文/北京市集佳律師事務所 吳恙 楊玥珺

　　伴隨著國內新能源智能汽車行業的蓬勃發展，新勢力車企紛紛開始推行國際化戰略，新能源汽車出口成為新的業務增長點，比亞迪，蔚來及小鵬等新能源智能汽車生產商正在以歐洲為跳板，積極布局開拓海外市場。【1】

　　同時，車輛智能化水平的飛速提升，使得汽車由單純的交通運輸工具逐步轉變為智能移動終端。在國家政策的扶持和指引下，以“電動化、智能化、網聯化、共享化”為核心的智能汽車網聯技術正在全面普及并快速迭代。

　　智能網聯汽車技術（V2X，Vehicle-to-Everything）融合現代通信與網絡技術，通過先進的車載傳感器、控制器、執行器等裝置，在實現車與X（人、車、路、云端等）智能信息交換、共享的同時，還具備復雜環境感知、智能決策、協同控制等功能。【2】

　　智能網聯汽車作為集合聯網信息節點和數據樞紐功能的移動終端，在運行過程中深度收集、處理、傳輸和使用大量包括個人信息、車輛運行數據和環境數據等在內的信息數據。而數據作為車聯網系統的核心要素，對于以網絡通信技術為基礎的智能網聯汽車而言相當于“人體的血液”。正因車聯網數據安全保護問題牽涉到行車安全、生命財產安全、個人信息安全乃至國家安全，對于相關企業數據安全的監管合規就顯得尤為重要，尤其是涉及到個人信息數據跨境傳輸。

　　本文以歐盟與中國為例，試圖通過分析智能網聯汽車領域涉及到個人信息數據跨境傳輸的業務場景，厘清個人信息出境的合規路徑，為我國車企出海業務提供規則指引。

　　一、智能網聯汽車涉及的個人數據類型

　　厘清車聯網個人信息跨境合規路徑，首先需要明確對應法域對于個人信息的定義，從而分析智能網聯汽車運行過程中可能涉及到的個人數據類型及其數據出境業務場景。

　　自歐盟推出《通用數據保護條例（GDPR）》以來，全球各法院相繼出臺相關領域的法律文件，我國以2017年頒布的《網絡安全法》為起始點，先后出臺了《數據安全法》及《個人信息保護法》。數字信息領域“三大基本法”及相關配套法律文件的頒布，標志著我國正在以“前進三”的速度開啟數據經濟時代法治建設。其中，我國與歐盟關于個人信息的定義基本一致，均采取擴張主義進行原則性規范。

　　《通用數據保護條例》第4條明確了“個人數據（personal data）”的定義，即“個人數據”指的是任何已識別或可識別的自然人（“數據主體”）相關的信息。【3】而《個人信息保護法》對于個人信息的定義與之類似，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”由此可見，個人信息數據的外延較為寬泛，任何能夠識別定位到自然人的信息均在其語意范圍之內。

　　而智能網聯汽車在運行過程中通過視頻音頻設備、人體傳感器、智能車機系統等硬件設備，實時收集用戶的行為習慣和個人隱私等信息，包括車主和乘客信息、消費與生活習慣信息、用戶部分生理數據、乘車人圖像及語音數據，以及駕駛活動數據，如駕駛員習慣、車輛靜態信息（如車牌號、車輛識別碼）、車輛動態信息（如位置信息、行駛軌跡）等。【4】

　　智能網聯汽車收集個人信息數據的應用場景主要在于提升用戶駕駛體驗的信息服務應用以及增進車輛駕駛協同系統。【5】為方便管理相關信息以及提供相應的保護，以數據內容及用途劃分可以將車輛網相關數據分為用戶身份數據，車聯網信息服務用戶數據和服務內容信息，以及用戶服務數據。

　　用戶身份數據指車聯網信息服務活動過程中與用戶自然人身份和標識信息、用戶虛擬身份和鑒權信息密切相關的用戶個人信息。車聯網信息服務用戶數據和服務內容信息主要指車聯網信息服務過程中用戶服務內容信息和用戶資料信息。用戶服務相關信息指車聯網信息服務過程中用戶服務使用信息、用戶車輛基本標識信息和用戶設備、系統和平臺信息。

　　基于用戶個人信息的敏感程度和發生風險事件后危害程度的敏感性等級劃分，對于個人信息跨境傳輸更具有實踐性意義。由國家網信辦發布的《汽車數據安全管理若干規定（試行）》以及工信部發布的《車聯網信息服務用戶個人信息保護要求》均以敏感等級為標準，將個人信息劃分為個人敏感信息、個人重要信息以及個人一般信息。個人信息的敏感等級主要以發生個人信息泄漏等安全事件后對于個人所造成的影響為基礎進行劃分，價值考量因素包括人身財產、個人名譽、身心健康以及歧視性待遇等。

　　二、歐盟與中國個人信息跨境傳輸法律機制

　　《通用數據保護條例》為歐盟確立了一系列較為成熟的個人信息跨境傳輸機制，我國2022年7月頒布的《數據出境安全評估辦法》所進一步明確的個人信息出境路徑與之亦有共通之處。同時，基于目前我國車企出海戰略目標也以歐盟地區為主要支撐點，下文主要介紹歐盟與中國的個人信息跨境傳輸法律機制。

　　（一）以“適當性評估”為核心的歐盟個人數據跨境流通的混合模式

　　歐洲個人數據跨境流動之法律規制經歷了較長的探索期，直至《通用數據保護條例》才構建起以“充分平等保護（Adequate Level of Protection）”為原則，以“適當性評估（Adequacy Decision）”為核心，以“適當性保護措施”、“特殊情形”以及“國際雙邊/多邊協議”為補充的個人數據跨境流通的混合模式。

　　適當性評估模式是歐盟數據跨境流通的基本模式，即只有當第三國的個人數據保護滿足充分保護水平的要求時，成員國才能將個人數據跨境轉移到第三國。由歐盟委員會基于多種因素考量第三國是否能夠滿足適當保護水平的要求，包括法治、人權以及基本自由，數據保護相關立法及實施，司法救濟途徑，公共機構訪問個人數據的規則等。【6】

　　適當性評估模式相當于經過歐盟認證的“白名單”，但是認證的過程繁瑣復雜，可操作性較差，實施至今僅12個國家或地區通過認證，中國并未在其中之列。【7】而適當性保護措施作為適當性評估模式的重要補充手段則具有較強的靈活性，標準合同條款（SCC）以及約束性企業規則（BCRs）對于企業等法人主體的可實施性更高。

　　數據保護標準合同條款（SCC）是從歐洲經濟區（EEA）向區域外未達到“充分保護水平”的第三國或組織跨境傳輸數據時使用的標準合同文本，通過合約的形式約束數據輸出者和數據輸入者以確保個人數據獲得充分的保護。歐盟委員會負責制定條款內容，主要包括數據輸出者和數據輸入者的義務，第三方受益人權利條款，以及責任分擔條款。【8】

　　SCC模式擴大了指令的適用范圍，讓數據輸入者在未達到“充分保護水平”的第三國也需要遵守GDPR的要求來保護個人數據。但SCC要求每一次個人信息傳輸均需成立合同，因此難以適用于大量的數據傳輸。海量而重復的文件給合同主體造成了較重合規負擔，而約束性企業規則（BCRs）對于集團內部而言，則可很好地彌補這一缺陷。

　　約束性企業規則（BCRs）是適當性評估模式的重要補充，其本質是企業按照歐盟要求制定的，適用于跨國企業內部的有關個人數據跨境流動的自律性規則。跨國公司、集團公司如果具備歐盟成員國數據管理機構認可的約束性企業規則，則可以直接進行集團內部的數據跨境傳輸，無需另行批準。

　　約束性企業規則可以簡單地理解為適用于跨國企業的“白名單”，當歐盟行政機關對整個企業內部的數據跨境流通合規框架審查合格之后，企業內部的數據流通將不再受限。應當注意的是，這些個人數據跨境流通僅限于經過審查的企業內部的數據傳輸，該公司將個人數據傳輸至其他主體時不得適用BCRs模式，即便是同樣經過BCRs審查的獨立主體之間也不得適用此條款。

　　需要強調的是，《通用數據保護條例》并未對跨境傳輸的個人數據劃分類別從而區分對待，因此任何類型的個人數據跨境傳輸時均需遵循上述合規路徑之一。現階段，因中國與歐盟適當性評估標準不一致以及國際雙邊協約的缺失，對于我國出海車企而言，標準合同條款以及約束性企業規則是企業將歐盟境內的個人數據傳輸至中國或第三國的合規路徑。企業可以根據自身業務需求，合理選擇相適應的傳輸方式。

　　（二）中國個人信息跨境傳輸的“三大路徑”

　　《網絡安全法》第三十七條確立了個人信息和重要數據境內存儲的原則，《個人信息保護法》第三十八條則提供四種個人信息出境的合規路徑，即完成安全評估審查，通過個人信息保護認證，訂立標準格式合同以及兜底條款，前三項合規路徑構成了我國個人信息出境的主要機制。

　　路徑一：安全評估審查

　　《數據安全評估辦法》第四條明確了數據出境安全評估審查的強制觸發條件：

　　1.數據處理者向境外提供重要數據；

　　2.關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；

　　3.自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；

　　4.國家網信部門規定的其他需要申報數據出境安全評估的情形。

　　其中第二條是關于數據處理者類型的觸發條件，即關鍵信息基礎設施運營者（CIIO）和個人信息量級巨大的數據處理者，這兩類數據處理者因業務需求需要向境外傳輸個人信息時，無論傳輸頻次及規模均需要通過安全評估審查；第四條則是對于個人信息出境規模的觸發條件，并且明確區分了處理個人信息和個人敏感信息不同量級。由此，根據上述規則，企業可以結合自身業務需求和未來發展規劃合理判斷是否需要申報完成數據安全評估審查。

　　需要注意的是，在提交申報前企業需要完成數據出境風險自評估，以及提交擬訂立的法律約束性文件。數據出境風險自評估報告對于順利通過安全評估審查至關重要，可以理解為企業向網信部門提交的“考卷”，因而企業在提交申報前需要按照《數據安全評估辦法》等要求開展數據合規治理工作，完成數據風險篩查及整改。

　　路徑二：個人信息保護認證

　　個人信息保護認證是跨國企業或同一經濟實體處理個人信息出境業務的重要手段，該機制的適用情形和底層邏輯與歐盟的BCRs類似，認證獲批后即可在法定/約定范圍內進行個人信息跨境傳輸。2022年11月至12月先后發布的《個人信息保護認證實施規則》及其配套文件《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V2.0》完善了開展跨境處理活動的個人信息保護認證機制。

　　個人信息保護認證流程由五個主要環節組成，分別是認證申請、技術驗證、現場審核、認證決定、獲證后監督。個人信息保護認證特別適合出海車企實現集團公司內的個人信息跨境流動需求，并且企業可以在完成跨境認證規范要求的同時以歐盟BCRs為補充，從企業實際業務需求出發形成PIP-CB—BCRs的雙向認證，以滿足集團企業內部個人信息在歐盟與中國跨境傳輸的合規需求。

　　路徑三：個人信息出境標準合同

　　2022年6月，國家網信辦發布《個人信息出境標準合同規定（征求意見稿）》以及標準合同文本。我國標準合同與歐盟SCC的適用范圍和底層邏輯同樣較為相似，但由于我國并未明確區分“數據處理者和數據控制者”，因此我國的標準合同文本可以適用于除需要安全評估之外的所有情況下的數據出境。

　　同時，該規定提出了對于已訂立的合同的備案要求，即合同生效之日起10個工作日內向省級網信辦提交標準合同以及個人信息保護影響評估報告。【9】備案機制并不等同于事前行政審批，其目的是加強行政監督管理，要求行政相對人通過報送方式將有關材料向有關行政機關提交存儲，以備事后監督和檢查。

　　對于個人信息處理規模較小、出境需求頻次較低的企業而言，較為適宜通過標準合同、個人信息保護認證與個人信息保護影響評估等制度相結合以實現個人信息出境業務需求。需要注意的是，個人信息保護認證以及個人信息出境標準合同不可替代安全評估審查，這意味著境內主體的數據出境活動如果觸發了安全審查條件，就仍然需要完成安全評估審查。

　　三、智能網聯汽車企業個人信息跨境傳輸的合規建議

　　（一）合理部署地區數據存儲及處理中心

　　對于當前大多數法域以數據本地化存儲為原則的數據跨境流動規則框架而言，合理部署數據存儲及處理中心是智能網聯汽車企業降低合規風險與成本、政府提高行政及業務效率的有效措施。

　　對于要求將個人信息或敏感個人信息進行本地化存儲的國家或地區部署數據服務器，對于沒有本地化要求的國家，在考慮數據中心選址時，應考慮擬布局國家/地區的數據保護能力被認可的程度。

　　在被國際廣泛認可的“充分保護”國家建立數據中心或數據港，以便其數據存儲及合理利用，實現業務和數據保護的平衡，降低數據跨境傳輸的合規風險與合規成本。比如，基于地理及政策等多方面因素考量，愛爾蘭已經成為亞馬遜AWS云計算、微軟和谷歌等全球技術公司的云計算中心，成為歐洲增長最快的數據中心市場。【10】

　　（二）建立健全企業內部數據治理合規體系

　　智能網聯車企涉及的數據處理活動繁雜、數據處理者多樣，伴隨著車聯網技術的快速迭代和車聯網應用的迅速增長，企業數據治理合規體系應當做出適應性調整。具體到個人信息跨境業務中，企業需要建立數據跨境前評估機制，在個人信息跨境傳輸前完成數據跨境可行性評估、數據跨境字段最小化評估、數據跨境安全性評估等流程。

　　此外，還應當完善業務模式中的個人單獨同意采集程序，充分履行告知義務，征得個人信息主體區別于對企業產品或服務中其他業務功能的單獨同意。

　　（三）合理運用個人信息數據傳輸合規路徑

　　以歐盟與中國為例，個人信息數據跨境流動規則框架在許多規則設置上有互通之處，比如約束性企業規則與個人信息保護認證，數據保護標準合同條款與個人信息出境標準合同等。

　　智能網聯車企可以依照歐盟及中國相關監管機構出具的報批報備流程指引，或者使用標準法律文本等工具，結合自身需求靈活選擇合理合規的個人信息出境路徑。根據企業戰略部署規劃，確定需要完成的認證，并通過企業合規頂層架構設計，制定執行整改規劃，實現降本增效。

　　結 語

　　基于當前數字技術的快速迭代與商業模式的不斷創新，智能網聯汽車產業因其繁雜的業務數據處理場景和多樣且敏感的數據來源，已然成為網絡安全和數據合規領域的重點監管行業。這無疑對智能網聯車企數據安全保障工作提出了較高的要求，但同時也是數據時代變革所帶來的新機遇。

　　實時改進企業合規制度，加強管理建設，為消費者乃至社會營造良好的數據保護環境，是智能網聯車企贏得競爭與健康發展的重要基石。

　　注釋

　　【1】《新勢力出海：蔚來在前，小鵬在后，理想仍在觀望中》，訪問地址：https://www.toutiao.com/article/7152725544550154788/?wid=1676029495055

　　【2】《國家車聯網產業標準體系建設指南（智能網聯汽車）》，工業和信息化部等，2020年4月15日

　　【3】Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4 May 2016, pp. 1–88.

　　【4】中國汽車工程研究院股份有限公司等主編，《智能網聯汽車信息安全發展報告（2021）》，2021年8月。

　　【5】覃慶玲,謝俐倞.車聯網數據安全風險分析及相關建議[J].信息通信技術與政策,2020(08):37-40.

　　【6】《通用數據保護條例》第45條

　　【7】European Commission,2013/65/EU: Commission Implementing Decision of 19 December 2012 pursuant to Directive 95/46/EC,OJ L 28, 30 January 2013, pp.12–14.

　　【8】European Commission, C(2004)5721 SET II Standard contractual clauses (2004).

　　【9】《個人信息出境標準合同規定（征求意見稿）》第七條

　　【10】愛爾蘭成為歐洲增長最快的數據中心市場