孙鹏程：汽车出海数据安全合规治理面临的法律风险

10月30-31日，2024汽车技术与装备发展论坛在苏州召开，政府领导，院士专家，装备、汽车及产业链企业高层齐聚，围绕“共筑汽车产业新质生产力”年度主题，聚焦新技术、新装备、新生态展开深入研讨，探索装备制造与汽车产业的融合发展路径。论坛由1场闭门会、1场开幕大会、2场特色活动和4场分论坛构成，搭建起国内首个聚焦“汽车技术与装备发展”领域的高端对接平台。其中，在2024汽车技术与装备发展论坛之面向全球车型研发的信息安全合规技术论坛上，北京大成律师事务所数字业务中心副秘书长孙鹏程发表了演讲。以下内容为现场发言实录：

谢谢各位专家和领导，我主要想分享一下作为我们律师在给车企服务出海业务当中，我们遇到的一些法律风险。但是我今天分享的主要还是偏向于数据合规方面。包括我们大成还有个非常优秀的团队主要是做出口管制，内容里面有一块地区我们也会稍微分享一下，特别是俄罗斯地区出口管制的一些问题。但那个不是特别多。

我今天分享主要的内容主要包含全球法律法规、特殊地区比较特殊的一些合规的要求解读。包括也是我们在给车企做的一些实践的案例。包括我们在给车企出海过程当中，针对这些风险我们做的一些应对措施。

最后我们在给一些车企具体服务出海业务过程当中的实践的方案分享。

首先大家可以看到，这页PPT前面几位专家也有展示过全球的地图，如图（左）是法国的监管机构，他在他监管上发布的，但截止日期是到2023年全球来讲各个地区已经制定的数据相关的法规的一些监管的态势，也可以看到相对来说，欧洲、美国其他一些地方是比较严苛的。

在非洲很多国家其实是没有相关法规相关的特殊要求。

如图我们给企业提供服务的时候，不是说只是给他看一张图，另外也是要告诉客户，哪些地区是有特殊要求的。对于数据中心的选址也是要通过全球化的方案，用地图来给他一个解决的方案。

包括客户已经有一些方案之后，他可能要律师来给他做一些，我在全球如果只步这些节点，是否能够符合当地法规要求的。

比方说在欧洲主要建一个数据中心。整个欧洲来讲，大部分国家都是遵循GDPR的，比方说英国可能跟GDPR还是有一些差异的，包括非EA的地区也是跟GDPR也是存在一些差异的，中东也是比较特殊的，后面我会讲到中东可能你步一个数据中心不能够满足中东一些国家的特殊，在当地的沙特跟阿联酋他都是有非常强的本地化要求。

包括一些特殊行业，特别是车联网行业，都是需要在数据要进行一个本地化的处理的。另外一个比较火的是东南亚地区，东南亚地区大部分的企业在选择出海的时候服务器优先会选择放在新加坡，相对来说新加坡它的法规要求是比较完善的，包括他在跟美国或者欧洲传输数据的时候，相对来说没有一些额外的限制条件的。

包括一些其他地方也有很多的法规的要求，细的来讲我们在给车企出海的时候，也是会去按照一些大的区域去给他做一些规划。比方说前面的专家也提到欧美并没有现在车企出海的最优先选择，确实是之前比方说欧洲有些政策补贴，新能源碳排放的要求，所以新能源去欧洲出海之前是非常火的。

包括第一站为什么选择挪威。刚刚我看到那位老师也画了一张图，挪威当地的政策是要求一些企业直接采购的时候就要采购新能源，政策是非常好的，所以会去欧洲，但是现在欧洲包括美国一个是关税，包括一些法规的要求，美国那个只是一个草案，但是他草案当中明确提到一些敏感数据是禁止向一些特定的国家传输的，中国也是在这个范围内。

包括敏感数据定义，IP地址也在里面，所以不光影响车企，就是一些互联网公司的出海，也会受到一定的影响，包括他也是非常强调行动轨迹。

车联网你可能要去收集车辆的行动轨迹，你可能在这些新的法规生效之后针对美国市场你要做一些调整，比如说东盟各个国家也是会存在一定差异的。但是相对来说，我们跟新加坡的同事在交流的时候，他们也是提到新加坡的这些法规跟GDPR也是非常相似的。

如果是做过GDPR再去做东盟的一些合规，相对来说比较简单，这里我也分享一下新加坡的案例，我认为很多中国的企业在出海的时候，可能这些小的点不会特别关注。

新加坡当时公布了一个案例澳大利亚的一家公司是在新加坡设立了一个子公司，那他们所有的服务器是放在欧洲的，但是跟欧洲这家公司所有的协议相当于是集团公司统一签署的，在新加坡他认为我新加坡个人信息的处理，对于欧洲公司来讲我们之间是没有一个合同的约束的。

子公司跟集团公司之间也没有协议，子公司跟欧洲这家数据处理也是没有任何协议。所以他认为是违反了新加坡当地PDPA的要求。但是最后这家公司也是积极做了整改，最终可能只是一个约谈没有受到实际处罚。

我们在给国内很多企业服务的时候，也是发现这个问题，大部分的企业在签协议的时候都会有个保密协议。不管是国内法律，国外法律，针对数据处理来讲是要签署相关的数据处理协议，他对于一些安全责任，或者说是对于个人信息保护权益的责任的划分，都是有些特殊要求的，并不是只是传统我主要对这个数据保密就是符合一些法律的要求。

拉美地区现在是比较火的，我们也是在协助一些汽车零配件厂商，在出海的时候，现在除了东南亚、中东、拉美也是一个主要的市场。

比如说GDPR会跟中国一些法规有对应，包括R155/156国内也有对应的指标。但是有的国家比方说中东，沙特、阿联酋针对你的车联网要做一个物联网准入的备案，这个其实在中国没有。但是比方说中国的一些特殊要求等保这样的制度，海外也是没有等保这样的一个制度要求。

但是比方说在新加坡有个CTM类似于等保的认证，包括韩国可能也有跟等保类似的认证，所以，如果说我们出海到这样的国家，就是要去看，我们是否也要做相关的认证或者是备案。

欧洲GDPR最早发布的时候，在GDPR里面其实是有要求要做认证的。但是那个认证是两年之前在发的。当时很多车企可能已经做了ISO27701，包括EPROS认证，但实际上GDPR里面明确写到要做EPROS认证。

至少全球上来讲，之前确实是中国的企业优先全球第一家拿到这样一个认证，反而不是欧洲企业首先拿到这样一个认证，那个认证企业拿到之后也是有很多的车企再向我们做咨询。

咨询跟认证机构都要取得欧盟相关机构的资质。大成我们欧洲的办公室也是拿到了咨询的资质，所以很多的客户也在咨询最新的认证。

比方说是在中国保也是属于认证，包括出境有几条路径，大的几条包括安全评估、标准合同备案，他其实也是提到了有个人信息保护认证这样的一个途径可以出境。

刚才提到阿联酋他们那种地方是有物联网准入要求的。另外各个国家对于数据主体的权利响应，也是有不同的要求。

比如说GDPR里面写的是30天，我们国家当时35273，最早写的也是30天，但如果你现在在国内的隐私政策你还会写30天，可能会到工信部或者网信办整改的通知。按照APP违法违规收集认定的方法里面，他提到在国内你可能一定要在15个工作日，国外算的是自然日，是用天。在国内是15个工作日，日期的计算方法也是不一样。包括日期的要求也是不一样。

比方说是在美国有的地方要求的是45天，比方说马来西亚它也是比较特殊的，它要求是21天，但是有特殊情况可以延长14天。

阿联酋可能整个国家层面没有一些特殊规定，但是在阿布扎比要求在两个月内要进行个人权益的响应。所以都是不一样的。

我们的做法也是。这块主要体现在隐私政策，隐私政策相对来说中国是单独的一套体系，全球主要依据GDPR去做的，但是针对不同国家的地区的特殊要求，我们可能会在隐私政策上声明，如果你是在某些特定区域，我会按照特定区域的要求，比方说21天或者其他的日期做一个权利响应。

另外针对数据泄露通知，数据泄露通知也是在GDPR里面要求72小时，在不同国家要求也是不一样的。我们从国家层面上说法规没有明确要求多少时间内，但是一些特殊的行业比如金融行业是有一些特殊要求的。

今天工信部也发了数据泄露事件应该是一个事情的指南，它对于事件的定级，我刚才快速看了一下，影响个人的数量，包括可能影响服务的响应，恢复时间，他会对这个事件有1-4级不同的定级，不同的级别会有一些特殊的处理流程，大家也可以关注今天工信部的发文。

接下来，给大家介绍一下我们在给企业出海之后一些实际在做的事情。

但是一些基础的比如做GDPR合规是比较常见的，包括很多老师也在分享，但是我们想分享一些相对来说可能一些小众的点，车企至少我们了解到，当时我们启动项目的时候，我们也调研了国内一些车企出海的情况，包括在中东做备案的情况，其实拿到备案的车企是不多的，也是因为当地的监管，确实我们今年不光只是主机厂，包括是一些提供车联网平台的服务商，也是收到了当地监管的要求，需要做这样一个备案。

在这个备案的过程当中，左边部分是我可能要提供这些材料，包括TBOX要通过当地监管部门的证书，它可能在认证硬件的时候，可能会要求你像当地的监管寄送实物，他要做一些检测，包括做一些CE的认证。

但是一般车企，如果你说是在欧盟已经做过欧盟的CE认证，他是可以去做一个转证的，相对来说比较方便，他需要去向监管部门提交认证的申请表，官网上会提供你申请的模板，包括你在阿联酋是有一个线上系统的，但这个系统注册都是需要当地手机号，所以我们中国境内的人你去注册可能还是有点麻烦的，包括要提供一些你可能遵循的一些安全的标准。

我们在实操当中，在写报告过程当中还会遇到一些问题。车企在出海的过程当中，一种就是我去当地建工厂，但是我不可能在美国国家都去设厂。

还有一种方式就是我可能是在当地设立销售公司。但是有的情况下，我在有些国家，可能我的销售量不多的情况下，我可能是跟当地的销售公司合作，所以这里也是讲到在做这些认证备案的时候，他必须用当地的主体去提交申请，我不能用中国的实体去提交一个申请，这里提到很多车企在当地我并没有合资公司，也没有说是设立工厂，但是当地的监管也是允许你跟当地的公司去合作，让当地的公司来配合你提交相关的报告，这里也有提到，这也是我们律师干的活。

实际上数据处理还是中国境内的公司的主体，但其实中东国家没有办法管到你，他通过什么样的方式？也是需要通过当地帮助你来提供备案的这家主体，跟你签署相关的协议，那在协议当中我们会去约定，阿联酋这家公司需要配合我提交相关的备案材料，但是同样他们也会担心，如果我们对数据处理，比方说是有些违规的情况，他被监管罚了之后怎么办？

他在合作当中也要约定，如果是基于非他的原因导致被当地监管处罚，这些处罚可以通过我们之间的协议转嫁到中国的实体当中来，所以这里也是讲到我们会跟当地的一些经销商谈。

经销商本身一些资质，监管也是觉得如果你只是找一家小的公司来替你做备案，他可能承担不了一些责任。所以在经销商主体注册身份的选择上，一般我们也是建议选择一家相对当地比较有实力的汽车经销商作为你的备案主体，可以提高你的通过率。后面都是一样的。

还有运营商的选择。中东、阿联酋你也可以用沙特的一些运营商的服务。但是车联网的备案当中必须跟当地的运营商签署相关的合作协议。包括要用当地的运营商，你不能用中东其他国家的运营商。包括他也是提到有些本地化处理的要求。

沙特备案跟阿联酋是非常相似的，但在实操当中还是会存在差异。我主要是讲差异化的东西。包括在沙特做备案的时候，当时我们也是看了很多遍，突然发现官网上没有一个专门的申报的入口，包括他给你提供的材料。

我们也是通过其他的客户在当地的办公室，跟监管取得联系。他们也是来指导我们做备案的，他也是讲到很多材料在沙特是通过一些邮件联系的方式，包括提交材料，其实是通过邮件方式，并没有用一个专门的系统提交。

但是有些特殊情况，他可能也会给你一些系统的入口，要去上传一些信息。

在这里面另外也要提供一份PI的报告。我们可以看到这里的PI跟GDPR，相对来说他们也是学习GDPR的方法要去做PI。但是他的PI当时我们对过，欧洲版的PI的报告，其实应该叫DPI的报告，其实是写过的，但是我们发现虽然内容是有的，但是它的格式跟当地监管的要求，就是它的标题你去对应起来非常麻烦。

比如说中国境内像网信办交年报，或者是促进安全评估报告，审核老师上来讲，他希望你按照他的模板，让他更容易去找到相关的内容，所以我们也是按照之前欧洲的版本给他调整在沙特备案时候的内容，我是按照当地的监管要求，按照它的格式书写我们相关具体评估的内容。

他这里也提到当地的实体，包括当地的运营商，有本地化处理要求，沙特也非常关注，中东这个地方宗教色彩比较浓重，所以也要求我们服务没有一些宗教或者敏感信息的处理情况。

另外一个项目，也是去年给中国一家图商出海做的服务，材料可能是做了一些脱敏，选择了一些相对来说比较有特点的国家。当时应该涉及到十多个国家的梳理调研，这也是讲到包括中国境内，这个月国安部门发布了中国境内非法测绘案例。测绘这个事情在全球各个国家，也不能说是所有国家都有相关要求。

但是，很多国家针对测绘这件事情都有特殊要求，也是有的国家可能针对测绘相对来说比国内有放松。我放了几个案例，包括美国、德国、新加坡，确实是在美国，对于中国车企敏感数据处理要求非常严格。之前提到一些草案当中，已经明确提到有一些数据是禁止向中国传输，很多数据跟汽车行业相关。

我们给客户提供服务的时候，先要划定一些需要研究的范围。因为这个项目动用了全球办公室给客户提供服务，这个点非常敏感。有的客户也在咨询，对主机厂来讲，测绘跟导航的测绘是非常相关的。我做路测的时候，车上是有显著标识这样的问题，都会来问我们。有的国家也有相关资质要求，我们也会了解允不允许我们中方有资质的企业可以合作，获取相关数据。我们在采集的时候，也有不同的维度。比如说针对软件或者硬件是否有一些特殊要求。我在采集过程当中，主机厂（车厂）注意哪些合规的点，用户是否有一些告知同意，各个国家对于数据处理有一些特殊要求，我们针对这样的一些维度，在不同的国家进行调研，给客户一些具体解决方案，包括要提供一些合规整改建议。

过去很多法规当中都有100万数量，其实很多内容也是跟美国保持一致。今年11月1号之前发了一部网数条例，改了之后，我们国家很多门槛从100万调整到1000万。包括重要数据认定，以前很多100万就会构成，这也是讲到针对软件，用户数有100万以上，美国商务部要进行一些审查，才能去用这些软件做一些测绘的工作。也要考虑到路测当中可能有敏感信息。美国也是比较特殊的，海外为什么比较复杂，我们国家大部分企业做合规的时候，主要看国家层面的法规。

确实自动驾驶比较特殊，上位法有要求，如果自动驾驶在地方商业化，必须有相关法规要求。我们之前给客户做过检索，当时还不允许商业化，通过测试的方法。其实不同的地方，虽然大部分是用工信部的纸把那个文件翻下来，有些地方还是有一些特殊要求。你去检索中国所有的地市有没有相关自动驾驶的标准，这个活也是非常复杂的。

美国也是，包括CDP都是州的立法。我自己的了解，最新检索没有做过。近期至少有19个州有地方的隐私法规要求，所以做美国要看州法，德国也是这样，澳大利亚都有相关特殊要求。

我们给汽车客户做出境、安全评估，相关标准当中很大一部分内容，当时我负责调研所有车企出境需求。因为我们国家今年32文件发布之后，针对出境有放宽。但是，并不是说整个出境国家不管，而只是放宽了事前监管。虽然不用来报了，事中、事后监管还是文件当中有强调。大家千万不要觉得放宽之后，不需要对出行设管控了，更多现在车企用一些技术的手段监测向海外提供数据的情况。特别强调，确实之前做过，写标准梳理中间有OTA场景，天津负面清单都提到了OTA场景下，所有车企肯定会涉及到全球OTA场景。如果说涉及OTA场景的时候，肯定要考虑是否会触发安全评估这样一个点。

后面不展开讲，内容讲完也差不多。确实企业做出海的时候要面对很多挑战，包括法律法规的更新，业务发生变化，因为你有新的功能之后要考虑是否需要有新的合规义务去做。这里做出海的时候，我们也会给客户很多建议。并不是说法规层面，要判断一些国际形势。前面也提到，美国有一个车企，除数据以外非常关注美国出口管制，对于中国的汽车卖到俄罗斯，包括独联体这些地区和伊朗受制裁的国家，有很多特殊要求。包括你的零配件之类的特殊点，我们要考虑很多问题。不光只是数据合规问题，做出海的时候也要考虑做数据合规，里面包括国内刚刚讲到汽车通用要求，没有太多完整的体系。因为我们做21434，包括SU、等保国家标准写得非常清楚，按照标准做就符合要求。

但是，数据合规：

第一非常复杂，需要区分场景。包括欧洲的european认证，也不是简单只是一个框架，认真是你车企具体的数据处理场景，也是讲到我们要梳理好自己的汽车产品功能。我们也建议一开始出海的时候，肯定选定一个小的范围。很多项目比较着急，一上来就说60个国家要同步，这种方案相对来说建议客户这样做，没有你先选定做欧洲，做完之后东南亚好多国家只是在一些差异点上做一些分析、改进。

针对车型跟体系做完之后，再做一些全球化的合规。另外，也讲到我们针对全球法规动态，持续进行更新。因为这也是我们车企客户给我们项目里面两年内全球动态做一些维护。

实操参考了21434标准，数据合规体系并没有讲到要做管理体系，要做车型，实际上我们落地要按照车型做相关合规。所以，讲到整体的企业，我们会做一些管理制度层面的合规点。针对具体车型去分析出海的几款车型，包括每款车型可能涉及到哪些功能。大部分车企选择出海的时候，国内智能化程度很高，出海车型基本上会做一些阉割，以符合相对来说认为有一些不确定的点，来避免一些风险。

虽然我们拿了国内这套体系来，做数据合规最大的问题是内部职责问题。如果你做出海，以前可能只是在中国境内不同部门之间的职责。确实这块业务跟网络安全不一样，至少我们律师跟客户每次都讲，以前网络安全时代，可能一个IT部门就把网络安全都做完了。数据合规时代，发现安全肯定要拉上法务或者合规部门一起，在这个点上很多是法规一些合规要求。并不是保证数据不泄漏，不被黑客入侵就符合当地监管要求了。

所以，你会看到针对不同的部门，在不同的事项上都要划分在这个事项上到底是牵头部门还是一个支撑部门，或者只是一个配合的部门。另外，一旦全球化，欧洲这套体系跟中国这套如何进行衔接，想到这个跟国内的指标不能直接照搬，不同国家监管机构不一样，整个上报流程完全不一样。还是要按照当地的国家去建立这套合规体系，时间原因后面是我们一些实操的案例，就不讲了，谢谢大家！

（注：本文根据现场速记整理，未经演讲嘉宾审阅）