欧盟汽车全产业出海数据合规义务解析-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

通用数据合规义务

a)数据跨境传输合规要点

将个人数据转移到欧盟以外的国家或地区有三种法律路径来实现（以下简称“欧盟数据跨境传输三大路径”或“数据跨境传输三大路径”），其中第一路径是“充分性认定”，但由于中国不在获得充分性认定的“白名单”中，因此适用中国车企的主要是另外两条路径：数字化转型网www.szhzxw.cn

● 常规路径：提供适当的保障措施

即为数据主体提供“适当的保障措施”。适当的保障措施有：①公共当局之间有法律约束力和可执行性的文书；②有约束力的公司规则；③欧委会通过或批准的标准合同条款；④经批准的行为准则；⑤经批准的认证机制。

● 备选路径：特定情形下的豁免

该路径只能在特定情形下使用，因此应当作为前两个路径均不可用时的备选项。GDPR下的豁免情形包括：数据主体的明确同意、履行合同所必需、为公共利益目的等。数字化转型网www.szhzxw.cn

德国对于个人数据跨境传输的规定主要体现在《新联邦数据保护法》（,以下简称“BDSG”）中。BDSG对于个人数据的跨境转移规制与GDPR的三种情形基本相同。此外，由于欧盟成员国具有统一的数据保护水平，受BDSG管辖的公司有权按照与德国数据要求相同的规则向欧盟其他成员国传输个人数据。

法国对于个人数据的跨境转移规制与GDPR基本相同，在此不再赘述。

对于总部位于中国的车企或属于汽车供应链上下游的企业而言，由于中国不属于白名单国家，需要数据跨境传输，建议企业签订欧盟标准合同条款和进行数据传输影响评估（Transfer lmpact Assessments，以下简称“TIA”），并根据TIA的结果实施技术、组织、合同等补充措施，以确保数据传输符合欧盟GDPR数据跨境传输体系。数字化转型网www.szhzxw.cn

b)数据保护官(Data Protection Officer(以下简称“DPO”)制度

DPO的主要职责是监督数据保护法规的遵守情况，并作为数据保护问题的联系人。GDPR强制要求欧盟所有系统性地监控大规模数据主体或处理大规模特殊类别数据的私营组织，必须任命DPO以确保数据合规。

德国BDSG对于强制任命DPO的标准更严格。若公司长期雇佣至少10名员工进行自动化数据处理，或公司进行的数据处理需要经过数据保护影响评估等，则公司都必须任命DPO。

法国鼓励所有企业任命DPO，虽然并非强制要求，但事实上企业是否任命了DPO已成为该企业是否满足合规监管要求的重要标准之一。数字化转型网www.szhzxw.cn

c)欧盟Europrivacy认证

欧盟Europrivacy认证是一项基于GDPR设计的官方认证机制，也是目前所有欧盟成员国唯一正式认可的GDPR认证机制，旨在评估和认证组织在处理个人数据时的合规性。

Europrivacy由位于卢森堡的欧盟认证和隐私中心（European Centre for Certification and Privacy，以下简称“ECCP”）维护。ECCP ，旨在支持数据保护和认证领域的创新技术和解决方案。ECCP 自身不作为认证机构颁发证书，而是负责管理Europrivacy认证方案和许可流程。保护个人数据的合格认证机构、咨询公司可向 ECCP申请成为 Europrivacy的认证机构、咨询机构，但认证机构必须位于欧盟区域内。

● Europrivacy的申请资格数字化转型网www.szhzxw.cn

GDPR定义下的数据控制者和数据处理者都有资格向认证机构就有数据活动的技术、组织和环境（Technology, Organization, Environment）申请Europrivacy认证。

● 评估范围

Europrivacy可以在任何地方用于评估对GDPR的遵守情况，其开发和设计易于扩展到补充性国家数据保护法规，包括非欧盟法规，以及特定领域和技术法规。然而，Europrivacy认证证书的交付并不适用于没有为数据主体的权利和自由提供充分保障的司法管辖区。数字化转型网www.szhzxw.cn

