欧盟合规观察｜中国车企出海：欧盟数据跨境传输合规【走出去智库】

走出去智库（CGGT）观察

近年来，中国新能源车企掀起了一股“出海热”的浪潮。根据公开数据，我国2023年全年汽车整车出口491万辆，同比增长57.9%，首次跃居全球第一。其中新能源汽车出口120.3万辆，同比增幅高达77.60%。

伴随着中国车企“出海”浪潮的出现，欧洲市场成为越来越多国内车企的“兵家必争之地”。为了融入当地市场，中国车企面临着方方面面的挑战，其中之一就是欧盟当地较为严苛的数据合规监管要求以及较高的合规门槛。

走出去智库（CGGT）特约法律专家、鸿鹄律师事务所（Bird & Bird）合伙人龚钰推出中国车企出海欧盟合规系列文章，对欧盟数据合规法律框架进行整体的介绍，并对中国车企在出海欧盟市场过程中，所关注的数据合规重点问题进行总结与分析，以期为中国车企出海欧盟提供关于开展数据合规工作的基本概览。

今天，走出去智库（CGGT）刊发系列文章之四《欧盟数据跨境传输合规》，供关注欧盟数据合规的读者参阅。

要点

1、GDPR赋予欧盟委员会评估欧盟以外的国家或地区对个人数据的保护是否达到了和欧盟一样同等且充分的保护水平，并做出充分性认定的权利。

2、对于总部位于中国的车企或属于汽车供应链上下游的企业而言，由于中国不属于白名单国家，为实现从欧盟至中国的常态化数据跨境传输，可行性较高且普遍适用的方式是签订欧盟标准合同条款和进行数据传输影响评估（Transfer Impact Assessment）。

3、对于企业内部位于不同国家的集团实体之间的数据共享活动，实践中最常见以及最推荐的做法是起草并签订一份集团内部数据共享协议（Intra Group Data Transfer Agreemen），来统一规范跨国集团企业内部的数据共享活动。

正文

1.引言

本系列的最后一篇文章，我们将向大家介绍欧盟数据合规中最受关注的议题之一——数据跨境传输。对于出海欧盟的中国车企而言，数据跨境传输几乎是不可避免的议题。无论是出于业务运营、内部管理还是技术研发的需要，出海车企及时搭建关于数据跨境传输的合规架构，实现数据的安全流动，是其在欧盟发展、壮大本地业务的重要保障。

2. GDPR数据跨境传输体系介绍

秉持着即使个人数据被传输至欧洲经济区之外，个人数据保护水平在数据跨境传输过程中 “不应减损”（not undermined）的宗旨，GDPR搭建了一套较为完备的数据跨境传输框架。同时，GDPR数据跨境传输体系也在一系列和欧美数据传输机制相关的案件中不断完善发展。

2.1 GDPR下跨境传输的基本规则

GDPR提供的跨境路径可分为下述三大类：

· 路径一：接收方所在国家/地区已取得充分性认定（Adequacy Decision）

GDPR赋予欧盟委员会评估欧盟以外的国家或地区对个人数据的保护是否达到了和欧盟一样同等且充分的保护水平、并做出充分性认定的权利。目前获得充分性认定的国家或地区有：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭和美国（仅限于参与欧盟-美国数据隐私框架的商业实体）。这也是我们常说的欧盟跨境传输白名单[1]。

如果将数据传输至属于白名单的国家/地区，企业无需专门针对该等数据跨境传输采取额外的保障措施，因为欧盟委员会认为这些白名单国家/地区能提供与GDPR同等的数据保护水平，对个人数据主体的保护水平并不会因为跨境传输而得以减损。

· 路径二：为数据主体提供适当的保障措施（Appropriate Safeguards）

在接收方所在国家或地区不属于白名单的情况下，GDPR规定如果数据传输方提供了适当的保障措施，并且赋予了数据主体可执行的数据主体权利以及有效的法律补救措施，那么仍可把数据传输给位于白名单国家或地区之外的接收方。该路径下跨境传输方式主要有：签订欧盟标准合同条款（Standard Contractual Clauses, 下文亦简称“SCCs”）、跨国集团实体签订有约束力的公司规则（Binding Corporate Rules）、获批准的行为准则（code of conduct）、获批准的认证机制（certification mechanisms）等。实践中，企业最常采用的路径是标准合同条款，其次是有约束力的公司规则。

· 路径三：特定情形下的克减（Derogations）

该路径仅针对不是重复发生的、涉及有限数量的数据主体的跨境传输，控制者可考虑判断其数据跨境传输是否属于特定情形下的克减，若落入该范围，则控制者可在不采取额外保障措施的前提下传输数据。GDPR所规定的克减情形包括：数据主体的明确同意、履行合同所必需、为公共利益目的、行使法律诉求等。但正如欧洲数据保护委员会（European Data Protection Board，下文简称 “EDPB”）强调的那样，GDPR 第 49 条具有特殊性、例外性，因此必须对克减情形进行严格的限制性解释，以免例外的克减成为普遍使用的路径，从而从根本上违背了GDPR项下个人数据保护水平在数据跨境传输过程中 “不应减损”的原则。GDPR第 49 条标题的措辞也支持了这一点，该条规定的克减应仅在特定情况下使用[2]。

2.2 EDPB关于补充措施的指南[3]

2015年，欧盟法院于“Schrems I”一案中判定欧盟委员会就欧美之间数据跨境传输届时依赖的安全港框架（U.S.-EU Safe Harbor Framework）之充分性认定无效，因为安全港框架无法有效防止美国情报当局大规模获取从欧洲传输至美国的个人数据[4]。为保障欧美之间的数据自由流动，欧盟委员会和美国政府在“Schrems I”案后开启了新一轮的谈判，并在2016年就隐私盾框架（EU-U.S. Privacy Shield framework）达成协议，欧盟委员会同年就隐私盾框架作出充分性认定。但好景不长，欧盟法院在2020年的“Schrems II”案中判定隐私盾框架无效，理由是综合考虑到美国的相关监控法和行政令，隐私盾框架也无法确保欧盟数据主体的个人信息免受美国政府的监控；但欧盟法院同时也表示欧盟标准合同条款辅之以针对特定跨境传输采用的补充措施可以保障合法的跨境传输[5]。

在欧盟法院就“Schrems II”一案作出判定后，EDPB针对跨境传输补充措施专门发布了指南，以协助作为数据传输方的企业评估接收方所在国的现行法律和/或惯例是否会影响传输所依赖的适当的保障措施的有效性，以及在跨境传输存在减损个人数据保护水平可能性的情况下采取合适的技术、组织、合同等补充措施。[6]

对于总部位于中国的车企或属于汽车供应链上下游的企业而言，由于中国不属于白名单国家，为实现从欧盟至中国的常态化数据跨境传输，可行性较高且普遍适用的方式是签订欧盟标准合同条款和进行数据传输影响评估（Transfer Impact Assessment, 下文亦简称“TIA”），并根据TIA的结果实施技术、组织、合同等补充措施，以确保数据传输符合欧盟GDPR数据跨境传输体系。

3. 对汽车出海企业的跨境传输合规启示

3.1 跨境传输数据流摸排

出海车企开展跨境传输合规的第一步是摸排数据处理活动，厘清企业内部不同实体间的数据传输以及和外部供应商之间的数据交互，识别哪些数据处理活动属于GDPR语义下的跨境传输。对于出海车企而言，常见的跨境传输场景包括但不限于车机端功能的远程故障排查分析、将数据提供给外部服务供应商以及将在欧盟本地收集的个人数据分享给集团其他欧盟境外实体等。

当然，在识别跨境传输数据流过程中，企业是否在欧盟境内设立实体、该等欧盟境内实体是否是相关数据处理活动实际上的数据控制者（或是中国总部才是真正的数据控制者），存储相关数据的服务器的实际位置等多重因素均可能会影响该等数据处理活动是否属于跨境传输以及跨境传输方、接收方的认定。因此，我们建议车企在出海的过程中尽早开展跨境传输数据流摸排活动，作为后续跨境传输合规系列动作的起点。

3.2 数据中心的选址

实践中，为避免大量的欧盟个人信息被传输到欧盟境外，大部分出海的中国车企会将欧盟用户的个人数据存储在由外部云服务商提供的位于欧盟某成员国的数据中心。依赖于本地的数据中心，出海车企在欧盟境内收集、存储、处理个人信息，特别是敏感类型的个人信息，以尽可能减少数据跨境传输的规模、场景以及敏感程度，从而将跨境传输控制在提供服务所必需的范围中，既充分保障了业务需求，亦减少了数据跨境传输带来的合规成本。

3.3 签订欧盟标准合同条款

在确定了合适的数据中心选址后，企业下一步需要做的就是针对摸排出的GDPR跨境传输数据流，选择合适的跨境传输路径。大多数情况下企业需要按照签订SCCs并针对传输跨境传输数据流进行TIA。

欧盟SCCs按照数据传输方和接收方分别是数据控制者还是数据处理者分为四个模块，企业需要按照跨境传输的具体场景选择合适的SCCs模块。SCCs四个模块分别针对数据控制者向数据控制者传输、数据控制者向数据处理者传输、数据处理者向数据控制者传输、数据处理者向数据处理者传输的场景。不同SCCs模块因为传输方和接收方关系的不同，双方之前的权利义务也各有差异。同中国个人信息出境标准合同一样，企业不得对欧盟SCCs的正文条款做出实质性修改，只能在预留空的部分条款处（如适用法律、争议解决条款）按照企业实际情况填写，或是在可选择的条款中（如数据主体权利救济方式）选择更符合企业实践的选项。与此同时，更多与传输场景相关的具体描述需要填写在SCCs的附录中。

3.4 进行传输影响评估

如上文所述，在“Schrems II”一案尘埃落定后，企业除了准备签署合适模块的SCCs外，还需要进行TIA。TIA主要可分为三大部分，按序依次是：（i）对跨境传输场景的描述；（ii）对接收方所在国家/地区的法律法规对个人信息主体提供的权利保障与救济渠道，以及接收方当地政府机关访问相关个人数据的可能性分析；（iii）按照第二部分的分析结果，判定是否需要采取相应的技术、组织、合同层面的补充措施，以及在需要的情况下，针对该等跨境传输场景应采取怎样的传输保障措施能够有效降低传输可能带来的权利 “减损”。

EDPB将传输保障措施分为技术、组织、合同三大类，并强调实施何种传输保障措施需要结合具体的传输场景、TIA第二部分对接收方所在国家/地区法律法规的分析结果而定。EDPB也在关于补充措施的指南中非穷尽式地列举了一些保障措施供企业参考，譬如：技术措施包括加密、假名化、访问控制、多方安全计算等，组织措施包括企业集团内部数据合规制度文件、内部记录存档来自公权力机关的数据访问请求、对公众发布透明度报告等，合同措施包括在和接收方签订的合同中要求接收方及时向传输方披露公权力机关的数据访问请求、承诺没有在相关信息系统中嵌入后门等。

3.5 常见的SCCs签署实践

实践中，针对和外部供应商的数据交互所涉及的跨境传输活动，首先需要评估企业目前和外部供应商的服务协议中是否有针对数据处理以及数据跨境传输活动的相关条款，若没有，我们建议企业准备一份符合GDPR规定的数据处理协议，且该等数据处理协议应包括对应模块的SCCs，并与外部供应商签署该数据处理协议。

对于企业内部位于不同国家的集团实体之间的数据共享活动，实践中最常见以及最推荐的做法是起草并签订一份集团内部数据共享协议（Intra Group Data Transfer Agreement, 下文简称“IGDTA”），来统一规范跨国集团企业内部的数据共享活动。该IGDTA可以涵盖所有集团内部实体目前已经发生的数据共享活动。在IGDTA中，需明确作为数据传输方和接收方的对应集团企业的角色地位（数据控制者或是数据处理者），并在适用的情况下，附上合适的SCCs模块供相关实体签署。

3.6 定期评估跨境传输合规措施的有效性

出海企业的数据处理活动并非一成不变，随着车企在海外国家展业的稳步推进，提供服务和产品的多样化和深入化，我们建议企业动态更新数据处理活动记录，定期评估是否有新的跨境传输场景的产生，以及现有的跨境传输场景是否发生重大变化（如接收方所在国发生变化），并在此基础上适时评估跨境传输当下依赖的机制是否仍符合现行GDPR数据跨境传输体系的要求，并及时采取适宜的补充合规措施。

注释：

1. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

2. EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, page 4.

3. https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

4. CJEU judgment of 6 October 2015, Maximillian Schrems v Data Protection Commissioner (“Schrems I”).

5.  CJEU judgment of 16 July 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems (“Schrems II”).

6.  https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf