国枫观察 | 车型出海数据合规的“安全气囊”

根据IAPP的报告（2025年1月），已有144个国家制定了数据隐私法，这意味着全球约66.4亿人、占世界人口的82%已处于某种形式的数据隐私立法的保护之下。近看2024年下半年，喀麦隆、埃塞俄比亚、马拉维、摩尔多瓦共和国和梵蒂冈迎来了新的数据隐私法。其他一些国家，例如博茨瓦纳、智利、马来西亚、摩纳哥、土耳其、秘鲁和越南，则对其数据隐私法进行了较大的修订、替换或实施性规定。这些国家中就包括了中国新能源汽车主要的出口目的地，比如马来西亚、土耳其、越南等。其中，许多国家通过这些立法和修订，搭建了本国的数据隐私框架，与欧盟GDPR等其他国际标准逐渐接轨。

同时，在处罚形式上，出海企业也面临了很严峻的挑战，因为很多国家的隐私保护法中，会将罚金最高限额设定在营业额的百分比或高额固定金额罚款二者孰高，比如，GDPR设定了最高达2000万欧元或其上一财政年度全球营业总额的4%，两者取其高的罚款罚则，又或，巴西规定，违反数据隐私保护义务的企业罚款最高可达该企业全球年营业额的2%等。在这样的监管环境下，对于很多车企而言，海外数据合规成为了一个绕不开的新话题，也在车企拥抱出海浪潮的同时埋下了潜在风险。比如，2023年5月丰田汽车公司披露，由于云服务平台设置错误，其日本车主数据库在近10年间“门户大开”，约215万日本用户的车辆数据蒙受泄露风险。据报道，此次事件涉及的数据包括车辆设备的识别号码、车辆位置信息、车主姓名、地址、电话号码、电子邮件地址以及车辆识别和登记号码等，类似严重的数据泄露事件一方面将很大程度影响企业的声誉，打击消费者信任，另一方面也可能导致受到来自监管机关的一系列处罚，相关合规弥补成本不可谓不高。

随着AI技术的突破性进展，人工智能的应用已经逐步渗透到智能网联汽车的产品和解决方案中，比如：自动驾驶和辅助驾驶中的环境感知与物体识别、路径规划和决策控制；智能座舱与人机交互中的语音识别、情感感知与个性化服务；车辆生产与供应链中的生产流程优化和供应链管理等，这些AI技术的实践应用，在隐私保护、网络安全防护、算法伦理与责任、训练数据脱敏等方面都给智能网联汽车企业带来了新的数据合规挑战。我们观察到，部分企业已经开始重视打造集中式隐私用户体验（UX）的模式，这种模式使用户能够在一个地方管理自己的隐私设置、查看数据使用情况、行使数据主体权利等，从而提高隐私保护的透明度和便捷性，满足用户对其自身数据私密性和安全性的期待。

按照海关总署发布的统计数据显示，2024年中国汽车(含底盘)出口量为641万辆，比2023年同比增长23%。虽然整车出口是车型出海的主要形式之一，但车型出海具有更为广泛的概念，实现方式还可以包括本地化生产、技术授权等多种路径，以满足应对贸易壁垒，目的国本地化生产要求、提升市场适配性、降低供应链风险等目的。

应对不同的出海路径，其面对的数据合规问题有一些共性，比如数据跨境传输的合规性、用户的隐私保护和数据安全。以欧盟的数据监管执法为例，在各类GDPR处罚中，我们发现因数据跨境传输不合规受到的处罚往往金额较高，影响较大。这就需要车企基于全量业务场景，参考EDPB指引，排查数据跨境场景，并基于目的国和第三国所要求的跨境合规机制采取措施。以GDPR合规为例，出海车企完成数据合规的路径步骤大致如下：