文/北京市集佳律師事務(wù)所 吳恙 楊玥珺
伴隨著國內(nèi)新能源智能汽車行業(yè)的蓬勃發(fā)展,新勢力車企紛紛開始推行國際化戰(zhàn)略,新能源汽車出口成為新的業(yè)務(wù)增長點,比亞迪,蔚來及小鵬等新能源智能汽車生產(chǎn)商正在以歐洲為跳板,積極布局開拓海外市場。【1】
同時,車輛智能化水平的飛速提升,使得汽車由單純的交通運輸工具逐步轉(zhuǎn)變?yōu)橹悄芤苿咏K端。在國家政策的扶持和指引下,以“電動化、智能化、網(wǎng)聯(lián)化、共享化”為核心的智能汽車網(wǎng)聯(lián)技術(shù)正在全面普及并快速迭代。
智能網(wǎng)聯(lián)汽車技術(shù)(V2X,Vehicle-to-Everything)融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù),通過先進的車載傳感器、控制器、執(zhí)行器等裝置,在實現(xiàn)車與X(人、車、路、云端等)智能信息交換、共享的同時,還具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能?!?】
智能網(wǎng)聯(lián)汽車作為集合聯(lián)網(wǎng)信息節(jié)點和數(shù)據(jù)樞紐功能的移動終端,在運行過程中深度收集、處理、傳輸和使用大量包括個人信息、車輛運行數(shù)據(jù)和環(huán)境數(shù)據(jù)等在內(nèi)的信息數(shù)據(jù)。而數(shù)據(jù)作為車聯(lián)網(wǎng)系統(tǒng)的核心要素,對于以網(wǎng)絡(luò)通信技術(shù)為基礎(chǔ)的智能網(wǎng)聯(lián)汽車而言相當于“人體的血液”。正因車聯(lián)網(wǎng)數(shù)據(jù)安全保護問題牽涉到行車安全、生命財產(chǎn)安全、個人信息安全乃至國家安全,對于相關(guān)企業(yè)數(shù)據(jù)安全的監(jiān)管合規(guī)就顯得尤為重要,尤其是涉及到個人信息數(shù)據(jù)跨境傳輸。
本文以歐盟與中國為例,試圖通過分析智能網(wǎng)聯(lián)汽車領(lǐng)域涉及到個人信息數(shù)據(jù)跨境傳輸?shù)臉I(yè)務(wù)場景,厘清個人信息出境的合規(guī)路徑,為我國車企出海業(yè)務(wù)提供規(guī)則指引。
一、智能網(wǎng)聯(lián)汽車涉及的個人數(shù)據(jù)類型
厘清車聯(lián)網(wǎng)個人信息跨境合規(guī)路徑,首先需要明確對應(yīng)法域?qū)τ趥€人信息的定義,從而分析智能網(wǎng)聯(lián)汽車運行過程中可能涉及到的個人數(shù)據(jù)類型及其數(shù)據(jù)出境業(yè)務(wù)場景。
自歐盟推出《通用數(shù)據(jù)保護條例(GDPR)》以來,全球各法院相繼出臺相關(guān)領(lǐng)域的法律文件,我國以2017年頒布的《網(wǎng)絡(luò)安全法》為起始點,先后出臺了《數(shù)據(jù)安全法》及《個人信息保護法》。數(shù)字信息領(lǐng)域“三大基本法”及相關(guān)配套法律文件的頒布,標志著我國正在以“前進三”的速度開啟數(shù)據(jù)經(jīng)濟時代法治建設(shè)。其中,我國與歐盟關(guān)于個人信息的定義基本一致,均采取擴張主義進行原則性規(guī)范。
《通用數(shù)據(jù)保護條例》第4條明確了“個人數(shù)據(jù)(personal data)”的定義,即“個人數(shù)據(jù)”指的是任何已識別或可識別的自然人(“數(shù)據(jù)主體”)相關(guān)的信息?!?】而《個人信息保護法》對于個人信息的定義與之類似,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。”由此可見,個人信息數(shù)據(jù)的外延較為寬泛,任何能夠識別定位到自然人的信息均在其語意范圍之內(nèi)。
而智能網(wǎng)聯(lián)汽車在運行過程中通過視頻音頻設(shè)備、人體傳感器、智能車機系統(tǒng)等硬件設(shè)備,實時收集用戶的行為習慣和個人隱私等信息,包括車主和乘客信息、消費與生活習慣信息、用戶部分生理數(shù)據(jù)、乘車人圖像及語音數(shù)據(jù),以及駕駛活動數(shù)據(jù),如駕駛員習慣、車輛靜態(tài)信息(如車牌號、車輛識別碼)、車輛動態(tài)信息(如位置信息、行駛軌跡)等?!?】
智能網(wǎng)聯(lián)汽車收集個人信息數(shù)據(jù)的應(yīng)用場景主要在于提升用戶駕駛體驗的信息服務(wù)應(yīng)用以及增進車輛駕駛協(xié)同系統(tǒng)。【5】為方便管理相關(guān)信息以及提供相應(yīng)的保護,以數(shù)據(jù)內(nèi)容及用途劃分可以將車輛網(wǎng)相關(guān)數(shù)據(jù)分為用戶身份數(shù)據(jù),車聯(lián)網(wǎng)信息服務(wù)用戶數(shù)據(jù)和服務(wù)內(nèi)容信息,以及用戶服務(wù)數(shù)據(jù)。
用戶身份數(shù)據(jù)指車聯(lián)網(wǎng)信息服務(wù)活動過程中與用戶自然人身份和標識信息、用戶虛擬身份和鑒權(quán)信息密切相關(guān)的用戶個人信息。車聯(lián)網(wǎng)信息服務(wù)用戶數(shù)據(jù)和服務(wù)內(nèi)容信息主要指車聯(lián)網(wǎng)信息服務(wù)過程中用戶服務(wù)內(nèi)容信息和用戶資料信息。用戶服務(wù)相關(guān)信息指車聯(lián)網(wǎng)信息服務(wù)過程中用戶服務(wù)使用信息、用戶車輛基本標識信息和用戶設(shè)備、系統(tǒng)和平臺信息。
基于用戶個人信息的敏感程度和發(fā)生風險事件后危害程度的敏感性等級劃分,對于個人信息跨境傳輸更具有實踐性意義。由國家網(wǎng)信辦發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》以及工信部發(fā)布的《車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護要求》均以敏感等級為標準,將個人信息劃分為個人敏感信息、個人重要信息以及個人一般信息。個人信息的敏感等級主要以發(fā)生個人信息泄漏等安全事件后對于個人所造成的影響為基礎(chǔ)進行劃分,價值考量因素包括人身財產(chǎn)、個人名譽、身心健康以及歧視性待遇等。
二、歐盟與中國個人信息跨境傳輸法律機制
《通用數(shù)據(jù)保護條例》為歐盟確立了一系列較為成熟的個人信息跨境傳輸機制,我國2022年7月頒布的《數(shù)據(jù)出境安全評估辦法》所進一步明確的個人信息出境路徑與之亦有共通之處。同時,基于目前我國車企出海戰(zhàn)略目標也以歐盟地區(qū)為主要支撐點,下文主要介紹歐盟與中國的個人信息跨境傳輸法律機制。
(一)以“適當性評估”為核心的歐盟個人數(shù)據(jù)跨境流通的混合模式
歐洲個人數(shù)據(jù)跨境流動之法律規(guī)制經(jīng)歷了較長的探索期,直至《通用數(shù)據(jù)保護條例》才構(gòu)建起以“充分平等保護(Adequate Level of Protection)”為原則,以“適當性評估(Adequacy Decision)”為核心,以“適當性保護措施”、“特殊情形”以及“國際雙邊/多邊協(xié)議”為補充的個人數(shù)據(jù)跨境流通的混合模式。
適當性評估模式是歐盟數(shù)據(jù)跨境流通的基本模式,即只有當?shù)谌龂膫€人數(shù)據(jù)保護滿足充分保護水平的要求時,成員國才能將個人數(shù)據(jù)跨境轉(zhuǎn)移到第三國。由歐盟委員會基于多種因素考量第三國是否能夠滿足適當保護水平的要求,包括法治、人權(quán)以及基本自由,數(shù)據(jù)保護相關(guān)立法及實施,司法救濟途徑,公共機構(gòu)訪問個人數(shù)據(jù)的規(guī)則等。【6】
適當性評估模式相當于經(jīng)過歐盟認證的“白名單”,但是認證的過程繁瑣復(fù)雜,可操作性較差,實施至今僅12個國家或地區(qū)通過認證,中國并未在其中之列。【7】而適當性保護措施作為適當性評估模式的重要補充手段則具有較強的靈活性,標準合同條款(SCC)以及約束性企業(yè)規(guī)則(BCRs)對于企業(yè)等法人主體的可實施性更高。
數(shù)據(jù)保護標準合同條款(SCC)是從歐洲經(jīng)濟區(qū)(EEA)向區(qū)域外未達到“充分保護水平”的第三國或組織跨境傳輸數(shù)據(jù)時使用的標準合同文本,通過合約的形式約束數(shù)據(jù)輸出者和數(shù)據(jù)輸入者以確保個人數(shù)據(jù)獲得充分的保護。歐盟委員會負責制定條款內(nèi)容,主要包括數(shù)據(jù)輸出者和數(shù)據(jù)輸入者的義務(wù),第三方受益人權(quán)利條款,以及責任分擔條款?!?】
