歐盟合規觀察｜中國車企出海：歐盟數據跨境傳輸合規【走出去智庫】_風聞

走出去智庫（CGGT）觀察

近年來，中國新能源車企掀起了一股“出海熱”的浪潮。根據公開數據，我國2023年全年汽車整車出口491萬輛，同比增長57.9%，首次躍居全球第一。其中新能源汽車出口120.3萬輛，同比增幅高達77.60%。

伴隨着中國車企“出海”浪潮的出現，歐洲市場成為越來越多國內車企的“兵家必爭之地”。為了融入當地市場，中國車企面臨着方方面面的挑戰，其中之一就是歐盟當地較為嚴苛的數據合規監管要求以及較高的合規門檻。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺推出中國車企出海歐盟合規系列文章，對歐盟數據合規法律框架進行整體的介紹，並對中國車企在出海歐盟市場過程中，所關注的數據合規重點問題進行總結與分析，以期為中國車企出海歐盟提供關於開展數據合規工作的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之四《歐盟數據跨境傳輸合規》，供關注歐盟數據合規的讀者參閲。

要點

1、********GDPR賦予歐盟委員會評估歐盟以外的國家或地區對個人數據的保護是否達到了和歐盟一樣同等且充分的保護水平********，****並做出充分性認定的權利。

2、對於總部位於中國的車企或屬於汽車供應鏈上下游的企業而言，由於中國不屬於白名單國家，為實現從歐盟至中國的常態化數據跨境傳輸，可行性較高且普遍適用的方式是簽訂歐盟標準合同條款和進行數據傳輸影響評估（Transfer Impact Assessment）。

****3、****對於企業內部位於不同國家的集團實體之間的數據共享活動，實踐中最常見以及最推薦的做法是起草並簽訂一份集團內部數據共享協議（Intra Group Data Transfer Agreemen），來統一規範跨國集團企業內部的數據共享活動。

正文

1.引言

本系列的最後一篇文章，我們將向大家介紹歐盟數據合規中最受關注的議題之一——數據跨境傳輸。對於出海歐盟的中國車企而言，數據跨境傳輸幾乎是不可避免的議題。無論是出於業務運營、內部管理還是技術研發的需要，出海車企及時搭建關於數據跨境傳輸的合規架構，實現數據的安全流動，是其在歐盟發展、壯大本地業務的重要保障。

2. GDPR數據跨境傳輸體系介紹

秉持着即使個人數據被傳輸至歐洲經濟區之外，個人數據保護水平在數據跨境傳輸過程中 “不應減損”（not undermined）的宗旨，GDPR搭建了一套較為完備的數據跨境傳輸框架。同時，GDPR數據跨境傳輸體系也在一系列和歐美數據傳輸機制相關的案件中不斷完善發展。

2.1GDPR下跨境傳輸的基本規則****

GDPR提供的跨境路徑可分為下述三大類：

· 路徑一：接收方所在國家/地區已取得充分性認定（Adequacy Decision）

GDPR賦予歐盟委員會評估歐盟以外的國家或地區對個人數據的保護是否達到了和歐盟一樣同等且充分的保護水平、並做出充分性認定的權利。目前獲得充分性認定的國家或地區有：安道爾、阿根廷、加拿大（商業組織）、法羅羣島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、烏拉圭和美國（僅限於參與歐盟-美國數據隱私框架的商業實體）。這也是我們常説的歐盟跨境傳輸白名單[1]。

如果將數據傳輸至屬於白名單的國家/地區，企業無需專門針對該等數據跨境傳輸採取額外的保障措施，因為歐盟委員會認為這些白名單國家/地區能提供與GDPR同等的數據保護水平，對個人數據主體的保護水平並不會因為跨境傳輸而得以減損。

· 路徑二：為數據主體提供適當的保障措施（Appropriate Safeguards）

在接收方所在國家或地區不屬於白名單的情況下，GDPR規定如果數據傳輸方提供了適當的保障措施，並且賦予了數據主體可執行的數據主體權利以及有效的法律補救措施，那麼仍可把數據傳輸給位於白名單國家或地區之外的接收方。該路徑下跨境傳輸方式主要有：簽訂歐盟標準合同條款（Standard Contractual Clauses, 下文亦簡稱“SCCs”）、跨國集團實體簽訂有約束力的公司規則（Binding Corporate Rules）、獲批准的行為準則（code of conduct）、獲批准的認證機制（certification mechanisms）等。實踐中，企業最常採用的路徑是標準合同條款，其次是有約束力的公司規則。

· 路徑三：特定情形下的克減（Derogations）

該路徑僅針對不是重複發生的、涉及有限數量的數據主體的跨境傳輸，控制者可考慮判斷其數據跨境傳輸是否屬於特定情形下的克減，若落入該範圍，則控制者可在不採取額外保障措施的前提下傳輸數據。GDPR所規定的克減情形包括：數據主體的明確同意、履行合同所必需、為公共利益目的、行使法律訴求等。但正如歐洲數據保護委員會（European Data Protection Board，下文簡稱 “EDPB”）強調的那樣，GDPR 第 49 條具有特殊性、例外性，因此必須對克減情形進行嚴格的限制性解釋，以免例外的克減成為普遍使用的路徑，從而從根本上違背了GDPR項下個人數據保護水平在數據跨境傳輸過程中 “不應減損”的原則。GDPR第 49 條標題的措辭也支持了這一點，該條規定的克減應僅在特定情況下使用[2]。

2.2EDPB關於補充措施的指南[3]****

2015年，歐盟法院於“Schrems I”一案中判定歐盟委員會就歐美之間數據跨境傳輸屆時依賴的安全港框架（U.S.-EU Safe Harbor Framework）之充分性認定無效，因為安全港框架無法有效防止美國情報當局大規模獲取從歐洲傳輸至美國的個人數據[4]。為保障歐美之間的數據自由流動，歐盟委員會和美國政府在“Schrems I”案後開啓了新一輪的談判，並在2016年就隱私盾框架（EU-U.S. Privacy Shield framework）達成協議，歐盟委員會同年就隱私盾框架作出充分性認定。但好景不長，歐盟法院在2020年的“Schrems II”案中判定隱私盾框架無效，理由是綜合考慮到美國的相關監控法和行政令，隱私盾框架也無法確保歐盟數據主體的個人信息免受美國政府的監控；但歐盟法院同時也表示歐盟標準合同條款輔之以針對特定跨境傳輸採用的補充措施可以保障合法的跨境傳輸[5]。

在歐盟法院就“Schrems II”一案作出判定後，EDPB針對跨境傳輸補充措施專門發佈了指南，以協助作為數據傳輸方的企業評估接收方所在國的現行法律和/或慣例是否會影響傳輸所依賴的適當的保障措施的有效性，以及在跨境傳輸存在減損個人數據保護水平可能性的情況下采取合適的技術、組織、合同等補充措施。[6]

對於總部位於中國的車企或屬於汽車供應鏈上下游的企業而言，由於中國不屬於白名單國家，為實現從歐盟至中國的常態化數據跨境傳輸，可行性較高且普遍適用的方式是簽訂歐盟標準合同條款和進行數據傳輸影響評估（Transfer Impact Assessment, 下文亦簡稱“TIA”），並根據TIA的結果實施技術、組織、合同等補充措施，以確保數據傳輸符合歐盟GDPR數據跨境傳輸體系。

3. 對汽車出海企業的跨境傳輸合規啓示

3.1跨境傳輸數據流摸排

出海車企開展跨境傳輸合規的第一步是摸排數據處理活動，釐清企業內部不同實體間的數據傳輸以及和外部供應商之間的數據交互，識別哪些數據處理活動屬於GDPR語義下的跨境傳輸。對於出海車企而言，常見的跨境傳輸場景包括但不限於車機端功能的遠程故障排查分析、將數據提供給外部服務供應商以及將在歐盟本地收集的個人數據分享給集團其他歐盟境外實體等。

當然，在識別跨境傳輸數據流過程中，企業是否在歐盟境內設立實體、該等歐盟境內實體是否是相關數據處理活動實際上的數據控制者（或是中國總部才是真正的數據控制者），存儲相關數據的服務器的實際位置等多重因素均可能會影響該等數據處理活動是否屬於跨境傳輸以及跨境傳輸方、接收方的認定。因此，我們建議車企在出海的過程中儘早開展跨境傳輸數據流摸排活動，作為後續跨境傳輸合規系列動作的起點。

3.2數據中心的選址

實踐中，為避免大量的歐盟個人信息被傳輸到歐盟境外，大部分出海的中國車企會將歐盟用户的個人數據存儲在由外部雲服務商提供的位於歐盟某成員國的數據中心。依賴於本地的數據中心，出海車企在歐盟境內收集、存儲、處理個人信息，特別是敏感類型的個人信息，以儘可能減少數據跨境傳輸的規模、場景以及敏感程度，從而將跨境傳輸控制在提供服務所必需的範圍中，既充分保障了業務需求，亦減少了數據跨境傳輸帶來的合規成本。

3.3簽訂歐盟標準合同條款

在確定了合適的數據中心選址後，企業下一步需要做的就是針對摸排出的GDPR跨境傳輸數據流，選擇合適的跨境傳輸路徑。大多數情況下企業需要按照簽訂SCCs並針對傳輸跨境傳輸數據流進行TIA。

歐盟SCCs按照數據傳輸方和接收方分別是數據控制者還是數據處理者分為四個模塊，企業需要按照跨境傳輸的具體場景選擇合適的SCCs模塊。SCCs四個模塊分別針對數據控制者向數據控制者傳輸、數據控制者向數據處理者傳輸、數據處理者向數據控制者傳輸、數據處理者向數據處理者傳輸的場景。不同SCCs模塊因為傳輸方和接收方關係的不同，雙方之前的權利義務也各有差異。同中國個人信息出境標準合同一樣，企業不得對歐盟SCCs的正文條款做出實質性修改，只能在預留空的部分條款處（如適用法律、爭議解決條款）按照企業實際情況填寫，或是在可選擇的條款中（如數據主體權利救濟方式）選擇更符合企業實踐的選項。與此同時，更多與傳輸場景相關的具體描述需要填寫在SCCs的附錄中。

3.4進行傳輸影響評估

如上文所述，在“Schrems II”一案塵埃落定後，企業除了準備簽署合適模塊的SCCs外，還需要進行TIA。TIA主要可分為三大部分，按序依次是：（i）對跨境傳輸場景的描述；（ii）對接收方所在國家/地區的法律法規對個人信息主體提供的權利保障與救濟渠道，以及接收方當地政府機關訪問相關個人數據的可能性分析；（iii）按照第二部分的分析結果，判定是否需要採取相應的技術、組織、合同層面的補充措施，以及在需要的情況下，針對該等跨境傳輸場景應採取怎樣的傳輸保障措施能夠有效降低傳輸可能帶來的權利 “減損”。

EDPB將傳輸保障措施分為技術、組織、合同三大類，並強調實施何種傳輸保障措施需要結合具體的傳輸場景、TIA第二部分對接收方所在國家/地區法律法規的分析結果而定。EDPB也在關於補充措施的指南中非窮盡式地列舉了一些保障措施供企業參考，譬如：技術措施包括加密、假名化、訪問控制、多方安全計算等，組織措施包括企業集團內部數據合規制度文件、內部記錄存檔來自公權力機關的數據訪問請求、對公眾發佈透明度報告等，合同措施包括在和接收方簽訂的合同中要求接收方及時向傳輸方披露公權力機關的數據訪問請求、承諾沒有在相關信息系統中嵌入後門等。

3.5常見的SCCs簽署實踐

實踐中，針對和外部供應商的數據交互所涉及的跨境傳輸活動，首先需要評估企業目前和外部供應商的服務協議中是否有針對數據處理以及數據跨境傳輸活動的相關條款，若沒有，我們建議企業準備一份符合GDPR規定的數據處理協議，且該等數據處理協議應包括對應模塊的SCCs，並與外部供應商簽署該數據處理協議。

對於企業內部位於不同國家的集團實體之間的數據共享活動，實踐中最常見以及最推薦的做法是起草並簽訂一份集團內部數據共享協議（Intra Group Data Transfer Agreement, 下文簡稱“IGDTA”），來統一規範跨國集團企業內部的數據共享活動。該IGDTA可以涵蓋所有集團內部實體目前已經發生的數據共享活動。在IGDTA中，需明確作為數據傳輸方和接收方的對應集團企業的角色地位（數據控制者或是數據處理者），並在適用的情況下，附上合適的SCCs模塊供相關實體簽署。

3.6定期評估跨境傳輸合規措施的有效性

出海企業的數據處理活動並非一成不變，隨着車企在海外國家展業的穩步推進，提供服務和產品的多樣化和深入化，我們建議企業動態更新數據處理活動記錄，定期評估是否有新的跨境傳輸場景的產生，以及現有的跨境傳輸場景是否發生重大變化（如接收方所在國發生變化），並在此基礎上適時評估跨境傳輸當下依賴的機制是否仍符合現行GDPR數據跨境傳輸體系的要求，並及時採取適宜的補充合規措施。

註釋：

1. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

2. EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, page 4.

3. https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

4. CJEU judgment of 6 October 2015, Maximillian Schrems v Data Protection Commissioner (“Schrems I”).

5.  CJEU judgment of 16 July 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems (“Schrems II”).

6.  https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf