧盟委员会负责制定条款内容,主要包括数据输出者和数据输入者的义务,第三方受益人权利条款,以及责任分担条款。【8】
SCC模式扩大了指令的适用范围,让数据输入者在未达到“充分保护水平”的第三国也需要遵守GDPR的要求来保护个人数据。但SCC要求每一次个人信息传输均需成立合同,因此难以适用于大量的数据传输。海量而重复的文件给合同主体造成了较重合规负担,而约束性企业规则(BCRs)对于集团内部而言,则可很好地弥补这一缺陷。
约束性企业规则(BCRs)是适当性评估模式的重要补充,其本质是企业按照欧盟要求制定的,适用于跨国企业内部的有关个人数据跨境流动的自律性规则。跨国公司、集团公司如果具备欧盟成员国数据管理机构认可的约束性企业规则,则可以直接进行集团内部的数据跨境传输,无需另行批准。
约束性企业规则可以简单地理解为适用于跨国企业的“白名单”,当欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后,企业内部的数据流通将不再受限。应当注意的是,这些个人数据跨境流通仅限于经过审查的企业内部的数据传输,该公司将个人数据传输至其他主体时不得适用BCRs模式,即便是同样经过BCRs审查的独立主体之间也不得适用此条款。
需要强调的是,《通用数据保护条例》并未对跨境传输的个人数据划分类别从而区分对待,因此任何类型的个人数据跨境传输时均需遵循上述合规路径之一。现阶段,因中国与欧盟适当性评估标准不一致以及国际双边协约的缺失,对于我国出海车企而言,标准合同条款以及约束性企业规则是企业将欧盟境内的个人数据传输至中国或第三国的合规路径。企业可以根据自身业务需求,合理选择相适应的传输方式。
(二)中国个人信息跨境传输的“三大路径”
《网络安全法》第三十七条确立了个人信息和重要数据境内存储的原则,《个人信息保护法》第三十八条则提供四种个人信息出境的合规路径,即完成安全评估审查,通过个人信息保护认证,订立标准格式合同以及兜底条款,前三项合规路径构成了我国个人信息出境的主要机制。
路径一:安全评估审查
《数据安全评估办法》第四条明确了数据出境安全评估审查的强制触发条件:
1.数据处理者向境外提供重要数据;
2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
4.国家网信部门规定的其他需要申报数据出境安全评估的情形。
其中第二条是关于数据处理者类型的触发条件,即关键信息基础设施运营者(CIIO)和个人信息量级巨大的数据处理者,这两类数据处理者因业务需求需要向境外传输个人信息时,无论传输频次及规模均需要通过安全评估审查;第四条则是对于个人信息出境规模的触发条件,并且明确区分了处理个人信息和个人敏感信息不同量级。由此,根据上述规则,企业可以结合自身业务需求和未来发展规划合理判断是否需要申报完成数据安全评估审查。
需要注意的是,在提交申报前企业需要完成数据出境风险自评估,以及提交拟订立的法律约束性文件。数据出境风险自评估报告对于顺利通过安全评估审查至关重要,可以理解为企业向网信部门提交的“考卷”,因而企业在提交申报前需要按照《数据安全评估办法》等要求开展数据合规治理工作,完成数据风险筛查及整改。
路径二:个人信息保护认证
个人信息保护认证是跨国企业或同一经济实体处理个人信息出境业务的重要手段,该机制的适用情形和底层逻辑与欧盟的BCRs类似,认证获批后即可在法定/约定范围内进行个人信息跨境传输。2022年11月至12月先后发布的《个人信息保护认证实施规则》及其配套文件《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》完善了开展跨境处理活动的个人信息保护认证机制。
个人信息保护认证流程由五个主要环节组成,分别是认证申请、技术验证、现场审核、认证决定、获证后监督。个人信息保护认证特别适合出海车企实现集团公司内的个人信息跨境流动需求,并且企业可以在完成跨境认证规范要求的同时以欧盟BCRs为补充,从企业实际业务需求出发形成PIP-CB—BCRs的双向认证,以满足集团企业内部个人信息在欧盟与中国跨境传输的合规需求。
路径三:个人信息出境标准合同
2022年6月,国家网信办发布《个人信息出境标准合同规定(征求意见稿)》以及标准合同文本。我国标准合同与欧盟SCC的适用范围和底层逻辑同样较为相似,但由于我国并未明确区分“数据处理者和数据控制者”,因此我国的标准合同文本可以适用于除需要安全评估之外的所有情况下的数据出境。
同时,该规定提出了对于已订立的合同的备案要求,即合同生效之日起10个工作日内向省级网信办提交标准合同以及个人信息保护影响评估报告。【9】备案机制并不等同于事前行政审批,其目的是加强行政监督管理,要求行政相对人通过报送方式将有关材料向有关行政机关提交存储,以备事后监督和检查。
对于个人信息处理规模较小、出境需求频次较低的企业而言,较为适宜通过标准合同、个人信息保护认证与个人信息保护影响评估等制度相结合以实现个人信息出境业务需求。需要注意的是,个人信息保护认证以及个人信息出境标准合同不可替代安全评估审查,这意味着境内主体的数据出境活动如果触发了安全审查条件,就仍然需要完成安全评估审查。
三、智能网联汽车企业个人信息跨境传输的合规建议
(一)合理部署地区数据存储及处理中心
对于当前大多数法域以数据本地化存储为原则的数据跨境流动规则框架而言,合理部署数据存储及处理中心是智能网联汽车企业降低合规风险与成本、政府提高行政及业务效率的有效措施。
对于要求将个人信息或敏感个人信息进行本地化存储的国家或地区部署数据服务器,对于没有本地化要求的国家,在考虑数据中心选址时,应考虑拟布局国家/地区的数据保护能力被认可的程度。
在被国际广泛认可的“充分保护”国家建立数据中心或数据港,以便其数据存储及合理利用,实现业务和数据保护的平衡,降低数据跨境传输的合规风险与合规成本。比如,基于地理及政策等多方面因素考量,爱尔兰已经成为亚马逊AWS云计算、微软和谷歌等全球技术公司的云计算中心,成为欧洲增长最快的数据中心市场。【10】
(二)建立健全企业内部数据治理合规体系
智能网联车企涉及的数据处理活动繁杂、数据处理者多样,伴随着车联网技术的快速迭代和车联网应用的迅速增长,企业数据治理合规体系应当做出适应性调整。具体到个人信息跨境业务中,企业需要建立数据跨境前评估机制,在个人信息跨境传输前完成数据跨境可行性评估、数据跨境字段最小化评估、数据跨境安全性评估等流程。
此外,还应当完善业务模式中的个人单独同意采集程序,充分履行告知义务,征得个人信息主体区别于对企业产品或服务中其他业务功能的单独同意。
(三)合理运用个人信息数据传输合规路径
以欧盟与中国为例,个人信息数据跨境流动规则框架在许多规则设置上有互通之处,比如约束性企业规则与个人信息保护认证,数据保护标准合同条款与个人信息出境标准合同等。
智能网联车企可以依照欧盟及中国相关监管机构出具的报批报备流程指引,或者使用标准法律文本等工具,结合自身需求灵活选择合理合规的个人信息出境路径。根据企业战略部署规划,确定需要完成的认证,并通过企业合规顶层架构设计,制定执行整改规划,实现降本增效。
结 语
基于当前数字技术的快速迭代与商业模式的不断创新,智能网联汽车产业因其繁杂的业务数据处理场景和多样且敏感的数据来源,已然成为网络安全和数据合规领域的重点监管行业。这无疑对智能网联车企数据安全保障工作提出了较高的要求,但同时也是数据时代变革所带来的新机遇。
实时改进企业合规制度,加强管理建设,为消费者乃至社会营造良好的数据保护环境,是智能网联车企赢得竞争与健康发展的重要基石。
注释
【1】《新势力出海:蔚来在前,小鹏在后,理想仍在观望中》,访问地址:https://www.toutiao.com/article/7152725544550154788/?wid=1676029495055
【2】《国家车联网产业标准体系建设指南(智能网联汽车)》,工业和信息化部等,2020年4月15日
【3】Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4 May 2016, pp. 1–88.
【4】中国汽车工程研究院股份有限公司等主编,《智能网联汽车信息安全发展报告(2021)》,2021年8月。
【5】覃庆玲,谢俐倞.车联网数据安全风险分析及相关建议[J].信息通信技术与政策,2020(08):37-40.
【6】《通用数据保护条例》第45条
【7】European Commission,2013/65/EU: Commission Implementing Decision of 19 December 2012 pursuant to Directive 95/46/EC,OJ L 28, 30 January 2013, pp.12–14.
【8】European Commission, C(2004)5721 SET II Standard contractual clauses (2004).
【9】《个人信息出境标准合同规定(征求意见稿)》第七条
【10】爱尔兰成为欧洲增长最快的数据中心市场