SCC模式擴大了指令的適用范圍,讓數(shù)據(jù)輸入者在未達到“充分保護水平”的第三國也需要遵守GDPR的要求來保護個人數(shù)據(jù)。但SCC要求每一次個人信息傳輸均需成立合同,因此難以適用于大量的數(shù)據(jù)傳輸。海量而重復(fù)的文件給合同主體造成了較重合規(guī)負擔,而約束性企業(yè)規(guī)則(BCRs)對于集團內(nèi)部而言,則可很好地彌補這一缺陷。
約束性企業(yè)規(guī)則(BCRs)是適當性評估模式的重要補充,其本質(zhì)是企業(yè)按照歐盟要求制定的,適用于跨國企業(yè)內(nèi)部的有關(guān)個人數(shù)據(jù)跨境流動的自律性規(guī)則??鐕?、集團公司如果具備歐盟成員國數(shù)據(jù)管理機構(gòu)認可的約束性企業(yè)規(guī)則,則可以直接進行集團內(nèi)部的數(shù)據(jù)跨境傳輸,無需另行批準。
約束性企業(yè)規(guī)則可以簡單地理解為適用于跨國企業(yè)的“白名單”,當歐盟行政機關(guān)對整個企業(yè)內(nèi)部的數(shù)據(jù)跨境流通合規(guī)框架審查合格之后,企業(yè)內(nèi)部的數(shù)據(jù)流通將不再受限。應(yīng)當注意的是,這些個人數(shù)據(jù)跨境流通僅限于經(jīng)過審查的企業(yè)內(nèi)部的數(shù)據(jù)傳輸,該公司將個人數(shù)據(jù)傳輸至其他主體時不得適用BCRs模式,即便是同樣經(jīng)過BCRs審查的獨立主體之間也不得適用此條款。
需要強調(diào)的是,《通用數(shù)據(jù)保護條例》并未對跨境傳輸?shù)膫€人數(shù)據(jù)劃分類別從而區(qū)分對待,因此任何類型的個人數(shù)據(jù)跨境傳輸時均需遵循上述合規(guī)路徑之一?,F(xiàn)階段,因中國與歐盟適當性評估標準不一致以及國際雙邊協(xié)約的缺失,對于我國出海車企而言,標準合同條款以及約束性企業(yè)規(guī)則是企業(yè)將歐盟境內(nèi)的個人數(shù)據(jù)傳輸至中國或第三國的合規(guī)路徑。企業(yè)可以根據(jù)自身業(yè)務(wù)需求,合理選擇相適應(yīng)的傳輸方式。
(二)中國個人信息跨境傳輸?shù)摹叭舐窂健?/strong>
《網(wǎng)絡(luò)安全法》第三十七條確立了個人信息和重要數(shù)據(jù)境內(nèi)存儲的原則,《個人信息保護法》第三十八條則提供四種個人信息出境的合規(guī)路徑,即完成安全評估審查,通過個人信息保護認證,訂立標準格式合同以及兜底條款,前三項合規(guī)路徑構(gòu)成了我國個人信息出境的主要機制。
路徑一:安全評估審查
《數(shù)據(jù)安全評估辦法》第四條明確了數(shù)據(jù)出境安全評估審查的強制觸發(fā)條件:
1.數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);
2.關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;
3.自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;
4.國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。
其中第二條是關(guān)于數(shù)據(jù)處理者類型的觸發(fā)條件,即關(guān)鍵信息基礎(chǔ)設(shè)施運營者(CIIO)和個人信息量級巨大的數(shù)據(jù)處理者,這兩類數(shù)據(jù)處理者因業(yè)務(wù)需求需要向境外傳輸個人信息時,無論傳輸頻次及規(guī)模均需要通過安全評估審查;第四條則是對于個人信息出境規(guī)模的觸發(fā)條件,并且明確區(qū)分了處理個人信息和個人敏感信息不同量級。由此,根據(jù)上述規(guī)則,企業(yè)可以結(jié)合自身業(yè)務(wù)需求和未來發(fā)展規(guī)劃合理判斷是否需要申報完成數(shù)據(jù)安全評估審查。
