近年来,许多国家已将数据主权提升至维护国家安全的战略高度,如何保障数据安全成为各国的重要议题。中国新能源车企出海需着重了解各国数据合规法律要求,事先甄别可能涉及的数据种类和数据传输安排,确保遵守相关数据合规要求并降低违规风险。
下文将介绍欧盟、泰国、马来西亚、阿联酋、沙特阿拉伯和美国关于数据合规的立法情况,以及汽车企业需特别关注的事项。
一、欧盟
欧盟的个人信息保护核心立法是GDPR,对所有欧盟成员国具有约束力。
GDPR具有域外效力,即便数据控制者或数据处理者未在欧盟设立营业场所,当数据处理活动涉及为欧盟境内的数据主体提供货物或服务,或对数据主体在欧盟境内的行为进行监控,亦将受到GDPR的约束。
GDPR确立了一系列个人信息处理原则,要求数据控制者和数据处理者实施技术与管理措施以保障个人信息安全,并赋予个人信息主体向成员国的数据保护机构投诉、寻求司法救济等救济权利。
GDPR对于个人信息传输至欧盟/欧洲经济区以外的国家或地区设置了几种跨境传输机制,数据控制者或数据处理者满足其一即可。其中主要的有三种,一是境外接收方所在国家或地区被列入欧盟委员会认定的具备充分的个人数据保护水平的“白名单”中,则个人信息跨境传输无需特别审批;二是针对集团内部的个人信息跨境传输,如果集团内部达成了有约束力的公司规则,并经监管部门批准,则集团范围内的主体可以自由传输个人信息;三是与境外接收方签订欧盟委员会制备的标准合同条款。对于中国的新能源汽车企业,由于中国目前并不是“白名单”国家,且制定有约束力的公司规则亦需要获得监管机构的批准,如果涉及个人信息回传至国内,实务中通常会考虑标准合同条款机制。
针对汽车行业,欧洲数据保护委员会(European Data Protection Board,“EDPB”)对汽车行业(尤其是网联汽车)的“数据控制者”和“数据处理者”(均适用GDPR项下的定义)如何遵守GDPR制定了指南《第01/2020号指南:关于在联网车辆和出行相关应用中处理个人数据》(Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications)。该指南针对汽车行业的常见风险场景提供了应对思路。例如,对于车载Wi-Fi连接到互联网对个人信息带来的风险,EDPB指出,汽车和设备制造商应当设置易于操作的选择退出(opt-out)选项,确保个人可以拒绝车载Wi-Fi网络收集服务集标识符(SSID)。