我国汽车领域数据跨境流动需求日益增加。国内数据跨境流动管理法规、制度与国际规则存在差异,车企面临较大双重合规压力。本文立足汽车行业,通过研究欧美数据跨境监管要求并进行对比,提出完善我国数据跨境管理的启示。
01汽车数据跨境流动需求频繁,车企面临双重合规压力
(资料图片仅供参考)
中国汽车加速出海且深度参与全球化,车企的数据跨境流动需求增加。近两年,我国车企接连在海外新建/扩建生产工厂、研发中心、销售中心等,中国汽车呈加速出海且深度参与市场全球化的趋势。据调研,车企目前将海外数据存储在当地自有数据中心或公有云中,没有涉及出口国当地个人信息跨境传输。但由于海外销售、研发等分支机构需要共用国内业务系统,会有研发、制造、销售、财务、运行等相关数据跨境流动的需求。根据要求,个人信息数据应本地存储,但涉及技术的数据却免不了出境或远程跨国访问。
全球汽车数据安全事件频发,数据跨境成为各国合规监管的重要部分。2021-2022年间,大众、沃尔沃、通用、丰田、蔚来等均公开表示有不同规模、不同类型的数据遭泄露,其中涉及到用户、研发等敏感数据。由于汽车行业数据包含大量用户隐私、地理信息数据,且部分数据与关键信息基础设施关联,跨境流通成为我国乃至全球各国监管的重点。
车企海外数据全部本地化存储或影响企业效益,而数据跨境流动将增加企业国内外监管压力。车企所有海外数据只在本地存储,或将动摇跨国车企长期采取的远程支持、维护、集中化管理模式,甚至延缓技术发展进程、提高本地化设备部署成本。例如,短视频平台TikTok计划在爱尔兰和挪威共新建三个数据中心,预计每月额外投入12亿欧元管理成本。
车企数据跨境流动要面临多国监管压力。全球已有100多个国家出台了数据安全法律法规,对数据安全、隐私保护等相关问题进行严格规范。这些法律条例管辖范围不仅包括本国范围内的数据处理行为,更涵盖境外数据处理。各国监管要求存在差异,企业需要同时满足不同数据合规要求才能保证产品和业务正常售卖和运转,全面适配难度较大。对跨国车企来说,短期内数据出境安全合规将是一个极大的挑战。另外,由于各国严格的规定和惩罚措施,车企也很容易因为疏忽而导致巨额罚款。
02国外数据监管对我国汽车数据跨境管理的启示
欧盟设立约束性企业规则(BCRs),以应对跨国车企总部与分支机构之间频繁的数据跨境流动问题。近期汽车企业数据出境安全评估向监管部门送审时发现,境内的跨国车企分支需要频繁和境外总部之间进行数据交互。我国虽已规范安全评估、认证和标准合同三种途径的数据出境方式,但尚未对跨国企业内部之间的数据跨境传输设置专门的审批途径,通过上述三种途径的效率相对较低且监管部门的审批压力较大。而欧盟设立的BCRs模式,类似适用于跨国企业的“白名单”,跨国企业、集团公司如果具备欧盟成员国数据管理机构认可的约束性企业规则,欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后,可以直接进行集团内部的个人数据跨境传输,无需另行批准,但不得传输至其他主体。
现阶段我国车企数据出境主要包含两种情况:重要数据出境,只有安全评估一种方式;非重要数据出境,可以通过标准合同或安全认证,标准合同相对更方便。对于欧盟内的汽车数据回境,我国并未取得“充分性认定”,需要采取标准合同、约束性企业规则、认证机制或行为准则等适当保障措施,为数据主体提供可执行权利与有效法律救济措施。对于集团内部的数据跨境,中大型跨国车企可选择BCRs;对于企业间个人数据跨境,签订标准合同更普遍。
我国虽然从法律层面为BCRs作为合法出境方式预留了口子,但当前跨国车企将我国境内数据传输至境外总部,BCRs模式暂不适用。长期来看,我国若要引进类似BCRs的模式,还需进一步明确适用的企业范围、适用的数据类型以及境外总部能否接受中国监管部门检查等问题。
借鉴美国数据本地化存储方式,进一步健全我国汽车数据本地化存储制度。为回应美国政府对数据本地化存储的要求,TikTok与拜登政府达成“充分保障用户数据安全和美国国家安全利益”的协议,将美国用户的受保护数据存储在位于德克萨斯州的甲骨文数据中心,并授权甲骨文作为“看门人”审计和监督数据的流动与访问,体现了美国试图保证本土数据安全的控制力。
与之相比,我国监管部门精力仍集中在数据出境安全管理上,尚未对数据本地化存储政策作进一步研究,《网络安全法》仅提出关键信息基础设施运营者收集的重要数据、个人信息应在境内存储,未对国外企业在我国境内处理数据活动进行规范。随着智能网联汽车数据规模日益增加,从国家安全角度来看,保护力度略显不足。因此,我国应在现行数据本地化存储制度框架下,针对汽车领域的重要数据和个人信息,进一步明确“管用”分离的监管要求,并适当增加跨国企业在我国的数据本地化存储和处理要求,比如数据只能存储在我国政府信任且可控的境内数据中心,且数据访问者为中方人员,在此基础上逐步放宽跨国企业对数据的开发利用。
欧美不断拓展数据跨境“朋友圈”,以维系在全球数据规则制定中的话语权和影响力。当前欧美等主要国家正通过双边/多边协定积极构建以自身为中心的数据跨境流动生态圈,既为合作国家之间的数据跨境传输提供便利途径,也能对外输出自身的数据跨境流动规则主张。
欧盟主要通过GDPR的“充分性认定”协议参与并主导数据跨境流动监管与协调,并设立“白名单”允许通过认定的国家可以不受限制地将在欧盟收集的个人数据引入国内,至今已有日本、新西兰、加拿大等14个非欧盟国家(地区)进入白名单。
美国依靠国际贸易协定推行数据自由流动主张。美国是最早将个人数据传输条款纳入国际贸易协定的国家,主要利用自身全球政治经济影响力推行数据自由流动规则体系,建立自己的数据跨境“朋友圈”。1980年美国便开始在经济合作与发展组织(OECD)框架下推动数据保护项目。在2004年的《美国-智利自由贸易协定》、2012年的《美国-韩国自由贸易协定》、2018年的《美国-墨西哥-加拿大协定》中都推行数据全球自由流动主张。
各国数据监管要求存在一定差异,过去我国参与的双边/多边协定中较少涉及数据跨境流动的条款,我国车企出海发展会面临较大数据安全合规压力。借鉴欧美经验,我国需围绕数据跨境传输与其他国家构建对等互认的协议或机制,既能输出我国数据安全监管的底线原则,也能为我国车企在合作国家间的数据跨境传输提供便利。
借鉴高开放度的国际规则,进而完善我国汽车数据跨境规则。我国“三法一条例”以及《数据出境安全评估办法》均对数据跨境流动予以法律规制,初步形成跨境数据流动管理体系,但与《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)、《数字经济伙伴关系协定》(以下简称“DEPA”)等规定的高开放度、高管理水平数据跨境流动规则相比,仍存在不兼容问题。
例如,CPTPP要求缔约方在对数据跨境流动采取限制措施时,对国际贸易造成的负担应维持在最低水平。日本、新加坡等CPTPP成员针对个人信息跨境传输设置了“同等保护”的认定标准,通过认定的国家不需要对每次跨境活动再进行审查。而我国数据出境评估结果有效期仅为两年,且在有效期内出现接收方所在地法律环境、向境外提供数据目的方式范围类型等发生变化的,数据处理者应当重新申报评估。
在保证数据安全的基础上,应适当调整数据跨境管理要求,以提升我国数据安全法律法规与国际领先规则的衔接性,主动对照数据相关规则、规制、管理、标准等,积极推动加入CPTPP、DEPA等高标准经贸协议。随着国内数据安全管理逐步完善,应加快探索以我国数据管理主张和标准为主导的国际协议,进而提升我国在数据规则制定中的话语权和影响力。
执笔:梁嘉琪、贾浩
参考文献:许皖秀,左晓栋“美国审查TikTok数据安全带来的启示与思考”