新能源汽车出海中的数据合规热点问题-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

一、数据合规风险

汽车企业在研发、生产、销售、售后等多个环节均可能涉及个人信息处理活动。例如在营销活动中收集潜在客户的个人信息、向消费者销售车辆时收集消费者个人信息用于订立合同、车辆售出使用中通过智能座舱、车机平台收集车内个人信息以实现特定功能等。数字化转型网www.szhzxw.cn

（1）个人信息保护的一般性义务

作为个人信息处理者，汽车企业需要履行个人信息保护义务。尽管各国的数据与个人信息保护法规存在差异，但通过对比包括欧盟《通用数据保护条例》（Regulation (EU) 2016/679，“GDPR”）[4]在内的国际主流个人信息保护思路，个人信息处理者的基本义务存在共通性。例如，个人信息处理者收集个人信息一般需要获得个人授权，或具备法定的其他合法性基础；个人信息处理者应当采取充分的安全保障措施以保护个人信息的安全；个人信息处理者收集、处理个人信息应当遵循最小必要、目的限制等原则；个人信息处理者应当保障个人信息主体的权益，向其提供行使法定权利的途径等。

（2）车内个人信息回传的特殊性义务

新能源汽车相较于传统能源汽车而言，智能化程度通常更高，其搭载了功能丰富的车机平台，形成新一代智能座舱。新兴技术比如驾驶员疲劳感知系统、AI语音助手等已成为许多新能源汽车的标准配置。这些智慧功能往往涉及对特定个人信息的收集，例如驾驶员疲劳感知系统需收集驾驶员面部识别特征、追踪眼球轨迹、AI语音助手需要收集声纹和对话内容等。数字化转型网www.szhzxw.cn

对于从中国出口的车辆，如果其车机平台或智能座舱的服务器部署于中国境内，则相关汽车企业需考虑车内个人信息的回传问题，并遵守当地的数据跨境传输法律要求。

（3）自动驾驶功能或涉及测绘、数据安全、国家安全等多部门法律约束

为了实现自动驾驶功能，汽车需搭载雷达、摄像头等传感器，供车辆在行驶过程中实时收集道路与行人信息。收集处理大量的车外数据可能产生数据安全、甚至是国家安全风险。例如，中国将车外含人脸信息和车牌信息的数据认定为重要数据[5]，若整车厂构成重要数据处理者，在收集、处理、存储、数据跨境传输等方面均需遵守更严格的合规义务。美国同样也关注大量数据跨境带来的国家安全风险。2024年2月28日，美国总统拜登签发了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，“14117号行政命令”），以保护美国国家安全为由，要求美国司法部颁布条例，以禁止或限制美国主体进行会导致中国等“受关注国家”和符合条件的主体访问大量美国人敏感个人数据和美国政府相关数据[6]。根据该行政命令，美国人敏感个人数据包括特定种类的个人识别符、地理位置数据和相关传感器数据、生物识别数据、人类组学数据、个人健康数据、个人财务数据等[7]。由于自动驾驶或辅助驾驶功能通常需要收集大量车外数据或地理位置数据，按照前述规定，该等落入敏感个人数据范围的数据将可能只能在美国当地存储并不得传输至中国。

自动驾驶还与测绘有着密切联系。具备自动驾驶功能的车辆在道路测试和运行过程中可能持续不断地收集环境信息，包括空间坐标、影像、点云及其属性信息等。考虑到测绘过程中收集所得信息的精度，测绘所得的数据可能关系国家安全。在中国，智能网联汽车在运行、服务和道路测试过程中收集上述信息的，构成收集测绘地理信息。在此情形下，整车厂、自动驾驶软件服务商等可能构成测绘地理信息的处理者，需遵守中国关于测绘的合规义务[8]。类似的，在韩国，未经有关政府部门许可，任何人不得将测绘所得的地图、照片或任何其他土地测绘结果携带出境[9]。数字化转型网www.szhzxw.cn

二、境外汽车相关数据合规义务概览

近年来，许多国家已将数据主权提升至维护国家安全的战略高度，如何保障数据安全成为各国的重要议题。中国新能源车企出海需着重了解各国数据合规法律要求，事先甄别可能涉及的数据种类和数据传输安排，确保遵守相关数据合规要求并降低违规风险。

