ALB APRIL 2024 (CHINA EDITION)

7 ASIAN LEGAL BUSINESS CHINA • 亚洲法律杂志-中国版 WWW.LEGALBUSINESSONLINE.COM/CHINA 刘倩 国枫律师事务所合伙人 liuqian@grandwaylaw.com BROUGHT TO YOU BY GRANDWAY LAW OFFICES 2024年2月28日,美国政府依据《国际紧急经济权力法》 (IEEPA)发布了一项保护美国人个人敏感数据免遭“受关注 国家”利用的行政命令。同时,美国司法部发布了执行该行政 命令的拟议规则制定的预通知(ANPRM)Fact Sheet,概述了 实施该命令的规则。根据IEEPA和ANPRM的内容,美国政府 增强对某些敏感数据向中国和其他几个国家的跨境传输审 查机制。这是美国历史上首次创建了美国人数据跨境传输的 审查机制。美国成为继中国之后,第二个政府基于国家安全 理由明确介入商业数据跨境流动的国家。 这对于目前很多中国企业“出海潮”的格局,无疑又增 添了一个新的挑战。虽然目前只有美国提出了这一政策,但 也不能排除未来会有更多的国家制定类似法案。数据合规可 能将会被越来越多的国家所关注,成为企业出海中的重要事 项。在企业出海过程中,除了关注目的地国家相关数据合规 和数据保护相关的要求之外,首先应该满足我国自身的数据 跨境传输的合规要求。 以新能源汽车为例,2023年,中国整车出口首次超过日 本跃居世界第一,根据中国汽车工业协会公布的数据,2023 年我国汽车出口量接近500万辆。其中,新能源汽车出口超 120万辆,同比增长超过77%,从目前国内汽车行业的体量 和“内卷趋势”来看,新能源车企要想做大做强,出海几乎是 必经之路。但是新能源车在研发、生产、销售和运维过程中都 会产生数据的跨境传输,包括但不限于在研发阶段研发数据 共享至境外研究人员、在销售过程中需要收集车主和驾驶人 等用户个人信息和驾驶信息甚至在充电装置的使用中会需 要汽车充电网的运行信息,后续如果在境外设立子公司也会 产生境外企业日常管理员工个人信息等。 根据中国国家网信办发布的《数据出境安全评估申报指 南(第一版)》,数据出境主要包括两种情况:(1)境内运营中 收集和产生的数据传输、存储至境外;(2)境内运营中收集和 产生的数据传输、存储在境内,但是境外的机构、组织或者个 人可以查询、调取、下载、导出。因此,无论新能源车企是通过 企业出海中的 数据合规问题 软件介质(即时通讯软件、电子邮件等)或者硬件介质(光盘、 硬盘、U盘、存储条、笔记本电脑等)将数据传输至境外,还是 为了满足日常管理及业务开展需要使用外部供应商的信息 系统或软件平台,若汽车企业存储数据所使用的信息系统或 软件平台的服务器或云端部署在境外,即使该企业本身位于 境内,也属于数据出境。此外,虽然新能源车企没有主动将数 据提供给境外机构,但境外机构、组织或者个人可以查询、调 取、下载、导出的,也构成数据出境。例如,新能源汽车企业使 用境外技术服务商提供的服务,境外技术服务商在维护该系 统时,具有特殊的访问权限,可以调取、下载和导出存储在境 内服务器的数据。因此,新能源车企如果计划或者已经进行 了出海动作,应该做好数据跨境合规的相关安排。 2022年9月1日,国家网信办发布的《数据出境安全评估 办法》(下称《评估办法》)正式生效实施。据悉,该《评估办法》 是基于《网络安全法》《数据安全法》和《个人信息保护法》等 法律法规制定的。与此前的法律法规相比,《评估办法》提出 了我国数据出境“安检”的具体要求,标志着我国数据出境规 则的基本形成。目前,我国数据出境主要包括三种路径,分别 是网信部门安全评估、个人信息保护认证和标准合同备案。 就新能源汽车而言,《汽车数据安全管理若干规定(试 行)》系统地明确了汽车数据出境的准则和要求,即汽车数 据处理者向境外提供重要数据,不得超出出境安全评估时明 确的目的、范围、方式和数据种类、规模等。虽然目前业内普 遍将车辆数据分为四大类,包括车辆数据、用户数据、应用服 务和外部环境数据,但随着汽车产品网联化的特征越来越明 显,对应的汽车数据种类也越来越丰富,摄像头、激光雷达、 电池等关键零部件的运行状态,定位和导航数据,基础设施 基本数据、5G-V2X等车路协同信息、环境感知数据等,如需 进行数据出境,均可能触发《评估办法》中对于重要数据的合 规要求。新能源企业应该对照《评估办法》梳理自身数据处 境场景和数量级,聘请专业的顾问进行相应的数据处境合规 梳理。

RkJQdWJsaXNoZXIy MjA0NzE4Mw==