需要注意的是,在提交申報前企業(yè)需要完成數(shù)據(jù)出境風險自評估,以及提交擬訂立的法律約束性文件。數(shù)據(jù)出境風險自評估報告對于順利通過安全評估審查至關(guān)重要,可以理解為企業(yè)向網(wǎng)信部門提交的“考卷”,因而企業(yè)在提交申報前需要按照《數(shù)據(jù)安全評估辦法》等要求開展數(shù)據(jù)合規(guī)治理工作,完成數(shù)據(jù)風險篩查及整改。
路徑二:個人信息保護認證
個人信息保護認證是跨國企業(yè)或同一經(jīng)濟實體處理個人信息出境業(yè)務(wù)的重要手段,該機制的適用情形和底層邏輯與歐盟的BCRs類似,認證獲批后即可在法定/約定范圍內(nèi)進行個人信息跨境傳輸。2022年11月至12月先后發(fā)布的《個人信息保護認證實施規(guī)則》及其配套文件《網(wǎng)絡(luò)安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范V2.0》完善了開展跨境處理活動的個人信息保護認證機制。
個人信息保護認證流程由五個主要環(huán)節(jié)組成,分別是認證申請、技術(shù)驗證、現(xiàn)場審核、認證決定、獲證后監(jiān)督。個人信息保護認證特別適合出海車企實現(xiàn)集團公司內(nèi)的個人信息跨境流動需求,并且企業(yè)可以在完成跨境認證規(guī)范要求的同時以歐盟BCRs為補充,從企業(yè)實際業(yè)務(wù)需求出發(fā)形成PIP-CB—BCRs的雙向認證,以滿足集團企業(yè)內(nèi)部個人信息在歐盟與中國跨境傳輸?shù)暮弦?guī)需求。
路徑三:個人信息出境標準合同
2022年6月,國家網(wǎng)信辦發(fā)布《個人信息出境標準合同規(guī)定(征求意見稿)》以及標準合同文本。我國標準合同與歐盟SCC的適用范圍和底層邏輯同樣較為相似,但由于我國并未明確區(qū)分“數(shù)據(jù)處理者和數(shù)據(jù)控制者”,因此我國的標準合同文本可以適用于除需要安全評估之外的所有情況下的數(shù)據(jù)出境。
同時,該規(guī)定提出了對于已訂立的合同的備案要求,即合同生效之日起10個工作日內(nèi)向省級網(wǎng)信辦提交標準合同以及個人信息保護影響評估報告。【9】備案機制并不等同于事前行政審批,其目的是加強行政監(jiān)督管理,要求行政相對人通過報送方式將有關(guān)材料向有關(guān)行政機關(guān)提交存儲,以備事后監(jiān)督和檢查。
對于個人信息處理規(guī)模較小、出境需求頻次較低的企業(yè)而言,較為適宜通過標準合同、個人信息保護認證與個人信息保護影響評估等制度相結(jié)合以實現(xiàn)個人信息出境業(yè)務(wù)需求。需要注意的是,個人信息保護認證以及個人信息出境標準合同不可替代安全評估審查,這意味著境內(nèi)主體的數(shù)據(jù)出境活動如果觸發(fā)了安全審查條件,就仍然需要完成安全評估審查。
三、智能網(wǎng)聯(lián)汽車企業(yè)個人信息跨境傳輸?shù)暮弦?guī)建議
(一)合理部署地區(qū)數(shù)據(jù)存儲及處理中心
對于當前大多數(shù)法域以數(shù)據(jù)本地化存儲為原則的數(shù)據(jù)跨境流動規(guī)則框架而言,合理部署數(shù)據(jù)存儲及處理中心是智能網(wǎng)聯(lián)汽車企業(yè)降低合規(guī)風險與成本、政府提高行政及業(yè)務(wù)效率的有效措施。
對于要求將個人信息或敏感個人信息進行本地化存儲的國家或地區(qū)部署數(shù)據(jù)服務(wù)器,對于沒有本地化要求的國家,在考慮數(shù)據(jù)中心選址時,應(yīng)考慮擬布局國家/地區(qū)的數(shù)據(jù)保護能力被認可的程度。
在被國際廣泛認可的“充分保護”國家建立數(shù)據(jù)中心或數(shù)據(jù)港,以便其數(shù)據(jù)存儲及合理利用,實現(xiàn)業(yè)務(wù)和數(shù)據(jù)保護的平衡,降低數(shù)據(jù)跨境傳輸?shù)暮弦?guī)風險與合規(guī)成本。比如,基于地理及政策等多方面因素考量,愛爾蘭已經(jīng)成為亞馬遜AWS云計算、微軟和谷歌等全球技術(shù)公司的云計算中心,成為歐洲增長最快的數(shù)據(jù)中心市場?!?0】
(二)建立健全企業(yè)內(nèi)部數(shù)據(jù)治理合規(guī)體系
智能網(wǎng)聯(lián)車企涉及的數(shù)據(jù)處理活動繁雜、數(shù)據(jù)處理者多樣,伴隨著車聯(lián)網(wǎng)技術(shù)的快速迭代和車聯(lián)網(wǎng)應(yīng)用的迅速增長,企業(yè)數(shù)據(jù)治理合規(guī)體系應(yīng)當做出適應(yīng)性調(diào)整。具體到個人信息跨境業(yè)務(wù)中,企業(yè)需要建立數(shù)據(jù)跨境前評估機制,在個人信息跨境傳輸前完成數(shù)據(jù)跨境可行性評估、數(shù)據(jù)跨境字段最小化評估、數(shù)據(jù)跨境安全性評估等流程。
此外,還應(yīng)當完善業(yè)務(wù)模式中的個人單獨同意采集程序,充分履行告知義務(wù),征得個人信息主體區(qū)別于對企業(yè)產(chǎn)品或服務(wù)中其他業(yè)務(wù)功能的單獨同意。
?。ㄈ┖侠磉\用個人信息數(shù)據(jù)傳輸合規(guī)路徑
以歐盟與中國為例,個人信息數(shù)據(jù)跨境流動規(guī)則框架在許多規(guī)則設(shè)置上有互通之處,比如約束性企業(yè)規(guī)則與個人信息保護認證,數(shù)據(jù)保護標準合同條款與個人信息出境標準合同等。
智能網(wǎng)聯(lián)車企可以依照歐盟及中國相關(guān)監(jiān)管機構(gòu)出具的報批報備流程指引,或者使用標準法律文本等工具,結(jié)合自身需求靈活選擇合理合規(guī)的個人信息出境路徑。根據(jù)企業(yè)戰(zhàn)略部署規(guī)劃,確定需要完成的認證,并通過企業(yè)合規(guī)頂層架構(gòu)設(shè)計,制定執(zhí)行整改規(guī)劃,實現(xiàn)降本增效。
結(jié) 語
基于當前數(shù)字技術(shù)的快速迭代與商業(yè)模式的不斷創(chuàng)新,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)因其繁雜的業(yè)務(wù)數(shù)據(jù)處理場景和多樣且敏感的數(shù)據(jù)來源,已然成為網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)領(lǐng)域的重點監(jiān)管行業(yè)。這無疑對智能網(wǎng)聯(lián)車企數(shù)據(jù)安全保障工作提出了較高的要求,但同時也是數(shù)據(jù)時代變革所帶來的新機遇。
實時改進企業(yè)合規(guī)制度,加強管理建設(shè),為消費者乃至社會營造良好的數(shù)據(jù)保護環(huán)境,是智能網(wǎng)聯(lián)車企贏得競爭與健康發(fā)展的重要基石。
注釋
【1】《新勢力出海:蔚來在前,小鵬在后,理想仍在觀望中》,訪問地址:https://www.toutiao.com/article/7152725544550154788/?wid=1676029495055
【2】《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)》,工業(yè)和信息化部等,2020年4月15日
【3】Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4 May 2016, pp. 1–88.
【4】中國汽車工程研究院股份有限公司等主編,《智能網(wǎng)聯(lián)汽車信息安全發(fā)展報告(2021)》,2021年8月。
【5】覃慶玲,謝俐倞.車聯(lián)網(wǎng)數(shù)據(jù)安全風險分析及相關(guān)建議[J].信息通信技術(shù)與政策,2020(08):37-40.
【6】《通用數(shù)據(jù)保護條例》第45條
【7】European Commission,2013/65/EU: Commission Implementing Decision of 19 December 2012 pursuant to Directive 95/46/EC,OJ L 28, 30 January 2013, pp.12–14.
【8】European Commission, C(2004)5721 SET II Standard contractual clauses (2004).
【9】《個人信息出境標準合同規(guī)定(征求意見稿)》第七條
【10】愛爾蘭成為歐洲增長最快的數(shù)據(jù)中心市場