△“智能网联车出海系列——欧洲专题:数据监管合规研讨会”视频
【编者按】3月29日,由走出去智库(CGGT)、《互联网法律评论》联合主办的“智能网联车出海系列——欧洲专题:数据监管合规研讨会”在线上举行。会议由走出去智库(CGGT)总经理陆俊秀主持,邀请国际知名律所——鸿鹄律师事务所(Bird & Bird)合伙人龚钰做主旨演讲。
来自国家发展改革委员会、中国证券监督管理委员会、中国汽车工业协会、上海数据交易所、德国外贸与投资署、比亚迪、吉利、奇瑞、一汽、江淮汽车、宁德时代、华为、腾讯、百度、商汤科技、Nullmax纽劢、意法半导体、现代摩比斯、塞默勒中国、埃森哲、凯捷等单位的嘉宾参会。
本次研讨会在中国汽车产业扬帆出海的大背景下,围绕中国汽车产业在欧盟市场的机遇与挑战、数据合规、地缘政策与舆情风险,从中国企业决策管理的战略视角和实务角度,提供应对欧盟数据监管的策略。
今天,《互联网法律评论》刊发此次研讨会的主要内容及视频实录,供关注欧盟数据合规的读者参考。
欧盟作为中国车企海外的重要市场,企业面临哪些风险?
走出去智库(CGGT)总经理陆俊秀在主持研讨会时表示,全球电动车的时代正在加速到来,各国的数字监管政策会深刻影响智能网联车走进各国市场。
当前,欧洲作为中国车企出海的重点市场之一,根据走出去智库会前的问卷调查显示,企业最关注的国别市场包括:德国(占比88%)、法国(56%)、英国(占比54%)、荷兰(42%)、挪威(32%)等。
中国车企出海欧洲,须高度重视面临的政策风险。根据走出去智库会前的问卷调查,企业最关注的政策壁垒包括:市场准入(90%)、技术标准(70%)、进口关税(64%),以及补贴政策(58%)等。
特别需要指出的是,企业最关注的合规风险包括:数据隐私风险(92%)、产品安全风险(64%)、知识产权风险(58%),以及环保风险(54%)等。
另一方面,全球权力日益分散,超级选举年,地缘政治环境充满竞争与冲突。世界经济更加碎片化和区域化,影响增长潜力。中国企业推进全球化经营,尤其需要关注地缘政治风险、舆情风险和合规风险的多重复杂关系。
企业需要采取有效措施来应对上述风险,包括:(1)加强对地缘政治形势的监测和分析,及时调整企业策略;(2)建立良好的舆情监测和应对机制,及时化解舆情危机;(3)建立健全的合规管理体系,确保企业遵守法律法规。
中国车企出海欧盟数据合规实操经验分享
鸿鹄律师事务所(Bird & Bird)合伙人龚钰在主旨演讲中表示,目前欧盟层面现行有效的、和汽车行业个人数据处理密切相关的法律包括《通用数据保护条例》(GDPR)、《电子隐私指令》(ePrivacy Directive)、《数据法案》(Data Act)、《人工智能法案》(AI Act)。除了现已生效的GDPR和ePD等法案,作为欧盟最新数字战略的一部分,即将于2025年生效的《数据法案》(Data Act)以及后续发布的配套法案,也会对出海车企及相关智能网联汽车服务供应商的合规义务产生影响。
对于预期进入欧盟市场、或已经进入欧盟市场且在可预期的未来扩大欧盟业务的中国车企以及上游软硬件供应商而言,目前需要评估其是否落入GDPR和ePD的管辖范围并尽快采取系列数据合规保护措施,同时也需要提前判断Data Act对相关产品和服务可能带来的潜在影响并提前进行合规改造,此外还需要密切关注AI Act出台后欧盟委员会后续发布的和汽车行业相关的补充指令。
部分出海车企在欧盟境内批量售车前,还有在本地开展路测的需求,从而实现提高车辆自动驾驶能力等目的。欧盟国家对于路测开展的开展有着较为严格的监管体系,例如部分成员国家要求车企在开展路测前需取得本国交通监管机构的许可,尤其是对于涉及到更高级别自动驾驶技术的车型,监管机构会提出更高的审批与合规要求。拟上市车型的高风险车机功能是否能在欧洲本地市场落地,以及如何落地,是出海车企合规工作的重中之重。
从数据合规的角度来看,在开展路测的过程中,路测车辆不可避免地存在收集公共区域自然人个人数据的情况,例如摄像头捕捉的路人人脸信息、车牌号等,对于这部分个人数据,如何合规地处理或者进行再利用,是开展路测的车企需解决的难题。
除车机端的合规之外,出海车企配套汽车产品推出的海外App也需要在上市前完成相应的数据合规审查与合规措施整改。对于车辆配套App的数据合规而言,除了需要关注一般的GDPR合规要求,也需重点关注APP的身份验证机制以及实现有效的账户隔离等方面的要求。
出海车企在欧盟数据合规工作中所面临的一项重难点问题,即GDPR第35条确立的一项强制性法定义务——“数据保护影响评估”(DPIA),要求数据控制者在开展可能对自然人的权利和自由产生高风险的个人数据处理活动前进行风险评估,以识别和采取适当措施降低数据处理活动的风险。考虑到需要进行DPIA的车机功能一般涉及高风险的个人数据处理活动,若未能进行必要的风险评估并及时采取合适的合规措施,则面临较高的处罚风险,因此需要车企予以足够的重视。开展DPIA是一项较为复杂且耗时的合规工作,对于出海欧洲的车企是不小的挑战,既需要企业给予相当的重视和资源投入,一般也依赖于熟悉GDPR及欧盟成员国当地法律的专业律师团队支持。
此外,对于出海欧盟的中国车企而言,数据跨境传输几乎是不可避免的议题。实践中,针对和外部供应商的数据交互所涉及的跨境传输活动,首先需要评估企业目前和外部供应商的服务协议中是否有针对数据处理以及数据跨境传输活动的相关条款,若没有,我们建议企业准备一份符合GDPR规定的数据处理协议,且该等数据处理协议应包括对应模块的欧盟标准合同条款(SCCs),并与外部供应商签署该数据处理协议。
案例分析一:
案例分析二:
案例分析三:
案例分析四:
演讲专家简介
龚钰
走出去智库(CGGT)特约法律专家
鸿鹄律师事务所(Bird & Bird)
合伙人
龚律师领导鸿鹄律师事务所中国的数据保护和网络安全团队。他在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富。他曾为来自多个行业的中国和跨国客户提供境内外法律服务,擅长解决行业相关的复杂法律问题。龚律师的观点经常被媒体引用,并且作为业内认可的作者发表TMT及数据相关文章。
龚律师毕业于曼彻斯特大学,并获得法学学士学位。他拥有中华人民共和国法律职业资格和美国纽约州律师执业资格。他还是国际隐私专业人员协会成员,持有CIPP/E、CIPP/US 和CIPM证书。
业界荣誉:
中国《商法》2023-24法律精英:律界精锐
律师新星,2023
法律500强:
中国:数据保护(外资所)新生代合伙人,2024
中国:TMT(外资所)新生代合伙人,2022,2024
中国:公司法及并购(外资所)高度推荐律师,2024
亚洲法律杂志(Asia Legal Business)2022中国十五佳TMT律师
Lexology CMA:TMT - 亚太地区影响力律师(2023 Q1Q2,2022 Q2Q4)
执业经验:
为蔚来汽车、小鹏汽车、吉利汽车、北汽福田、比亚迪、石基信息、菜鸟网络、华为、千寻位置、迈瑞医疗、健世科技、小天才、Vivo、科大讯飞、中银国际、中国农业银行、美的、蚂蚁金服等就GDPR相关合规问题、隐私政策和数据处理提供法律服务。
主持人简介
陆俊秀
走出去智库总经理、高级合伙人
清华大学工学博士
专业领域:地缘政治风险与合规研究、国别政策法律监管逻辑、企业地缘危机解决实务、企业跨境并购和投融资战略、金融科技研究。
过往经验:曾供职于国家开发银行总行研究部门8年,任研究院副处长;兴业银行股权投资部门5年,任子公司总经理。是中国商务部国际商务官员培训特聘老师,面向发展中国家政府经济金融部门官员,讲授区域经济发展与中长期投融资课程。
主导走出去智库(CGGT)“美国/国别政策和法律洞察”系列研究咨询,覆盖:ICTS、半导体显示、半导体材料、软件服务、消费电子、智能终端、光伏新能源等重点产业,涉及出口管制、经济制裁、网络安全、数据安全、隐私保护、投资审查等重点法律领域。曾为TCL 集团、TCL实业、TCL华星、TCL中环;字节跳动/抖音集团、腾讯、华为、OPPO、中国通号、中国商务部、北京市商务局、上海市商委、浙江省商务厅等提供咨询。
包括战略咨询、专项咨询、预警研究咨询:
◆《台海局势推演和全球化企业海外合规|战略咨询报告》
◆《美欧政策和法律洞察|预警双周报》
◆《企业政治风险、合规风险、舆情风险演进|月报》
◆《重点国别数据监管政策洞察研判|咨询报告》
◆《欧洲并购战略规划和实务对策|咨询报告》
◆《“一带一路”新能源投资风险和实务指南|咨询报告》
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。