下文将介绍欧盟、泰国、马来西亚、阿联酋、沙特阿拉伯和美国关于数据合规的立法情况，以及汽车企业需特别关注的事项。数字化转型网www.szhzxw.cn

（1）欧盟

欧盟的个人信息保护核心立法是GDPR，对所有欧盟成员国具有约束力。

GDPR具有域外效力，即便数据控制者或数据处理者未在欧盟设立营业场所，当数据处理活动涉及为欧盟境内的数据主体提供货物或服务，或对数据主体在欧盟境内的行为进行监控，亦将受到GDPR的约束。

GDPR确立了一系列个人信息处理原则，要求数据控制者和数据处理者实施技术与管理措施以保障个人信息安全，并赋予个人信息主体向成员国的数据保护机构投诉、寻求司法救济等救济权利。

GDPR对于个人信息传输至欧盟/欧洲经济区以外的国家或地区设置了几种跨境传输机制，数据控制者或数据处理者满足其一即可。其中主要的有三种，一是境外接收方所在国家或地区被列入欧盟委员会认定的具备充分的个人数据保护水平的“白名单”中，则个人信息跨境传输无需特别审批[10]；二是针对集团内部的个人信息跨境传输，如果集团内部达成了有约束力的公司规则，并经监管部门批准，则集团范围内的主体可以自由传输个人信息[11]；三是与境外接收方签订欧盟委员会制备的标准合同条款[12]。对于中国的新能源汽车企业，由于中国目前并不是“白名单”国家，且制定有约束力的公司规则亦需要获得监管机构的批准，如果涉及个人信息回传至国内，实务中通常会考虑标准合同条款机制。

针对汽车行业，欧洲数据保护委员会（European Data Protection Board，“EDPB”）对汽车行业（尤其是网联汽车）的“数据控制者”和“数据处理者”（均适用GDPR项下的定义）如何遵守GDPR制定了指南《第01/2020号指南：关于在联网车辆和出行相关应用中处理个人数据》（Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications）。该指南针对汽车行业的常见风险场景提供了应对思路。例如，对于车载Wi-Fi连接到互联网对个人信息带来的风险，EDPB指出，汽车和设备制造商应当设置易于操作的选择退出（opt-out）选项，确保个人可以拒绝车载Wi-Fi网络收集服务集标识符（SSID）[13]。数字化转型网www.szhzxw.cn

（2）美国

美国尚未制定联邦层面统一的数据安全法及个人信息保护法，但针对一些特定领域，例如医疗健康、金融、儿童隐私等，有专门的个人信息保护要求，主要涵盖知情-同意原则、最小必要原则、透明度原则等。

美国部分州已建立了州内统一的隐私保护法律。最早推出全面隐私保护法律的是加利福尼亚州，其于2020年1月1日起实施《加利福尼亚消费者隐私法案》（California Consumer Privacy Act）[14]。该法案被2023年1月1日实施的《加利福尼亚隐私权法案》（California Privacy Rights Act）[15]所修订和补充。其他比如特拉华州、科罗拉多州、田纳西州等地也制订了统一的隐私保护法律。

在美国对中国的管制措施可能不断升级的大背景下，中企出海美国应密切关注美国对数据跨境的监管要求。如前文所述，14117号行政命令旨在限制相关数据从美国传输至中国，以及限制潜在的会导致数据跨境传输至中国的活动，例如来自中国的投资、中资企业在美国开展经营等[16]。如果未来美国全面实施此行政命令，则该命令将对出海美国的中国车企的数据跨境传输带来较大影响。数字化转型网www.szhzxw.cn

针对汽车行业，2024年3月1日，美国商务部工业和安全局（BIS）根据拜登政府指示，发布了关于《保护信息和通信技术和服务供应链:网联汽车》（Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles）的拟定规则的预通知（Advance notice of proposed rulemaking，“《预通知》”），就网联汽车领域涉及的信息通信技术和供应链安全问题，征求公众意见。《预通知》发布的目的被认为是为日后美国出台限制外国对手（尤其是中国）在美国开展汽车行业经营活动的规则收集线索[17]。

《预通知》中描述了可能来自外国对手（特别是中国）的网联汽车领域的国家安全风险，其风险来源在于网联汽车的信息通信软件和硬件，如传感器、摄像头、电池等，需收集大量车辆数据、车内人员数据、车外环境数据以及联网基础设施数据；以及网联汽车可以与整车厂、第三方服务提供商等外部主体以及智能手机等车载设备通信。《预通知》称如果中国政府要求中国的网联汽车企业在其软硬件中部署安全漏洞，将可能导致中国政府得以获得大量美国人的数据，并可能攻击网联汽车和背后的互联网，对美国国家安全和公共安全产生风险[18]。数字化转型网www.szhzxw.cn

已经或准备赴美投资的中国车企，需密切关注美国政府是否会继续公布对中国车企的更进一步的限制措施。

（3）泰国

泰国已建立了统一的数据保护立法，其《个人数据保护法》（Personal Data Protection Act）于2022年6月1日已全面实施。泰国《个人数据保护法》具有域外效力，适用于涉及处理泰国居民个人数据的组织，无论这些组织是否于泰国成立或在泰国有经营活动[19]。纵观该法的结构与内容可知，泰国《个人数据保护法》与中国《个人信息保护法》、欧盟GDPR的立法体例与个人信息保护原则相近，旨在为个人数据提供全面保护。

泰国《个人数据保护法》实施后，泰国陆续颁布了一些配套实施规则，用于解释和指导实施泰国《个人数据保护法》。这些配套实施细则包括《个人数据控制者安全措施》（Security Measures of the Data Controller）、《数据处理者制备和保存处理活动记录的规则与方法》（Rules and Methods for Preparing and Maintaining Records of Processing Activities for the Data Processor）、《对小企业数据控制者豁免处理活动记录要求》（Exemption of the Record of Processing Activities Requirement for Data Controllers who are Small Businesses）等。数字化转型网www.szhzxw.cn

泰国《个人数据保护法》规定，个人数据控制者将个人数据传输至泰国境外时，应确保接收方所在的国家或地区具有充分的数据保护标准（Adequate Data Protection Standard），并按照泰国个人数据保护委员会（Personal Data Protection Committee）颁布的个人数据保护标准进行跨境传输，除非满足泰国《个人数据保护法》第28条明确的豁免情形（如为了遵守法律规定、为了履行个人数据主体作为一方的合同所必需等）[20]。如果集团内部已经制定关于个人数据跨境传输的保护规则（Personal Data Protection Policy），且该等保护规则已通过泰国个人数据保护委员会的审查和认证，则个人数据控制者可以依据该等保护规则进行跨境传输个人数据[21]。

泰国个人数据保护委员会在2023年12月25日发布了两项关于个人数据跨境传输的通知：“关于根据《个人数据保护法》第28条跨境传输个人数据的通知”（以下简称“《28条通知》”）；“关于根据《个人数据保护法》第29条跨境传输个人数据的通知”（以下简称“《29条通知》”）。《28条通知》明确了判断境外接收方所在国家或地区是否达到充分的数据保护的标准；《29条通知》明确了跨境传输个人数据适用的约束性公司规则，或在缺乏前述充分的数据保护标准及约束性公司规则的情况下，实施其他适当保护措施的标准。两项通知已于2024年3月24日正式生效，值得相关汽车企业关注。数字化转型网www.szhzxw.cn

（4）马来西亚

马来西亚早在2010年便颁布了统一的《个人数据保护法》（Personal Data Protection Act 2010），其后又颁布了若干配套实施细则，包括《个人数据保护条例》（Personal Data Protection Regulations 2013）等。除此之外，马来西亚的个人数据保护部门（The Department of Personal Data Protection）和个人数据保护委员会（Personal Data Protection Commission）分别作为监管机构和执法机构共同负责落实个人数据保护工作。

马来西亚《个人数据保护法》的立法体例与个人信息保护原则和中国《个人信息保护法》较相近。根据马来西亚《个人数据保护法》，处理个人数据的合法性基础原则上需取得个人同意，除非具备该法规定的其他合法性基础，例如为履行合同所必需，或保护个人的重要利益等[22]。

马来西亚《个人数据保护法》也具有域外效力。对于并非设立在马来西亚的主体，若其使用位于马来西亚的设备处理个人数据，并且该等处理并不只是为了过境目的，则该等主体的个人数据处理活动亦受马来西亚《个人数据保护法》管辖。数字化转型网www.szhzxw.cn

在数据跨境传输到中国而言，目前马来西亚《个人数据保护法》规定，数据使用者（含义同中国的“个人信息处理者”）不得将个人数据转移到马来西亚境外，除非目的国被列入允许向该国跨境传输个人数据的“白名单”中，或者具备其他跨境传输的合法性基础，例如个人数据主体同意、履行合同所必须、保护个人数据主体的利益所必需、维护公共利益所必需等[23]。

最近马来西亚《个人数据数据保护法》的修正案将对其数据跨境传输制度进行调整。该修正案于2024年7月31日通过审议，将在马来西亚王室批准并公布后生效。修正案正式生效后，马来西亚《个人数据保护法》的跨境传输“白名单”制度将被取消。修正案提供了更便利个人数据跨境传输的政策，即当目的地有与马来西亚《个人数据保护法》实质相似的立法，或能够确保目的国的个人信息保护水平不低于马来西亚《个人数据保护法》的，则可以自由地向该国或地区传输[24]。

（5）沙特阿拉伯

沙特阿拉伯王国（“沙特”）的个人信息保护专门立法包括《个人数据保护法》（Personal Data Protection Law）、《个人数据保护法实施条例》（The Implementing Regulation of the Personal Data Protection Law）和《个人数据跨境传输条例》（Regulation on Personal Data Transfer outside the Kingdom）等。

沙特的《个人数据保护法》同样具有域外效力，适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动，但不适用于出于个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。数字化转型网www.szhzxw.cn

与中国《个人信息保护法》和欧盟GDPR类似，沙特《个人数据保护法》规定了以“告知-同意”为基础的个人信息处理原则，赋予个人信息主体一系列个人信息权益，要求数据控制者和数据处理者履行采取安全措施、开展个人信息保护影响评估等义务。

尽管沙特尚未出台汽车行业的专门数据保护立法，但在一些数据保护相关法规和指南中，有针对汽车行业数据控制者（或数据处理者）的特别要求。例如，在车联网场景下，根据沙特阿拉伯信息和通信技术委员会发布的《物联网监管框架》（Internet of Things (IoT) regulation framework），车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特境内，并将数据存储在沙特境内[25]。

（6）阿联酋

阿联酋属于联邦制国家。联邦法律的效力高于各酋长国的法律。因此，各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。

阿联酋的个人信息保护统一立法为《个人数据保护法》（Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection），于2022年1月2日生效[26]。

阿联酋《个人数据保护法》适用于位于阿联酋的任何数据控制者（data controller）或处理者（data processor，即受托处理者）所进行的所有个人数据处理活动（无论其处理的个人数据的数据主体位于何处），以及位于阿联酋境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动[27]。数字化转型网www.szhzxw.cn

值得注意的是，该《个人数据保护法》不适用于位于有数据保护相关立法的阿联酋自由区（free zones）的组织，也不适用于受与健康数据、银行和信贷数据有关的具体数据保护法约束的组织[28]。例如，在阿联酋的迪拜酋长国有两大自由区拥有自己的数据保护法律，分别为迪拜国际金融中心（Dubai International Financial Center）的《迪拜国际金融中心数据保护法》（The DIFC Data Protection Law (DIFC Law No. 5 of 2020)）和迪拜健康城（Dubai Healthcare City）的《迪拜健康城健康数据保护条例》（Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013）。

阿联酋《个人数据保护法》的体例与欧盟GDPR和中国《个人信息保护法》有着相似的原则与要求。其中一个特别之处在于，对于个人数据跨境传输，若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据，则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突[29]。

阿联酋尚未出台汽车行业的专门数据保护立法。对于拟出海阿联酋的中国新能源车企，如果业务涉及阿联酋联邦内的多个酋长国或地区，除了需要关注阿联酋层面的立法，亦需关注各酋长国和自由区的特殊规定。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn