文/北京市集佳律師事務(wù)所 吳恙 楊玥珺

　　伴隨著國內(nèi)新能源智能汽車行業(yè)的蓬勃發(fā)展，新勢力車企紛紛開始推行國際化戰(zhàn)略，新能源汽車出口成為新的業(yè)務(wù)增長點(diǎn)，比亞迪，蔚來及小鵬等新能源智能汽車生產(chǎn)商正在以歐洲為跳板，積極布局開拓海外市場?！?】

　　同時(shí)，車輛智能化水平的飛速提升，使得汽車由單純的交通運(yùn)輸工具逐步轉(zhuǎn)變?yōu)橹悄芤苿咏K端。在國家政策的扶持和指引下，以“電動化、智能化、網(wǎng)聯(lián)化、共享化”為核心的智能汽車網(wǎng)聯(lián)技術(shù)正在全面普及并快速迭代。

　　智能網(wǎng)聯(lián)汽車技術(shù)（V2X，Vehicle-to-Everything）融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，通過先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，在實(shí)現(xiàn)車與X（人、車、路、云端等）智能信息交換、共享的同時(shí)，還具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能?！?】

　　智能網(wǎng)聯(lián)汽車作為集合聯(lián)網(wǎng)信息節(jié)點(diǎn)和數(shù)據(jù)樞紐功能的移動終端，在運(yùn)行過程中深度收集、處理、傳輸和使用大量包括個(gè)人信息、車輛運(yùn)行數(shù)據(jù)和環(huán)境數(shù)據(jù)等在內(nèi)的信息數(shù)據(jù)。而數(shù)據(jù)作為車聯(lián)網(wǎng)系統(tǒng)的核心要素，對于以網(wǎng)絡(luò)通信技術(shù)為基礎(chǔ)的智能網(wǎng)聯(lián)汽車而言相當(dāng)于“人體的血液”。正因車聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)問題牽涉到行車安全、生命財(cái)產(chǎn)安全、個(gè)人信息安全乃至國家安全，對于相關(guān)企業(yè)數(shù)據(jù)安全的監(jiān)管合規(guī)就顯得尤為重要，尤其是涉及到個(gè)人信息數(shù)據(jù)跨境傳輸。

　　本文以歐盟與中國為例，試圖通過分析智能網(wǎng)聯(lián)汽車領(lǐng)域涉及到個(gè)人信息數(shù)據(jù)跨境傳輸?shù)臉I(yè)務(wù)場景，厘清個(gè)人信息出境的合規(guī)路徑，為我國車企出海業(yè)務(wù)提供規(guī)則指引。

　　一、智能網(wǎng)聯(lián)汽車涉及的個(gè)人數(shù)據(jù)類型

　　厘清車聯(lián)網(wǎng)個(gè)人信息跨境合規(guī)路徑，首先需要明確對應(yīng)法域?qū)τ趥€(gè)人信息的定義，從而分析智能網(wǎng)聯(lián)汽車運(yùn)行過程中可能涉及到的個(gè)人數(shù)據(jù)類型及其數(shù)據(jù)出境業(yè)務(wù)場景。

　　自歐盟推出《通用數(shù)據(jù)保護(hù)條例（GDPR）》以來，全球各法院相繼出臺相關(guān)領(lǐng)域的法律文件，我國以2017年頒布的《網(wǎng)絡(luò)安全法》為起始點(diǎn)，先后出臺了《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》。數(shù)字信息領(lǐng)域“三大基本法”及相關(guān)配套法律文件的頒布，標(biāo)志著我國正在以“前進(jìn)三”的速度開啟數(shù)據(jù)經(jīng)濟(jì)時(shí)代法治建設(shè)。其中，我國與歐盟關(guān)于個(gè)人信息的定義基本一致，均采取擴(kuò)張主義進(jìn)行原則性規(guī)范。

　　《通用數(shù)據(jù)保護(hù)條例》第4條明確了“個(gè)人數(shù)據(jù)（personal data）”的定義，即“個(gè)人數(shù)據(jù)”指的是任何已識別或可識別的自然人（“數(shù)據(jù)主體”）相關(guān)的信息?！?】而《個(gè)人信息保護(hù)法》對于個(gè)人信息的定義與之類似，“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！庇纱丝梢?，個(gè)人信息數(shù)據(jù)的外延較為寬泛，任何能夠識別定位到自然人的信息均在其語意范圍之內(nèi)。

　　而智能網(wǎng)聯(lián)汽車在運(yùn)行過程中通過視頻音頻設(shè)備、人體傳感器、智能車機(jī)系統(tǒng)等硬件設(shè)備，實(shí)時(shí)收集用戶的行為習(xí)慣和個(gè)人隱私等信息，包括車主和乘客信息、消費(fèi)與生活習(xí)慣信息、用戶部分生理數(shù)據(jù)、乘車人圖像及語音數(shù)據(jù)，以及駕駛活動數(shù)據(jù)，如駕駛員習(xí)慣、車輛靜態(tài)信息（如車牌號、車輛識別碼）、車輛動態(tài)信息（如位置信息、行駛軌跡）等?！?】

　　智能網(wǎng)聯(lián)汽車收集個(gè)人信息數(shù)據(jù)的應(yīng)用場景主要在于提升用戶駕駛體驗(yàn)的信息服務(wù)應(yīng)用以及增進(jìn)車輛駕駛協(xié)同系統(tǒng)?！?】為方便管理相關(guān)信息以及提供相應(yīng)的保護(hù)，以數(shù)據(jù)內(nèi)容及用途劃分可以將車輛網(wǎng)相關(guān)數(shù)據(jù)分為用戶身份數(shù)據(jù)，車聯(lián)網(wǎng)信息服務(wù)用戶數(shù)據(jù)和服務(wù)內(nèi)容信息，以及用戶服務(wù)數(shù)據(jù)。

　　用戶身份數(shù)據(jù)指車聯(lián)網(wǎng)信息服務(wù)活動過程中與用戶自然人身份和標(biāo)識信息、用戶虛擬身份和鑒權(quán)信息密切相關(guān)的用戶個(gè)人信息。車聯(lián)網(wǎng)信息服務(wù)用戶數(shù)據(jù)和服務(wù)內(nèi)容信息主要指車聯(lián)網(wǎng)信息服務(wù)過程中用戶服務(wù)內(nèi)容信息和用戶資料信息。用戶服務(wù)相關(guān)信息指車聯(lián)網(wǎng)信息服務(wù)過程中用戶服務(wù)使用信息、用戶車輛基本標(biāo)識信息和用戶設(shè)備、系統(tǒng)和平臺信息。

　　基于用戶個(gè)人信息的敏感程度和發(fā)生風(fēng)險(xiǎn)事件后危害程度的敏感性等級劃分，對于個(gè)人信息跨境傳輸更具有實(shí)踐性意義。由國家網(wǎng)信辦發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》以及工信部發(fā)布的《車聯(lián)網(wǎng)信息服務(wù)用戶個(gè)人信息保護(hù)要求》均以敏感等級為標(biāo)準(zhǔn)，將個(gè)人信息劃分為個(gè)人敏感信息、個(gè)人重要信息以及個(gè)人一般信息。個(gè)人信息的敏感等級主要以發(fā)生個(gè)人信息泄漏等安全事件后對于個(gè)人所造成的影響為基礎(chǔ)進(jìn)行劃分，價(jià)值考量因素包括人身財(cái)產(chǎn)、個(gè)人名譽(yù)、身心健康以及歧視性待遇等。

　　二、歐盟與中國個(gè)人信息跨境傳輸法律機(jī)制

　　《通用數(shù)據(jù)保護(hù)條例》為歐盟確立了一系列較為成熟的個(gè)人信息跨境傳輸機(jī)制，我國2022年7月頒布的《數(shù)據(jù)出境安全評估辦法》所進(jìn)一步明確的個(gè)人信息出境路徑與之亦有共通之處。同時(shí)，基于目前我國車企出海戰(zhàn)略目標(biāo)也以歐盟地區(qū)為主要支撐點(diǎn)，下文主要介紹歐盟與中國的個(gè)人信息跨境傳輸法律機(jī)制。

　　（一）以“適當(dāng)性評估”為核心的歐盟個(gè)人數(shù)據(jù)跨境流通的混合模式

　　歐洲個(gè)人數(shù)據(jù)跨境流動之法律規(guī)制經(jīng)歷了較長的探索期，直至《通用數(shù)據(jù)保護(hù)條例》才構(gòu)建起以“充分平等保護(hù)（Adequate Level of Protection）”為原則，以“適當(dāng)性評估（Adequacy Decision）”為核心，以“適當(dāng)性保護(hù)措施”、“特殊情形”以及“國際雙邊/多邊協(xié)議”為補(bǔ)充的個(gè)人數(shù)據(jù)跨境流通的混合模式。

　　適當(dāng)性評估模式是歐盟數(shù)據(jù)跨境流通的基本模式，即只有當(dāng)?shù)谌龂膫€(gè)人數(shù)據(jù)保護(hù)滿足充分保護(hù)水平的要求時(shí)，成員國才能將個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移到第三國。由歐盟委員會基于多種因素考量第三國是否能夠滿足適當(dāng)保護(hù)水平的要求，包括法治、人權(quán)以及基本自由，數(shù)據(jù)保護(hù)相關(guān)立法及實(shí)施，司法救濟(jì)途徑，公共機(jī)構(gòu)訪問個(gè)人數(shù)據(jù)的規(guī)則等?！?】

　　適當(dāng)性評估模式相當(dāng)于經(jīng)過歐盟認(rèn)證的“白名單”，但是認(rèn)證的過程繁瑣復(fù)雜，可操作性較差，實(shí)施至今僅12個(gè)國家或地區(qū)通過認(rèn)證，中國并未在其中之列?！?】而適當(dāng)性保護(hù)措施作為適當(dāng)性評估模式的重要補(bǔ)充手段則具有較強(qiáng)的靈活性，標(biāo)準(zhǔn)合同條款（SCC）以及約束性企業(yè)規(guī)則（BCRs）對于企業(yè)等法人主體的可實(shí)施性更高。

　　數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)合同條款（SCC）是從歐洲經(jīng)濟(jì)區(qū)（EEA）向區(qū)域外未達(dá)到“充分保護(hù)水平”的第三國或組織跨境傳輸數(shù)據(jù)時(shí)使用的標(biāo)準(zhǔn)合同文本，通過合約的形式約束數(shù)據(jù)輸出者和數(shù)據(jù)輸入者以確保個(gè)人數(shù)據(jù)獲得充分的保護(hù)。歐盟委員會負(fù)責(zé)制定條款內(nèi)容，主要包括數(shù)據(jù)輸出者和數(shù)據(jù)輸入者的義務(wù)，第三方受益人權(quán)利條款，以及責(zé)任分擔(dān)條款?！?】

　　SCC模式擴(kuò)大了指令的適用范圍，讓數(shù)據(jù)輸入者在未達(dá)到“充分保護(hù)水平”的第三國也需要遵守GDPR的要求來保護(hù)個(gè)人數(shù)據(jù)。但SCC要求每一次個(gè)人信息傳輸均需成立合同，因此難以適用于大量的數(shù)據(jù)傳輸。海量而重復(fù)的文件給合同主體造成了較重合規(guī)負(fù)擔(dān)，而約束性企業(yè)規(guī)則（BCRs）對于集團(tuán)內(nèi)部而言，則可很好地彌補(bǔ)這一缺陷。

　　約束性企業(yè)規(guī)則（BCRs）是適當(dāng)性評估模式的重要補(bǔ)充，其本質(zhì)是企業(yè)按照歐盟要求制定的，適用于跨國企業(yè)內(nèi)部的有關(guān)個(gè)人數(shù)據(jù)跨境流動的自律性規(guī)則?？鐕?、集團(tuán)公司如果具備歐盟成員國數(shù)據(jù)管理機(jī)構(gòu)認(rèn)可的約束性企業(yè)規(guī)則，則可以直接進(jìn)行集團(tuán)內(nèi)部的數(shù)據(jù)跨境傳輸，無需另行批準(zhǔn)。

　　約束性企業(yè)規(guī)則可以簡單地理解為適用于跨國企業(yè)的“白名單”，當(dāng)歐盟行政機(jī)關(guān)對整個(gè)企業(yè)內(nèi)部的數(shù)據(jù)跨境流通合規(guī)框架審查合格之后，企業(yè)內(nèi)部的數(shù)據(jù)流通將不再受限。應(yīng)當(dāng)注意的是，這些個(gè)人數(shù)據(jù)跨境流通僅限于經(jīng)過審查的企業(yè)內(nèi)部的數(shù)據(jù)傳輸，該公司將個(gè)人數(shù)據(jù)傳輸至其他主體時(shí)不得適用BCRs模式，即便是同樣經(jīng)過BCRs審查的獨(dú)立主體之間也不得適用此條款。

　　需要強(qiáng)調(diào)的是，《通用數(shù)據(jù)保護(hù)條例》并未對跨境傳輸?shù)膫€(gè)人數(shù)據(jù)劃分類別從而區(qū)分對待，因此任何類型的個(gè)人數(shù)據(jù)跨境傳輸時(shí)均需遵循上述合規(guī)路徑之一?，F(xiàn)階段，因中國與歐盟適當(dāng)性評估標(biāo)準(zhǔn)不一致以及國際雙邊協(xié)約的缺失，對于我國出海車企而言，標(biāo)準(zhǔn)合同條款以及約束性企業(yè)規(guī)則是企業(yè)將歐盟境內(nèi)的個(gè)人數(shù)據(jù)傳輸至中國或第三國的合規(guī)路徑。企業(yè)可以根據(jù)自身業(yè)務(wù)需求，合理選擇相適應(yīng)的傳輸方式。

　　（二）中國個(gè)人信息跨境傳輸?shù)摹叭舐窂健?/strong>