总第148期 汽车出海合规观察:欧盟与东南亚数据监管要点解析
编者按
近年来,中国汽车出口实现跨越式增长,有望成为全球第一大汽车出口国。在出海业务高速发展的同时,数据隐私合规等法律风险日益凸显。面对多法域、多文化和地缘政治等复杂挑战,车企亟需建立完善的合规管理体系。
为协助企业系统掌握出海数据合规的关键要求与操作要点,本期专题聚焦欧盟等重点市场的数据隐私立法与监管体系,结合汽车产业出海的典型业务场景,解析实务操作中的常见风险与合规应对路径,供参考。
目录
欧盟汽车出海数据合规实务要点
一、欧盟数据隐私保护法律体系
欧洲经济区(EEA)的数据隐私保护立法历史较长,文件较多,体系比较完善。一般法律主要包括《电子隐私指令》(ePrivacy Directive)和《通用数据保护条例》(General Data Protection Regulation,GDPR)。《电子隐私指令》旨在保护个人在电子通信领域的隐私和数据保护权利,它规范了网络和通信数据保护、Cookie的使用、直接营销和垃圾邮件、数据跨境等内容。而2018年实施的GDPR则被称为史上规则最严、适用范围广、罚则较高的个人信息保护法规。中国车企拟出海汽车及相关产品或服务至EEA,不论是否在EEA区域内设立有运营主体或分支机构,只要其为EEA区域内的数据主体提供产品或服务,或对EEA区域内的数据主体的相关活动进行监控,相关数据处理活动均受GDPR管辖。
为落实、细化、澄清GDPR的相关规则,欧洲数据保护委员会(EDPB)针对GDPR发布了系列指南及建议,截至本白皮书发布之日,已有44项指南、9项建议,包括《关于数据控制者和处理者概念的指南》《GDPR下透明性要求指南》《GDPR第三条适用范围与第五章数据跨境转移之间的配合适用指南》等。其中,与汽车领域高度相关的是2021年3月通过的《车联网个人数据保护指南》(Guidelines 01/2020 on Processing Personal Data in the Context of Connected Vehicles and Mobility related applications),该指南阐释了车联网不同场景下的隐私保护和数据风险以及应对措施。
监管机构方面,EEA的主要数据保护监管机构包括欧洲数据保护委员会(EDPB)和各成员国数据保护监管机构(DPA),例如德国的BfDI、法国的CNIL、挪威的Datatilsynet等。
二、欧盟数据隐私保护的一般规则
(一)个人数据/敏感个人数据
根据GDPR第4条,个人数据是指任何与已识别或可识别的自然人相关的信息,如姓名、身份证号、地理位置、在线身份标识符等。GDPR未对敏感个人数据作出定义,但第9条以列举方式规定了特殊类别的个人数据的处理要求。其中,特殊类别个人数据包括:能够揭示种族或民族、政治观点、宗教或哲学信仰、工会身份、遗传数据、生物识别特征、健康信息、性生活或性取向等数据。
(二)义务主体
GDPR将规制对象分为数据控制者(controller)与数据处理者(processor)。根据GDPR第4条,数据控制者指单独或与他人共同决定处理目的和方式的自然人、法人、公共机构、行政机关或其他实体;数据处理者指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体。
(三)告知与合法性基础
控制者在收集个人数据前应履行告知义务,并具备处理个人数据的合法性基础。
根据GDPR第12、13、14条,控制者应向数据主体告知以下事宜:a)控制者的身份和联系方式,以及控制者代表的身份和联系方式(如适用);b)数据保护官DPO的详细联系方式(如适用);c)个人数据的处理目的,个人数据的类别,以及处理的合法性基础(如适用正当利益这一合法基础,还需说明控制者或第三方追求的正当利益);d)个人数据的存储期限;e)个人数据的接收方名称或数据接收方的类别(如有);f)是否涉及跨境转移,以及针对跨境转移采取的适当的保障措施;g)数据主体权利(包括向数据保护监管机构投诉举报的权利);h)自动化决策及用户画像应用描述、运行逻辑以及对个人产生的影响。
根据GDPR第6条,GDPR项下的合法性基础包括:i)数据主体的同意;ii)为订立或履行数据主体作为一方的合同所必需;iii)为履行控制者所负担的法定义务所必需;iv)为保护数据主体或另一自然人的重大利益所必需;v)为执行公共利益领域的任务所必需或为行使控制者被赋予的公务职权所必需;vi)为实现控制者或第三方的合法利益所必需(正当利益不得违背数据主体的基本权利和自由,且政府机关履行职责处理数据的行为不适用本项)。
(四)合作方数据交互
根据GDPR第13、14、26、28条,控制者如涉及委托第三方处理数据(controller to processor)或向第三方共享数据(controller to controller),控制者应向数据主体告知合作方的名称或类型,并与合作方订立数据保护协议。如双方均系独立的控制者的情况下,法律未强制要求双方签署协议,但双方通常会签署。
(五)数据本地化存储
GDPR对个人数据无本地化存储要求。
(六)数据跨境转移
GDPR建立了一套阶梯式的数据出境路径。首选路径是欧盟委员会的保护水平认定决定(“白名单国家/地区”)。截至本白皮书发布之日,白名单国家/地区共有15个:包括安道尔共和国、阿根廷、加拿大(仅限《个人信息保护及电子文档法》的适用范围)、瑞士、法罗群岛、根西岛、以色列、英属曼岛、泽西岛、新西兰、乌拉圭、日本、英国、韩国、美国。
如接收方不属于白名单所在国家/地区,则需选择其他常规出境路径,包括:标准合同条款(SCCs)、约束性公司规则(BCRs)、行为准则、认证机制等。
在无法满足常规路径的例外情况下,数据控制者还可依赖GDPR第49条规定的克减条款。不过,根据EDPB发布的《关于第2016/679号条例项下第49条“克减”的第2/2018号指南》,个人数据出境仅在满足“必要性”(necessity)和“偶然性”(occasional)的条件下,才能够适用克减条款。
(七)数据主体权利
根据GDPR第12-23条,数据主体享有知情权、访问权、更正权、删除权(被遗忘权)、限制处理权、可携权、反对权和拒绝自动化决策权。
不同权利的行使需满足一定的限制条件。如数据主体有权随时拒绝控制者依据公共利益或正当利益的合法基础处理个人信息的情形,例如以直接营销为目的处理数据的,数据主体有权随时拒绝该等营销目的的数据处理活动(包括画像)。
控制者接收到请求后应及时(不超过1个月)回复用户。如请求较为复杂或数量较大,处理时间可再延长至2个月。延迟需告知数据主体延迟原因。
(八)数据保护负责人/组织
根据GDPR第37条,若控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控,或者控制者或处理者的核心活动包含了对某种特殊类型数据的大规模处理和对定罪和违法相关的个人数据的处理,即应当任命数据保护负责人(DPO)。
DPO无需在欧盟当地,但其联系方式应上报给数据监管机构,且需保持联系畅通。根据GDPR规定,对于非在欧盟境内设立实体但受GDPR管辖的主体应以书面方式任命一名在欧盟境内的代表(自然人/法人均可),但DPO与本地代表具有不兼容性,无法保障DPO的独立性,因此不建议将本地代表与DPO设置为同一自然人/组织。
(九)数据安全事件处置
根据GDPR第33、34条,在发生数据泄露的情况下,控制者应毫不迟延,在可行的情况下,不迟于发现数据泄露后72小时,将个人数据泄露事件通知监管机构,除非个人数据泄露不太可能对自然人的权利和自由造成风险。个人数据泄露可能会对自然人的权利和自由造成高风险,必须及时告知数据主体。
此外,处理者必须在意识到个人数据泄露后立即通知控制者,不得无故拖延。
三、欧盟汽车领域高频场景数据隐私合规要点
(一)汽车营销场景
隐私通知:
根据GDPR第13、14条,汽车销售商应制定隐私通知等告知文件,向客户披露如下内容:i)控制者及其代表的身份和联系方式;ii)数据保护官的详细联系方式;iii)个人数据的处理目的,个人数据的类别和来源,以及处理的合法性基础;iv)个人数据的存储期限;v)个人数据的接收方名称或数据接收方的类别;vi)是否涉及跨境转移,以及针对跨境转移采取的适当的保障措施;vii)数据主体权利;viii)自动化决策及用户画像应用描述、运行逻辑以及对个人产生的影响。
√ 电话营销:
根据《电子隐私指令》第13(3)条,成员国应至少确保个人享有选择退出(opt-out)的权利。部分成员国提出了更高的选择加入(opt-in)同意的要求,如匈牙利、斯洛文尼亚。但是,使用自动外呼系统进行电话营销时,都需要取得选择加入(opt-in)同意。因此,汽车企业应当根据当地的法律行事。
√ 电子邮件、短信、传真营销:
根据《电子隐私指令》的规定,使用电子邮件、短信、传真方式进行商业营销时原则上需获得用户的明确同意,并保留同意证明,内容包括同意时间、相关人员和取得方式。作为例外,对于已经建立业务关系的客户而言,如该客户在最初收集其信息及每次营销沟通时均未明确提出反对,汽车企业营销自身的类似产品或服务可以无需取得同意。此外,推广电子邮件、短信、传真中应提供方便取消订阅的选项。
(二)汽车金融场景
√ 告知数据共享的情况:
如涉及向银行、融资租赁公司等金融机构提供消费者数据的,根据GDPR第13条,汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方名称或类型,并具备相应的合法性基础,如数据主体的同意。
√ 响应数据主体行权:
根据GDPR第12-23条,汽车企业应当保障数据主体的访问权、知情权、更正权、删除权等一系列数据权利。
● 案例1:
D车企在拒绝客户的贷款申请后,客户提出数据访问请求,D车企仅提供了一份他们为申请贷款而提交的文件副本,并概述提及使用信用度评估,邀请客户自行联系信用信息系统(下称“SIC”)经理,以查看信用度评估的相关情况。意大利数据保护局认为,这一响应方式不满足GDPR的要求。根据GDPR,D车企有义务向客户提供其从SIC获得的所有信息。
(三)车联网场景
√ 告知与显著提示:
根据GDPR第13、14条以及EDPB发布的《车联网个人数据保护指南》,车企可以通过车辆销售合同、服务提供合同、车辆维护记录手册等书面材料、车载计算机等方式向个人告知必要的信息。此外,控制者宜进一步通过标准化图标的形式提供与处理相关的隐私保护提示。例如,在采集座舱内的视频时,可通过车载信号灯的方式提示乘客相关数据正在被采集。
√ 合法性基础:
根据《电子隐私指令》第5条以及《关于电子隐私指令和GDPR之间相互作用的意见》(Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR),在联网车辆中存储或获取已存储的信息应取得个人同意,同时对于后续处理也应具有相应的合法性基础。
√ 数据最小化:
根据GDPR第5条以及EDPB发布的《车联网个人数据保护指南》,控制者应当仅处理相关且限于处理目的所必需的个人数据。在车联网场景下,原则上车辆和设备制造商、服务提供商等不应收集个人的位置数据,除非这样做对于处理目的是绝对必要的。例如,当处理是为了检测车辆运动时,陀螺仪足以实现该功能,无需收集位置数据。基于必要目的确需处理位置数据也应当充分配置所收集的位置数据的访问频率和详细程度。
√ 设计与默认隐私保护:
根据GDPR第25条及《车联网个人数据保护指南》,车企应当尽可能遵守数据本地处理原则。该原则旨在保护车主享有数据的控制权、满足特殊数据的处理要求、减少云端处理的安全风险以及减少自动驾驶的时延。对于生物识别数据而言,应保证数据主体对其数据的完全控制,仅在车辆本地以加密形式存储和对比生物特征模板,确保不可被外界读取/通过比较终端处理。车企如需将个人数据传输至车外,应考虑在传输前将其匿名化;此外,车企可采取去标识化进一步降低数据处理风险。
√ 数据保护影响评估:
根据GDPR第35条及《车联网个人数据保护指南》,考虑到联网车辆生成的个人数据的规模及敏感性,车联网场景下处理个人数据,特别是在车外处理个人数据很可能对个人的权利和自由产生高风险,车企需要进行数据保护影响评估以确定和减轻风险。
√ 保障个人行权:
根据《车联网个人数据保护指南》,车企应通过特定工具帮助用户有效行使其权利,特别是访问权、更正权、删除权、限制处理权、数据可携权及反对权。此外,制造商应部署一套个人数据管理系统,以存储驾驶者的偏好,并帮助他们更改其隐私设置。为了让数据主体能够更加方便地删除可存储在汽车仪表盘上的个人数据(例如GPR导航历史记录、网页浏览等),EDPB建议制造商可以提供一个删除按钮。
√ 安全保障措施:
根据《车联网个人数据保护指南》,车企应采取措施确保处理数据的安全性和保密性。EDPB建议,行业参与者应采取算法加密通信信道、加密密钥管理、哈希、认证技术等方式增强对个人数据的保护;车辆制造商应采取如下措施:i)区分关键功能与依赖通信的功能(如信息娱乐);ii)实施技术措施使其能够在车辆全生命周期内快速修补安全漏洞;iii)针对关键功能,尽可能优先考虑使用专门的安全通信手段;iv)车辆系统受攻击时设置报警系统并可能在降级模式下运行;v)存储对车辆信息系统的任何访问的日志历史并定期审查等。
* 细分场景之一:UBI保险
UBI保险(Usage Based Insurance)是一种基于车主驾驶行为以及使用车辆相关数据相结合的可量化的保险。UBI保险场景下涉及处理车主的个人信息。在开展UBI保险业务时,企业应遵循如下合规要求:
√ 获得同意:
根据《电子隐私指令》第5(3)条,UBI保险需要征得个人的同意。《电子隐私指令》第5(3)条规定,投保人必须有权选择投保非UBI保险。否则,同意将不被视为自由给予,因为合同的履行将以同意为条件。此外,根据GDPR第7(3)条规定,数据主体必须有权撤销同意。
√ 本地处理:
EDPB认为,虽然不可能对每种使用情况都进行数据本地处理,但通常可以“混合处理”。例如,对于UBI保险而言,有关驾驶行为的个人数据(如踩在制动踏板上的力度、行驶里程等)可以在车机本地处理,也可以由远程信息处理服务提供商(数据处理者)代表保险公司(数据控制者)处理,以生成分值,并在规定的基础上(如每月一次)传送给保险公司。
√ 数据最小化:
EDPB认为,UBI保险模式下应遵循数据最小化处理原则。原始数据和与驾驶员身份直接相关的数据必须分开。也就是说,远程信息处理服务提供商接收实时数据,但不应获知保单持有人的姓名、车牌等信息。另一方面,保险公司知道投保人的姓名,但只收到分值和总里程数,而无需知道用于产生这些分值的原始数据。此外,如果只有里程数是履行合同所必需的,则应仅收集里程数,而不应收集具体的位置数据或车辆行驶轨迹。
√ 存储期限:
在确定数据存储期限前,区分商业和交易数据(数据主体的识别信息、交易相关数据、支付数据等)以及使用数据(车辆产生的个人数据、驾驶习惯、位置数据等)。
- 针对商业和交易数据,在合同期间内,此类数据可保留在生产环境的数据库中;在合同结束后,此类数据可采用物理存档(在单独介质上,如DVD)或逻辑存档(通过授权管理),以防可能发生的诉讼。法定时效期限结束时,此类数据应当被删除或匿名化。
- 使用数据又可细分为原始数据和汇总数据。如前所述,车企和保险公司应尽可能不处理原始数据。如有必要,只应在需要详细说明汇总数据和检查汇总数据过程有效性时保留原始数据。在提供服务所必需、欧盟或成员国法律要求的情况下车企应当保留汇总数据。
*细分场景之二:哨兵模式
√ 法律风险告知:
企业宜通过用户手册、车载显示面板、语音等方式提醒车主哨兵模式下车主系数据控制者,应由其承担数据处理相应的义务和责任,并注意广告宣传中的相关用语和引导。
● 案例2:
德国联邦消费者保护机构(VZBZ)曾于2022年7月指控T公司在广告中误导消费者,隐瞒了哨兵模式存在令用户承担法律后果的风险。法庭听证后,T公司发布了一份法律文件,向法庭陈述将改变对“哨兵模式”的宣传方式。
√ 默认不收集:
设计哨兵模式功能时应遵循默认不收集或不启动原则,即除非车主或其授权的驾驶人自主设定开启哨兵模式,应当默认关闭。
√ 开启前确认:
车机摄像头开启录制前宜向车主的手机端推送通知,并由车主再次确认。例如,在荷兰,在哨兵模式激活后,特斯拉会向车主发送一条短信,要求车主批准拍摄行为。
√ 处理必要性:
哨兵模式开启车外视频的录制应当具备充分的必要性。作为参考,特斯拉向车主提供了关闭基于摄像头检测的设置选项;在荷兰,特斯拉目前仅在汽车被触碰后才开启摄像,而非检测到可疑运动即触发。此外,企业宜控制录制视频的长度,以免录制到过多其他非必要内容,例如,特斯拉目前已将存储视频长度从1小时缩短到最多10分钟。
(四)充电场景
EEA目前未见有关充电场景的专门数据隐私保护法律。车企应当遵守GDPR规定的数据保护原则(包括合法、公平、透明、目的限制、数据最小化、准确性、存储限制、完整性和保密性等)以及数据处理的一般规则(参见第2小节),开展充电场景的数据处理活动。
(五)自动驾驶场景
在自动驾驶场景下,车企如需开展道路测试或提供辅助驾驶等功能,应落实如下合规要求:
√ 告知:
根据GDPR第13条,在处理数据时,应告知数据主体控制者的身份、数据处理的目的以及个人数据的存储期限等内容。
√ 签署数据处理协议:
根据GDPR第28条,控制者委托第三方处理数据的,控制者应确保处理者安全可靠并且有能力保障数据主体权利,并与处理者签署数据处理协议,明确数据处理范围、数据处理期限、数据主体类型,并约定处理者依指示处理数据、保密义务、数据处理安全措施、委托终止后删除或返还数据、配合响应个人信息主体行权、配合控制者开展数据保护影响评估(DPIA)、受控制者审计和监督权等条款。
√ 数据保护影响评估:
根据GDPR第35条,对于特别使用新科技处理数据,且考量该处理之本质、范围、使用情形及目的后,认为该处理可能导致自然人之权利及自由的高度风险时,控制者应于处理前开展数据保护影响评估(DPIA)。尤其是,涉及对公共区域进行大范围监控时,DPIA被认为是必需的。因此,在公共道路上开展测绘活动前,应当开展DPIA。
√ 数据处理的记录:
根据GDPR第30条,员工规模达到250人及以上的数据控制者和数据处理者应当对其数据处理操作制作登记册加以记录,包含相关处理操作的具体情况,记录内容至少包括:(a)控制者及控制者的代表、DPO等的姓名及联系方式;(b)数据处理的目的;(c)对数据主体类型及个人数据类型的描述;(d)对个人数据接收者类型的描述;(e)个人数据转移到第三国或国际组织的记录,及采取的保障措施的记录;(f)技术性与组织性安全措施的一般性描述等。
● 案例3:
D品牌汽车曾使用了一辆安装了摄像头的测试车进行户外活动,目的是针对为防止交通事故而设计的驾驶辅助系统进行测试和训练。然而,D品牌汽车由于疏忽,没有为数据主体(其他道路使用者)提供带有摄像头图示及其他规定信息的标志,被德国下萨克森州(Lower Saxony)数据保护局认定违反了GDPR第13条。
此外,D品牌汽车未与进行测试的服务提供商签订数据处理协议,在开展测绘前未事前评估可能的风险及其缓解措施,在数据处理活动的记录中未对公司采取的组织和技术方面的保护措施进行说明,被同时认定违反了GDPR第28、30、35条。
√ 保障网络安全:
根据欧盟委员会发布的《全自动车辆自动驾驶系统(ADS)型式认证的统一程序和技术规范》(Reg.(EU) 2022/1426),自动驾驶系统运营者应保证自动驾驶系统免遭未经授权的访问,并支持软件更新。
(六)售后维修
√ 网络漏洞管理:
根据《关于在整个欧盟全境实现高度统一网络安全措施的指令》(“NIS2指令”),互联汽车制造商应采取适当的安全措施,向国家监管部门报告数据安全漏洞,以及在产品售出后通过软件更新修复软件漏洞等。
√ 共享维修保养等信息:
根据欧盟第2018/858号条例(Regulation (EU) 2018/858 of the European Parliament and of the Council)第61条等规定,网联汽车制造商应向独立运营商(零部件制造商、零部件经销商和技术信息提供商)提供车辆维修与保养信息或相关软件工具,从而保障消费者自由选择维修商的权利,避免垄断和不正当竞争。特别是,关于汽车制造商是否需要提供VIN码以便独立运营商能够分配替代备件到个别车辆可能存在一定的争议。在GVA诉Scania案中,欧洲法院总检察长即认为汽车制造商有义务向独立运营商披露VIN码。目前该案欧洲法院仍在审理中。
√ 数据跨境转移:
在售后维修场景下,鉴于中国车企部分能力在国内,海外消费者在申请售后维修时可能涉及将用户信息传输至中国大陆进行处理。在此情形下,车企应遵循GDPR有关数据跨境转移的要求。
√ 保障删除权:
用户应该有能力根据 GDPR第17条的规定删除存储在汽车维修店或经销商系统中的数据。
(七)OTA汽车远程升级
联合国世界车辆法规协调论坛(UN/WP.29)在《1958年协定书》框架下制定了法规UN R156《关于软件升级和软件升级管理系统的汽车型式批准统一规定》(UN Regulation No. 156 - Software update and software update management system),已于2021年在欧盟国家生效。根据该规定,OTA汽车远程升级过程中应注意如下事项:
√ 升级前:实施OTA汽车软件远程升级前,主机厂应评估OTA升级与目标车辆配置的兼容性,是否会影响或改变性能参数、增加任何可能需获批或禁止性的车辆功能,并提前通知用户升级的目的、变更内容、升级预估完成时间、升级时影响的车辆功能等内容。
√ 升级时:确保OTA汽车远程升级期间驾驶人无法驾驶车辆,或使用任何可能影响车辆安全或更新成功执行的车辆功能;确保OTA升级的完整性和有效性;确保升级时车辆具有的足够的动力完成升级过程;确保车辆在升级失败或中断情况下,车辆系统可回复至前一版本。
√ 升级后:主机厂应告知用户OTA汽车远程升级的结果(成功或失败)、OTA后的功能更改、用户手册更新等内容,并记录每次升级信息。同时,升级失败时仍应保证车辆安全。此外,主机厂应内部建档,记录和存储对应车型的OTA升级信息,包括:升级的目的、升级可能影响的车辆系统或功能、已通过R156认证的车型型号(如有)、升级是否影响系统批准参数、是否向审批机构申请OTA升级、如何执行升级以及在何种条件下执行升级、升级过程中的安全保障措施、升级结果与验证程序等。
欧盟电动汽车反补贴调查:中国企业面对的特殊挑战与应对策略
2023年9月13日,欧盟委员会主席冯德莱恩在欧盟议会高调宣布,将对中国出口到欧盟的电动汽车展开反补贴调查。随后,欧盟委员会贸易部长(Trade Commissioner)、欧盟委员会贸易救济调查局长(Director for Trade Defense)都作了类似宣示。2023年10月4日,欧盟委员会果然发布立案公告,正式对原产自中国大陆的新电池电动汽车(New Battery Electric Vehicles,简称BEVs)展开反补贴调查。
补贴(Subsidy)是政府或公共机构提供的财政支持或利益,旨在支持或协助国内产业、国内生产商或特定经济活动。补贴可以采取各种形式,包括补助金、贷款、土地使用优惠、税收优惠、政府采购优惠等等。补贴通常用于促进国内产业、刺激经济发展或实现特定政策目标。补贴可以针对各种产业,如农业、制造业、可再生能源业和服务业等。
补贴作为一种政策工具,是好是坏完全取决于评判者的角度。可以肯定的是,并非所有的补贴都对公平竞争有害或扭曲国际贸易;实际上,有些补贴被公认为是有益的、应受鼓励的,如科研补贴、环保补贴、贫困地区发展补贴、减灾补贴等等。惟其如此,在迄今为止成员方仍为最多的WTO系列协定中,有个《补贴与反补贴措施协定》(ASCM),专门规定什么性质的补贴应予禁止(Prohibited),什么性质的补贴为不可诉(Non-actionable),什么性质的补贴为可诉(Actionable)。可诉补贴即可能遭受反补贴调查,甚至被征收反补贴税。目前WTO主要成员方美国、中国、欧盟、印度等都有反补贴调查立法和实践。
本部分以下即就欧盟本次电动汽车反补贴调查一案,说明欧盟如何展开反补贴调查,调查什么内容,按什么日程进行,调查出补贴后什么情况下才会征收反补贴税,征收反补贴税会有什么后果,中国有关企业如何对这一切予以应对。本部分以下也会分析欧盟本次反补贴调查的特别之处,并分析欧盟新近生效的《外国补贴条例》与欧盟《反补贴基本条例》的交互作用,提醒中国有关企业要积极应诉本次反补贴调查,并立即开始提前准备应对欧盟随时可能展开的相关反倾销调查,且应全力以赴,务求一胜。
一、欧盟反补贴调查如何展开
根据欧盟当前有效的《反补贴基本条例》(Anti-subsidy basic Regulation,Regulation (EU) 2016/1037)及欧盟1997年以来的反补贴实践,欧盟委员会(以下简称“欧委会”)本次BEVs反补贴调查,将按照以下程序和预测时间线展开:
.png)
从程序法角度来看,欧委会在正式发起调查后,一般先进行初步(Provisional)裁决,再做出最终(Definitive)裁决。欧委会可以不进行初裁,而直接等到最后做出终裁。但是不出初裁,则不能尽早征收反补贴税;出了初裁后,即可以开始征收临时反补贴税(即要求缴纳等同于临时反补贴税金额的保证金)。初裁决定必须在发起调查后60天才能公布;初裁后临时征税期限不能超过4个月。如果发现囤积居奇等特殊情形(Critical Circumstances),欧委会有权倒追90天征收反补贴税。
从实体法角度来看,欧盟反补贴调查首先会拟定怀疑存在补贴的项目,然后调查认定具体的补贴项目,然后再核算具体补贴项目的补贴金额,最后再将所有补贴金额核定到每单位产品上。如果欧盟要反的补贴仅仅是出口制造企业的财务和其他记录中所显示的来自政府部门的现金拨付,那反补贴调查就变得很简单了;但是欧盟要调查的补贴更包括税收减免、增值税退税、各种特区政策、土地优惠、原材料采购优惠等补贴项目,其具体认定和计算,就变成了一项很复杂的工程,以致非经专家律师团队协助,企业几乎无法应对。
二、欧盟本次发起反补贴调查的特别之处
欧盟本次发起针对原产自中国大陆的BEVs的反补贴调查,与欧盟针对中国产品的众多反补贴调查有相同之处,即最终皆须证明中国大陆有关出口生产企业存在补贴,欧盟相关产业存在实质性损害、损害威胁或成长阻碍(统称损害, Injury),此种补贴与此种损害之间存在因果关系,并且征收反补贴税符合欧盟共同体利益(Community Interest)。这里的每项标准并非泛泛而谈,而是皆有具体所指,并且很多细节在欧洲法院和WTO打过官司,含义对专业化律师而言,相对具有一定的确定性。
但欧盟本次发起的反补贴调查,也存在两个特别之处,值得关注。
首先,欧盟本次反补贴调查不是基于欧盟盟内产业(Domestic Industry)的申请而发起的,而是欧委会主动发起的。
通常欧委会(及很多国家主管机关)都是基于国内产业的投诉/申请而发起反补贴调查。而本次欧委会主动发起调查,原因可能是欧委会基于政治考量,急于启动调查,等不及欧盟BEVs同类产品产业准备和提交完整的反补贴调查申请。
从技术角度考虑,要准备和提交完整的反补贴调查申请,并不是一件容易的事——欧盟有关企业或企业联盟可能需要聘请专家律师团队并花费很长时间收集、整理、分析和写就有关资料。最要命的是,提起反补贴调查申请的企业或企业联盟,在提交反补贴调查申请时,得证明自己能代表欧盟盟内产业。
而根据有关新闻报道,在欧盟27个成员国内部,德国和法国的电动汽车生产商对申请本次电动汽车反补贴调查,意见就可能不同。而反补贴申请企业或企业联盟,如果都不能证明自己至少代表欧盟25%的BEVs产量,就不具备申请反补贴调查的资格;如果不能证明自己至少代表欧盟50%的BEVs产量,就得调查欧盟其他BEVs生产商对提起反补贴调查的意见,结果就可能被反对声扑灭提起申请的资格。
也许正是因为上述技术原因,欧委会才仓促决定,立即主动发起反补贴调查。
其次,欧盟本次反补贴调查是在欧盟没有发起相应的反倾销调查的情况下发起的。
欧盟及其他发达国家/地区原先不对中国大陆这样他们认为是“非市场经济”的国家发起反补贴调查,但自2004年加拿大率先对中国大陆烧烤架发起反补贴调查后,美国、欧盟等纷纷发起对中国大陆产品的反补贴调查。通常来说,欧盟在发起对中国大陆产品的反倾销调查时,同时发起发补贴调查,或者稍后即发起反补贴调查。而本次欧盟却在没有对原产自中国大陆的BEVs发起反倾销调查的情况下,先行发起了反补贴调查。
欧盟这个特别举动并不代表欧盟不会对中国大陆的BEVs发起反倾销调查了。实际上,中国大陆有关企业现在就应该立即准备应对欧盟可能对BEVs发起的反倾销调查。
欧盟本次先行发起反补贴调查很可能是因为以下技术原因造成的:反倾销调查与反补贴调查有所不同,应该说更加复杂。这是因为欧盟现在已经采用美国式替代国方法,来调查和计算原产自中国大陆的有关产品出口是否存在倾销。这种替代国方法的核心是分析涉案产品的“生产要素”,寻找一个合适的第三国(本案中可能是韩国、墨西哥之类),收集他们有关企业的成本数据,然后在考虑中国大陆有关企业的有关数据的情况下,虚拟中国大陆有关企业的生产成本和涉案产品的“正常价值”,最后计算出是否存在倾销及倾销幅度。
从上面说明中即可看出,虽然通过反倾销调查可能计算出更高税率,但是相较于反补贴调查,欧盟方面需要准备更多资料,投入更多人力物力,才能完成反倾销的发起和调查工作。尤其是,在没有欧盟企业或企业联盟准备初步资料、提出反倾销调查申请的情况下,欧委会要尽快或主动发起反倾销调查,工作量和工作难度都非常大。
可能正因为如此,欧盟本次先行主动发起发补贴调查,而没有同时发起反倾销调查。但也正因为如此,欧盟随时还可能再发起反倾销调查。
三、欧盟反补贴调查的后果
欧盟反补贴调查一旦启动,一般会出现三种结果:一是经调查因查不出重要补贴或其他原因,终止调查;二是经调查发现虽有补贴但没有损害等,不采取反补贴措施;三是经调查发现补贴、损害等,征收反补贴税。根据欧盟已有实践,90%以上案子会是第三种结果。
一旦欧委会决定征收反补贴税,一般会连续征收五年,而且每五年都可以通过日落复审程序继续征收五年,直到无人在乎这个特别关税。
故此,欧盟如征收反补贴税,会造成重大后果。首先,应诉并且获得较好税率(包括零税率)的中国企业,可以继续向欧盟出口BEVs,甚至将其他企业的订单吸引过来,从而扩大对欧盟的出口。其次,在规定的补贴调查期间(2022年10月1日至2023年9月30日)曾出口欧盟但没有应诉的中国企业,会被以最高补贴税率惩罚,失去涉案产品的欧盟出口市场。再次,积极参与应诉但没有被抽样抽中或单裁税率(Individual Margin)的中国企业,取得抽样抽中应诉企业的加权平均税率,有可能可以继续向欧盟出口涉案产品,也有可能失去欧盟市场。
而在欧盟征收反补贴税后,欧盟的盟内产业得到一定保护;同时欧盟的消费者则可能开始叫苦,因为欧盟的BEVs销售价格应该会逐步提升。
面对一个行情很可能看涨而自己却很可能被排除在外的巨大市场,中国企业该如何应对?
四、中国企业的应对策略
对于反补贴、反倾销案件的应诉企业来说,理想的结案方式当然是终止调查、无损害、零税率、低税率或者价格承诺。这五种结案方式对任何一个具体应诉企业来说,尤其是对中国电动汽车产业来说,都可以说是胜诉。但是在整个调查结束之前,每个应诉企业都不可能确定应诉结果,因此只能全面作战,争取其中一种最佳结果。
故此,对于欧盟本次反补贴调查,一如面对欧盟的任何一次反补贴调查或反倾销调查,中国企业应当积极予以应对,并以适当的策略予以应对。
首先,尽早聘请专家律师团队着手应诉准备工作,是反补贴/反倾销应诉成功的关键。如前述欧盟调查日程显示,反补贴/反倾销调查一旦发布立案公告,前期进展速度非常之快;尤其是,应诉企业原则上只有37天左右时间准备和提交应诉所需所有资料和数据,而这些资料和数据包括应诉企业集团涉及生产或销售涉案产品的所有企业的资料和数据,从企业工商档案、企业管理、人员管理、产品分类、生产流程、成本核算明细、原材料采购明细、销售明细、销售单据、价格调整等到审计报告、报税记录、各种特制勾稽报表等等,无所不包,并且对所有中文文件,还需配备英文翻译件。以作者二十多年代理企业应诉反倾销/反补贴调查经验,没有一家企业能在这样的37天内,从容完成这些资料和数据的准备和提交。企业要想具备对反倾销应诉结果有较强的预测和把控能力,唯一可行的途径就是在欧盟或其他国家调查机关发起调查之前,很早就聘请专家律师团队进场,帮助企业汇集、分析和组织有关资料和数据。
其次,应诉企业要在补贴/倾销和损害两线应诉,不能仅应诉一头。从一个具体应诉企业角度,如果自己有把握取得较好税率,有时不参加损害抗辩反而对本企业有利。但是,不参加损害抗辩,通常对企业所在行业整体利益不利;而且万一企业没有取得较好税率,就没有胜诉回旋余地了。故此,我们在代理企业应诉时,也鼓励企业参加损害抗辩,即向补贴/倾销调查机关同时主张对方盟内/国内产业不存在实质损害、损害威胁或成长阻碍;即使有,与涉案产品的补贴/倾销不存在因果关系;在欧盟案件中,还应游说欧盟成员国代表投票反对采取反补贴/反倾销措施。在反补贴/反倾销调查案件中,中国大陆应诉企业习惯由有关商会或行业协会统一组织“无损害抗辩”,认为这样既可以节约成本,又可以不必提交重复意见。其实这个习惯并非最佳实践。不同企业、不同组织提交的不同损害抗辩意见其实角度不尽相同;即使主要内容类似,也更能引起损害调查机关的注意;而且也更方便提交特有保密信息,提出与损害相关特定请求,并避免集体代理律师可能存在的利益冲突。
再次,对于中国BEVs出口生产企业来说,争取抽样抽中应诉更有利于自己掌控自己的命运。如前所述,欧盟近年来改变了自己若干重大长久实践,急速学习美国反补贴/反倾销调查的相关手法,包括严格限定抽样抽中企业数目。欧盟这样做对中国应诉企业的一个后果是,如果一个中国企业出口欧盟排名不到前三四位,就有可能不被抽样抽中,而仅能配合调查,取得抽样抽中企业的加权平均税率。如果抽样抽中企业中有一个出口占比较高但应诉结果差强人意的企业,那么其他抽样未抽中的应诉企业即可能遭遇较高加权平均税率。为此,一旦反补贴/反倾销风声乍起时即开始准备应诉工作更为必要。如果经过前期准备,但抽样仍未抽中,则可以通过自愿提交全卷应诉,请求欧盟反补贴/反倾销调查机关同意为应诉企业单裁税率。虽然欧盟目前总体倾向是不接受自愿交卷,但是如果应诉企业全力追求并得到经验丰富的专家律师团队协助,获得单裁税率也是有可能的。
当然,以上只是若干总体应诉策略。具体到不同的应诉企业,专家律师团队应该可以提出具体的应诉策略。
总之,应诉企业应在专家律师团队的具体分析和指导下,根据自己的具体情况,灵活采用各种应诉策略,在补贴/倾销和损害两线同时努力,最稳妥、最大限度地实现自己的应诉目标。
五、不要忘记欧盟还有《外国补贴条例》
假设在本次欧盟反补贴调查中,中国BEVs应诉企业没能取得理想的应诉结果,那么下一步该如何重新赢得欧盟市场呢?很多企业可能想到要去第三国开设工厂,改变产品的原产地,或者径直到欧盟开厂。
这种合法规避欧盟针对原产自中国的BEVs的反补贴/反倾销税的想法,通常是具备一定的可操作性的,尤其是径直到欧盟开厂的想法。但是随着欧盟一个新法规的生效和实施,这种想法的可操作性正在变弱,实现成本也正在急剧上升。中国电动汽车及其他新能源行业出口生产企业应当对此有充分了解。
2022年12月14日,欧盟通过《外国补贴条例》(Regulation (EU) 2022/2560)(简称FSR)。该法于2023年1月12日生效,2023年10月12日全面实施。
该法的核心内容是,企业(通常是外国企业,但也可能是欧盟企业)并购欧盟企业或以合资形式投资时,或者企业参加欧盟公共采购时,如果所涉企业营业额达到一定标准,或者所涉公共采购合同金额达到一定标准,而所涉企业在最近三年获得外国补贴达到一定金额,则有关并购、合资或采购必须向欧盟主管机关申报。而欧盟主管机关有权对此类活动进行调查,并可以禁止有关并购、合资或采购,或者要求采取“补救性措施”(Redressive Measures)。欧盟主管机关也有权对任何其他涉及外国补贴的市场情形(Market Situations)(如其他投资情形)主动进行调查,并作出类似决定,采取类似措施。有关该法更具体内容,请另行咨询本文作者。
