如果说在过去的几十年中，中国企业进军欧洲一直是以产品输出为主，新能源汽车产业则是近年来中国企业实现产业升级、从产品输出转向技术输出的典型代表。尤其是在新能源汽车核心的电池、智能网联等领域，中国企业相对于欧洲企业具有了部分差异化优势。以新能源为基础的智能网联汽车成为了中国车企弯道超车、打开欧洲市场的窗口。2020年下半年以来，蔚来、小鹏、比亚迪等中国车企纷纷进军欧洲市场。目前在欧洲销售的新能源汽车中，中国车企的产品占据了10%的市场份额。

智能网联汽车是大数据时代的产物，在行驶和使用过程中会产生海量的数据。中国车企想打开欧洲市场并站稳脚跟，需要充分了解欧盟当地的数据合规法律法规并建立完善的合规体系，才能长久稳健发展。

中国车企在欧盟进行数据合规治理的必要性

数据治理不合规的处罚

欧盟《通用数据保护条例》（欧盟第2016/679号条例，简称“GDPR”）被称为史上最严数据保护法。这一条例自2018年5月25日开始直接适用于所有欧盟成员国以来，欧盟各国数据主管当局都采取了严格的执行措施。根据GDPR，违反个人数据保护相关规定的，最高可以处以2000万欧元或相当于全球营业总额4%的罚金，两者中取最高值。因此，在欧盟的数据合规对中国车企而言是一项实实在在的经济风险。

例如，2020年12月7日，由于亚马逊法国和谷歌法国的网站在没有征得网络用户同意和充分告知信息的情况下，在其网站上使用广告目的的cookies，法国个人数据保护委员会对亚马逊和谷歌分别开出3500万 欧 元 和1亿 欧 元 的 罚 单。2022年12月29日，法国个人数据保护委员会则因为TIKTOK网站上使用的cookies不符合个人数据保护立法的要求，对TIKTOK处以500万欧元罚金。这也是法国数据主管当局第一次对具有中国背景的企业进行处罚。

对于企业而言，个人数据保护治理违规带来的后果并不仅仅是经济上的，也会对企业形象和品牌价值产生负面影响。

欧盟消费者的个人数据保护诉求

根据有关数据统计，自GDPR实行以来，欧盟消费者的个人数据保护意识有了很大的提高（见图1）。实际上，数据保护方面的顾虑已经成为了欧盟消费者如今购买选择商品和服务时的考虑因素之一。例如，因顾虑个人数据被传输到美国而放弃使用聊天软件WhatsApp的欧盟用户并不罕见。企业在日常运营中也时常收到消费者关于知晓或删除其个人数据的请求。

GDPR的广泛适用范围

GDPR对个人数据保护的保护程度之高，还体现在其地理适用范围非常广泛。不论是在欧盟内设立分支机构的中国企业，还是尚未出海、仅出口产品的中国企业，都会受到GDPR的调整。

首先，根据GDPR的规定，无论数据的处理实际上是否在欧盟境内进行，在欧盟境内设有商业机构的数据处理责任者或其分包商都需要遵守个人数据保护条例。这意味着如果中国企业在欧盟设有分支机构，则无论个人数据是由其欧盟分支机构自己处理，还是转移给欧盟外的母公司，中国企业的欧盟分支机构都受GDPR管辖。

其次，只要处理的个人数据是在向欧盟境内的个人提供商品或服务时产生的，即使数据处理责任者或其分包商在欧盟境内没有商业机构，也受GDPR管辖。例如，一家位于中国的企业向欧盟境内的消费者出售产品，在购买过程中欧盟消费者提交了个人信息，那么该中国企业即使不位于欧盟境内，也有可能作为数据处理责任者，受到GDPR的规制。

欧盟法下智能网联汽车用户的个人数据

智能网联汽车在行驶或使用过程中会产生海量数据。那么，哪些数据是受GDPR保护的个人数据呢？

GDPR下的个人数据采取了非常宽泛的定义。凡是直接或间接涉及到特定自然人或者可识别身份的自然人的信息，都是GDPR所保护的个人数据，如姓名、识别码、定位信息、网上用户名，或其身体、精神、遗传、经济、文化或社会的一切特征因素。因此，用户在智能网联汽车的车载中控系统中注册时输入的姓名、邮箱等个人信息，都属于GDPR保护的个人数据。

另外，智能网联汽车的智能驾驶技术以用户的海量行车数据为基础。行车数据是否属于GDPR下的个人数据呢？欧盟个人数据保护委员会（EPDB）2021年3月发布了专门针对智能网联汽车的第2020/01号指南。根据该指南，智能网联汽车行驶过程中产生的数据如果满足GDPR的定义，能够识别出某个特定的自然人，如车主、驾驶员、乘客等，则将被认定为个人数据。其他不具有直接识别性的数据，比如与驾驶习惯、驾驶距离、地点偏好有关的信息，也能够识别出特定自然人，因此也可被认为是GDPR下的个人数据。特别是汽车制造商掌握的并不是单一信息，而是庞大的信息集群，技术信息可与其他信息相结合，达到识别某一特定自然人的效果。因此，车速等技术数据也有可能受GDPR调整。

中国智能网联汽车企业在欧盟的数据合规治理重点

明确了欧盟个人数据保护合规的必要性后，中国车企无论是已在欧盟建立分支机构，还是直接出口，都需要提高数据合规意识，在日常业务运营中做到数据合规。以下仅以几个公司运营中常见的合规问题为例进行说明。

收集个人数据的合法性

根据GDPR的规定，数据控制者对自然人的个人数据进行处理，必须具有该条例规定的法律基础，其中个人知情同意是最重要的法律基础。除此之外，还有合同约定、数据处理者的合理利益、履行法定义务、维护数据主体的重大利益、公共利益等可以作为处理个人数据的法律基础。另外，智能网联汽车可能构成欧盟《电子隐私指令》[2]下的网络终端设备，通过汽车内置网络收集用户数据也应事前取得用户同意。

因此，智能网联汽车企业在车载中控系统或是营销中收集用户或潜在客户的个人信息时，需要注意充分告知其收集数据的范围、目的、保存时限、数据传输等内容，取得其知情同意，并建立起完备的文件存档系统。

数据主体行权

在GDPR下，数据主体对其个人数据具有多种数据权利。数据主体行权也是企业经营中时常遇到的问题。这些数据权利包括：

知情权：应数据主体要求，数据处理方应向其提供准确、透明、易于理解和容易得到的信息；

访问权：数据主体有权访问数据处理方所持有的其个人数据，并得到一份副本；

更正权：数据主体有权要求数据处理方更正或补充其错误或不完整的个人信息；

被遗忘权：满足法定条件时，数据主体可以要求数据处理方将其个人数据在最短时限内删除；

限制处理权：数据主体可要求数据处理方对其个人数据处理进行使用上的限制；

可携带权：如果个人数据由机器自动处理，且处理的依据是个人知情同意或合同，数据主体有权从数据处理方处取得其符合机器可读形式的个人数据，并将其转交给另外的数据处理主体；

反对权：数据主体基于合法理由，可以反对数据处理方对其个人数据进行处理，包括反对对其进行用户画像。

另外，对于数据主体行权问题，GDPR对企业作出应答的流程和时限都有要求。例如，对于数据主体要求访问其数据的，企业一般应在1个月内进行处理并回复。这就要求企业内部提前建立好完善的个人数据管理流程，配置专门的数据合规专员，在遇到行权问题时不至于措手不及。

数据跨境传输

中国车企出海欧洲后，不可避免地会遇到个人数据跨境传输问题。无论是智能网联汽车用户的数据，还是中国车企在欧盟内员工、客户、供应商的数据，传输到中国都会造成欧盟内的个人数据流出欧盟。而这正是欧盟数据保护委员会和欧盟各国数据主管当局近年来的执法重点。

由于中国不是欧盟承认的具有个人数据同等保护水平的国家，根据GDPR，企业需要采取额外的保障措施来保证数据在流出欧盟后，仍享有欧盟内同等的保护水平。额外的保障措施包括欧盟委员会公布的标准合同条款、特别合同约定、公司行为准则等。对此，欧洲数据保护委员会分别于2020年11月10日和2021年6月18日通过了两项关于欧盟个人数据跨境流动的合规指南，用以检测个人数据流出欧盟是否有相关保障措施，保证个人数据的保护水平不会降低[3]。欧盟委员会也于2021年6月4日公布了新的标准合同条款（SCC），作为规制数据处理分包关系和数据跨欧盟传输的基础。

具体来说，欧盟数据保护委员会的2020/01号指导性意见针对个人数据转移到第三国的跨境传输，提出了详尽的六步判断法（见图2）：

第一步：绘制数据传输地图

企业需要对所有向欧盟外传输的个人数据进行定位。同时，出于个人数据处理的最小化原则，向欧盟外传输的个人数据对于数据处理的目的而言应是必要的。

第二步：确定数据传输工具

根据欧盟数据保护委员会的观点，欧盟个人数据无论传输到哪里，附着在该数据之上的保护水平应当维持不变。因此，如果欧盟委员会没有认定数据传输的目的地第三国具有与欧盟相当的数据保护水平，欧盟个人数据的跨境传输应当以《欧盟个人数据保护条例》第46条中的数据传输工具为基础。数据传输工具可以是行政当局有约束力的决定、企业自我约束规则、欧盟委员会颁布的标准合同条款、数据控制者与第三国分包商之间的合同协议等。

实践中，最常用到的是欧盟委员会的标准合同条款或专门的合同协议。采用标准合同条款的好处是其合规性不需要再进行专门审查，但应注意必须整体采用，而不能对标准合同条款进行修改，否则需要申请当地数据主管机关的审查意见。另外，2022年12月27日以来，旧版本的标准合同条款不能再继续使用。这就要求企业要根据欧盟最新政策及时更新合规文件，定期评估合规状况。

第三步：评估数据传输工具的有效性

这一步主要是根据目的地第三国的立法和司法情况，评估采取的数据传输工具，如标准合同条款或专门的合同协议在实践中是否可以有效保证个人数据保护水平。对此，欧盟数据保护委员会的2020/02号意见给出了一系列标准，如第三国公权机关如果可以处理传输的数据，其处理是否符合比例性原则、第三国是否具有独立的数据保护机关，以及数据主体是否有救济渠道等。

第四步：采取必要的补充措施

如果第三国的立法和司法情况不能保证欧盟个人数据传输到该国后，仍享有与欧盟相同的保护水平，数据控制者应当采取必要的补充措施，如在技术上采取将数据分割传输、匿名传输的方法等，使得数据在单个目的地不可读。

第五步：将选择的数据传输工具固定下来，如企业内部行为准则、标准合同条款或专门的协议。

第六步：定期重新评估

数据控制者的责任原则决定了对个人数据跨境传输的合规评估不是一劳永逸的，需要定期进行重新评估。

注释：

[1]www.statista.com/statistics/1311126/gdpr-awareness-european-countries/，最后访问日期2023年2月12日。

[2]欧盟第2002/58号电子通信和隐私指令。

[3]欧盟数据保护委员会：2020年11月10日通过的第02/2020 号关于监测措施的欧洲核心保障措施指南（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures）；2021年6月18日通过的第01/2020 号关于保证数据保护水平符合欧盟标准的数据传输补充工具的指南（Recommendation supplement transfer s 01 / 2020 tools on measures that to ensure compliance with the EU level of protection of personal data）。

免责声明：凡本网注明"来源：XXX（非中国知识产权杂志出品）"的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。新闻纠错：13621279650 13621252760，邮箱：chinaip@chinaipmagazine.com