歐盟合規觀察｜中國車企出海：歐盟數據合規法律框架概覽【走出去智庫】_風聞

走出去智庫（CGGT）觀察

近年來，中國新能源車企掀起了一股“出海熱”的浪潮。根據公開數據，我國2023年全年汽車整車出口491萬輛，同比增長57.9%，首次躍居全球第一。其中新能源汽車出口120.3萬輛，同比增幅高達77.60%。

伴隨着中國車企“出海”浪潮的出現，歐洲市場成為越來越多國內車企的“兵家必爭之地”。為了融入當地市場，中國車企面臨着方方面面的挑戰，其中之一就是歐盟當地較為嚴苛的數據合規監管要求以及較高的合規門檻。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺推出中國車企出海歐盟合規系列文章，對歐盟數據合規法律框架進行整體的介紹，並對中國車企在出海歐盟市場過程中，所關注的數據合規重點問題進行總結與分析，以期為中國車企出海歐盟提供關於開展數據合規工作的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之一《歐盟數據合規法律框架概覽》，供關注歐盟數據合規的讀者參閲。

要點

1、即將於2025年生效的《數據法案》（Data Act）以及目前正在定稿中的《人工智能法規》（AI Act）出台後，歐盟委員會後續發佈的配套法案也會對出海車企及相關智能網聯汽車服務供應商的合規義務產生影響。

2、雖然AI Act本身並不直接適用於具有輔助駕駛和自動駕駛能力的智能網聯汽車及其人工智能組件，但因為AI Act規定歐盟委員會在將來出台機動車輛型式批准框架的補充指令時融入AI Act針對高風險人工智能系統提出的合規要求，所以人工智能法案項下的部分要求也可能在將來適用於具備輔助駕駛和自動駕駛能力的汽車。

3、歐盟數據保護委員會（EDPB）特別針對汽車行業個人信息處理活動發佈了車聯網指南。該車聯網指南根據《通用數據保護條例》（GDPR）、《電子隱私指令》（ePD）要求，為車機端功能模塊的隱私默認設置提供了參考意見。

正文

1、引言

隨着智能網聯汽車功能模塊的更新迭代，汽車在為車主提供智能化、個性化的駕駛體驗的同時，也收集、處理、生成了海量數據。作為典型的需要處理海量數據的企業，中國車企在進入歐洲市場正式展業或大規模展業前，需要重點關注歐盟關於個人數據處理的相關法律法規及最佳行業實踐指南，以期儘早將該等要求嵌入車輛默認功能設置和數據處理的全生命週期。

2、歐盟個人數據保護法律概覽

2****.1********歐盟層面的條例或指南****

目前歐盟層面現行有效的、和汽車行業個人數據處理密切相關的法律主要包括《通用數據保護條例》（General Data Protection Regulation[1]，下文簡稱“GDPR”）和《電子隱私指令》（ePrivacy Directive[2]，下文簡稱“ePD”）。

GDPR對個人數據處理的全生命週期提出了系列要求。GDPR不僅適用於歐盟境內的實體機構與其營業活動相關的境內數據處理活動，也具有域外適用效力；若歐盟境外實體向歐盟境內的自然人提供產品或服務，或是監控其行為，則GDPR也適用於該等境外實體。違反GDPR的後果包括但不限於高額罰款（2千萬歐元或企業全球營業額的4%，以較高者為準）。

ePD適用於向終端用户提供電子通信網絡和服務的提供者。特別地，ePD也為存儲或訪問存儲於終端設備（“terminal equipment”）中的用户數據設定了要求，該等存儲或訪問行為原則上均需要獲得用户的同意，除非是基於下述兩種例外情形：（1）基於通訊傳輸之必要，（2）提供信息社會服務（“information society service”）[3]所必需，且該等服務是由用户明確地自主選擇。根據歐洲數據保護委員會（European Data Protection Board，下文簡稱“EDPB”）發佈的車聯網指南[4]，智能網聯汽車屬於ePD語義下的終端設備，數據控制者（大多情況下是汽車製造商）在訪問智能網聯汽車存儲和產生的個人數據時，需獲得用户的同意，除非相關存儲和訪問行為滿足上述無需獲得用户同意的例外情形。

除了現已生效的GDPR和ePD，作為歐盟最新數字戰略的一部分，即將於2025年生效的《數據法案》（下文簡稱“Data Act”）[5]以及目前正在定稿中的《人工智能法規》（下文簡稱“AI Act”）[6]出台後，歐盟委員會後續發佈的配套法案也會對出海車企及相關智能網聯汽車服務供應商的合規義務產生影響。

Data Act適用於在歐盟市場上投放互聯設備的製造商以及支持互聯設備功能正常運作的相關服務（除電子通信服務之外的數字服務，包括軟件）的提供商，無論這些製造商和提供商是否在歐盟境內設立實體。Data Act賦予了互聯設備（包括智能網聯汽車）的個人和企業用户訪問和再轉移通過使用互聯設備過程中所生成數據的相關權利。互聯設備製造商（包括智能網聯汽車製造商）需要提前評估Data Act是否適用於互聯設備和/或相關服務，並適時修改落入Data Act適用範圍的互聯產品和/或相關服務的使用條款，更新產品設計以保障用户訪問或要求再轉移數據等Data Act項下義務的實現。

AI Act對被歸類為高風險的人工智能系統提出了系列合規要求，而人工智能是實現輔助駕駛、自動駕駛的技術支撐。雖然AI Act本身並不直接適用於具有輔助駕駛和自動駕駛能力的智能網聯汽車及其人工智能組件，但因為AI Act規定歐盟委員會在將來出台機動車輛型式批准框架的補充指令時融入AI Act針對高風險人工智能系統提出的合規要求，所以人工智能法案的項下的部分要求也可能在將來適用於具備輔助駕駛和自動駕駛能力的汽車。

2.2成員國層面的國家法

上述已生效以及未來即將定稿生效的法律法規中，GDPR、Data Act和AI Act屬於歐盟條例（Regulation），直接適用於歐盟各成員國。ePD作為歐盟指令（Directive），各成員國需要將其條款轉化成國內法。不同於歐盟層面普遍適用的條例，各成員國有義務在規定的期限內將指令規定內容轉化為本國的國內法。例如，德國關於ePD的相關要求體現在《電信媒體數據保護法》（Telecommunications Telemedia Data Protection Act）。

對於預期進入歐盟市場、或已經進入歐盟市場且在可預期的未來擴大歐盟業務的中國車企以及上游軟硬件供應商而言，目前需要評估其是否落入GDPR和ePD的管轄範圍並儘快採取系列數據合規保護措施（詳見本系列後續文章），同時也需要提前判斷Data Act對相關產品和服務可能帶來的潛在影響並提前進行合規改造，此外還需要密切關注AI Act出台後歐盟委員會後續發佈的和汽車行業相關的補充指令。

3、汽車行業相關個人數據保護實踐指南

歐盟數據保護委員會（EDPB）特別針對汽車行業個人信息處理活動發佈了車聯網指南。該車聯網指南根據GDPR、ePD要求，為車機端功能模塊的隱私默認設置提供了參考意見。例如，較為敏感的數據類型的收集（如生物識別數據、實時位置數據）應僅在提供服務所必需範圍內進行收集處理，原始的人臉識別圖像應儘量在車內本地進行即時處理，並嚴格限定存儲期限，採取合適的技術保障措施。

成員國層面，部分成員國的數據保護主管機關也出台了和智能網聯汽車個人信息處理相關的推薦性指南，例如德國發布的必須進行數據保護影響評估（更多關於數據保護影響評估機制的介紹，詳見本系列後續文章）的處理活動清單就包括了智能網聯汽車涉及的大規模的處理個人位置信息以及利用車載攝像頭記錄車外行人道路等公共區域的行為。 [7]   

GDPR不僅是歐盟數字化轉型的決定性一步，還為全球設定了數據流動和個人隱私保護的新標準。自實施以來，該法律已經對違規企業處以了數十億歐元的罰款，顯示了其強大的執行力。考慮到GDPR設定的高額罰款以及各成員國數據保護主管機關的活躍執法行動，中國出海車企應在設計車機功能的初期儘早將EDPB及成員國數據保護主管機關發佈的系列指南中提出的合規建議嵌入產品前端的默認設置中，並及時採取內部合規評估措施，包括但不限於針對高風險的車機功能進行數據保護影響評估。我們將在下一篇中介紹中國車企出海歐盟市場在數據合規需關注的部分重點問題。

註釋：

1. Regulation (EU) 2016/679, available at https://eur-lex.europa.eu/eli/reg/2016/679/oj.

2. Directive 2009/136/EC, available at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32009L0136.

3. Information Society service refers to any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.

4. https://edpb.europa.eu/system/files/2021-03/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_en.pdf

5. Regulation (EU) 2023/2854, available at https://eur-lex.europa.eu/eli/reg/2023/2854.

6. 截止本文發佈之日，AI Act的官方正式文本尚未發佈。本文下述內容基於歐洲議會於2023年6月14日發佈的最新草案稿（參見https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html），該最新草案稿對歐盟委員會2021年4月發佈的草案稿（參見https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206）提出了若干修改意見。

7. https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DPIA_list_1_1__Germany_EN.pdf