这也就是说,如果中国有关BEVs企业在本次反补贴调查中被发现存在重大补贴,将来要想在欧盟进行并购、合资或参与公共采购,很可能遭遇欧盟主管机关根据FSR的调查和处理,最终不仅可能无法实现合法规避反补贴税/反倾销税的目标,也可能根本就不能实现在欧盟开厂的目标。
那么,该怎么办?这次反补贴/反倾销应诉就应该不惜工本争取打赢;万一没打赢,立即咨询专家律师团队看如何避免损失,重新崛起。惟其如此,对应诉企业来说,专家律师团队的资质、经验、水准和专注很重要;通过竞价聘任反补贴/反倾销律师团队实际上是一种冒险。
六、结语
欧盟本次发起针对原产自中国大陆的新电池电动汽车反补贴调查有其特殊之处。这些特殊之处说明欧盟很可能为了政治考量,强力和从速推动对中国电动汽车的反补贴调查。由于电动汽车行业在中国、欧盟等地皆属新能源和环保行业,属于政府优先考虑补贴行业,通过调查发现补贴可能并不意外。但是欧委会如果严格依据其《反补贴基本条例》展开调查和采取反补贴措施,欧委会不一定能够轻易达成其征收反补贴税的目标。故此,中国有关企业应当全力应诉,并且以适当应诉策略应诉。由于反补贴应诉和反倾销应诉一样具有很强的专业性和复杂性,聘请专家律师团队协助应诉是应诉企业的必须。而因为万一应诉失败,应诉企业可能丧失欧盟出口市场,并且因为欧盟《外国补贴条例》的出现,可能很难采用传统的合法规避反补贴税/反倾销税策略,故此,应诉企业应诉本次反补贴调查,以及提前准备应对随时可能展开的反倾销调查,应全力以赴,务求一胜。
沙特汽车出海数据合规实务要点
沙特阿拉伯(Kingdom of Saudi Arabia “KSA”,简称“沙特”)作为中东地区的主要经济体和汽车市场,是中国汽车品牌近两年出海的重要目标之一。近年来,随着沙特实施“2030愿景”计划,推动经济多元化和数字化转型,数据隐私成为了沙特政府和企业的重要议题。沙特制定有专门的数据隐私保护立法,并于近月颁布了多部配套条例,明确细化了数据处理规则,这给中国车企在当地展业带来了合规挑战。
本部分将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手,拆解沙特数据隐私保护法律要求,为中国汽车出海沙特提供参考。
一、数据隐私保护法律监管体系
沙特的数据保护一般立法包括《个人数据保护暂行条例》(Personal Data Protection Interim Regulations, PDPIR)、《个人数据保护法》(Personal Data Protection Law, PDPL)、《个人数据保护法实施条例》(the Implementing Regulation of the Personal Data Protection Law, PDPLIR)和《个人数据跨境传输条例》(Regulation on Personal Data Transfer outside the Kingdom, PDTR)(为行文简洁,后面两部条例下文统称为“配套条例”)。
其中,PDPIR是由国家数据治理办公室(NDMO)于2020年6月1日发布的《国家数据治理条例》(National Data Governance Interim Regulations, NDGIR)中的一部分,并非专门的个人数据保护立法。
2021年9月16日,《沙特官方公报》首次公布专门的数据保护立法文件PDPL,而后于2023年3月27日发布修订版。PDPL修订版及其配套条例于2023年9月14日施行,相关组织有12个月的过渡期进行合规整改。PDPL颁布后,PDPIR并未被废止,目前仍然有效。
目前,沙特暂未就汽车领域颁布专门的数据隐私保护法律。
目前,沙特承担数据保护监管职责的主要是沙特数据与人工智能管理局(SDAIA)与国家数据治理办公室(NDMO)。
二、沙特数据隐私保护的一般规则
(一)适用范围
不论是PDPIR还是PDPL,均具有域内效力与域外效力。根据PDPL第2条,PDPL适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动,不适用个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。
(二)个人数据/敏感个人数据的定义
根据PDPL第1条,“个人数据”是指任何可用于特定识别个人、或者可直接或间接使识别个人成为可能的数据,无论其来源或形式如何,包括姓名、个人身份号码、住址、联系电话、执照号码、记录、个人资产、银行卡号和信用卡号、个人照片、个人录像及任何其他具有个人性质的数据;“敏感个人数据”是指揭示种族、民族血统、宗教、知识或政治信仰的个人数据,与安全、刑事定罪和违法行为有关的数据,用于识别个人身份的生物测定或遗传数据,健康数据,以及表明个人父母一方或双方不详的数据。
(三)义务主体
与GDPR相同,PDPL采取了“控制者”与“处理者”二分概念。根据PDPL第1条,“数据控制者”是指明数据处理目的和方式的任何公共实体、自然人或企业法人,无论该数据由控制者还是处理者处理;“数据处理者”是指为控制者之利益并代表控制者处理个人数据的任何公共实体、自然人或企业法人。
(四)告知与合法性基础
数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。具体而言,根据PDPL第4、13条以及PDPLIR第4条,控制者应在收集个人数据前告知个人如下事项:i)控制者的身份、联系方式以及与控制者沟通的渠道;ii)控制者指定的数据保护官的联系方式(如适用);iii)收集和处理个人数据的法律依据和具体、清晰、明确的目的;iv)个人数据的保存期限,如果无法提供具体期限,则说明用于确定保存期限的标准;v)说明数据主体的权利以及行使该等权利的机制;vi)说明如何撤销数据主体对处理个人数据的同意;vii)解释收集或处理个人数据是强制性的还是选择性的。
根据PDPL第6条、PDPLIR第16条,控制者可以依赖的合法性基础包括:
i)取得数据主体的同意;如涉及处理敏感个人数据、信用数据、自动化决策等情形还需取得明确同意;如控制者依赖“同意”处理数据,应将“同意”的动作、时间、含义等信息以将来可审计的方式进行记录;
ii)处理符合数据主体的实际利益,但与数据主体的沟通不可能或困难;
iii)处理是根据其他法律或履行数据主体作为一方的先前协议;
iv)如果控制者是公共机构,处理是为了安全目的或满足司法要求;
v)在不违反法律规定、不损害数据主体的权利和利益且不涉及处理敏感个人数据的前提下,处理是为了控制者的合法利益(如披露欺诈行为、保障网络信息安全)。
(五)数据合作
根据PDPL第8条、PDPLIR第17条,数据控制者选择合作方时应确保合作方可落实数据保护义务,并应向数据主体告知合作方的名称或类型,与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。
数据控制者与处理者之间的协议须包括:a)处理目的;b)处理的个人数据类别;c)处理期限;d)数据处理者承诺在发生个人数据泄露时,按照法律规定及时通知数据控制者;e)澄清数据处理者是否受其他国家法规的约束以及对其遵守法律及其规定的影响;f)根据适用法律强制披露个人数据时,无需事先征得数据主体的同意,但数据处理者须通知控制者此类披露事宜;g)列明处理者的任何分包商或将向其披露个人数据的任何其他方。
(六)数据本地存储
根据沙特阿拉伯信息和通信技术委员会(CITI)发布的《物联网监管框架》第7条,物联网服务提供商应当托管用于提供服务的相关服务器,并将所有数据存储在沙特阿拉伯境内。PDPL没有规定一般性的数据本地化存储要求。
(七)数据跨境转移
根据PDPL、PDTR相关规定,沙特有关数据跨境转移的监管规则梯次递进如下:
a)向具备“充分个人数据保护水平”的第三国/地区开展数据传输。就数据接收国个人数据保护水平,根据PDTR第3、4条,由主管当局根据一系列相关标准进行评估,包括当地数据保护法律保护水平、法律实施效果、数据主体权利、监管情况、政府调取数据程序的适当性等;
b)第三国缺乏充分个人数据保护水平情形下采取“适当措施”,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则等;
c)无“充分个人数据保护水平”且无“适当措施”,符合特定豁免条件,包括为履行合同所必需、为保障数据主体的重大利益所必需(如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况)、为维护国家安全或公共利益所必需(控制者需为公共机构)、为开展刑事侦查等所必需(控制者需为公共机构)。
除遵守以上数据跨境规则外,控制者在开展数据跨境转移时,还应满足以下要求:i)跨境转移不损害国家安全或重大利益;ii)跨境转移的个人数据仅限于所需的最小必要范围;iii)基于“适当措施”或“特定豁免条件”开展数据跨境转移,或持续大规模向境外传输敏感数据,须开展数据跨境风险评估。
(八)数据主体权利
根据PDPL第4、21条以及PDPLIR第3-8条,数据主体享有知情权、访问权、纠正权和删除权。数据控制者应在不超过30天的期限内,对数据主体的权利请求进行响应。如果响应需要付出巨大努力或存在多项请求时,可延长响应期限,但延长时间不得超过30天,并应提前通知数据主体延长期限及延迟的原因。
(九)数据保护负责人
根据PDPL第30条、PDPLIR第32条,在如下情况下,数据控制者应任命一人或多人担任数据保护官:a)控制者为公共机构,涉及大规模处理个人数据;b)控制者定期或持续大规模监控个人的情形;c)控制者的核心活动是处理敏感个人数据。
数据保护官或数据保护负责人可以是控制者的雇员,亦可是外部供应商。
(十)数据安全事件处置
根据PDPL第20条、PDPLIR第24条,发生数据安全事件后,数据控制者应根据监管机构确定的机制和程序立即通知监管机构,时间上不得迟于72小时。此外,如果相关安全事件会对数据主体的个人数据或数据主体本身产生严重损害,数据控制者应立即通知数据主体。
三、沙特汽车领域高频场景数据隐私合规要点
(一)汽车营销场景
· 隐私通知:
根据PDPL第12、13条,汽车销售商应在收集消费者个人数据前提供隐私通知,告知消费者以下内容:收集者身份、数据收集的目的、方式和合法性基础、收集该数据是强制性或选择性、存储、处理和销毁方式(不会以不符合收集目的的方式处理个人数据)、个人数据披露和传输情况、未完成个人数据收集可能产生的影响和风险、数据主体权利和行权方式等。在发送营销内容时,应表明汽车企业的身份信息,不应进行匿名化处理。
· 电子邮件/短信营销:
根据PDPL、PDPLIR第29条,汽车企业在向消费者发送营销信息前应事先获得其同意,并向消费者提供选择退出的机制,且退出机制应简单、直接、同等便利。如消费者拒绝或撤回同意,汽车企业应立即停止发送营销信息或开展营销活动。
· 电话营销:
根据PDPL、《信息通信技术服务用户权利保护和信息通信技术服务提供条款规定》(Regulations on the Protection of Rights of ICT Services' Users and on the Terms of ICT Service Provision),汽车企业在向消费者进行电话营销前应事先获得其同意并向消费者提供选择退出的机制。此外,汽车企业还应在通话开始前披露其名称、通话原因并核实用户是否希望继续通话,对通话内容进行记录等。
(二)汽车金融场景
· 告知数据共享的情况:
如涉及向银行、融资租赁公司、保险公司等提供消费者数据的,根据PDPL第10、13条以及沙特阿拉伯金融管理局(SAMA)发布的《个人融资租赁机动车辆综合保险规则》(Rules for Comprehensive Insurance of Motor Vehicles Financially Leased to Individuals)第6条,汽车企业应通过隐私通知等向涉及的个人信息主体告知对外提供个人数据的情况,并取得个人信息主体的同意。
· 汽车保险场景下个人数据保护要求:
根据《保险市场行为准则条例》(The Insurance Market Code of Conduct Regulation)第17条,这些数据的获取和使用必须仅限于特定的合法目的,由沙特阿拉伯的保险公司保存,并在客户提出书面要求时提供给客户,未经沙特阿拉伯货币市场管理局事先授权,不得向任何第三方披露(公司审计师、精算师、再保险公司和共同保险公司除外),必须安全保存客户数据并保持最新状态10年。
(三)车联网场景
· 数据本地化:
根据沙特阿拉伯信息和通信技术委员会(CITI)发布的《物联网监管框架》(Internet of Things(IoT)regulation framework)第7条,车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。
· 提供保存和维护数据的技术能力:
根据《物联网监管框架》第7条,车联网服务提供商必须在车联网设备中提供保存和维护数据的技术能力,以便在不少于12个月内或CITI规定的任何其他期限内对数据进行审查。
(四)充电场景
· 遵循数据保护一般规则:
汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(参见第二部分)。
(五)自动驾驶场景
· 遵循数据保护一般规则:
汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(参见第二部分)。
· 开展个人信息保护影响评估(PIA):
根据PDPL、PDPLIR第25条,自动驾驶场景可能构成大规模持续监控数据主体及适用自动化技术处理数据的情形,需按规定开展PIA,评估数据处理活动可能对数据主体造成的实质影响与风险,并留存书面文件。评估内容包括:a)处理目的、合法事由、数据类型、数据主体等基本数据处理活动信息;b)处理活动涉及的各方主体与其法律关系;c)实现处理目的的必要性与相称性评估;d)对个人的影响,包括身体、心理、财务、社会关系等多方面的影响评估;e)为规避风险采取的措施及措施的适当性分析。
如涉及委托处理者处理数据(采购第三方自动驾驶能力),汽车企业还应提供一份PIA报告副本至数据处理者。
(六)售后维修
· 遵循数据保护一般规则:
汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(特别是数据跨境转移、委托处理等规则)(参见第二部分)。
(七)OTA汽车远程升级
沙特并非联合国《1958年协定书》和《关于软件升级和软件升级管理系统的汽车型式批准统一规定》(UN Regulation No. 156 - Software update and software update management system, UN R156)的缔约方,因此我们理解R156在沙特不具有强制性。
泰国汽车出海数据合规实务要点
泰国作为东南亚地区的主要经济体和汽车市场,是近年来中国汽车出海的重要目标地之一。2023年,中国汽车品牌在东南亚地区销售新能源乘用车8.7万辆,占东南亚地区新能源乘用车总销量70.1%,处于绝对领先地位。各大主机厂(如比亚迪、广汽埃安等)亦纷纷在泰国建立工厂。在市场快速发展的同时,泰国的数据隐私保护法,也对中国车企提出了合规挑战。
本部分将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手,拆解泰国数据隐私保护法律要求,为中国汽车出海泰国提供参考。
一、泰国数据隐私保护法律监管体系
泰国的一般数据保护法律主要是泰国《个人数据保护法》(简称“PDPA”)。 PDPA于2022年6月1日正式生效,是泰国第一部综合性数据保护立法。PDPA适用于在泰国设立的数据控制者和处理者,也适用于在泰国境外向泰国境内主体提供商品、服务或监控的数据控制者和处理者。
为进一步细化PDPA实施规则,泰国个人数据保护委员会发布了《免除小型企业数据控制者处理活动的记录要求》《数据处理者准备和维护处理活动记录的规则和方法》《数据控制者安全措施》《专家委员会发出行政罚款命令的考量规则》《根据PDPA第28条向外国发送或传输个人数据的保护标准》(简称“第28条通知”)、《根据PDPA第29条向外国发送或传输个人数据的保护标准》(简称“第29条通知”)、《关于任命DPO的通知》等文件。
目前未见泰国针对汽车领域数据隐私保护的专门立法。
泰国数据保护的主要监管机构是泰国个人数据保护委员会(简称“PDPC”)。PDPA规定滥用个人数据的行为者可能会面临民事赔偿、行政处罚与刑事处罚。从公开新闻报道来看,目前该法实施两年,PDPC的主要监管手段是敦促和警告,处罚并不多见。
二、泰国数据隐私保护一般规则
(一)适用范围
根据PDPA第5条,PDPA适用于位于泰国境内的数据控制者或数据处理者对个人数据的收集、使用、披露行为,不论上述行为是否发生于泰国境内。
PDPA在以下情形中适用于位于泰国境外的数据控制者或数据处理者对境内数据主体个人数据的收集、使用、披露行为:(i)向在泰国境内的数据主体提供商品或服务,无论数据主体是否支付费用;(ii)对数据主体发生在泰国境内行为进行监控。
根据PDPA第4条,PDPA不适用于如下情形:(i)个人为个人利益或家庭活动而收集、使用或披露个人数据;(ii)公共当局执行维护国家安全的职责,包括防止洗钱,从事法医科学和维护网络安全的活动;(iii)个人或法人为大众传媒、美术或文学活动而使用或披露收集的个人数据,且这些活动符合职业道德或出于公共利益;(iv)众议院、参议院和国会及其任命的委员会在履行职责和权力时收集、使用或披露个人数据;(v)法院在审判和裁决以及其他法律程序中的工作,包括法律执行和财产押存,以及根据刑事司法程序进行的工作;(vi)征信机构及其成员根据信用业务操作法律进行的工作;(vii)其他类似情况或为了公共利益而需要不适用PDPA已通过皇家法令予以规定的情况。
(二)个人数据/敏感个人数据的定义
根据PDPA第6、26条,个人数据指与个人相关联的、可以直接或间接用于识别个人的任何数据(不包含死者信息),具体包括姓名、身份证号码、地址、电话号码、电子邮箱、财务明细等;
敏感个人数据指与种族或民族血统、政治观点、邪教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物特征数据有关的任何个人数据,或可能以相同方式影响数据主体的任何数据。
(三)义务主体
PDPA采取了“控制者”与“处理者”二分概念。根据PDPA第6条,“数据控制者”指在个人数据的收集、使用和披露方面,拥有决策权的任何个人或实体。“数据处理者”指代表或在数据控制者指示下,进行个人数据收集、使用或披露的任何个人或实体。
(四)告知与合法性基础
数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。
根据PDPA第23条,控制者应在收集个人数据前或收集时告知数据主体以下信息:(i)收集、使用、披露个人数据的目的;(ii)数据主体为遵守法律规定、合同约定或为签订合同必须提供个人数据的情况,以及不提供个人数据可能产生的影响;(iii)收集个人数据的种类及保存期限;(iv)可能对外披露所收集个人数据的人员和实体类型;(v)数据控制者的信息、地址、联系方式,数据控制者代表或数据保护负责人信息;(vi)数据主体依据PDPA享有的权利。
根据PDPA第19、24条,控制者能够依赖的合法性基础包括:(i)数据主体的同意;(ii)实现与为公共利益或与研究或统计有关的目的而准备历史文件或档案的目的;(iii)为签订或履行数据主体作为一方的合同所必需;(iv)为保护数据主体的生命、身体或健康;(v)为维护公众利益;(vi)为实现控制者或第三方的合法利益所必需;(vii)为履行法定义务。
(五)数据合作
根据PDPA第27条,除非具有其他合法性基础,否则数据控制者不得在未经数据主体同意的情况下披露个人数据,通过披露获得个人数据的数据控制者不得超出获得该等个人数据时通知披露方的目的使用个人数据。因此,数据控制者应向数据主体告知合作方的名称或类型,并与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。
根据PDPA第40条,数据处理者应承担以下义务:(i)仅根据数据控制者的指示进行与个人数据的收集、使用或披露有关的活动;(ii)提供适当的安全措施,以防止个人数据未经授权或非法的丢失、访问、使用、更改、更正或披露,并在发生个人数据泄露时通知数据控制者;(iii)准备并维护对其个人信息处理活动的记录。若数据处理者未能根据数据控制者的指示进行活动,则应视为处理个人数据的数据控制者。
(六)数据本地化存储
PDPA无对个人信息的本地化存储要求。
(七)数据跨境转移
根据PDPA第28、29条,结合PDPA发布的“第28条通知”、“第29条通知规定”规定,仅当接收地具有足够的个人数据保护标准或满足跨境转移条件之一时,个人数据才能转移到第三国。总结而言,泰国的数据跨境转移路径包括如下:
路径一:“充分性认定”。PDPC发布的“第28条通知”明确了PDPC作出充分性认定的标准,若接收国被评判为“充分保护国家”,则向该国家传输个人数据无需采取额外的防护措施。目前,PDPC尚未发布其认定的“充分保护国家”名单。
路径二:“适当措施”。PDPA允许在下列情况下进行跨境转移:(i)向集团公司内的控制人员或处理人员转移个人数据,且该集团公司已制定经委员会批准的具有约束力的公司规则(“BCR”);及(ii)在委员会尚未批准具有约束力的公司规则的情况下,控制人员或处理人员采取“适当措施”以及根据委员会的指引采取有效的法律补救措施后,可以向第三国转移个人数据。根据“第29条通知”,“适当措施”包括:标准合同条款、认证、及泰国作为缔约方的法规或协议。
路径三:“转移条件”。根据PDPA,如满足转移条件亦可进行数据跨境转移,具体包括:(i)履行法定义务;(ii)在被告知接收国数据保护法律的不足之后,数据主体同意转移;(iii)履行个人作为合同一方当事人所必需;(iv)为履行个人作为利益第三人的合同项下义务;(v)为了防止或消除该个人或其它人的生命、人身或健康面临的危险而该个人当时不能表示同意的转移;或(vi)公共任务所需要的转移。
(八)数据主体权利
根据PDPA第30-35条,数据主体享有知情权、访问权、更正权、删除权、限制处理权、可携权、反对权和撤回同意权。
具体来说,根据PDPA第30、31条,数据主体有权访问其个人数据并获得个人数据副本,有权要求披露未经其同意获得其个人数据的情况。数据控制者应立即响应请求,并在三十日内响应完成。数据控制者应当以可读格式或通常使用的自动化工具或设备使用的格式向数据主体提供个人数据。数据主体亦可要求:(i)数据控制者在可通过自动化手段发送或转移个人数据的情况下,将此类格式的个人数据发送或传输给其他数据控制者;(ii)直接向其提供向其他数据控制者发送或传输的此类格式的个人数据。
根据PDPA第32条,数据主体在下列情形中,有权随时反对控制者对其个人数据的收集、使用、披露:(i)控制者以保护公共利益、履行公共权力、保护他人合法权益为合法性基础处理个人数据,除非控制者证明其具有充分的合法性基础或其是在法律诉讼中收集、使用、披露个人数据;(ii)收集、使用、披露个人数据是以直接营销为目的;(iii)收集、使用、披露个人数据是以科学、历史或统计研究为目的,除非这对数据控制者为公共利益执行任务是必要的。
根据PDPA第33条,数据主体在下列情形中,可要求控制者擦除、销毁其个人数据,或对其个人数据进行匿名化处理:(i)个人数据对于收集、使用、披露的原目的不再必要;(ii)数据主体撤回同意,且控制者不具备其他合法性基础;(iii)数据主体行使反对权;(iv)个人数据被非法收集、使用、披露。
根据PDPA第34条,数据主体在下列情形中可限制控制者对个人数据的使用:(i)控制者对其权利行使处于核实、审查阶段;(ii)个人数据对于收集、使用、披露的原目的不再必要,但数据主体为了诉讼需要保留该等个人数据;(iii)个人数据被非法收集、使用、披露,但数据主体仅请求限制使用。
(九)数据保护负责人(DPO)
根据PDPA第41条,若控制者或处理者的核心活动是收集、使用或公开个人数据,即应当任命数据保护负责人(DPO)。为了帮助数据控制者确认其是否需要任命DPO,PDPC发布了供数据控制者参考的评估表,以及关于DPO的通知信息表格。
(十)数据处理记录(RoPA)
根据PDPA第39条,数据控制者通常应通过书面或电子化方式,记录数据处理活动,以便数据主体和监管机构进行查看。数据处理记录应包括如下内容:处理的个人数据;个人数据处理目的;数据控制者详情;数据保存期限;个人数据行权响应方式和条件;数据使用和披露情况;安全保障措施等。
根据《免除小型企业数据控制者处理活动的记录要求》,小型企业数据控制者或偶尔处理个人数据的企业无需进行数据处理活动记录。小型企业包括根据泰国《中小型企业法》成立的中小型企业、家庭企业、社团企业等。
(十一)数据安全事件处置
根据PDPA第37条,数据控制者应毫不迟延地、在可行的情况下在发现后72小时内通知PDPC有关个人数据泄露的情况。如果个人数据泄露可能对个人权利和自由造成高风险,数据控制者必须立即向数据主体通报泄露事件和补救措施。
三、汽车领域高频场景数据隐私合规要点
(一)汽车营销场景
√ 隐私通知:
根据PDPA第23条,数据控制者必须在收集个人数据之前或之时告知数据主体所需的详细信息,例如收集的目的、数据保留期限、涉及对外披露的接收方类别、数据控制者及其代表信息、数据主体的权利等,除非数据主体已经知道此类细节。
√ 电子邮件/电话/短信营销:
对于个人客户而言,在取得其同意或是该个人系已存在业务关系的客户的情形下,汽车企业能够以直接营销为目的通过电子通信方式(包括电子邮件、电话、短信)处理个人数据。同时,个人有权反对上述处理。对于企业客户而言,汽车企业开展直接营销无需事先取得企业客户的书面同意。此外,根据泰国《直销法》(Direct Sales and Direct Marketing Act,DMA)第27条,在向客户(包括个人和企业客户)开展直销业务之前,经营者必须向泰国消费者保护委员会办公室(OCPB)注册该直销活动。
(二)汽车金融场景
√ 告知数据共享的情况:
如涉及向银行、融资租赁公司等金融机构提供消费者数据的,根据PDPA第23、27条,汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方类型,并取得数据主体的同意或具备其他合法性基础。
(三)车联网场景
√ 遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(四)充电场景
√ 遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(五)自动驾驶场景
√ 遵循数据保护一般规则:
目前泰国没有制定专门适用于自动驾驶的相关法律或标准,仅在其《工业产品标准法》中提及有关自动驾驶相关工业产品标准。目前,汽车生产商在开发设计自动驾驶系统时,应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
此外,泰国在近几年发布有针对人工智能监管的法令草案,如《泰国促进和支持人工智能创新法(草案)》《泰国人工智能系统服务商业运营皇家法令(草案)》(简称“《AI运营法令草案》”)等。其中《AI运营法令草案》提及自动驾驶系统,并将其归为高风险人工智能系统。相关文件均为草案阶段,尚未正式出台,考虑到全球人工智能立法进程之快,汽车企业需持续关注并着手准备相关应对措施。
(六)售后维修
√ 遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(七)OTA汽车远程升级
√ 遵循R156相关要求:
泰国是联合国《1958年协定书》的缔约方。根据联合国有关R156的适用国家及生效时间文件(United Nations Regulation No. 156. UN Regulation on uniform provisions concerning the approval of vehicles with regards to software update and software updates management system),R156在2021年即对泰国生效。因此,车企在泰国同样应当遵循R156中关于OTA的相关要求。
马拉西亚汽车出海数据合规实务要点
近些年来,马来西亚政府积极出台多项政策鼓励本国汽车产业转型升级。在此机遇下,中国车企凭借电动汽车创新加速开拓马来西亚市场。但与此同时,中国车企也面临着马来西亚数据隐私保护立法所提出的合规挑战。
本部分将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手对马来西亚数据隐私保护立法进行解读,期待为中国车企出海提供参考。
一、马来西亚数据隐私保护法律监管体系
马来西亚的一般数据保护法律主要是马来西亚《2010年个人数据保护法》(以下简称“PDPA”),该法于2010年6月2日通过,并于2013年11月15日正式生效。后该法经《2024年个人数据保护法(修正)》(简称“2024修正案”)修订,修订案于2024年10月17日在宪报上公布成为法律,修正案第7、11、13、14条(未对数据处理者、控制者引入新义务)于2025年1月1日生效,修正案第6、9条(任命数据保护官、数据泄露通知和数据可携权)将于2025年6月1日生效,其余修订将于2025年4月1日生效。
为细化PDPA实施规则,马来西亚先后发布《2013年个人数据保护条例》(以下简称“PDPR”)《个人数据保护(费用)条例》《2013年个人数据保护(数据使用者注册)条例》《2013年个人数据保护(数据使用者类别)指令》《2016 年个人数据保护(数据控制者类别)(修订)令》《2015年个人数据保护标准》(以下简称“PDPS”)《个人数据保护通用行为守则》(以下简称“GCOP”)《数据泄露通知指南》《数据保护官指南》《个人数据保护指引-DPO任命》《个人数据保护指引-数据泄露通知》《个人数据保护指引-个人数据跨境传输》等文件。
目前未见马来西亚针对汽车领域数据隐私保护的专门立法。
马来西亚数据保护的主要监管机构是个人数据保护部(JPDP),另数字部长会任命个人数据保护专员负责执行PDPA。PDPA规定违反PDPA的行为者可能会面临最高100万令吉的罚款、监禁三年或两者并罚。
二、马来西亚数据隐私保护一般规则
(一)适用范围
根据PDPA第2条,PDPA适用于在商业交易中处理或控制个人数据处理的主体,如果:
(1)该主体在马来西亚境内有业务经营场所,并且个人数据是由主体本身或主体雇佣、聘用的其他主体进行处理的;或
(2)该主体在马来西亚境内无业务经营场所,但使用位于马来西亚的设备处理个人数据,并且处理目的并非仅为从马来西亚过境。
此外,PDPA第3条及第45条还明确列举了不适用的场景,包括:
(1)联邦政府和州政府;
(2)在马来西亚境外处理的个人数据,且该个人数据不打算在马来西亚进一步处理;
(3)仅为个人、家庭或家庭事务(包括娱乐目的)而处理的个人数据;
(4)未在马来西亚境内设立的主体仅出于在马来西亚过境的目的而进行的个人数据处理活动。
(二)个人数据/敏感个人数据的定义
马来西亚PDPA对个人数据的定义与欧盟GDPR相似。根据PDPA第4条,个人数据是指任何与商业交易相关的信息(不包含已故个人),这些信息:
(1)正在被完全或部分通过为该目的给出指令的自动运作的设备处理;
(2)记录时有意让其完全或部分通过这类设备处理;或者
(3)作为相关文件系统的一部分被记录,或有意让其成为相关文件系统的一部分。
这些信息直接或间接关联到一个数据主体,该数据主体可以从这些信息或这些信息以及数据控制者拥有的其他信息中被识别,包括任何敏感个人数据和对数据主体的意见表达;但不包括任何为了信用报告机构根据《2010年信用报告机构法》开展信用报告业务而处理的信息。
敏感个人数据是指包含数据主体的以下信息的个人数据:
(1)身体或精神健康状况;
(2)政治观点;
(3)宗教信仰或其他类似性质的信仰;
(4)犯下的或被指控犯下的任何罪行;
(5)生物识别数据(任何因与个人的身体、生理或行为特征相关的技术处理而产生的个人数据);
(6)以及部长可能通过在公报上发布的命令确定的任何其他个人数据。
(三)义务主体
2010年PDPA规定的义务主体包括数据使用者(data user)和数据处理者(data processor),而后在2024年修正案中以数据控制者取代数据使用者。
数据控制者是指单独或与他人共同或依据共同安排处理个人数据,或控制或授权处理个人数据的主体,但不包括数据处理者。
数据处理者是指除数据控制者雇员之外,仅代表数据控制者处理个人数据,并且不为自己的任何目的处理个人数据的主体。
(四)数据控制者注册义务
符合《2013 年个人数据保护(数据控制者类别)令》或《2016 年个人数据保护(数据控制者类别)(修订)令》规定的数据控制者需要通过个人数据保护系统(SPDP)(访问网址:https://daftar.pdp.gov.my/p_login)进行注册。注册证书有效期为一年,到期需更新,数据控制者还必须在主要营业地点的显眼位置展示其注册证书,并在每个分支机构(如适用)展示该证书副本。
(五)数据处理的合法性基础
PDPA原则上要求处理非敏感个人数据必须获得数据主体的同意,但也规定了其他合法性基础,包括:为订立、履行数据主体作为一方当事人的合同所必需;遵守数据控制者法律义务;保护数据主体重大利益;司法管理;行使法律职能。
PDPA规定处理敏感个人数据的合法性基础包括数据主体明确同意;行使和履行数据控制者与就业相关的法定权利或义务;在数据主体或其代表无法给予同意,或不能合理期望数据控制者获得数据主体同意的情况下,为保护数据主体或他人的重大利益;在数据主体或其代表不合理拒绝同意情况下,为保护他人的重大利益;医护人员或类似负有保密义务的人员为医疗目的;法律程序或与之相关目的;法律咨询;确立、行使、捍卫法律权利;司法管理;行使法律职能;部长认为合适的其他目的;个人数据被数据主体有意公开。
根据GCOP第3.3条,获取同意的形式包括:
(1)表示同意的签名或可点击选框;
(2)通过行为或履行表示同意,如数据主体不反对该处理,数据主体自愿披露其数据,数据主体继续使用数据控制者的服务;
(3)口头同意:可通过数据方式记录(如录音等)或向数据主体发送书面通信(如邮件、表格等)确认已获得同意。
另外,PDPR第3条规定如基于同意处理个人数据的,数据控制者应当适当保存同意记录。获取同意的请求应在呈现形式上与其他事项相区分。如数据主体未满18岁,应获得父母、监护人或其他负有父母责任的人的同意。
(六)隐私政策要求
(1)内容要求
根据PDPA第7条、GCOP第4条、《隐私政策编制指南》《隐私政策快速指南》,隐私政策(PDP通知)应当至少包含如下内容:
a. 个人数据的描述:列明涉及的个人数据详情(涵盖联系人追踪、使用cookie、信标等);说明个人数据类型,明确是否涉及敏感个人数据;若处理儿童(18岁以下)的个人数据,应特别说明。
b. 处理的必要性:处理个人数据的目的(避免填写一长串个人数据的未来用途);说明是否有监管要求收集特定个人数据;说明个人数据存储的时间;说明个人数据的处置时间;列出为确保个人数据安全所采取的实际措施。
c. 个人数据的来源:说明所有相关的内部和外部来源,包括手动或数字申请/注册表。
d. 数据主体的权利:说明提供个人数据的选择是否强制,如果数据主体提供个人数据是强制性的要求,数据主体不提供个人数据会导致的后果;如何访问已提供的个人数据;如何更正或更新个人数据;如何限制对个人数据的处理,撤回处理同意的方法;以及限制可能从中识别出的其他人的个人数据的处理;联系数据控制者的方式,需包含负责人的姓名、职称、联系电话和电子邮箱。(注:2024年修正案新增可携权,可考虑在隐私政策中增加可携权内容)
e. 个人数据的披露:说明将个人数据分享给的第三方及其目的;确保披露过程安全的措施。
f. 联系信息:包括负责人的职称、电话号码、传真号码(如有)、电子邮箱等相关信息。
g. 重要日期:标注隐私政策生效日期和修订日期。
关于隐私政策的模板,可参见GCOP附录1。
(2)形式要求
隐私政策还需满足如下形式要求,包括:
a. 应当通过书面形式告知数据主体。
b. 隐私政策应使用马来语和英语,提供清晰且易于访问的方式,必要时使用马来语和英语以便数据主体行使选择权。如果需要,还可以准备其他语言的版本。
c. 隐私政策应当简单易懂、结构清晰,避免使用长句和难以理解的技术用语,避免使用非常小的字体。
d. 隐私政策可以通过以下方式向数据主体传达:将隐私政策的纸质副本邮寄至数据主体的最后已知地址;在数据控制者的网站上发布;通过短消息服务(SMS)向数据主体发送隐私政策的链接或电话;通过电子邮件发送隐私政策的链接或电话;通过电子信息渠道发送隐私政策的链接或电话;在定期与数据主体的沟通中插入隐私政策的链接或电话;在业务场所的显著位置展示隐私政策摘要版,并在显著位置提供完整版隐私政策;在自助服务机屏幕上显示隐私政策的链接或电话,并注明在哪些分支机构可获得该隐私政策;在申请/注册表中插入说明提及隐私政策的链接或电话;打印隐私政策的副本,并在数据控制者的营业场所提供给数据主体;其他能有效传达的方法。
e. 定期审查更新隐私政策,记录修订内容并通知数据主体。
(3)时间要求
数据控制者应在可行情况下“尽快”提供隐私政策:
a. 当数据控制者首次要求数据主体提供其个人数据时;
b. 当数据控制者首次收集数据主体的个人数据时;
c. 在数据控制者将个人数据用于收集目的以外的其他目的之前;
d. 或在数据控制者向第三方披露个人数据之前。
(4)保存要求
数据控制者需保留向数据主体提供隐私政策的记录以证明已向数据主体传达相关内容。
(七)数据存储
PDPA第10条规定个人数据存储时间不应超过实现处理目的所需的时间。数据控制者应当确保个人数据在不再需要用于处理目的时被销毁或永久删除。另外,根据PDPS第6条,数据控制者在落实数据存储要求时,需考虑如下方法,包括:
(1)在销毁数据之前,确保所有与个人数据处理和存储相关立法所规定的存储期限均已满足;
(2)除非其他法律条款另有要求,个人数据的存储时间不应超过必要时长;
(3)定期妥善记录个人数据的处置情况,并在专员要求时提交该记录;
(4)在不超过14天的期限内处理商业交易中使用的个人数据收集表格,除非该表格对商业交易具有法律价值;
(5)审查并处理数据库中所有不需要的个人数据;
(6)为非活跃数据制定 24 个月期限的个人数据处置时间表,并妥善保存该时间表;
(7)未经组织高层管理的书面批准,不得使用可移动媒体设备存储个人数据。
(八)数据合作
(1)委托处理
根据PDPA第9条、PDPS第4条、GCOP第5条,数据控制者为业务目的向数据处理者披露数据的,应要求数据处理者提供保证,包括仅在数据控制者委任目的范围内且根据其指示处理个人数据,遵守个人数据隐私、保密或安全相关法律、法规、行业标准。数据控制者应当与数据处理者签订合同以操作和开展个人数据处理活动。为符合安全原则,数据控制者需要确保数据处理者为所进行的数据处理提供技术和组织安全措施的充分保障,以及采取合理措施确保遵守这些措施。
根据《数据泄露通知指南》,数据控制者应通过合同或其他合理方式,规定数据处理者有义务通知控制者个人数据安全事件并在数据控制者履行义务时提供所有合理、必要的协助。
(2)对外提供
根据PDPA第7、8、39条和GCOP第5条,数据控制者有义务在隐私政策中说明将个人数据提供给的第三方及其目的,个人数据披露仅限于根据通知和选择原则(隐私政策)获得原始同意目的和直接相关目的。如披露个人数据用于除收集时拟披露目的及直接相关目的之外的目的或向隐私政策规定的接收方之外的其他方披露,应获得数据主体的同意或满足例外条件(包括披露对预防、侦查犯罪或调查目的是必要的,或依据法律或法院命令要求或授权披露,或数据控制者合理认为自己在法律上有权向他人披露个人数据,或控制者合理认为如数据主体知晓其个人数据披露及披露情形会同意披露)。
此外,PDPR第5条、PDPA第101条规定数据控制者必须建立对外提供清单,并应专员要求需随时出示该清单。
(九)数据本地化
PDPA并未规定数据本地化/数据驻留要求,但PDPA以禁止跨境传输个人数据为原则,以特定条件下允许跨境为例外。
(十)数据跨境
根据PDPA第129条、2024年修正案及《个人数据保护指引-个人数据跨境传输》,数据控制者满足以下条件,可以将数据主体的个人数据转移至马来西亚境外:
(1)该国现行有与PDPA实质相似的法律;该机构确保对个人数据处理提供足够的保护,其保护水平至少相当于PDPA提供的保护水平。(非“白名单”制度,2024修正案版本已删除白名单制度,企业需自行评估(TIA)接收方所在国家和地区是否具有足够的数据保护水平)
(2)除前述规定外,数据控制者可在以下情况下将个人数据转移至马来西亚境外:
a. 数据主体已同意转移;
b. 转移对于数据主体和数据控制者之间合同的履行是必要的;
c. 转移对于数据控制者与第三方之间合同的订立或履行是必要的,如果该合同是应数据主体的请求而订立的或该合同是为了数据主体的利益;
d. 转移是为了法律程序,或为了获取法律咨询,或为了确立、行使或捍卫法律权利;
e. 数据控制者有合理的理由相信,转移是为了避免或减轻对数据主体的不利活动,且实际上无法获得数据主体的书面同意,如果可以获取同意,数据主体会给予同意;
f. 数据控制者已经采取了一切合理预防措施,并尽一切应尽的勤勉义务,以确保个人数据在该地的处理方式哪怕放在马来西亚也不会违反本法的要求,例如具有约束力的公司规则(BCR)、合同条款(目前得到认可的合同条款包括东盟MCC、欧盟SCC及其他专员确定的合同条款)、认证(目前得到认可的认证包括Europrivacy认证、法律服务运营隐私认证计划、APEC CBPR和APEC PRP);
g. 转移是为保护数据主体的重大利益所必需。
如果数据控制者进行或计划将个人数据转移出马来西亚,则数据控制者必须通过个人数据保护通知或其他书面通知方式告知数据主体转移情况。
数据控制者跨境传输个人数据时应对个人数据的安全负责并保证跨境传输方式的安全性。数据控制者与第三方/数据处理者签订的合同应包含管理个人数据处理的条款,其中含个人数据安全方面规定。数据控制者应确保数据处理者遵守马来西亚数据保护立法规定。
数据控制者应保存个人数据跨境传输记录,其中包含接收方的详细信息(至少包括接收方名称、公司注册号(如有)、接收方DPO或其他相关人员的联系方式),个人数据被传输至的国家,传输的个人数据类型,传输目的,数据控制者认为必要的其他信息。
此外,数据控制者必须保存并维护能充分证明每次个人数据跨境传输均符合PDPA第129条规定,此类记录示例包括:
| 条件 | 记录 |
| 该国现行有与PDPA实质相似的法律;该机构确保对个人数据处理提供足够的保护,其保护水平至少相当于PDPA提供的保护水平 | - 转移影响评估(TIA)记录 - TIA评估结果 |
| 数据主体已同意转移 | - 个人数据保护通知 - 数据主体同意记录 |
| 转移对于数据主体和数据控制者之间合同的履行是必要的 | - 合同副本 - 证明处理活动为履行合同所必要的证据 |
| 数据控制者已经采取了一切合理预防措施,并尽一切应尽的勤勉义务,以确保个人数据在该地的处理方式哪怕放在马来西亚也不会违反本法的要求 | - BCR副本 - 认证副本 - 控制者与接收方签署的合同副本 |
(十一)数据主体权利
根据PDPA第4部分及2024年修正案,数据主体享有查阅复制权、更正权、可携权(2025年6月1日生效)、撤回同意的权利、防止可能造成损害或困扰的处理的权利、阻止直接营销目的处理的权利。
其中,防止可能造成损害或困扰的处理的权利是指除例外情形外,如果处理个人数据或为特定目的或方式处理个人数据,正在或可能对数据主体或其他人造成重大损害或重大困扰,且这种损害或困扰是不应该发生的,则数据主体可随时通过书面通知要求数据控制者在合理期限内停止或不开始为特定目的处理个人数据或以特定方式处理个人数据。
就数据主体权利响应时间,PDPA要求数据控制者在收到数据主体权利请求的21天内完成响应。
(十二)数据保护官(DPO)【2025年6月1日生效】
根据2024年修正案及《数据保护官指南》《个人数据保护指引-DPO任命》,满足如下条件的数据控制者和数据处理者都应任命一名或多名DPO:
(1)涉及超过 20,000 名数据主体的个人数据;
(2)涉及超过 10,000 名数据主体的敏感个人数据,包括财务信息;
(3)需要定期和系统监测的活动;
(4)其他紧急需求情况。
考虑到组织职能、结构和规模,同一人可被多名数据控制者和数据处理者任命为DPO,DPO可兼职或全职。DPO必须在马来西亚有住所(一年内在马来西亚实际居住至少180天)或便于联系,且精通马来语和英语。数据控制者和处理者应确定适当的资格标准、经验、技能和专业知识要求以便任命的DPO能恰当履行职责。所需的技能和专业知识包括了解马来西亚数据保护立法、理解业务运营和个人数据处理操作、理解信息技术和数据安全、具备较高的个人素质、有能力在组织内促进形成数据保护文化。DPO可由内部员工担任,也可外包(基于个人与机构签订的服务合同)。如通过合同任命,建议任命至少2年以确保稳定性。合同中需清晰简洁描述DPO的职责和义务。控制者或处理者还应确保在合同中要求外包组织在其内部指定一个人作为主要联络及负责人。
DPO需要在考虑个人数据处理操作风险并兼顾处理的性质、范围、背景、目的等履行如下职责,包括提供个人数据处理建议、提供数据保护法规应用支持服务、制定政策及监督遵守情况、应专员要求为数据保护影响评估提供支持和建议并进行监督、作为专员和数据主体的主要联络人、处理数据泄露和安全事件。
数据控制者和数据处理者应确保DPO及时、恰当参与所有个人数据保护相关事务,并支持DPO有效履行职责(包括授权、提供资源、为其访问个人数据和处理操作提供便利),为DPO提供培训。DPO应履行保密义务,具有独立性,不受不当指令约束,在履行职责时直接向控制者或处理者的高级管理层(或同层级)汇报。控制者和处理者不得因DPO履职行为将其解雇。DPO可履行其他职责和义务,但应确保不会导致利益冲突。控制者和处理者应为DPO创建专门的正式工作电子邮箱(需独立于其个人私人邮箱)以确保个人数据保护事务得到专业处理。如DPO离职或任期届满,控制者和处理者应在合理时间内重新任命并尽快任命一名临时的DPO,以便通过DPO专门的正式工作电子邮箱监控通信情况。
数据控制者应按照专员规定指导方针,向专员通知DPO任命情况并提供DPO业务联系信息(包括姓名、职位/头衔、工作电话号码、工作地址、工作电子邮箱地址或工作传真号码及其他类似非私人信息),数据控制者应在DPO任命之日起21天内通过个人数据保护系统(SPDP,https://daftar.pdp.gov.my/)完成注册,如现有DPO离职或任期届满,控制者应当在DPO离职或任期届满之日起14日内更新DPO注册信息。
数据控制者和处理者应在以下全部或部分渠道公布DPO业务联系信息,包括官网或其他官媒、隐私政策、安全政策及指南。
数据控制者和处理者还应保存DPO任命记录。
(十三)安全要求
根据PDPA第9条,数据控制者、处理者必须采取切实可行的措施保护个人数据,以免丢失、滥用、修改、未经授权或意外访问或披露、更改或破坏,其中需要考虑个人数据的性质以及发生安全事件可能造成的损害,个人数据存储的地点,存储个人数据的任何设备所包含的安全措施,为确保访问个人数据的人员的可靠性、完整性和能力等而采取的措施,为确保个人数据安全传输所采取的措施。
除前述要求外,PDPS还详细规定了以电子方式处理个人数据和以非电子方式处理数据的安全要求。
(十四)数据安全事件处置【2025年6月1日生效】
根据2024年修正案及《数据泄露通知指南》《个人数据保护指引-数据泄露通知》,当数据控制者有理由认为发生了个人数据泄露事件,且该事件导致或可能导致“重大伤害”时(包括可能导致身体伤害、经济损失、对信用记录产生负面影响,或财产损坏或丢失;可能被用于非法目的;包含敏感个人信息;包含个人数据和其他数据,这些信息结合起来可能导致身份欺诈;规模重大:受影响数据主体数量超过1000人),应当在可行情况下尽快按照专员规定的方式和形式通知专员。在泄露发生后72小时内,数据控制者应向专员提供以下信息:
(1)已发生的个人数据泄露详情,包括:数据控制者发现个人数据泄露的日期和时间;个人数据的类型和个人数据泄露的性质;确定个人数据泄露的方法以及被认为是个人数据泄露原因的因素;受影响的数据主体数量;估计受影响的数据记录数量;受影响的导致此次泄露发生的个人数据系统;
(2)个人数据泄露可能产生的后果;
(3)导致个人数据失控的事件时间线;
(4)数据控制者已采取或拟采取的应对泄露的措施,包括已采取或计划采取的减轻个人数据泄露可能造成的不良影响的措施;
(5)已采取或拟采取的应对受影响数据主体的措施;
(6)DPO的详细信息或其他相关联系信息,以便获取有关个人数据泄露的更多信息。
通知方式包括以下三种:
(1)填写JPDP官网提供的通知表,网址为www.pdp.gov.my;
(2)填写《个人数据保护指引-数据泄露通知》附录B中的通知表,并将其发送至dbnpdp@pdp.gov.my;
(3)填写《个人数据保护指引-数据泄露通知》附录B中的通知表,并将纸质副本提交给专员。
收到通知后,专员会向控制者发送确认通知,如无此确认通知,视为专员未收到通知。个人数据泄露事件涉及多个数据控制者,则每个控制者都应向专员提交单独的数据泄露通知。
如数据控制者未在72小时内向专员通知个人数据泄露事件,数据控制者应说明延迟原因,并附上支持性证据。如果特定情况下,数据控制者无法同时提供前述通知信息,则应尽快分阶段向专员提供前述通知信息,最迟不得超过通知之日起30天。此外,数据控制者应整理有关个人数据泄露通知的纸质和电子记录。该记录应至少保存自泄露发生之日起2年。应专员要求,数据控制者应向其提供记录或任何通知文件。
若个人数据泄露事件导致或可能对数据主体造成重大伤害(除规模重大外,与向专员通知的条件一致),数据控制者应将个人数据泄露通知每个数据主体。在数据控制者向专员发出泄露通知后7天内,数据控制者应向受影响的数据主体提供如下信息:
(1)已发生的个人数据泄露相关信息;
(2)个人数据泄露可能产生的后果详情;
(3)数据控制者已采取或拟采取的应对个人数据泄露的措施,包括为减轻个人数据泄露可能造成的不良影响而采取的适当措施;
(4)受影响的数据主体可以采取的消除或减轻个人数据泄露可能造成的不良影响的措施;
(5)DPO的详细信息或其他相关联系信息,以便获取有关个人数据泄露的更多信息。
数据控制者应采取切实可行方式,以区别于其他信息的方式,使用易于理解的语言,通知每位受影响的数据主体,使他们能够采取必要的预防措施或其他措施。如果已进行的通知不可行或需要付出不合理的努力,数据控制者可采取替代通知方式(如公开通知或类似方法)以便有效通知数据主体。
除专员通知、数据主体通知外,数据控制者应采取合理措施,调查个人数据泄露的原因,并立即实施应对措施以降低个人数据泄露的风险。根据调查结果,控制者应评估导致个人数据泄露的漏洞,并采取适当的纠正和预防措施,以防止此类泄露事件再次发生。
为管理个人数据泄露事件,数据控制者应当提供适当的数据泄露管理和响应计划,其中涵盖识别和报告个人数据泄露的程序,利益相关方的角色和责任,遏制和减轻违规影响的措施,确定是否有必要通知专员或数据主体的措施,通知专员或数据主体的沟通计划,事件后调查。此外,数据控制者还应定期进行培训。
数据控制者可自行决定记录个人数据泄露的方式和格式,但记录方式应清晰简洁,并保存个人数据泄露事件相关记录并自向专员通知个人数据泄露之日起至少保存2年。如未向专员或数据主体通知,则应自数据控制者意识到个人数据泄露之日起保存。记录应包含如下内容:个人数据泄露事件详情,该个人数据泄露可能产生的后果详情,导致个人数据泄露的事件时间线描述,为处理该个人数据泄露而采取的遏制和恢复措施,向专员/数据主体通知的详细情况以及未进行报告的理由。应专员要求,数据控制者应提供前述记录。
违反通知专员义务,构成犯罪,经定罪可能面临最高25万马币的罚款、或者最长两年的监禁,或两者并罚。
除前述通知义务外,数据控制者还需遵守其他适用的通知义务,包括数据泄露涉及犯罪活动,需向马来西亚皇家警察报告;涉及行业数据泄露,向行业监管机构报告;关键信息基础设施实体需向国家网络安全机构负责人或者国家关键信息基础设施行业主管报告等。
(十五)数据处理记录
根据PDPA第44条和第101条、PDPR第3节,数据控制者应保存和维护任何已由其处理或者正在由其处理的个人数据相关的申请、通知、请求或任何其他信息的记录(包括同意记录、隐私政策记录、对外提供记录、安全政策、存储记录、遵守完整性标准的记录、DPO任命记录、个人数据泄露通知记录、个人数据跨境传输记录等),记录保存方式和形式由专员确定,应专员要求提供相应记录。
三、汽车领域高频场景数据隐私合规要点
(一)汽车营销场景
√ 隐私政策:
根据PDPA第7、43条及GCOP第10.6条,直接营销是指通过任何方式向特定个人传达任何广告或营销材料。车企通过使用特定数据主体的个人数据来向该数据主体发送广告或营销材料,应通过其隐私政策通知数据主体,或者在隐私政策中未提及此类营销情况时,需在开展直接营销活动之前获得数据主体的同意。只有在满足以下条件:
(1)已获得数据主体同意;
(2)为销售产品/提供服务收集个人数据;
(3)已告知数据主体直接营销机构的身份及收集和披露的目的;
(4)提供给数据主体的产品/服务与数据控制者通常提供的产品/服务类似;或
(5)数据控制者承诺在收集个人数据时,为数据主体提供退出选项。
√ 数据主体权利:
根据PDPA第43条及GCOP第10.6条,数据主体可随时书面通知数据控制者,要求数据控制者在合理期限结束时停止或不开始为直接营销目的而处理其个人数据。如接到客户此类请求,车企应尽快响应处理。如果数据主体提出书面请求,要求接收某些直接营销材料而不接收其他材料,若数据控制者系统无法区分不同类型的直接营销材料,数据控制者可选择不向该主体提供所有直接营销材料。
(二)汽车金融场景
√ 通知及合法性基础:
如涉及向银行、融资租赁公司等金融机构提供客户数据的,根据PDPA第7条,车企应当在隐私政策中说明将个人数据提供给的第三方及其目的,及确保披露过程安全的措施。如果将客户数据用于收集时拟披露目的或直接相关目的之外的其他目的或提供给隐私政策中披露的接收方以外的第三方,车企应获得客户同意或满足对外提供的例外条件。
√ 建立对外提供清单:
根据PDPR第5条、PDPA第101条,涉及向第三方披露客户数据的,需要建立对外提供清单,并应专员要求随时出示该清单。
√ 银行与金融行业特殊规定:
马来西亚有发布《银行与金融行业个人数据保护行为准则》,如车企在马来西亚经营汽车金融业务,根据《2013年金融服务法》和《2013年伊斯兰金融服务法》等获得相应许可,需通过SPDP进行注册,并需遵守《银行与金融行业个人数据保护行为准则》有关要求。
(三)车联网场景
√ 遵循数据保护一般规则:
车联网场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
(四)充电场景
√ 充电系统要求:
根据马来西亚《电动车辆充电系统(EVCS)指南》,车辆充电系统应满足安装、操作、维护、电能质量干扰、许可等方面要求。其中,为满足操作要求,应定期报告充电设施和设备的当前状况及情况(使用中、故障等)并可定期监测使用模式和耗电量。为满足维护要求,电气设施的所有者或运营者需要准备好如下材料,包括安装资产清单及其位置;基于风险评估制定的维护活动计划(应包含检查/测试计划,维护计划,对接近使用寿命终点的部件的更换计划);已进行的维护活动记录(电气安装的设计、施工、运行、检查、测试和维护的所有记录均应保存、定期更新,并且应可供相关授权人员查阅);各种电气情况下的进入要求;隔离和挂牌/上锁程序;工作许可证 (PTW)及审批流程;在决定对带电装置进行作业前应遵守的安全规则;应急计划(如火灾、爆炸、电击);在受限空间作业时应采取的特殊预防措施。
(五)自动驾驶场景
√ 遵循数据保护一般规则:
截至目前,马来西亚尚未正式出台有关自动驾驶的专门立法框架,但已启动相关立法准备工作。现阶段,车企在研发设计自动驾驶系统时,应遵守数据保护一般规则(参见第二部分)。
(六)售后维修及保险
√ 遵循数据保护一般规则:
售后维修及保险场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
√ 遵守保险行业特殊规定:
马来西亚有发布《保险行业个人数据保护实践准则》,如车企在马来西亚经营汽车保险业务,根据《2013年金融服务法》和《2013年伊斯兰金融服务法》获得相应许可,需通过SPDP进行注册,并需遵守《保险行业个人数据保护实践准则》有关要求。
(七)OTA汽车远程升级
√ 遵循R156相关要求:
马来西亚是联合国《1958年协定书》的缔约方。根据联合国有关R156的适用国家及生效时间文件(16.156)United Nations Regulation No. 156. UN Regulation on uniform provisions concerning the approval of vehicles with regards to software update and software updates management system),R156在2021年即对马来西亚生效。因此,车企在马来西亚同样应当遵循R156中关于OTA的相关要求。
(八)通信与多媒体持证人
√ 许可证:
车企在出海马来西亚时,还需特别关注《1998年通信与多媒体法案》《2024年通讯及多媒体(许可)(修订)(第2号)规例》及《2024年通讯及多媒体(许可)(豁免)(修订)命令》,其中规定从事特定许可活动,需要取得相应许可证。如果车企在当地自行搭建数据中心,数据中心涉及网关、交换、宽带、接入应用等服务的,需申请网络服务提供商许可证(NSP)。如拥有或提供网络设施(如固定链路、电缆、无线电通信、与其他网络设施链接的发射机、链路等),需申请网络设施提供商许可证(NFP)。如提供互联网接入、云服务等应用服务,需申请应用服务提供商许可证(ASP)。在马来西亚拥有800万以上用户的社交媒体服务和互联网短信服务提供商,应取得应用服务提供商许可证。
√ 数据控制者注册:
如果车企构成《1998年通信和多媒体法案》项下的持证人,属于需注册的控制者类别,应落实注册义务。
√ 遵守通信和多媒体行业特殊规定:
如果车企构成《1998年通信和多媒体法案》项下的持证人,还需额外遵守《通信行业个人信息保护行为准则》的要求。
参考资料
- 汽车出海法律观察系列(一)丨汽车出海数据合规(EEA篇) [袁立志、朱垒,北京市竞天公诚律师事务所]
- 汽车出海法律观察系列(二)|欧盟电动汽车反补贴调查:中国企业面对的特殊挑战与应对策略 [江家喜,北京市竞天公诚律师事务所]
- 汽车出海法律观察系列(三)丨汽车出海数据合规(沙特篇) [袁立志、朱垒,北京市竞天公诚律师事务所]
- 汽车出海法律观察系列(四)丨汽车出海数据合规(泰国篇) [袁立志、朱垒、朱唯嘉,北京市竞天公诚律师事务所]
- 汽车出海法律观察系列(五)|汽车出海数据合规(马来西亚篇) [袁立志、蒋月珍,北京市竞天公诚律师事务所]