歐盟合規觀察｜中國車企出海：歐盟數據保護影響評估_風聞

走出去智库-走出去智库官方账号-1小时前

2024-03-06

走出去智庫（CGGT）觀察

近年來，中國新能源車企掀起了一股“出海熱”的浪潮。根據公開數據，我國2023年全年汽車整車出口491萬輛，同比增長57.9%，首次躍居全球第一。其中新能源汽車出口120.3萬輛，同比增幅高達77.60%。

伴隨着中國車企“出海”浪潮的出現，歐洲市場成為越來越多國內車企的“兵家必爭之地”。為了融入當地市場，中國車企面臨着方方面面的挑戰，其中之一就是歐盟當地較為嚴苛的數據合規監管要求以及較高的合規門檻。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺推出中國車企出海歐盟合規系列文章，對歐盟數據合規法律框架進行整體的介紹，並對中國車企在出海歐盟市場過程中，所關注的數據合規重點問題進行總結與分析，以期為中國車企出海歐盟提供關於開展數據合規工作的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之三《歐盟數據保護影響評估》，供關注歐盟數據合規的讀者參閲。

要點

1、歐盟《通用數據保護條例》(GDPR)第35條第1款規定，數據控制者在開展可能對自然人的權利和自由產生高風險的數據處理活動前，必須開展數據保護影響評估(DPIA)********。

2、涉及處理大量敏感個人數據的車機功能（例如語音交互）、個人數據處理活動相對較為複雜的車機功能（如OTA升級）以及可能被監管部門重點關注的車機功能（如哨兵模式），被認定為高風險的車機功能的可能性較高。對於部分高風險車機功能所涉及的個人數據處理活動，可能需要提前進行DPIA****。****

3、********在完成DPIA後，數據控制者需要針對評估結果、基於GDPR及相關成員國本地法律進行合規整改。

正文

1、引言

在本系列的第一、二篇文章中，我們介紹了歐盟數據合規的整體法律框架，並初步介紹了出海歐盟市場的車企所關注的部分重點問題。在本篇文章中，我們將關注出海車企在歐盟數據合規工作中所面臨的一項重難點問題，即GDPR項下的“數據保護影響評估”。

2、歐盟數據保護影響評估機制介紹

數據保護影響評估（Data Protection Impact Assessment, 以下簡稱“DPIA”）是GDPR第35條確立的一項強制性法定義務，其要求數據控制者在開展可能對自然人的權利和自由產生高風險的個人數據處理活動前進行風險評估，以識別和採取適當措施降低數據處理活動的風險。開展DPIA不僅是為了履行法定合規義務，對於優化企業內控機制、維護公司品牌聲譽也有重要意義。

2.1誰需要開展DPIA****？****

數據處理活動的DPIA應由數據控制者開展。例如，智能網聯汽車製造商收集駕駛人開啓自動駕駛功能的頻率、駕駛地點、時間、心率、眼球運動等數據，並上傳雲端進行保存，該數據處理活動中，智能網聯製造商是數據控制者，雲服務商是數據處理者，應當由前者決定是否開展DPIA。

2.2何時需要開展DPIA****？****

****一項原則：****GDPR第35條第1款規定，數據控制者在開展可能對自然人的權利和自由產生高風險的數據處理活動前，必須開展DPIA。

****三類示例：****GDPR第35條第3款列舉了三類必須開展DPIA的數據處理活動：（1）對自然人進行系統性和廣泛性的個人情況評估，且該評估基於自動化處理（包括數據畫像）並且基於該評估作出對該自然人產生法律效力或類似重要影響的決定；（2）大規模處理GDPR項下的“特定類型數據”或者“有關刑事定罪和犯罪的個人數據”；（3）對公共區域的大規模系統性監控。

****九項標準：****WP29工作組[1]（以下簡稱“WP29”）在其發佈的DPIA相關指南[2]（以下簡稱 “WP29指南”）中提供了九項標準作為數據控制者評估是否需要開展DPIA的參考。一般情況下，同時滿足其中兩項標準的，通常需要數據控制者開展DPIA，若僅滿足一項標準，則視情況可能需要開展DPIA。WP29指南提到的九項標準具體如下：

· 評估或評分：特別是關於數據主體在工作表現、經濟狀況、健康、個人喜好或興趣、可靠性或行為、位置或移動等方面的評估。

· 自動決策：具有法律或類似效果的自動決策；如GDPR第35條(3)(a)所述：“對自然人產生法律效果”或“類似地對自然人產生重大影響”。

· 系統性監控：用於觀察、監測或控制數據主體的處理，包括通過網絡或“對公眾可進入的區域進行系統監測”收集個人數據。數據主體可能對該數據處理不知情且無法避免。

· 敏感數據或高度個人化的數據的處理：包括但不限於GDPR第9條所述的特殊類別的數據（也稱為敏感數據）以及與犯罪定罪或犯罪行為相關的數據。

· 大規模處理的數據：規模可指涉及的數據主體的數量、數據的量級、不同數據項的範圍、數據處理活動的持續時間以及處理活動的地域範圍。

· 匹配或組合數據集：將數據匹配或組合並用於不同的目的，或者超出了數據主體的合理預期。

· 涉及弱勢數據主體的數據：弱勢是相對於數據控制者而言，包括但不限於兒童、員工和其他可能需要特殊保護的人，如精神病患者、尋求庇護者、病人、老年人等。

· 應用創新的技術或解決方案：例如，數據控制者結合指紋和麪部識別實現訪問控制。

· 處理活動將阻止數據主體行使權利、接受服務或實現合同：例如，處理活動可能會導致數據主體訪問數據的權利遭到拒絕。

行業指南：歐洲數據保護委員會（European Data Protection Board，下文簡稱“EDPB”）發佈的有關網聯汽車的個人數據保護指南[3]強調，鑑於互聯網車輛可產生的個人數據的規模和敏感性，其數據處理活動（特別是在車外處理個人數據的情況下）很可能會對個人的權利和自由造成高風險。在這種情況下，行業參與者應當開展DPIA，以識別和降低風險。EDPB推薦在智能網聯汽車上市前的產品設計階段（理論上包括路測階段）開展DPIA，即使這並不是一項強制性的法律要求。

****監管機構清單：****根據GDPR第 35(4)條的規定，監管機構必須制定並公佈一份需要按照GDPR開展DPIA的數據處理活動正面清單。例如，2018年10月17日，德國聯邦及州政府的獨立數據保護監管機構DSK（Die Datenschutzkonferenz）在其官網發佈了必須進行DPIA的處理活動清單[4]。該清單承襲了WP29的指南，並進一步列舉了多項必須開展DPIA的數據處理活動，其中包括兩類典型的與車輛數據相關的處理活動：

· 廣泛處理與自然人行蹤有關的個人數據。例如，一家公司提供汽車共享服務或其他移動服務，併為此處理大量位置和費用數據。

· 在公眾場所對個人數據進行移動式光學電子記錄，並將來自一個或多個收集系統的數據大規模集中處理。例如，一家公司收集車輛產生的有關周圍環境的個人數據，並將其用於確定空閒停車位或改進自動駕駛算法等（該示例也適用於廣泛處理與自然人行蹤有關的個人數據）。

2.3未開展DPIA的法律後果

若數據控制者未按照GDPR第35條開展DPIA，將面臨歐盟監管機構的高額罰款，最高罰金可達企業全球營業額的2%或1000萬歐元（兩者中取較高者），若因為未按照要求開展DPIA，造成其它嚴重違規情形（如不遵守數據處理的一般原則，缺乏數據處理的法律依據，無法滿足數據主體的訪問權等），最高罰金為全球年營業額的4%或2000萬歐元（兩者中取較高者）。據網站GDPR Enforcement Tracker（GDPR執法追蹤）[5]上有關GDPR執法案例的統計數據顯示，歐盟監管機構就未合規開展DPIA及其他合規義務，一般處以6000歐元至110萬歐元不等的處罰。

而在汽車行業，某德國車企在駕駛輔助系統路測中通過攝像頭收集車輛周圍的交通情況，因並未就該高風險數據處理活動開展DPIA、未向數據主體盡告知義務等違規行為而被當地數據保護機構除以高額罰款，並嚴重影響了品牌聲譽。

3、出海車企如何開展數據保護影響評估

3.1 如何判斷是否需要開展DPIA

目前出海歐盟的中國車企大多主推具備智駕功能的智能網聯汽車。智能網聯汽車涉及的車機功能可能達到上百個，涉及的數據交互關係複雜，要篩選並判定應當對哪些數據處理活動開展DPIA，具有較高的難度。一般情況下，涉及處理大量敏感個人數據的車機功能（例如語音交互）、個人數據處理活動相對較為複雜的車機功能（如OTA升級）以及可能被監管部門重點關注的車機功能（如哨兵模式），被認定為高風險的車機功能的可能性較高。對於部分高風險車機功能所涉及的個人數據處理活動，可能需要提前進行DPIA。

實踐中，對於部分數據處理活動是否需要進行DPIA，通常難以直接進行判斷，需先進行DPIA的預測評（“Pre-DPIA”），一般需專業的本地律師或數據保護官結合具體場景具體判斷。需注意的是，即使是同樣的車機功能，若其數據處理的方式存在差異，其是否需要開展DPIA的結論就可能不同。以下我們列舉部分案例供參考：

· 語音交互功能：

1) 模式一：車企在提供語音交互功能的過程中，實際不抓取用户的語音音頻記錄，亦不存儲語音轉文字時產生的文本信息，而是進行實時的語音與文字轉換並即時刪除所有的數據，並且語音命令的文字轉換不會與用户賬户或車架號相關聯。

分析：該車機功能不涉及對敏感數據或高度個人化的數據的存儲，也不涉及車外處理，對車主及乘車人造成的風險相對有限，因此可能不需要進行DPIA。

2) 模式二：車企在提供語音交互功能的過程中，通過車內麥克風實時採集車內語音音頻信息，將車內音頻信息上傳至雲端進行處理和存儲。

分析：該車機功能可能涉及到在車外、大規模處理敏感個人數據，並可能符合兩項WP29指南中的兩項標準（大規模處理數據、處理敏感數據或高度個人化的數據），GDPR35條列舉的情形以及EDPB有關網聯汽車的個人數據保護指南所述的高風險情況，因此需要開展DPIA的可能性較大。

· 導航功能：

1) 模式一：導航功能由駕駛人自行選擇的第三方導航地圖服務商提供，通過手機接入車機端在車機端屏幕進行導航地圖顯示，車輛位置數據由第三方實時處理而不傳輸給車企。

分析：車企不是導航功能下的數據控制者，無需就該導航功能下的車輛位置數據處理進行DPIA。

2) 模式二：用户授權其導航App賬户與網聯汽車賬户建立綁定關係，允許車企基於車輛位置或目的地向駕駛者推薦周邊的4S店、充電樁、停車場或其他生活服務類信息。

分析：車企可能涉及處理敏感數據、車外處理、用户畫像及不同賬號下的數據集匹配或組合，可能符合兩項WP29指南中的三項標準（處理敏感數據或高度個人化的數據、匹配或組合數據集、評估或評分），GDPR35條列舉的情形以及EDPB有關網聯汽車的個人數據保護指南所述的高風險情況，因此很可能需要開展DPIA。

· 哨兵模式：

1) 模式一：哨兵模式的功能實現方式通常是通過車輛傳感器及外部攝像頭監測駐車期間的可疑活動或對車輛的嚴重威脅。若監測到可疑情況或威脅，哨兵模式指示攝像頭進行錄製並存儲於車主已安裝的USB設備中，並向車主配對的手機發送提醒。該情況下，車外視頻數據不會傳輸給車企。

分析：車企不是該模式下的數據控制者，無需就該哨兵模式下的車外視頻數據處理進行DPIA。

2) 模式二：車企將車外視頻數據上傳至雲端進行保存，允許車主通過配對手機實時查看車輛周邊環境視頻。該情況下，車企將在雲端接收和處理車外視頻數據。

分析：車企可能涉及系統性監控車外周邊環境信息（可能包含車外人臉信息、敏感地理位置信息）並進行車外處理，可能符合WP29指南中的三項標準（對公眾區域進行系統性監控、應用創新的技術或解決方案、處理敏感數據），GDPR35條列舉的情形以及EDPB有關網聯汽車的個人數據保護指南所述的高風險情況。若車企在德國，還可能屬於德國監管機構所要求必須開展DPIA的情形之一（在公眾場所對個人數據進行移動式電子記錄，並將數據進行大規模集中處理）。因此車企很可能需要就此開展DPIA。

3.2如何開展DPIA****

在預篩選需要進行DPIA的場景、並由歐盟當地專業律師或DPO確認後，車企可以對其作為數據控制者的高風險個人數據處理活動開展DPIA。歐盟的監管機構並未發佈有關DPIA的強制性的統一模板，出海企業可根據其目標市場國家、所在的行業特點等因素設計貼合需求的DPIA體系。企業可對DPIA評估項進行賦分，以衡量風險大小，並最終結合風險發生的可能性及風險嚴重程度，綜合評估數據處理活動的風險等級，並在評估結果的基礎上採取適當的整改措施。

根據GDPR第35條（7）的規定，DPIA應當至少包括如下內容：

· 系統性描述擬開展的數據處理活動的目的和方式、數據控制者追求的合法利益；

· 評估與處理目的相關的處理方式的必要性和合理性；

· 評估對數據主體的權利和自由可能產生的風險；

· 評估消除上述風險的安全措施和機制。

企業也可參考歐盟各成員國監管機構發佈的DPIA框架及WP29發佈的指南開展DPIA。在評估過程中，需要諮詢DPO、相關數據主體（適當情況下）對擬進行的數據處理活動的意見。

以下我們亦列出部分DPIA中的評估重點供參考：

· 合法性基礎：相關個人數據處理活動是否取得數據主體的同意或符合合同必要、法定義務或正當利益等法定基礎（例如，在適用正當利益時是否開展了利益平衡測試，在適用合同必要時是否在與用户的合同中包含支撐相關服務/功能的合同條款）。

· 透明性及必要性：相關個人數據是否為實現處理目的所必需。以自動駕駛功能為例，在自動駕駛L2或L3級車輛中，出於駕駛安全目的，駕駛員監控系統有必要檢查用户是否專注於駕駛，因此可能收集用户的眼球或頭部運動信息、心率、呼吸頻率，但這些數據可能對於達到L4級的自動駕駛車輛不是必需的。

· 處理的數據類型：例如是否包括GDPR第9條（1）規定的敏感個人數據，如健康相關數據、基因數據、政治觀點、宗教或哲學信仰。位置數據雖然未被明確列入敏感個人數據，但是其可能間接反映駕駛人的宗教信仰、健康狀況，因此也屬於敏感度較高的個人數據。

· 數據主體類型：例如是否涉及弱勢羣體，如員工、兒童、老年人等。

· 數據處理方式：例如是否涉及向第三方共享、是否涉及數據跨境傳輸至歐盟以外等。

3.3針對高風險點開展合規整改

在完成DPIA後，數據控制者需要針對評估結果、基於GDPR及相關成員國本地法律進行合規整改。常見的整改方式包括：優化數據處理活動（如縮減數據類型至必要範圍、縮短數據存儲期限至必要時長）、採取適當的技術措施（如數據脱敏、加密）、採取適當的組織措施（例如對相關部門人員開展合規培訓、設置負責與數據主體溝通的聯繫人）、優化第三方管理（例如對第三方服務商進行數據安全能力評估、與第三方簽訂數據保護協議）、優化特定功能（例如調整高風險的車機功能，包括但不限於儘量避免數據的車外處理，允許用户自行選擇何時、何處啓用特定車機功能等）。上述整改，應儘早地結合到車機功能的設計過程中，以避免後期產生額外的整改成本。

3.4定期評估是否需要重新開展DPIA****

由於車機功能的實現方式可能隨時發生變化，導致數據交互關係變化、數據敏感程度變化、數據處理規模變化等，在開展DPIA後，仍需要跟蹤數據處理活動的變化情況，定期評估是否要重新開展DPIA，並定期結合當時的法律法規要求及行業實踐更新DPIA評估模板。

4、結語

開展DPIA是一項較為複雜且耗時的合規工作，對於出海歐洲的車企是不小的挑戰，既需要企業給予相當的重視和資源投入，一般也依賴於熟悉GDPR及歐盟成員國當地法律的專業律師團隊支持。考慮到需要進行DPIA的車機功能一般涉及高風險的個人數據處理活動，若未能進行必要的風險評估並及時採取合適的合規措施，則面臨較高的處罰風險，因此需要車企予以足夠的重視。

註釋：

1. WP29工作組是根據95/46/EC指令的第29條設立的數據保護和隱私相關的獨立歐洲諮詢機構，處理GDPR生效前與隱私和個人數據保護相關的問題。可以説，EDPB是WP29的繼任者。

2. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679。

3. Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications：https://edpb.europa.eu/system/files/2021-03/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_en.pdf

4. https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf

5.https://www.enforcementtracker.com/