
地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 车型出海数据合规的“安全气囊”



中国车企在走向全球化,凭借智能网联汽车的各类新兴“黑科技”斩获各国消费者青睐的同时,需要考虑全球数据合规要求,其中又以“数据跨境”、“个人信息保护”及“AI等新技术应用”等场景为典型。随着车型出海的实践,数据合规建设已从选答题变成必答题。
作者:施忞旻、周禹洛
一、三个趋势
根据IAPP的报告(2025年1月),已有144个国家制定了数据隐私法,这意味着全球约66.4亿人、占世界人口的82%已处于某种形式的数据隐私立法的保护之下。近看2024年下半年,喀麦隆、埃塞俄比亚、马拉维、摩尔多瓦共和国和梵蒂冈迎来了新的数据隐私法。其他一些国家,例如博茨瓦纳、智利、马来西亚、摩纳哥、土耳其、秘鲁和越南,则对其数据隐私法进行了较大的修订、替换或实施性规定。这些国家中就包括了中国新能源汽车主要的出口目的地,比如马来西亚、土耳其、越南等。其中,许多国家通过这些立法和修订,搭建了本国的数据隐私框架,与欧盟GDPR等其他国际标准逐渐接轨。
同时,在处罚形式上,出海企业也面临了很严峻的挑战,因为很多国家的隐私保护法中,会将罚金最高限额设定在营业额的百分比或高额固定金额罚款二者孰高,比如,GDPR设定了最高达2000万欧元或其上一财政年度全球营业总额的4%,两者取其高的罚款罚则,又或,巴西规定,违反数据隐私保护义务的企业罚款最高可达该企业全球年营业额的2%等。在这样的监管环境下,对于很多车企而言,海外数据合规成为了一个绕不开的新话题,也在车企拥抱出海浪潮的同时埋下了潜在风险。比如,2023年5月丰田汽车公司披露,由于云服务平台设置错误,其日本车主数据库在近10年间“门户大开”,约215万日本用户的车辆数据蒙受泄露风险。据报道,此次事件涉及的数据包括车辆设备的识别号码、车辆位置信息、车主姓名、地址、电话号码、电子邮件地址以及车辆识别和登记号码等,类似严重的数据泄露事件一方面将很大程度影响企业的声誉,打击消费者信任,另一方面也可能导致受到来自监管机关的一系列处罚,相关合规弥补成本不可谓不高。
随着AI技术的突破性进展,人工智能的应用已经逐步渗透到智能网联汽车的产品和解决方案中,比如:自动驾驶和辅助驾驶中的环境感知与物体识别、路径规划和决策控制;智能座舱与人机交互中的语音识别、情感感知与个性化服务;车辆生产与供应链中的生产流程优化和供应链管理等,这些AI技术的实践应用,在隐私保护、网络安全防护、算法伦理与责任、训练数据脱敏等方面都给智能网联汽车企业带来了新的数据合规挑战。我们观察到,部分企业已经开始重视打造集中式隐私用户体验(UX)的模式,这种模式使用户能够在一个地方管理自己的隐私设置、查看数据使用情况、行使数据主体权利等,从而提高隐私保护的透明度和便捷性,满足用户对其自身数据私密性和安全性的期待。
二、车型出海模式多样
按照海关总署发布的统计数据显示,2024年中国汽车(含底盘)出口量为641万辆,比2023年同比增长23%。虽然整车出口是车型出海的主要形式之一,但车型出海具有更为广泛的概念,实现方式还可以包括本地化生产、技术授权等多种路径,以满足应对贸易壁垒,目的国本地化生产要求、提升市场适配性、降低供应链风险等目的。
三、典型数据合规问题
应对不同的出海路径,其面对的数据合规问题有一些共性,比如数据跨境传输的合规性、用户的隐私保护和数据安全。以欧盟的数据监管执法为例,在各类GDPR处罚中,我们发现因数据跨境传输不合规受到的处罚往往金额较高,影响较大。这就需要车企基于全量业务场景,参考EDPB指引,排查数据跨境场景,并基于目的国和第三国所要求的跨境合规机制采取措施。以GDPR合规为例,出海车企完成数据合规的路径步骤大致如下:
当然,不同的出海模式会有很多个性化的数据合规问题。比如,整车出口的基本盘就是数据跨境传输和用户隐私保护,这在上面已经提到;CKD和SKD会涉及供应链的数据管理,需要确保供应链中的数据收集和使用符合合规要求;技术授权面临的数据合规问题更侧重在数据共享和数据使用限制,需要确保技术授权协议中的数据处理条款符合当地法;合资生产需要确保合资协议中的数据处理条款符合当地法规;海外建厂确保数据管理体系符合当地法规,等等。举例而言:
在根据现行法律和监管要求,积极建设合规体系和履行合规义务的同时,我们也需要对目的国的数据保护法律和政策更新保持关注。以欧盟为例,除了现已生效的GDPR和ePrivacy Directive等法案,欧盟《人工智能法案》(EU AI Act)的立法进程已接近尾声,其在不久的将来正式实施,也将对车企造成各方面新的影响,比如,如自动驾驶系统被认定为《人工智能法案》下的高风险人工智能系统,则这些系统需要满足严格的标准和评估程序,内容包括透明度义务、使用高质量数据、系统准确性和稳健性等。
在人工智能和数字经济浪潮下,大数据资源已逐渐成为产业增长引擎。我们观察,数据合规对于车企出海的重要程度以及车企对数据合规的态度,也已从“可有可无”到“不得不做”再转变为目前的“主动去做”。在车企,特别是出海车企眼中,数据合规能力已经渐渐从成本项转变具有价值创造功能的主动建设内容,在各国数据立法均越发积极的背景下,数据合规也注定将是一个需要不断学习和与时俱进的话题。我国各大车企开展出海尝试的先行实践也 表明:数据合规与产品设计愈发密不可分,而谁能在此方面取得领先,就能在全球化竞争中构建新的合规护城河。
(本文数据截至2025年3月,对此,我们整理了欧盟、英国、巴西、泰国、菲律宾、阿联酋、墨西哥、马来西亚、澳大利亚、阿联酋、沙特这10个较为热门的中企出海目标国家和地区关于数据跨境传输的主要规则,如有需求,可联系我们获取专业支持)