● 评估方式

Europrivacy的评估适用于几乎所有的数据处理活动，包括人工智能、区块链、电子医疗和物联网等创新技术，也当然包括汽车行业各类相关的场景和技术。但也有许多特定的排除项，例如生物医学数据。

根据GDPR第42条第6款，只有数据处理活动才能获得认证。因此，对于欧盟司法管辖区内的实体，不可能根据GDPR一次性对整个公司甚至公司的整个管理系统进行认证。对于汽车行业的出海企业，可以优先选择涉及较多个人信息的数据处理活动开始认证，如车载娱乐主机内的各项系统，再逐步扩展到汽车全程生命周期下其他数据处理活动。

● 认证要求和标准

认证要求：与产品、流程和服务相关的数据处理，应符合ISO/IEC 17605标准的要求；与数据保护管理系统有关的数据处理，应符合ISO/IEC 17021-1的全部或部分要求，或符合ISO/IEC 17605的延伸要求。

认证标准：Europrivacy认证方案定义了一整套基于事实的详细标准，以最大限度地降低评估符合性时的主观性风险。这些标准全面涵盖 GDPR 以及成员国，和汽车行业领域的补充要求。具体包括：识别所有会处理的个人信息；遵守向数据主体提供数据处理信息的要求；处理个人信息的合法性，遵守“事先知情同意”要求；遵守有关未成年人年龄的要求等。数字化转型网www.szhzxw.cn

● 认证价值

通过Europrivacy的评估，不仅可以帮助有需要出海汽车行业建立更加健全的数据保护体系，还能够通过对企业内部法律和金融风险的系统差距分析来确定并减少潜在的风险。同时，除了欧盟司法领域外，Europrivacy还可以将合规评估扩展到非欧盟司法领域，并加入一个致力于数据保护的商业生态体系。从企业宣传角度来讲，获得Europrivacy是目标欧洲市场的出海企业对自身GDPR合规性的强力证明。

在欧盟严峻的数据保护法律法规和不断累加的贸易壁垒的挑战面前，Europrivacy可以提供给出海企业不仅是一种符合欧盟数据保护法律法规要求的权威标志，更是一种有效管理、保护个人信息安全及隐私权利、提升出海企业品牌形象与市场竞争力等多方面效益集于一身的综合性认证标识。

产业链划分下的合规义务

a)数据收集环节

告知并取得同意：欧盟、德国、法国在具体的告知事项和告知标准上存在少量差异。例如，法国对于“同意”的要求更为苛刻，往往要求取得书面同意；欧盟规定在以下场景下，采集或处理信息必须告知并获得明确同意：使用电子邮件、短信、传真、电话等方式进行商业营销；哨兵模式下，车机摄像头进行录制；投保UBI保险[ UBI模式车险（Usage Based Insurance）：基于车主驾驶行为以及使用车辆相关数据相结合的可量化的保险。]等。另外，欧盟建议车载语音交互系统应当在开启前展示隐私政策全文，并在获得用户同意后再开启相应功能。数字化转型网www.szhzxw.cn

特殊提示：欧盟、德国、法国均对数据采集场景下对用户的提示方式做出了具体要求。例如，欧盟要求车企应通过标准化图标的形式提供与处理相关的隐私保护提示。

b）数据存储环节

个人信息权的实现：欧盟、德国和法国均要求数据处理者和数据控制者应采取各种途径帮助用户有效实现其个人信息权。例如，便利用户更改其隐私设置，或方便用户删除存储在汽车仪表盘上的个人数据。

报告义务：车企应及时向国家监管部门报告数据安全漏洞。

记录义务：OTA汽车远程升级时，主机厂应内部建档，记录和存储对应车型的OTA升级信息，包括：升级的目的、升级可能影响的车辆系统或功能、升级过程中的安全保障措施等。

员工规模达到250人及以上的车企，应当对其数据处理操作制作登记册加以记录。记录内容至少包括：控制者及控制者的代表、DPO等的姓名及联系方式；对数据主体类型及个人数据类型的描述等。

