随着科技的不断进步,智能驾驶技术作为汽车行业的重要发展方向,正在深刻改变着人们的出行方式和交通生态。中国作为全球最大的汽车市场之一,自然也积极探索并推动智能驾驶技术的发展。为了进一步拓展市场,越来越多的中国汽车制造商陆续投放新车型到欧洲市场。
然而对于个人以及数据隐私管控极其严格的欧洲,对市场在售车型有着严格限定的法规要求。其中特别需要注意的是以下两个法规条例:
“全球安全条例”(GSR),2024年7月7日之后,所有新售车型都必须满足的强制性准入法规要求。
除此之外,欧洲的数据保护法规“通用数据保护条例”(GDPR),对于智能驾驶数据的收集、处理和传输提出了严格的要求。
这给中国汽车企业在欧洲市场的智能驾驶功能开发,带来了不小的挑战。所以本文将结合相关资料和行业经验通过以下几个方面:
什么是 GSR?
什么是 GDPR?
在欧洲进行智能驾驶数据采集有哪些挑战?
关于数据脱敏定义的技术性分歧与程序性合规
如果需要数据出境,怎么办?
一起探讨中国汽车出海欧洲,在投放智能驾驶车型时,如何确保符合GSR以及GDPR合规要求,特别是在数据采集和出境传输方面的挑战和解决方案。当然我们也组建了中国汽车出海群,欢迎公众号私信或者留言,我们一起探讨。
一、什么是 GSR?
GSR 全称是欧盟通用安全法规 The General Safety Regulation, 它是为欧盟机动车及其拖车设定最低安全标准的法规。该法规于 2019 年 11 月通过,自 2022 年 7 月 6 日起适用于新车型,自 2024 年 7 月 7 日起适用于所有新车。其主要目的是鼓励采用救生技术,保护车辆乘员、行人和骑自行车的人,并减少人为失误,人为失误是欧洲道路上 90% 事故的根源。
GSR 2024 引入了多项新的安全要求,以提高欧洲道路上车辆的安全性。以下是其中一些要求的概述:
高级驾驶辅助系统 (ADAS):GSR 2024 要求在欧盟销售的所有新乘用车和轻型商用车均安装 ADAS。这些系统包括自动紧急制动 (AEB)、车道偏离警告 (LDW) 和驾驶员监控系统 (DMS) 等技术。
行人和骑车人保护: GSR 2024 要求新车辆设计时配备改进的安全功能,以在发生碰撞时保护行人和骑车人。这些功能包括使用先进的传感器和摄像头来检测弱势道路使用者,以及使用自动紧急制动系统来防止碰撞。改进碰撞测试标准:GSR 2024 引入了新的碰撞测试标准来评估车辆的安全性能。这些标准包括使用新的碰撞测试假人来评估碰撞对身体不同部位的影响,以及使用更全面的测试程序来评估车辆的安全性能。智能速度辅助 (ISA):GSR 2024 要求所有新车都安装 ISA。ISA 是一种使用 GPS 和地图数据在驾驶员超速时发出警报的技术,甚至可以在必要时进行干预以限制车辆的速度。
数据记录:GSR 2024 要求新车配备数据记录器,以便在发生事故时收集有关车辆性能的信息。这些数据可用于调查事故并确定提高车辆安全性的方法。
GSR 更多的是需要新售车辆拥有以上配置,比较简单和直白,需要在欧洲上市的新车必须配备相关功能。
二、什么是 GDPR?
1. GDPR 堪称史上最严数据保护法案
GDPR 全称一般数据保护法案 General Data Protection Regulation,该法案于2018年5月25日正式生效,统一欧盟成员国关于数据保护的法律法规。GDPR新规是在28个欧盟成员国统一实施生效的,GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案。
2. GDPR保护的对象是什么?
GDPR(通用数据保护条例)旨在保护的对象是个人数据,即任何与一个确定的或可识别的自然人(数据主体)相关的信息。GDPR的核心目标是赋予数据主体更多的控制权,保护他们的隐私权利,并确保个人数据的收集、处理和存储符合特定的法律要求。
根据GDPR第4条的规定,个人数据是指与已识别或可识别的自然人(数据主体)相关的任何信息。一个可识别的自然人是指可以直接或间接识别的个人,特别是通过以下方式:
直接标识:如姓名、身份证号码、家庭住址、电话号码、电子邮件地址、护照号码、社会安全号码(或等效物)、驾驶执照号码等。 间接标识:如位置数据、在线身份识别(如IP地址)、Cookie、DNA样本、指纹等。其他因素:与个人的物理、生理、遗传、心理、经济、文化或社会身份相关的特定因素。
数据控制者必须确保数据处理活动遵守GDPR的基本原则,包括合法性、公正性、透明性、目的限制、数据最小化、准确性、存储限制、完整性和保密性。为什么这里要特别强调目的限制呢?因为GDPR当中要求数据采集需要明确使用的目的,不可以随意移作他用。
3. 数据已经脱敏,是否依然需要遵守GDPR的合规要求?
数据脱敏是GDPR合规性要求的一部分,特别是在数据传输和共享时,它有助于降低数据泄露的风险。然而,数据脱敏本身并不免除组织遵守GDPR其他规定的义务。组织还需确保:
遵守GDPR关于数据主体同意、数据保护影响评估、数据泄露通知等要求
实施适当的技术和管理措施以保护数据安全遵守数据跨境传输规则,尤其是数据跨境传输,即使数据已经脱敏,依然需要符合GDPR的合规要求。
4. 不遵守GDPR的后果是什么?
不遵守GDPR《一般数据保护法案》的后果就是会受到严厉的制裁和巨额的罚款。
GDPR有两个等级的征收行政性罚款的规定:对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
违规的性质、严重程度和违规的持续时间
违规是故意的还是因疏忽造成的对个人身份信息的责任心和控制程度违规是单个事件还是重复事件受到影响的个人资料的种类范围数据主体遭遇的损害程度为了减轻损害而采取的行动
由违规产生的财务预期或收益
三、在欧洲进行智能驾驶数据采集的挑战
在车型从设计到交付的全部流程中都需要注意GDPR法规,可以用两个链条来做梳理:
第一个链条:产品从设计-开发-制造-销售-售后的这个产品链条的每一个环节;
第二个链条:数据本身的采集、存储、处理、传输和删除的每一个步骤都要引入GDPR的合规思考。
接下来,我们重点阐述智能驾驶数据采集过程中的合规挑战。
出口欧洲的主要车型的智驾配置都必须满足General Safety Regulation,缩写GSR,即“一般安全法规”的要求。新上牌车辆自2024年7月起,都必须满足这些法规的要求。这是强制性准入性法规。定义的几大功能,包括:
车道保持ELKS、LDWS;盲区监测BSIS、倒车监测、MOIS;前向预警与紧急制动AEBS;智能车速辅助(ISA)。
其中必须要求在欧洲做不少于400km路测的项目是ISA功能。
以及N-CAP虽然不是准入法规,但对乘用车的AEB、FCW、LDW、LKA、ELK、BSD、ISA等功能也提出了明确的要求,并且具有权威性,通常在智驾开发时,也需要考虑。
在开展路测的过程中,路测车辆不可避免地存在收集公共区域自然人个人数据的情况,用于支撑功能表现的升级与优化。例如摄像头捕捉的路人人脸信息、车牌号等,对于这部分个人数据,如何在GDPR的指导下合规地处理或者进行再利用,是开展路测的车企需解决的难题。
根据如下GDPR法规对个人数据的定义,在路采的数据中,可能会涉及到的包括:人脸信息与车牌号信息。
四、关于数据脱敏定义的技术性分歧与程序性合规
GDPR法规确实强调了个人数据的保护,包括在某些情况下对个人数据进行脱敏处理。脱敏是一种数据处理技术,旨在通过去除或替换个人数据中的直接或间接识别信息,以降低数据泄露风险,同时允许数据用于其他目的,如测试、开发或分析。
那么顺着这个思路,我们需要处理的就是人脸信息与车牌号信息的脱敏。
关于个人信息的脱敏,我们会进一步引申到什么是匿名化,其实在这里,法规中也有不小的分歧。
GDPR本身并没有详细规定脱敏的具体技术标准,但在实践中,脱敏可能涉及多种技术方法,包括但不限于:
数据替换:使用假名或合成数据替换真实个人数据。数据屏蔽:遮盖或移除敏感信息,如信用卡号、身份证号等。数据扰动:对数据进行修改,使其无法被识别,同时保持数据的统计特性。
加密:使用加密算法对敏感数据进行加密。
到底如何做脱敏方可保证数据符合GDPR的法规要求,这点在GDPR中并没有规定。然而在实际项目执行过程中,欧洲的法规更加追求司法程序的合规性。
其实当前最快风险最小,成本最优的方式,是数据控制者在处理数据的过程中尽量选择拥有合规认证的数据处理流程与软件,由欧盟认证和隐私中心(ECCP)授权的咨询机构按照认证标准要求为申请主体提供辅导和支持,从而在合规性上增加保障。
五、如果需要数据出境,怎么办?
实践中,为避免大量的个人信息被传输到欧盟境外,大部分出海的中国车企会将欧盟用户的个人数据存储在由外部云服务商提供的位于欧盟某成员国的数据中心。依赖于本地的数据中心,出海车企在欧盟境内收集、存储、处理个人信息,特别是敏感类型的个人信息,以尽可能减少数据跨境传输的规模、场景以及敏感程度,从而将跨境传输控制在提供服务所必需的范围中,既充分保障了业务需求,亦减少了数据跨境传输带来的合规成本,这也是绝大部分车企已经在规划之中的工作,国内各大云业务公司也有海外云业务支持,但是从想做,到落地目前还是有不少阻碍。
例如,由于研发与运维团队主要位于国内,在海外建立数据中心不是一日之功,为了功能开发的需要,需要将部分数据传输至欧盟境外,所以这个时候怎么做呢?
这显然触发对于GDPR中对于数据跨境传输的风险。那么如何规避这个风险呢?
关于该风险点,首先需识别相关数据传输是否构成GDPR项下的“跨境传输”以及相关的合规义务是否由车企承担,其次需要基于企业的实际情况与合规成本考量选择GDPR规定的跨境传输合规路径,实践中大部分车企会选择签署SCCs,签署合同的双方一般为数据控制者和数据处理者。
什么叫数据“控制者”(Controller)呢?在GDPR的框架下,"控制者"(Controller)是指单独或与他人共同决定个人数据处理目的和方式的个人或法人、公共机构、行政机关或其他实体。简而言之,控制者是负责确定为何以及如何收集和使用个人数据的一方。控制者与数据处理者(Processor)不同,后者不对数据处理的目的和方式做决策。
值得强调的是,数据控制者不希望签署任何形式的数据合同,以期可以避免法规对其数据控制者的定义,然而在实践中,数据定义和用途通常十分清晰,此类做法非但不能规避法律风险,甚至直接可以被判定为不合规的行为从而受到罚款。
欧盟委员会对个人数据的保护水平认定决定有一个“白名单国家/地区”,目前白名单国家/地区仅有15个,中国不在列。在这种情况下,GDPR规定如果数据传输方提供了适当的保障措施,并且赋予了数据主体可执行的数据主体权利以及有效的法律补救措施,那么仍可把数据传输给位于白名单国家或地区之外的接收方。该路径下跨境传输方式主要有:签订欧盟标准合同条款(Standard Contractual Clauses, 简称SCCs)、跨国集团实体签订有约束力的公司规则(Binding Corporate Rules,简称BCRs)、获批准的行为准则(code of conduct)、获批准的认证机制(certification mechanisms)等。实践中,中国车企较为常用的是标准合同条款SCCs。
在签署完SCCs之后,还需要进行“数据传输影响评估”(Data Transfer Impact Assessment,简称TIA)。欧盟委员会明确规定,在欧盟以外转移个人数据的组织必须进行转移影响评估,以逐案核实个人数据发送到的第三国的法律是否对SCC的效率有任何影响。因为仅仅签署了SCCs,并不意味着你已经确保了与GDPR所保障的保护、可执行的权利和法律补救措施“基本等同”。只有出口组织进行了逐案记录的转移影响评估,以确保个人数据(和数据主体)仍然受到GDPR要求标准的保护,才可以依赖使用GDPR第46条工具(包括SCCs)进行的转移。 TIA主要可分为三大部分,按序依次是:
对跨境传输场景的描述;对接收方所在国家/地区的法律法规对个人信息主体提供的权利保障与救济渠道,以及接收方当地政府机关访问相关个人数据的可能性分析;
按照第二部分的分析结果,判定是否需要采取相应的技术、组织、合同层面的补充措施,以及在需要的情况下,针对该等跨境传输场景应采取怎样的传输保障措施能够有效降低传输可能带来的权利 “减损”。
数据控制者应该记录所有遵循的步骤,并准备好在数据保护机构要求时提供这些文档,数据保护机构可能会要求查看您的文档以及您认为是该过程的一部分的内容。由于TIA是一个复杂的过程,我们需要法律专家和企业内部的DPO数据保护官的专业帮助准备TIA文档,确保评估符合目的。
总结
欧洲市场有着严格的法律法规要求,而且惩罚制度非常严厉,对于智能驾驶这类以数据为必要条件的开发更是值得重视。所以,中国汽车智能驾驶出海,需要特别注意技术数据合规。
我们在欧洲进行智能驾驶功能训练而采集数据时,技术团队需要明确数据采集目的,合理规划采集数据量,寻找拥有合规认证的数据处理流程与软件的数据合规供应商对数据进行脱敏处理;同时,合规部门需要针对GDPR流程专门与数据采集方签署SCCs合同,企业内部DPO准备合规TIA文档以备检查。
当前国际政治经济互动复杂,中国车企遵守GDPR至关重要。这不仅确保了进入欧盟市场的基本合规,提升了消费者信任,避免了高额罚款和法律风险,还体现了对中国车企国际规则的尊重,增强了国际竞争力,促进了技术创新与服务优化,减少了政治经济因素带来的不确定性,提高了企业国际化水平,树立了良好形象,为长远发展奠定了基础。
*未经准许严禁转载和摘录
原文标题 : 中国汽车智驾出海欧洲,绕不开的GSR以及GDPR数据合规