文/北京市集佳律師事務(wù)所 吳恙 楊玥珺

　　伴隨著(zhù)國內新能源智能汽車(chē)行業(yè)的蓬勃發(fā)展，新勢力車(chē)企紛紛開(kāi)始推行國際化戰略，新能源汽車(chē)出口成為新的業(yè)務(wù)增長(cháng)點(diǎn)，比亞迪，蔚來(lái)及小鵬等新能源智能汽車(chē)生產(chǎn)商正在以歐洲為跳板，積極布局開(kāi)拓海外市場(chǎng)?！?】

　　同時(shí)，車(chē)輛智能化水平的飛速提升，使得汽車(chē)由單純的交通運輸工具逐步轉變?yōu)橹悄芤苿?dòng)終端。在國家政策的扶持和指引下，以“電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化”為核心的智能汽車(chē)網(wǎng)聯(lián)技術(shù)正在全面普及并快速迭代。

　　智能網(wǎng)聯(lián)汽車(chē)技術(shù)（V2X，Vehicle-to-Everything）融合現代通信與網(wǎng)絡(luò )技術(shù)，通過(guò)先進(jìn)的車(chē)載傳感器、控制器、執行器等裝置，在實(shí)現車(chē)與X（人、車(chē)、路、云端等）智能信息交換、共享的同時(shí)，還具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能?！?】

　　智能網(wǎng)聯(lián)汽車(chē)作為集合聯(lián)網(wǎng)信息節點(diǎn)和數據樞紐功能的移動(dòng)終端，在運行過(guò)程中深度收集、處理、傳輸和使用大量包括個(gè)人信息、車(chē)輛運行數據和環(huán)境數據等在內的信息數據。而數據作為車(chē)聯(lián)網(wǎng)系統的核心要素，對于以網(wǎng)絡(luò )通信技術(shù)為基礎的智能網(wǎng)聯(lián)汽車(chē)而言相當于“人體的血液”。正因車(chē)聯(lián)網(wǎng)數據安全保護問(wèn)題牽涉到行車(chē)安全、生命財產(chǎn)安全、個(gè)人信息安全乃至國家安全，對于相關(guān)企業(yè)數據安全的監管合規就顯得尤為重要，尤其是涉及到個(gè)人信息數據跨境傳輸。

　　本文以歐盟與中國為例，試圖通過(guò)分析智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域涉及到個(gè)人信息數據跨境傳輸的業(yè)務(wù)場(chǎng)景，厘清個(gè)人信息出境的合規路徑，為我國車(chē)企出海業(yè)務(wù)提供規則指引。

　　一、智能網(wǎng)聯(lián)汽車(chē)涉及的個(gè)人數據類(lèi)型

　　厘清車(chē)聯(lián)網(wǎng)個(gè)人信息跨境合規路徑，首先需要明確對應法域對于個(gè)人信息的定義，從而分析智能網(wǎng)聯(lián)汽車(chē)運行過(guò)程中可能涉及到的個(gè)人數據類(lèi)型及其數據出境業(yè)務(wù)場(chǎng)景。

　　自歐盟推出《通用數據保護條例（GDPR）》以來(lái)，全球各法院相繼出臺相關(guān)領(lǐng)域的法律文件，我國以2017年頒布的《網(wǎng)絡(luò )安全法》為起始點(diǎn)，先后出臺了《數據安全法》及《個(gè)人信息保護法》。數字信息領(lǐng)域“三大基本法”及相關(guān)配套法律文件的頒布，標志著(zhù)我國正在以“前進(jìn)三”的速度開(kāi)啟數據經(jīng)濟時(shí)代法治建設。其中，我國與歐盟關(guān)于個(gè)人信息的定義基本一致，均采取擴張主義進(jìn)行原則性規范。

　　《通用數據保護條例》第4條明確了“個(gè)人數據（personal data）”的定義，即“個(gè)人數據”指的是任何已識別或可識別的自然人（“數據主體”）相關(guān)的信息?！?】而《個(gè)人信息保護法》對于個(gè)人信息的定義與之類(lèi)似，“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！庇纱丝梢?jiàn)，個(gè)人信息數據的外延較為寬泛，任何能夠識別定位到自然人的信息均在其語(yǔ)意范圍之內。

　　而智能網(wǎng)聯(lián)汽車(chē)在運行過(guò)程中通過(guò)視頻音頻設備、人體傳感器、智能車(chē)機系統等硬件設備，實(shí)時(shí)收集用戶(hù)的行為習慣和個(gè)人隱私等信息，包括車(chē)主和乘客信息、消費與生活習慣信息、用戶(hù)部分生理數據、乘車(chē)人圖像及語(yǔ)音數據，以及駕駛活動(dòng)數據，如駕駛員習慣、車(chē)輛靜態(tài)信息（如車(chē)牌號、車(chē)輛識別碼）、車(chē)輛動(dòng)態(tài)信息（如位置信息、行駛軌跡）等?！?】

　　智能網(wǎng)聯(lián)汽車(chē)收集個(gè)人信息數據的應用場(chǎng)景主要在于提升用戶(hù)駕駛體驗的信息服務(wù)應用以及增進(jìn)車(chē)輛駕駛協(xié)同系統?！?】為方便管理相關(guān)信息以及提供相應的保護，以數據內容及用途劃分可以將車(chē)輛網(wǎng)相關(guān)數據分為用戶(hù)身份數據，車(chē)聯(lián)網(wǎng)信息服務(wù)用戶(hù)數據和服務(wù)內容信息，以及用戶(hù)服務(wù)數據。

　　用戶(hù)身份數據指車(chē)聯(lián)網(wǎng)信息服務(wù)活動(dòng)過(guò)程中與用戶(hù)自然人身份和標識信息、用戶(hù)虛擬身份和鑒權信息密切相關(guān)的用戶(hù)個(gè)人信息。車(chē)聯(lián)網(wǎng)信息服務(wù)用戶(hù)數據和服務(wù)內容信息主要指車(chē)聯(lián)網(wǎng)信息服務(wù)過(guò)程中用戶(hù)服務(wù)內容信息和用戶(hù)資料信息。用戶(hù)服務(wù)相關(guān)信息指車(chē)聯(lián)網(wǎng)信息服務(wù)過(guò)程中用戶(hù)服務(wù)使用信息、用戶(hù)車(chē)輛基本標識信息和用戶(hù)設備、系統和平臺信息。

　　基于用戶(hù)個(gè)人信息的敏感程度和發(fā)生風(fēng)險事件后危害程度的敏感性等級劃分，對于個(gè)人信息跨境傳輸更具有實(shí)踐性意義。由國家網(wǎng)信辦發(fā)布的《汽車(chē)數據安全管理若干規定（試行）》以及工信部發(fā)布的《車(chē)聯(lián)網(wǎng)信息服務(wù)用戶(hù)個(gè)人信息保護要求》均以敏感等級為標準，將個(gè)人信息劃分為個(gè)人敏感信息、個(gè)人重要信息以及個(gè)人一般信息。個(gè)人信息的敏感等級主要以發(fā)生個(gè)人信息泄漏等安全事件后對于個(gè)人所造成的影響為基礎進(jìn)行劃分，價(jià)值考量因素包括人身財產(chǎn)、個(gè)人名譽(yù)、身心健康以及歧視性待遇等。

　　二、歐盟與中國個(gè)人信息跨境傳輸法律機制

　　《通用數據保護條例》為歐盟確立了一系列較為成熟的個(gè)人信息跨境傳輸機制，我國2022年7月頒布的《數據出境安全評估辦法》所進(jìn)一步明確的個(gè)人信息出境路徑與之亦有共通之處。同時(shí)，基于目前我國車(chē)企出海戰略目標也以歐盟地區為主要支撐點(diǎn)，下文主要介紹歐盟與中國的個(gè)人信息跨境傳輸法律機制。

　　（一）以“適當性評估”為核心的歐盟個(gè)人數據跨境流通的混合模式

　　歐洲個(gè)人數據跨境流動(dòng)之法律規制經(jīng)歷了較長(cháng)的探索期，直至《通用數據保護條例》才構建起以“充分平等保護（Adequate Level of Protection）”為原則，以“適當性評估（Adequacy Decision）”為核心，以“適當性保護措施”、“特殊情形”以及“國際雙邊/多邊協(xié)議”為補充的個(gè)人數據跨境流通的混合模式。

　　適當性評估模式是歐盟數據跨境流通的基本模式，即只有當第三國的個(gè)人數據保護滿(mǎn)足充分保護水平的要求時(shí)，成員國才能將個(gè)人數據跨境轉移到第三國。由歐盟委員會(huì )基于多種因素考量第三國是否能夠滿(mǎn)足適當保護水平的要求，包括法治、人權以及基本自由，數據保護相關(guān)立法及實(shí)施，司法救濟途徑，公共機構訪(fǎng)問(wèn)個(gè)人數據的規則等?！?】

　　適當性評估模式相當于經(jīng)過(guò)歐盟認證的“白名單”，但是認證的過(guò)程繁瑣復雜，可操作性較差，實(shí)施至今僅12個(gè)國家或地區通過(guò)認證，中國并未在其中之列?！?】而適當性保護措施作為適當性評估模式的重要補充手段則具有較強的靈活性，標準合同條款（SCC）以及約束性企業(yè)規則（BCRs）對于企業(yè)等法人主體的可實(shí)施性更高。

　　數據保護標準合同條款（SCC）是從歐洲經(jīng)濟區（EEA）向區域外未達到“充分保護水平”的第三國或組織跨境傳輸數據時(shí)使用的標準合同文本，通過(guò)合約的形式約束數據輸出者和數據輸入者以確保個(gè)人數據獲得充分的保護。歐盟委員會(huì )負責制定條款內容，主要包括數據輸出者和數據輸入者的義務(wù)，第三方受益人權利條款，以及責任分擔條款?！?】

　　SCC模式擴大了指令的適用范圍，讓數據輸入者在未達到“充分保護水平”的第三國也需要遵守GDPR的要求來(lái)保護個(gè)人數據。但SCC要求每一次個(gè)人信息傳輸均需成立合同，因此難以適用于大量的數據傳輸。海量而重復的文件給合同主體造成了較重合規負擔，而約束性企業(yè)規則（BCRs）對于集團內部而言，則可很好地彌補這一缺陷。

　　約束性企業(yè)規則（BCRs）是適當性評估模式的重要補充，其本質(zhì)是企業(yè)按照歐盟要求制定的，適用于跨國企業(yè)內部的有關(guān)個(gè)人數據跨境流動(dòng)的自律性規則?？鐕?、集團公司如果具備歐盟成員國數據管理機構認可的約束性企業(yè)規則，則可以直接進(jìn)行集團內部的數據跨境傳輸，無(wú)需另行批準。

　　約束性企業(yè)規則可以簡(jiǎn)單地理解為適用于跨國企業(yè)的“白名單”，當歐盟行政機關(guān)對整個(gè)企業(yè)內部的數據跨境流通合規框架審查合格之后，企業(yè)內部的數據流通將不再受限。應當注意的是，這些個(gè)人數據跨境流通僅限于經(jīng)過(guò)審查的企業(yè)內部的數據傳輸，該公司將個(gè)人數據傳輸至其他主體時(shí)不得適用BCRs模式，即便是同樣經(jīng)過(guò)BCRs審查的獨立主體之間也不得適用此條款。

　　需要強調的是，《通用數據保護條例》并未對跨境傳輸的個(gè)人數據劃分類(lèi)別從而區分對待，因此任何類(lèi)型的個(gè)人數據跨境傳輸時(shí)均需遵循上述合規路徑之一?，F階段，因中國與歐盟適當性評估標準不一致以及國際雙邊協(xié)約的缺失，對于我國出海車(chē)企而言，標準合同條款以及約束性企業(yè)規則是企業(yè)將歐盟境內的個(gè)人數據傳輸至中國或第三國的合規路徑。企業(yè)可以根據自身業(yè)務(wù)需求，合理選擇相適應的傳輸方式。

　　（二）中國個(gè)人信息跨境傳輸的“三大路徑”

　　《網(wǎng)絡(luò )安全法》第三十七條確立了個(gè)人信息和重要數據境內存儲的原則，《個(gè)人信息保護法》第三十八條則提供四種個(gè)人信息出境的合規路徑，即完成安全評估審查，通過(guò)個(gè)人信息保護認證，訂立標準格式合同以及兜底條款，前三項合規路徑構成了我國個(gè)人信息出境的主要機制。

　　路徑一：安全評估審查

　　《數據安全評估辦法》第四條明確了數據出境安全評估審查的強制觸發(fā)條件：

　　1.數據處理者向境外提供重要數據；

　　2.關(guān)鍵信息基礎設施運營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數據處理者向境外提供個(gè)人信息；

　　3.自上年1月1日起累計向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數據處理者向境外提供個(gè)人信息；

　　4.國家網(wǎng)信部門(mén)規定的其他需要申報數據出境安全評估的情形。

　　其中第二條是關(guān)于數據處理者類(lèi)型的觸發(fā)條件，即關(guān)鍵信息基礎設施運營(yíng)者（CIIO）和個(gè)人信息量級巨大的數據處理者，這兩類(lèi)數據處理者因業(yè)務(wù)需求需要向境外傳輸個(gè)人信息時(shí)，無(wú)論傳輸頻次及規模均需要通過(guò)安全評估審查；第四條則是對于個(gè)人信息出境規模的觸發(fā)條件，并且明確區分了處理個(gè)人信息和個(gè)人敏感信息不同量級。由此，根據上述規則，企業(yè)可以結合自身業(yè)務(wù)需求和未來(lái)發(fā)展規劃合理判斷是否需要申報完成數據安全評估審查。

　　需要注意的是，在提交申報前企業(yè)需要完成數據出境風(fēng)險自評估，以及提交擬訂立的法律約束性文件。數據出境風(fēng)險自評估報告對于順利通過(guò)安全評估審查至關(guān)重要，可以理解為企業(yè)向網(wǎng)信部門(mén)提交的“考卷”，因而企業(yè)在提交申報前需要按照《數據安全評估辦法》等要求開(kāi)展數據合規治理工作，完成數據風(fēng)險篩查及整改。

　　路徑二：個(gè)人信息保護認證

　　個(gè)人信息保護認證是跨國企業(yè)或同一經(jīng)濟實(shí)體處理個(gè)人信息出境業(yè)務(wù)的重要手段，該機制的適用情形和底層邏輯與歐盟的BCRs類(lèi)似，認證獲批后即可在法定/約定范圍內進(jìn)行個(gè)人信息跨境傳輸。2022年11月至12月先后發(fā)布的《個(gè)人信息保護認證實(shí)施規則》及其配套文件《網(wǎng)絡(luò )安全標準實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認證規范V2.0》完善了開(kāi)展跨境處理活動(dòng)的個(gè)人信息保護認證機制。

　　個(gè)人信息保護認證流程由五個(gè)主要環(huán)節組成，分別是認證申請、技術(shù)驗證、現場(chǎng)審核、認證決定、獲證后監督。個(gè)人信息保護認證特別適合出海車(chē)企實(shí)現集團公司內的個(gè)人信息跨境流動(dòng)需求，并且企業(yè)可以在完成跨境認證規范要求的同時(shí)以歐盟BCRs為補充，從企業(yè)實(shí)際業(yè)務(wù)需求出發(fā)形成PIP-CB—BCRs的雙向認證，以滿(mǎn)足集團企業(yè)內部個(gè)人信息在歐盟與中國跨境傳輸的合規需求。

　　路徑三：個(gè)人信息出境標準合同

　　2022年6月，國家網(wǎng)信辦發(fā)布《個(gè)人信息出境標準合同規定（征求意見(jiàn)稿）》以及標準合同文本。我國標準合同與歐盟SCC的適用范圍和底層邏輯同樣較為相似，但由于我國并未明確區分“數據處理者和數據控制者”，因此我國的標準合同文本可以適用于除需要安全評估之外的所有情況下的數據出境。

　　同時(shí)，該規定提出了對于已訂立的合同的備案要求，即合同生效之日起10個(gè)工作日內向省級網(wǎng)信辦提交標準合同以及個(gè)人信息保護影響評估報告?！?】備案機制并不等同于事前行政審批，其目的是加強行政監督管理，要求行政相對人通過(guò)報送方式將有關(guān)材料向有關(guān)行政機關(guān)提交存儲，以備事后監督和檢查。

　　對于個(gè)人信息處理規模較小、出境需求頻次較低的企業(yè)而言，較為適宜通過(guò)標準合同、個(gè)人信息保護認證與個(gè)人信息保護影響評估等制度相結合以實(shí)現個(gè)人信息出境業(yè)務(wù)需求。需要注意的是，個(gè)人信息保護認證以及個(gè)人信息出境標準合同不可替代安全評估審查，這意味著(zhù)境內主體的數據出境活動(dòng)如果觸發(fā)了安全審查條件，就仍然需要完成安全評估審查。

　　三、智能網(wǎng)聯(lián)汽車(chē)企業(yè)個(gè)人信息跨境傳輸的合規建議

　　（一）合理部署地區數據存儲及處理中心

　　對于當前大多數法域以數據本地化存儲為原則的數據跨境流動(dòng)規則框架而言，合理部署數據存儲及處理中心是智能網(wǎng)聯(lián)汽車(chē)企業(yè)降低合規風(fēng)險與成本、政府提高行政及業(yè)務(wù)效率的有效措施。

　　對于要求將個(gè)人信息或敏感個(gè)人信息進(jìn)行本地化存儲的國家或地區部署數據服務(wù)器，對于沒(méi)有本地化要求的國家，在考慮數據中心選址時(shí)，應考慮擬布局國家/地區的數據保護能力被認可的程度。

　　在被國際廣泛認可的“充分保護”國家建立數據中心或數據港，以便其數據存儲及合理利用，實(shí)現業(yè)務(wù)和數據保護的平衡，降低數據跨境傳輸的合規風(fēng)險與合規成本。比如，基于地理及政策等多方面因素考量，愛(ài)爾蘭已經(jīng)成為亞馬遜AWS云計算、微軟和谷歌等全球技術(shù)公司的云計算中心，成為歐洲增長(cháng)最快的數據中心市場(chǎng)?！?0】

　　（二）建立健全企業(yè)內部數據治理合規體系

　　智能網(wǎng)聯(lián)車(chē)企涉及的數據處理活動(dòng)繁雜、數據處理者多樣，伴隨著(zhù)車(chē)聯(lián)網(wǎng)技術(shù)的快速迭代和車(chē)聯(lián)網(wǎng)應用的迅速增長(cháng)，企業(yè)數據治理合規體系應當做出適應性調整。具體到個(gè)人信息跨境業(yè)務(wù)中，企業(yè)需要建立數據跨境前評估機制，在個(gè)人信息跨境傳輸前完成數據跨境可行性評估、數據跨境字段最小化評估、數據跨境安全性評估等流程。

　　此外，還應當完善業(yè)務(wù)模式中的個(gè)人單獨同意采集程序，充分履行告知義務(wù)，征得個(gè)人信息主體區別于對企業(yè)產(chǎn)品或服務(wù)中其他業(yè)務(wù)功能的單獨同意。

　?。ㄈ┖侠磉\用個(gè)人信息數據傳輸合規路徑

　　以歐盟與中國為例，個(gè)人信息數據跨境流動(dòng)規則框架在許多規則設置上有互通之處，比如約束性企業(yè)規則與個(gè)人信息保護認證，數據保護標準合同條款與個(gè)人信息出境標準合同等。

　　智能網(wǎng)聯(lián)車(chē)企可以依照歐盟及中國相關(guān)監管機構出具的報批報備流程指引，或者使用標準法律文本等工具，結合自身需求靈活選擇合理合規的個(gè)人信息出境路徑。根據企業(yè)戰略部署規劃，確定需要完成的認證，并通過(guò)企業(yè)合規頂層架構設計，制定執行整改規劃，實(shí)現降本增效。

　　結 語(yǔ)

　　基于當前數字技術(shù)的快速迭代與商業(yè)模式的不斷創(chuàng )新，智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)因其繁雜的業(yè)務(wù)數據處理場(chǎng)景和多樣且敏感的數據來(lái)源，已然成為網(wǎng)絡(luò )安全和數據合規領(lǐng)域的重點(diǎn)監管行業(yè)。這無(wú)疑對智能網(wǎng)聯(lián)車(chē)企數據安全保障工作提出了較高的要求，但同時(shí)也是數據時(shí)代變革所帶來(lái)的新機遇。

　　實(shí)時(shí)改進(jìn)企業(yè)合規制度，加強管理建設，為消費者乃至社會(huì )營(yíng)造良好的數據保護環(huán)境，是智能網(wǎng)聯(lián)車(chē)企贏(yíng)得競爭與健康發(fā)展的重要基石。

　　注釋

　　【1】《新勢力出海：蔚來(lái)在前，小鵬在后，理想仍在觀(guān)望中》，訪(fǎng)問(wèn)地址：https://www.toutiao.com/article/7152725544550154788/?wid=1676029495055

　　【2】《國家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南（智能網(wǎng)聯(lián)汽車(chē)）》，工業(yè)和信息化部等，2020年4月15日

　　【3】Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4 May 2016, pp. 1–88.

　　【4】中國汽車(chē)工程研究院股份有限公司等主編，《智能網(wǎng)聯(lián)汽車(chē)信息安全發(fā)展報告（2021）》，2021年8月。

　　【5】覃慶玲,謝俐倞.車(chē)聯(lián)網(wǎng)數據安全風(fēng)險分析及相關(guān)建議[J].信息通信技術(shù)與政策,2020(08):37-40.

　　【6】《通用數據保護條例》第45條

　　【7】European Commission,2013/65/EU: Commission Implementing Decision of 19 December 2012 pursuant to Directive 95/46/EC,OJ L 28, 30 January 2013, pp.12–14.

　　【8】European Commission, C(2004)5721 SET II Standard contractual clauses (2004).

　　【9】《個(gè)人信息出境標準合同規定（征求意見(jiàn)稿）》第七條

　　【10】愛(ài)爾蘭成為歐洲增長(cháng)最快的數據中心市場(chǎng)