smart：智能网联汽车出海之路“数据合规”

　　随着中国制造向中国智造、中国质造、中国创造目标的迈进，我国车企也在不断提升自身产品力与品牌力。而汽车数据处理者的数据安全合规是一项系统工程。汽车出海前后，既需遵循我国境内的数据安全法律法规等，又需遵守目的国的相关法律法规。

　　2024年1月17日，在第二届中国汽车及零部件出海高峰论坛上，smart汽车数据安全专家王璐瑶谈到，智能网联汽车已成为继手机之后的最大移动智能终端，因此将涉及大量的数据收集与处理工作，数据隐私合规风险便成为智能网联汽车的核心合规风险，加强数据保护已成为汽车行业的新课题。王璐瑶围绕智能网联汽车出海态势、出海面临的主要数据合规风险及其特点、聚焦出海前的数据合规事项等三方面展开经验分享。

王璐瑶 | smart汽车数据安全专家

　　以下为演讲内容整理:

　　 智能网联汽车出海态势

　　在“新四化”的浪潮下，中国汽车企业走出去的步伐全面提速，我国汽车产品凭借高品质和高性能的竞争优势，逐渐赢得了全球消费者的认可，在全球化市场中占据了越来越多的份额。根据汽车工业协会发布的数据可以看到，2023年新能源汽车的出口量为120.3万辆，同比增长是77.6%，纯电动汽车的出口量为110.2万辆，同比增长80.9%，总体呈现了快速增长的的趋势。

图源：smart

　　与此同时随着国家促消费、稳增长的政策持续推进，中汽协预计2024年中国汽车总销量将超过3,100万辆，其中新能源汽车销量计划1,150万辆，出口550万辆，当前全球汽车领域正处在由燃油汽车走向新能源汽车切换的关键节点，新能源汽车可以作为我国汽车实现出口弯道超车的“主力军”，除了整车出口以外，动力电池、电机系统、智能驾驶等汽车行业的细分领域产品实现了突破和领跑，并向海外市场不断蔓延，总体形成了从产品出海到产业出海的态势。

　　出海面临的主要数据合规风险及其特点

　　与汽车相关的产品出口势头正盛的同时，车企在海外市场落地生根也面临着许多挑战。目前智能网联汽车已经成为继手机之后最大的移动终端，因此涉及大量的数据收集和处理工作，数据隐私合规便成为了智能网联汽车的核心合规风险，同时各国对于数据跨境的流动限制不同，既需要遵循我们本国的法律法规要求，又需要遵循当地的法律法规要求，各国对于数据存储的保护要求也不同，所以我们需要符合当地的法律法规标准，也要对国外的法律法规标准有一定的理解。不合规的企业，将会面临严厉的处罚，因此，在限制跨境数据流动、数据存储和保护以及数据泄露风险等方面，总体导致我们车企的合规压力剧增。

　　针对核心的风险数据隐私合规，欧盟制定了《通用数据保护条例》（GDPR），我国制定了《个人信息保护法》，美国各大洲在2023年与隐私相关的法规也相继出台，所以后续对于数据的保护和用户个人隐私方面监管力度会不断加强。如果违反了GDPR可面临高达2,000万欧元或企业营业额4%的罚款，合规的力度非常大。我们根据管辖权、处罚力度、保护范围这三项的整体环境对比，可以得出一个比较统一的共性，就是要求数据处理者履行告知或隐私通知义务。

图源：smart

　　通过主要市场的隐私相关法规环境对比，随着中国制造走向中国创造的目标迈进，我们国家的车企也在不断地提升产品竞争力，数据合规其实不是一蹴而就的工作，而是一个系统性的工程，所以加强数据保护将成为车企的新课题。smart数据安全专家组结合了PDCA方法论，提出了一套应对流程，来帮助我们更好地应对数据合规和隐私保护方面的问题。

　　首先在顶层设计方面，我们会建议大家明确数据安全与个人信息保护和隐私保护战略，然后确定数据安全相关承诺，为整体的数据安全合规框架建立有效的指引。第二步是建立整体的体系结构，帮助我们建立数据安全合规相关的管理体系，完善数据安全组织机构建设，包括数据安全管理的部门及负责人以及数据安全制度，我们可以结合数据安全法和相关的标准规范这些内容，建立分类分级的保护制度和风险监测的保护制度，以及我们整体对于数据安全事件的处置应急等预案，最后可以有针对性的对个人隐私保护建立相关的制度。

　　在建立完成这样的制度之后，需要把制度推进落地，落实整体的数据生命周期安全与合规。在实际的业务开展中，对于数据的全生命周期，包括数据收集、存储、使用、加工、传输、提供、公开等环节，落实安全的措施和合规的流程。第四步就是增强整体的培训工作，在完成数据安全的保障和个人信息保护的制度等之后，我们还需要加强内部的培训，能够使整体建立的体系和策略更有效地落地。最后就是持续优化，我们要结合整体的国内或是和国外的监管要求，及时跟进我们的法律法规来更新整体的制度建设，最终形成一个闭环。

　　聚焦出海前的数据合规事项

　　大多数人出门之前都会先检查水电燃气然后再放心大胆地出门，刚才介绍了一些我们出海面临的风险，我相信大家对于出海前和出海后对于数据合规的要求有了一定的理解，那么接下来我们一起聚焦在出海前数据合规相关的事项。

　　随着网络安全法、数据安全法和个人信息保护法的相继颁布和施行，共同构成了我国网络空间监管的“三驾马车”。

图源：smart

　　对于重要数据出境和个人信息出境均形成了明确的规定，网信部门会同有关部门相继配套颁布《数据出境安全评估办法》、《个人信息出境标准合同办法》以及《个人信息保护认证实施细则》，形成了数据出境的基本框架。根据适用的情形和触发条件的不同，目前我国整体的数据出境路径主要包括三类，首先第一类是官方数据出境的评估申报路径，第二类是签订个人信息标准合同的路径，第三类是个人信息保护认证的路径。

　　对于这三条路径我们怎么选择需要有方法，首先第一步就是对于数据出境场景进行判定，判定我们现在的业务活动和目前数据的传输到底是第一个场景还是第二个场景？如果数据是在境内运营收集和产生的，传输和存储在境外的，可以匹配到第一个场景，如果数据收集和产生存储在境内，但是境外的机构和组织还有个人可以访问和调用，就是第二类场景，可以把数据出境场景和业务实际结合起来，根据实际场景来判定当前的数据出境到底归属于哪一个场景。

　　在场景判断完毕之后，第二步需要对出境数据的种类进行判定，在基于场景判断的情况下，首先需要先判定数据主体是否为关键信息基础设施运营者，，对数据类别进行判定数据是否是个人信息还是重要数据，接着对数据量进行有效判定，判定完毕之后再进行这三条路径的选择，主要还是要结合目前实际开展的业务情况，最终选择合适的路径，但无论选择哪一种路径，只要涉及数据出境的场景，都需要进行合规准备。

　　我们主要给到大家6个合规建议，首先是在准备阶段需要建立好数据合规团队，然后制定合规计划和流程。第二点是对产品和服务进行数据安全的合规审核和风险评估。第三点是准备境外接收方的签订地法律文件。第四点是定期需要进行数据合规相关的培训和宣传，提高合规意识。接下来就是需要建立整体的数据合规监控和报告机制，及时发现和解决合规问题，最后就是及时跟踪和了解国内市场和目标市场的法律法规以及政策要求。

　　目前我国车企在海外市场的占有率逐渐提升，在积极推动我们整车以及汽车相关产品全价值链出海的同时，应该更加重视汽车行业数据出海的合规风险。

　　（以上内容来自smart汽车数据安全专家王璐瑶于2024年1月17日在第二届中国汽车及零部件出海高峰论坛发表的《智能网联汽车出海之路“数据合规”》主题演讲。）