中東數據合規丨中國車企出海：阿聯酋數據合規重難點問題概述【走出去智庫】_風聞

走出去智庫（CGGT）觀察

近年以來，中國車企的出海方興未艾，從佈局趨勢上看，中國車企出海業務的熱點區域正從傳統歐美市場，逐步擴散到中東、拉美、東南亞等新興區域。尤其是中東地區，隨着本地經濟體制的改革與創新，越發成為具有活力的經濟體，也逐漸成為中國車企出海的焦點地區。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺推出中國車企出海歐盟合規系列文章，將對中東地區的出海熱點國家阿聯酋和沙特的數據合規法律框架進行整體的介紹，並對中國車企在出海阿聯酋和沙特的過程中，所關注的數據合規重點問題進行總結與分析。以期為中國車企出海中東提供關於開展數據合規工作的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之二《中國車企出海：阿聯酋數據合規重難點問題概述》，供關注中東數據合規的讀者參閲。

要點

1、阿聯酋對於部分特殊數據有着本地化存儲的要求，對於車企而言，主要需要關注的是物聯網數據。

2、對於大部分跨國公司而言，為了實現本地業務的合規開展，常見的合規實踐往往是按照較為嚴格的標準先落實阿聯酋《個人數據保護法》（PDPL）項下的合規義務，對於PDPL中暫不明確的部分，可參考其它法域立法中較為嚴格的標準，先在一定程度上落實合規措施，從而最大程度保障業務的穩定性。

3、根據PDPL的要求，在開始處理數據之前，若該等處理使用任何可能對個人數據的隱私和機密性構成高風險的現代技術時，控制者必須評估擬議處理對個人數據的影響，即個人數據保護影響評估（DPIA）。

正文

在本系列第一篇文章（中國車企出海：阿聯酋與沙特阿拉伯數據合規法律框架概覽）中，我們對中國車企目前開展出海業務的中東熱門國家阿聯酋、沙特阿拉伯的數據保護法律體系進行了整體的介紹。不難看出，雖然中東國家的數據保護立法在近些年已建立起較為完整的體系，但仍缺乏明確的實施細則與指南。因此，雖 “有法可依”，但很多中國企業卻面臨着不知如何履行相關數據合規要求的難題。一方面，相關的數據保護立法從效力上看已經生效，且有明確的處罰罰則，若不遵守可能會面臨一定的風險；但另一方面，由於實施細則的缺失，企業從客觀上暫無法實現完全的合規，也很難把握風險控制的具體尺度。

基於上述困境，在本篇文章中，我們將基於過往的實務經驗，對中國車企出海阿聯酋過程中所遇到的部分於數據合規相關的重難點問題進行簡要介紹，以期就中國車企在當地開展合規工作的思維與路徑為讀者提供一些啓發與經驗。

1. 跨境傳輸

跨境傳輸是大部分中國車企在阿聯酋開展合規工作首要面臨的問題。從業務需求來説，企業一般需要在出海初期就確定整體的數據中心部署以及數據傳輸路徑。在這個過程中，企業需就眾多細節問題進行決策，例如，是否需要在阿聯酋本地設立專門的數據中心存儲本地收集的數據；如果在本地不設立數據中心，而將數據傳輸至阿聯酋境外存儲，是存在歐洲的數據中心還是直接回傳至中國？這些問題的解決往往除了法律要求之外，還需要考慮車企的具體業務需求，在法律風險與商業利益之間尋求針對每個企業自身的最優解。

1.1 本地化存儲

阿聯酋對於部分特殊數據有着本地化存儲的要求，對於車企而言，主要需要關注的是物聯網數據。

根據阿聯酋電信和數字政府監管局（“TDRA”）於 2018 年 3 月 22 日發佈的《物聯網監管條例》。物聯網被廣泛定義為“信息社會的全球基礎設施，通過基於現有和不斷發展的交互操作的信息和通信技術互連（物理和虛擬）事物來實現高級服務”。該條例適用範圍廣泛，包括“阿聯酋境內所有與物聯網相關的人員”、“物聯網服務提供商”和物聯網服務用户（即個人、企業和政府）。此外，該政策具有域外適用性，即使從阿聯酋境外遠程向阿聯酋客户提供物聯網服務，也適用於本條例。對於提供車聯網服務的車企而言，其屬於《物聯網監管條例》項下的“物聯網服務提供商”的範疇，需履行相關義務。

《物聯網監管條例》要求物聯網服務提供商對物聯網服務中所產生的數據按照“公開、機密、秘密和敏感”1四種類別進行分類。除公開數據之外，其餘的三類數據均需首先落實本地化存儲的要求，且僅能在目的國的法律達到或超過阿聯酋本地用户保護與安全規定的水平的前提下，才能將物聯網數據傳輸至阿聯酋境外。但需注意的是，目前阿聯酋並未發佈前述四類數據分類的具體標準，亦未發佈上述目的國的具體清單。這也給落實上述本地化義務帶來一定的困難。而根據TRDA的答覆，物聯網服務企業（包括車企）需根據自身情況，結合上述標準，自行完成數據的分類。需注意的是，車企需要在阿聯酋本地申請關於提供車聯網服務的資質，而前述數據分類的情況是申請該資質所必需提交的信息之一。

1.2 數據跨境傳輸

我們在第一篇文章中已簡要介紹了阿聯酋《個人數據保護法》（Personal Data Protection Law,以下簡稱“PDPL”）項下基本的數據跨境傳輸監管框架。阿聯酋並不禁止個人數據的跨境傳輸，但跨境傳輸需符合特定的合規要求。同樣的，企業在落實相關合規義務的時候也面臨着較大的不確定性。例如，截止目前，阿聯酋主管機關尚未發佈白名單國家清單；再比如，如果要選擇“合同保障”的路徑，阿聯酋也並未發佈相關合同的模板或者對於合同內容的細則性要求。

考慮到阿聯酋的PDPL的立法思路與GDPR極為相似，且GDPR是目前世界問題內公認的具有較高保護水平的數據保護立法，一般企業會傾向於認為，適用GDPR的歐盟。地區必然將會是未來“白名單”中的國家。然而，需考慮的是，當歐洲境內的數據再進一步傳輸至中國，則需要根據實際情況分析是否需要履行GDPR項下的合規傳輸義務不同的企業根據各自的業務需求以及全球數據中心的整體部署，在平衡風險與收益的結果後，往往會選擇不同的合規路徑。

需注意的是，如我們在本系列第一篇文章中所介紹的，阿聯酋自由貿易區迪拜國際金融中心（Dubai International Financial Centre，以下簡稱“DIFC”）和阿布扎比全球市場（Abu Dhabi Global Market，以下簡稱“ADGM”）已經通過了適用於其自貿區的隱私保護法。相比於阿聯酋PDPL而言，DIFC和ADGM的數據保護立法更為細緻、全面，DIFC和ADGM各自的數據保護主管機關也已發佈了系列指南、模板供數據處理者參考，其中就包括跨境傳輸白名單和標準合同條款等。歐盟目前是DIFC和ADGM認可的跨境傳輸白名單國家，但中國暫不在上述國家名單內。

很多中國車企基於上述數據本地化以及跨境傳輸相關法律的不確定性，暫時選擇觀望態度，並計劃在法律進一步明確後再採取合規措施，但這確實使得企業的業務開展面臨較大的合規風險。尤其是考慮到中東本地監管部門的執法活動並不具有充分的透明性和可預測性，採取觀望態度對於中國車企並非為適宜的選擇。

對於大部分跨國公司而言，為了實現本地業務的合規開展，常見的合規實踐往往是按照較為嚴格的標準先落實PDPL項下的合規義務，對於PDPL中暫不明確的部分，可參考其它法域立法中較為嚴格的標準，先在一定程度上落實合規措施，從而最大程度保障業務的穩定性。

2. 路測中的數據合規

目前，中東地區已成為眾多車企開展路測的熱點區域，這與近年來這些車企將中東國家視為重點市場的背景也密不可分。但是，如何合規開展路測，尤其是如何合規處理路測中收集的各類數據，也是很多企業關注的熱點問題。

2.1 數據處理的合法性基礎

根據PDPL第4款的要求，個人數據的處理需取得個人數據主體的同意，除非符合特定的例外情形，例如個人數據的處理是為保護公共利益所必需、個人數據的處理是保護個人數據主體的利益所必需等。理論上，PDPL第4款規定的幾項例外情形均並不完全符合路測場景下的個人數據處理。但是，在開展路測的過程當中，不可避免地會收集到個人數據，包括但不限於路人的面部圖像、地理位置數據等。然而，在路測過程中取得個人數據主體的同意在客觀上無法實現，這導致車企在開展路測的過程中，無法找到合適的個人數據處理合法性基礎。需注意的是，未來發布的PDPL實施細則將進一步解釋第4款項下的例外情形，同時也不排除增加新的例外情形。但根據現行的規定，確實暫無法明確路測場景下合適的合法性基礎。

2.2 個人數據處理的告知義務

根據PDPL的要求，數據控制者需要將個人數據的處理以清晰的形式告知個人數據主體。但在路測中，幾乎無法確保路人均能知曉其個人數據正在被收集。考慮到客觀上實現合規的難度，開展路測的一方一般會在車輛上張貼相關告示或標誌，以提醒路人該車輛正在進行路測。這類方式在阿聯酋也具有一定的可行性，但具體的實現形式，在路測車企向當地的監管部門提交關於路測的審批申請後，監管部門一般會給出具體的指示。目前，阿聯酋聯邦層面並無專門規制自動駕駛的專門立法，目前僅迪拜出台了規制自動駕駛的專門法規，並確定其道路與交通部門（“Road and Transport Authority”）負責路測資質的審批以及路測活動的監管。根據過往經驗，中國車企目前在阿聯酋開展路測需要與監管部門保持緊密的溝通，包括數據合規方面的措施，若能提前得到當地監管部門的確認，相關的法律風險將得到有效的規避。

2.3 其它需關注的義務

(i) 物聯網數據

如上文所介紹，除了個人數據，對於車企而言，還需關注物聯網數據的合規。然而，對於路測中所產生的數據，是否受制於相關物聯網數據的合規要求，目前法律未明確説明。但對於開展路測的車輛而言，即使其並未聯網，也無法完全排除監管部門擴大解釋《物聯網監管條例》適用範圍的可能性，我們也建議車企在開展路測前，進一步瞭解本地最近的監管實踐以及監管口徑。

(ii) 必要性原則

路測場景下個人數據的處理需遵守PDPL規定的必要性原則，即僅基於路測的必要目的處理相關個人數據。對於路測中無需使用的個人數據應及時進行刪除或匿名化處理，避免傳出車外。

(iii) 採取適當的數據安全措施

PDPL要求數據控制者採取適當的技術措施以及組織措施以確保個人數據的安全。開展路測的車企需結合數據的敏感程度以及數據處理活動的實際情況，採取相應的安全措施，例如對傳輸的數據進行加密等。

3. 高風險車數據處理活動的風險評估

根據PDPL的要求，在開始處理數據之前，若該等處理使用任何可能對個人數據的隱私和機密性構成高風險的現代技術時，控制者必須評估擬議處理對個人數據的影響，即個人數據保護影響評估（以下簡稱“DPIA”）。具體而言，數據控制者在以下場景中需要進行DPIA: (1)當數據處理涉及基於自動化處理（包括分析）對數據主體的個人方面進行系統、全面的評估，這將產生法律後果或嚴重影響數據主體；或（2）可能會處理大量敏感個人數據。

對於上述的觸發場景一，如果車企在業務中涉及基於自動化處理對用户的個人數據進行分析或評估，則需要提前評估是否需要就該等個人數據處理活動開展DPIA；對於上述場景二，需要注意的是，阿聯酋數據保護制度尚未在此背景下定義“大量”，但我們預計這一點可能將在未來的執行條例中得到澄清。

除了PDPL第21條所規定的基本評估要點之外，雖然目前阿聯酋尚未發佈DPIA的實施細則或相關模板。值得注意的是，DIFC和ADGM已發佈了關於開展DPIA的相關模板。實踐中，一般涉及到敏感數據處理的高風險車機功能，由於其可能會收集或處理大量的敏感個人數據，在上線相關車機功能前，車企往往會對該等車機功能所涉及的數據處理活動進行DPIA的預評估。對於可能落入DPIA範圍的車機功能，進一步開展DPIA，並結合評估的風險結果以及風險緩釋措施，綜合決定是否上線相關功能或者是否對相關功能做進一步的整改。

實踐中，很多中國企業對於是否應開展DPIA、如何開展DPIA都抱有疑惑的態度。有很多企業因為目前相關細則暫未發佈而選擇觀望的態度。從過往的經驗以及主流車廠的實踐來看，我們推薦中國企業尤其是車企在進入阿聯酋市場前，就高風險的車機功能所涉及的數據處理活動進行DPIA預評估，並對可能落入DPIA範圍的數據處理活動儘早開展評估。一方面，開展 DPIA 可以確保出海車企在早期階段就考慮隱私設置並採用“設計保護隱私”（Privacy by Design）的方法完成整改，另一方面，它還能帶來更廣泛的合規優勢，包括是向監管部門證明遵守數據保護原則和義務的有效方式。

4. 總結

阿聯酋作為中東最熱門的出海國家之一，其數據保護立法以及中國企業開展合規的思路在中東地區具有一定的代表性。對於中國的車企而言，最大的挑戰來自於立法與監管的不確定性，在這個前提下，企業對於本地法律的精準理解、當地監管口徑與監管趨勢的把握以及市場實踐的瞭解，是設計最符合企業本身實際情況的數據合規路徑必不可少的因素。在阿聯酋數據保護立法已生效的前提下，雖然實施細則並未落地，對於中國車企而言，僅採取觀望態度而不推進任何合規措施並非最佳的選擇，尤其是考慮到汽車企業本身所涉及的個人數據處理活動的高風險性。我們建議中國車企在進入本地市場前，結合產品與業務的實際情況，積極推動相關數據合規工作的提前開展，從而確保本地業務的延續性，使得數據合規的風險降低到可控範圍內。

註釋：

1. 根據《物聯網監管條例》，秘密數據是指“無限制的披露或交換可能對國家最高利益造成重大損害，對個人、企業和政府造成極高損害的數據”；敏感數據是指 “無限制地披露或交換可能對個人、企業或政府造成重大損害的數據”；機密數據是指“不受限制地披露或交換可能對個人、企業或政府造成有限損害的數據”；開放數據是指 “由個人、企業或政府提供、可自由或在最低限度內與第三方使用或交換的數據”。例如，任何人都可以不受限制地免費使用、重複使用、分發或與他人共享的政府數據被視為開放政府數據。在阿聯酋，健康、環境、電信和數字化等各個領域都提供開放數據。