数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
2023年10月12日,2023第二届中国未来交通产业发展峰会在深圳成功举办。本次峰会由中国交通运输协会和中国互联网协会共同举办,国家发展改革委、工业和信息化部、交通运输部、中国工程院及深圳市等有关领导、院士和专家出席,业内领先企业300余位代表齐聚,为引领中国未来交通产业发展出谋划策,为建设交通强国贡献力量。数字化转型网www.szhzxw.cn
12日下午,由FAHFA、北京辉晟管理咨询有限公司、iLaw合规、北京德和衡律师事务所、德和衡研究院联袂承办第二届中国未来交通产业发展峰会汽车数据合规论坛。会上北京德和衡律师事务所合伙人辛小天以“车企出海之欧盟网络安全与隐私合规”为主题做了精彩分享,本文根据辛律师演讲内容整理成文,以飨读者。
一、欧盟主要规定和要求
(一)欧盟主要规定和要求
欧盟对于汽车行业、车联网行业个人信息隐私保护方面的规定整体上立法历史长,积淀深厚,立法蓝图清晰。数字化转型网www.szhzxw.cn
2014年,汽车制造商联盟(Alliance of Automobile Manufacturers)和全球汽车制造商协会(Association of Global Automakers)为汽车技术和服务制定了7条隐私保护原则,涉及透明性、选择性、尊重情景、数据最小化、数据安全、完整性和可取性、可责性等;另外规定只有在基于与消费者的合同、经消费者同意或为了履行法律要求的情况下才可与第三方共享个人数据。
2016年11月30日,欧洲委员会发布了欧盟网联汽车战略(“欧盟战略”),表明了个人数据和隐私的保护对于自动驾驶汽车的成功部署是决定性的因素,指出了网联汽车传送的所有数据,原则上都构成个人数据。
同时,欧盟在车联网行业领先提出隐私涉及和安全设计。2016年12月,欧盟网络与信息安全机构(ENISA)发布了《智能汽车网络安全与适应力——优秀实践与推荐》,在这份指南中,ENISA通过预设四种汽车网络安全受到攻击的场景,并针对性给出政策与标准、组织结构和技术层面的应对建议。2019年11月,ENISA又基于上述指南进行更新,发布了《智能汽车安全的优秀实践》指南,这部新指南将保障汽车网络安全的 政策与标准、组织结构和技术层面的优秀实践进一步细化,建议汽车生产者将privacy by design、security by design等理念在产品研发的最初阶段就加以贯彻,透过供应链贯穿整个智、能汽车的生命周期,从而保障车联网安全。数字化转型网www.szhzxw.cn
作为车企出海至关重要的市场,德国拥有多个世界第一。德国联邦运输和数字基础设施部(BMVI)下属道德委员会制定《自动化和网联化车辆交通伦理准则》,是全球首个针对自动驾驶的伦理指南;德国颁布的《道路交通法》,是全球首部正面回应并规制自动驾驶相关问题的;同时,德国还是世界上第一个允许自动驾驶汽车进入日常运行场景的国家。
此外,自动驾驶车辆的型式认证法规Reg.(EU)2022/1426-《全自动车辆自动驾驶系统(ADS)型式认证的统一程序和技术规范》同样是全自动驾驶车企出海欧盟必备的认证和规范要件,其中将隐私设计,安全设计,数据安全合规治理等要求纳入规范内容。
(二)欧盟针对汽车数据的监管要点
1.识别个人信息
即明确哪些数据构成个人数据。数字化转型网www.szhzxw.cn
2.设计产品/服务时考虑到目的合法和比例原则
既包括是汽车厂商设计产品时考虑到目的合法和比例原则,同时也涵盖对和汽车厂商相关的第三方的设计过程。
3.透明度原则
包括告知原则和同意的合法性原则。
4.建立个人数据保护强制执行措施
集中在技术安全措施方面。数字化转型网www.szhzxw.cn
二、GDPR适用的注意要点
(一)基础框架
2016年4月27日获得欧盟议会与欧盟理事会的通过,并于2018年5月25日执行。GDPR堪称史上最严格的数据保护法案,任何违反GDPR的行为,将会遭致1000万到2000万欧元的罚款,或企业全球年营业额的2%到4%的罚款,以两者中数额最大的为准。此外,GDPR属地兼属人的管辖机制使很多出海车企都被纳入管辖范围之中。
(二)组织架构(DPO)
任命数据保护官的法律义务的决定性因素不是公司的规模,而是数据处理,特别是有关于个人敏感信息是否达到了三个关键词:大规模,经常性,系统性。数字化转型网www.szhzxw.cn
具体来说,“大规模”的判断标准有:有关的数据主体的数量(具体数量或比例);数据量和/或正在处理的不同数据;数据处理活动的持续时间;处理活动的地理范围。“经常性”的判断标准有:持续的或在特定时期内以特定间隔发生的,反复出现或在固定时间内重复出现,或不断地或定期地发生。“系统性”的判断标准有:根据一个系统发生的;预先安排的、有组织的或有方法的;作为数据收集总体计划的一部分而进行的;作为战略的一部分进行的。对于智能汽车,业内公认其属于“系统性”和“经常性”的涵盖范围,所以DPO建设和车企关联度较高。除了关注欧盟GDPR的规定,还应关注欧盟成员国的法律要求,其往往起到加成作用。车企在出海过程中,应充分了解目标国家市场有无特殊规定。
(三)人脸识别信息收集
我国和欧盟均对人脸识别信息收集要求进行了相应规定。
1.国内规定
我国建立了人脸识别信息收集处理的精度范围适用原则要求。《汽车数据安全管理若干规定(试行)》第六条规定“汽车数据处理者在开展汽车数据处理活动时需根据所提供服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。”《信息安全技术网联汽车采集数据的安全要求(草案)》对“精度范围适用原则”提出了细化规定,提出除清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据外的数据,未经被收集者的单独同意,不得通过网络、物理接口向车外传输。
在技术处理要求方面:《汽车数据安全管理若干规定(试行)》第八条允许个人信息处理者为保证行车安全的需要,在缺少个人明示同意的情况下采集车外人脸信息,但是要求个人信息处理者应以“删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理”等方式对信息进行匿名化处理。《智能网联汽车数据通用要求(征求意见稿)》第5.6.2条也在人脸匿名化对象、匿名化处理性能等方面对匿名化处理的要求进行了细化规定。数字化转型网www.szhzxw.cn
2.欧盟规定
GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非涉及公共利益等重要事件,不得处理该等数据。人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”,而且同意须“自愿作出的、具体的、知情的以及明确的”。
《人工智能法案》将人脸识别等远距离生物识别系统认定为“高风险”级别。
《关于个人数据自动处理过程中的个人保护公约》(The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)咨询委员会在2021年发布了一份《关于人脸识别的指南》,要求使用人脸识别技术前必须进行DPIA,针对立法者与决策者、人脸识别技术的开发商、制造商及服务提供商、使用人脸识别技术的实体等角度分别提供了相应的合规措施参考建议。
(四)数据处理要求的应用
1.合法基础的适用:正当利益原则
该条规定专指商业机构追求其商业利益的情形。例如“对于客户或雇员数据的使用”、“推广营销”、“欺诈防护”、“集团内部数据转移”、“IT安全”等。在适用过程中,需要谨慎分析,平衡考量。如果商业利益的追求侵犯了数据主体更值得保护的权利(例如:处理敏感个人数据或数据主体是儿童时),商业机构就应作出让步。数字化转型网www.szhzxw.cn
案例:Google Spain一案中,Google认为其收集和处理个人数据用于搜索引擎业务,属于追求正当利益所必需。法院在考虑运营商的正当利益与使用者的权利平衡时认为,虽然未经告知同意收集这些数据,侵犯了被收集人的隐私权,运营商的商业利益不应凌驾于被收集人隐私权之上,但公众使用搜索引擎获取信息也是一种正当利益。公众与运营商的正当利益之和应高于被收集人一般的隐私权。但是,对于个人敏感数据的处理,这一平衡就会被打破,需要经过数据主体的知情同意。
2.匿名化处理的要求
我国的匿名化侧重于“不能恢复的不可识别”,而欧盟的匿名化侧重于“合理可能的不可识别”。相比较而言欧盟的合理可能(reasonably likely)原则考量要更加复杂一些,除技术要素外,还要要综合考虑成本、时间等因素,意即数据控制者或其他人采用了所有合理可能的方法,仍无法直接或间接识别数据主体。
3.数据跨境
案例:Schrems II案的判决反射,即使使用SCC等适当的保护措施,组织也应始终评估第三国的数据接收者是否能够遵守GDPR的所有要求,包括对于技术补充措施的充分保护评价。这种补充性认定可能影响对于中国总部影响的延伸判断,包括决策机制和面向的用户主体。数字化转型网www.szhzxw.cn
4.透明度原则
透明度原则意味着告知同意规则的合理设置。需要注意同意机制的适用上要关注欧盟的全面规定。例如,欧盟委员会《电子隐私指令》中规定,在用户终端设备中存储信息、访问已经存储的信息必须取得个人数据主体的事先同意,即意味着用户授权对于终端设备的全面覆盖要求。
案例:2021年7月,中国企业字节跳动海外短视频平台TikTok,因违反GDPR第12条被荷兰数据保护局以侵犯儿童隐私为由罚款75万欧元。这也是GDPR实施三年以来,中国企业首次因违反GDPR而受到处罚。
在TikTok处罚案中,荷兰数据保护局就是以没有用“可以理解的语言”告知儿童关于个人数据的处理,从而违反了GDPR第12(1)条的规定对TikTok进行处罚。数字化转型网www.szhzxw.cn
5.数据删除
在欧盟地区,关于“数据存储超期限”“数据未及时删除”主题的案件近年也已逐渐受到相关执法部门重视。《车联网个人数据保护指南》规定,更换车主(例如车辆过户)或驾驶人(例如租赁到期)的,应当永久删除该主体相关的个人信息,除非法律另有规定。
案例:德国某住房公司因缺少完备的信息删除机制和流程,导致某租户个人信息在租期结束后数年内还长期保存在公司数据库里,因这些信息的收集使用目的早已不复存在,无任何理由再继续存储,且该公司在监管部门两次检查间的一年半期间内,一直未采取有效措施改正违规操作,故被认定为非法存储个人信息,并处罚金1450万欧元。数字化转型网www.szhzxw.cn
丹麦数据保护机构第一份GDPR处罚即是对出租车公司“Taxa 4×35”的处罚通知。据悉,丹麦数据保护机构发出此份处罚通知的原因是Taxa过度保留了大量客户数据。
三、欧盟《车联网个人数据保护指南》
(一)车联网环境下的个人数据潜在风险
车联网环境下的个人数据潜在风险有以下六点:一,汽车个人信息更具敏感性、动态性、复杂性、隐蔽性;二,个人数据过度收集;三,个人数据的处理没有获得权限;四、同意机制考虑不全面;五,个人数据主体对其个人数据缺乏控制以及信息不对称;六,个人数据的安全风险较高。
案例:丰田服务器中人为导致的云配置错误致使从2012年注册丰田云服务的用户的车辆位置信息等敏感个人信息可未经授权访问。数字化转型网www.szhzxw.cn
某大型跨国汽车公司2021年6月12日披露,未经授权的第三方获取了其北美地区约330万车主及潜在客户的个人信息。这批泄露的数据来自2014年至2019年期间收集到的销售及市场调查信息,包括:车主及潜在客户姓名、地址、电子邮箱、电话号码。还有部分受到影响的数据包括:买卖、租赁或查询车辆信息,如车辆识别号(VIN码)、品牌、型号、年份、颜色和装饰套件等。此外,超过95%遭到泄露的敏感数据均涉及驾照号码,也有极少数涉及出生日期、社保或保险号码、银行账号或贷款号码以及税务识别号。
(二)《车联网个人数据保护指南》介绍
2020年1月28日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布的《在联网车辆和出行相关环境下处理个人数据的指南(公开征求意见稿)》,2021年《车联网个人数据保护指南》正式发布。
(三)车联网环境下的个人数据范围
沿用GDPR一贯的“可识别性”的标准,车联网环境下的个人数据可以定义为与联网车辆交互所产生的大部分数据可以识别到特定的自然人或与识别自然人有关。具体包括:在车内处理的个人数据;车辆和与之相连的设备(例如车主、驾驶员或乘客的智能手机)之间交换的个人数据;在车内收集并为进一步处理而向外部实体(如:汽车制造商、保险公司、汽车维修商等)输出的个人数据。已排除范围包括:车联网应用环境下基于雇佣关系产生的个人数据、车辆内置WiFi相关的个人数据以及协同智能驾驶系统(Cooperative Intelligent Transport Systems,C-ITS)相关的个人数据(受《C-ITS系统授权法案》管辖)。
(四)基本应对建议
1.重点关注三类个人数据数字化转型网www.szhzxw.cn
重点关注的同时须严格遵循目的限制原则及数据最小化原则。
(1)位置数据
①充分评估收集的频率、细节程度等;
②充分告知个人数据主体针对其位置数据进行处理的详细信息;
③若处理位置数据的活动需以个人数据主体的同意作为法律基础,应当征得其有效同意;
④仅当个人数据主体要求启动必需获取车辆地理位置的功能时,方可激活地理位置的收集,不可在车辆启动时以默认和持续的方式启动收集行为,同时应当为个人数据主体提供可随时禁用地理位置的选项;
⑤以图标等明显的方式告知个人数据主体地理位置已被激活合理可能(reasonably likely)标准:综合考虑技术、成本、时间等因素,数据控制者或其他人采用了所有合理可能的方法,仍无法直接或间接识别数据主体。
(2)生物识别数据
参与各方应当为个人数据主体提供不需要收集生物识别的替代方案,且不会向个人数据主体施加额外的约束数字化转型网www.szhzxw.cn
参与各方在收集生物识别数据后,应当通过以下方式充分保障数据的安全:
①仅在本地以加密形式存储和比对生物识别模板,确保生物识别数据不会被外部的读取/对比终端处理;
②确保所使用的生物识别传感器及解决方案具备充分的安全能力;
③避免存储原始数据,对构成生物识别模板和用于用户验证的原始数据进行实时处理。
(3)可揭露犯罪行为或交通违法的数据
参与各方采取本地处理的方式,确保个人数据主体对所涉数据具有完全的控制权,同时保护数据免于非法访问、修改和删除。除某些特殊的例外情形,禁止参与各方对可揭露犯罪行为或交通违法的数据进行外部处理。数字化转型网www.szhzxw.cn
2.实现设计和默认的数据保护(DPbDD)
尽量采取本地处理的方式,避免依赖不必要的外部云能力。如果数据必须传输至车辆以外,应当在传输之前对个人数据进行匿名化处理。
建议参与各方进行个人数据保护影响评估(Data Protection Impact Assessment,DPIA),在推出新技术之前将风险分析的结果纳入设计过程。
3.保障个人数据主体权利
参与各方需要在处理个人数据之前充分告知数据主体关于数据控制者的具体身份、处理目的、数据接收方、数据存储期限以及数据主体所享有的权利等详细信息。数字化转型网www.szhzxw.cn
在间接收集的场景下(例如,车辆制造商可能会依靠经销商来收集数据主体的个人数据以便提供紧急路边援助等服务),上述信息可通过车辆销售合同、服务合同等书面文件或车载显示屏展示的条款告知个人数据主体。
车辆制造商可以考虑在车辆内部安装用户配置文件管理系统作为实现其权利的途径。
4.加强数据安全保障
须确保数据的安全性和保密性。例如:对通信通道进行加密、为每辆车设置独立的加密密钥管理系统、验证数据接收设备。数字化转型网www.szhzxw.cn
5.汽车制造商安全措施要求
①区分车辆的重要功能与完全依靠通信能力的功能(例如娱乐功能);
②实施技术措施确保能够在车辆的整个使用周期内能够迅速修复安全漏洞;
③须设置防止车辆系统遭受网络攻击的预警系统;数字化转型网www.szhzxw.cn
④存储访问车辆信息系统的日志记录等。
四、其他欧盟立法
(一)数据治理
1.《数据服务法》
数字服务(或“在线服务/线上服务/网络服务”)包括主要适用于提供接入、缓存、托管等服务提供商,以及在前述基础上组合而实现的搜索引擎、论坛等服务。数字化转型网www.szhzxw.cn
《数字服务法》(DSA)要求平台保护用户知情权,明确公示其条款条规,建立的受信举报者(trusted flaggers)制度将允许用户对涉嫌违法违规的商家或行为进行标记。
根据法条表述,车载智能网联系统中的用户有很大概率被视为接受托管服务的用户。
2.《数据市场法》
《数字市场法》(DMA)设立了适用于向欧盟境内企业及终端用户提供平台服务的大型平台守门人(gatekeeper)的监管,禁止不公平竞争行为。针对市场规模和用户规模较大的车企需要关注。
守门人主要特征有市场影响、中介属性、固定和持久的市场地位三大特征。市场影响指在欧盟市场上过去三年的年度营业额均达到或超过750万欧元,或过去一年的平均市值或公允价值达到7500万欧元,并且在至少3个欧盟成员国提供核心平台服务。中介属性指在过去一年拥有欧盟境内至少4500万月活终端用户,或至少1万家年度活跃商家用户。固定和持久的市场地位指:过去3年内曾保持了相对稳定的发展,或过去3年均达到了第二项中描述的用户数量。数字化转型网www.szhzxw.cn
(二)人工智能监管
随着人工智能产业的爆发,以及在车企的广泛应用,AI的监管也成为企业需要关注的重要合规内容之一。欧盟也是目前全球AI合规理念最具代表的法域。
1.立法概况
(1)提出“可信任的人工智能”理念
2018年,欧洲政治战略中心发布《人工智能战略》,成立人工智能高水平专家小组,提出符合欧盟价值观和利益的“可信任的人工智能”理念。数字化转型网www.szhzxw.cn
专家小组于2020年7月发布的一项文件提出应当分行业(公共部门、卫生、制造业和物联网)对A予以不同程度监管。
2019年,欧盟发布《可信A伦理指南》正式确立“以人为本”的人工智能发展及治理理念,提出的可信人工智能三大要素也进而成为世界范围内较为通行的人工智能评估准则。
(2)建立算法规则
2019年《算法的可问责和透明的治理框架》发布,确立了人工智能的算法问责机制及透明义务的规则。
(3)AI产品责任
2022年9月28日,欧盟委员会发布的《人工智能责任指令》提案规定了AI引发的侵权损害责任,以使受害者在使用AI产品时可依法获得侵权损害救济。数字化转型网www.szhzxw.cn
(4)人工智能治理立法
2020年,欧洲委员会发布了《面向卓越和信任的欧洲人工智能发展之道》和《欧洲数据战略》等政策文件,推动了人工智能领域的治理和法规修订。欧洲议会于2023年6月14日以压倒性多数通过了《人工智能法案》的授权草案。预计该法案将于2024年正式生效。
2.规范特点
(1)数据来源合法
要实现数据来源合法,可以记录机器学习模型的训练和评估数据,实时监控数据的动机、组成、收集、收集、标签、使用目的和数据维护过程。数字化转型网www.szhzxw.cn
(2)AI算法模型要具有透明性、可解释性和可追责性
要明晰驾驶系统相关的机器产品的制造者、代理、进口商、经销商的责任划分,防止AI算法模型脱离人类意志、违背安全驾驶的决策机制,如汽车自动驾驶的边缘案例。
3.监管措施
欧盟采取了CE合格标识和监管沙盒的监管措施。获得CE合格标识意味着人工智能系统符合法案对高风险系统的规定要求。监管沙盒能够减轻中小企业和初创企业的合规负担,提升监管效力。
4.一些业内争论的问题
(1)风险分级逻辑与实际应用脱钩风险
(2)风险评估可能出现自行规避问题数字化转型网www.szhzxw.cn
(3)技术上遵守存在困境
(4)数据主体保护及责任承担机制不完善
(5)统一的法律框架存在局限性数字化转型网www.szhzxw.cn
(6)与GDPR的衔接不清
五、出海数据合规体系建设
通过外观对标衔接+充分内部评估+整合,助力企业出海数据合规体系建设。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于FAHFA;编辑/翻译:数字化转型网Jack。