数据存储期限：欧盟规定，商业交易数据的法定时效期限结束时，此类数据应当被删除或匿名化；使用数据中的原始数据应尽可能不做处理；建议保留汇总数据。法国国家信息和自由委员会（Commission nationale de l’informatique et des libertés Abbreviation, 以下简称“CNIL”）建议在使用cookie和跟踪设备时，需6个月更新cookie的同意或者拒绝，或者不需用户同意的受众测量跟踪设备的生命周期不应超过13个月。数字化转型网www.szhzxw.cn

c）数据处理环节

最小处理原则：委托第三方处理数据时，数据处理协议必须明确，企业应当仅处理相关且限于处理目的所必需的个人数据。该原则在数据采集环节也有应用。任何情况下对个人信息的采集，都必须保证该采集是必要合法的。例如，企业应当明确哨兵模式下开启车外视频的录制的必要性。法国要求车载视频监控系统保证数据采集的必要性。

本地处理原则：在无法数据本地处理的场景下，应选择“混合处理”。例如，对于UBI保险而言，有关驾驶行为的个人数据（如踩在制动踏板上的力度、行驶里程等）可以在车机本地处理，也可以由远程信息处理服务提供商（数据处理者）代表保险公司（数据控制者）处理，以生成分值，并在规定的基础上（如每月一次）传送给保险公司。

敏感信息的处理：欧盟、德国、法国等对于敏感信息的范围以及豁免情形有不同规定。例如，法国对于豁免情形的规定更细化，出于预防医学、医学诊断、护理或治疗管理或卫生服务管理的目的而必须进行的处理等均可作为豁免事由。数字化转型网www.szhzxw.cn

数据保护影响评估：对于特别使用新科技处理数据，且该处理可能导致自然人之权利及自由的高度风险的场景，车企应于处理前开展数据保护影响评估（<Data Protection Impact Assessment>，以下简称“DPIA”）。例如车联网场景下车企处理个人数据前；企业进行道路测绘活动之前等。

数据处理协议：委托第三方处理数据的，应与处理者签署数据处理协议，明确数据处理范围、期限、第三方的保密义务、数据处理安全措施等条款。

员工信息保护：德国对员工信息保护的要求更为严格。德国规定，员工同意数据处理必须通过书面形式。而GDPR则未对具体形式进行强制性规定，仅要求有明确的同意即可。

儿童信息处理：欧盟、德国、法国都对儿童信息予以特别保护。GDPR将针对未成年人个人信息处理进行特别告知和同意的年龄定在16周岁，而法国将该年龄定为15周岁。

限缩处理主体范围：可以处理信息的主体范围应当是有限的。法国对此有更具体的规定，要求数据处理操作的访问应由具有唯一标识符和密码的个人执行，该标识符和密码应定期更新，或通过保证相同安全级别的任何其他识别方式进行。数字化转型网www.szhzxw.cn

d）数据共享环节

告知并取得同意：如涉及向银行、融资租赁公司等金融机构提供消费者数据的，汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方名称或类型，并具备相应的合法性基础，如数据主体的同意。

特殊信息的强制共享：网联汽车制造商应向零部件制造商、零部件经销商和技术信息提供商等独立运营商提供车辆维修与保养信息或相关软件工具，从而保障消费者自由选择维修商的权利，避免垄断和不正当竞争。

e）数据保护环节

安全保障措施：EDPB建议，行业参与者应采取算法加密通信信道、加密密钥管理、哈希、认证技术等方式增强对个人数据的保护。对于车辆制造商而言，应当区分关键功能与依赖通信的功能（如信息娱乐）、实施技术措施使其能够在车辆全生命周期内快速修补安全漏洞、车辆系统受攻击时设置报警系统并可能在降级模式下运行等。数字化转型网www.szhzxw.cn

德国TISAX认证：TISAX目前是德国汽车行业的一项信息安全强制要求。德国汽车主机厂和一级供应商会提供内部数据资料给外部供应商或合作伙伴，因此前者要求后者在安全可控的物理和网络环境下使用这些数据，确保数据得到切实保护。TISAX审计的对象，主要是面向传统的汽车零部件供应商，在当前环境下也会包括提供技术研发和配套服务的供应商。只要和德系主机厂或德系一级供应商有业务关系，存在相互之间的数据交换，就必须通过TISAX审计。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn