车企“出海”需跨过数据合规关
日前,普华永道与车企联合撰写的《出海数据合规白皮书》发布,揭示了车企出海开启数据合规体系建设旅程,以达成快速排风险、稳步建体系的效果。目前,全球已有约150个国家和地区提出或颁布了数据合规及个人信息保护相关的法律法规,违规将被严格处罚已是普遍共识,而AI等新技术为合规带来更多新挑战,要求中国车企要想更好出海,必须先做好数据合规。
数据合规:严格处罚已成共识
随着高阶智驾的应用,以欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为代表的各种数据类法规也加大了对汽车行业的影响。以GDPR为代表的现代隐私法律⽴法中,严格违规处罚已是共识。处罚形式上,营业额百分比及高额罚款是最常见的形式。处罚维度覆盖透明度、用户权利、数据跨境等多个监管方向, 且仅欧盟已累计处罚超53亿欧元。例如2023年,爱尔兰数据保护委员会(DPC)宣布,对Meta Platform罚款12亿欧元(约合13亿美元),原因是Meta向美国传输数据,使得欧盟用户的“基本权利和自由”面临风险。其中,数据跨境违规处罚在各类处罚中金额最高、影响最大。依托GDPR,欧盟还出台了全面的配套细分场景监管规定。除欧洲GDPR之外,其它出海目的地国家也有类似的严苛法律,对车企提出了新要求。
普华永道网络安全及隐私服务团队的合伙人翁泽鸿表示,随着智能网联汽车技术的发展和相关功能的应用,汽车作为移动的数据终端,会涉及更多数据管理、个人信息安全等方面的问题,需要车企重视数据合规问题,避免触犯相关律法,被处罚甚至阻碍相关产品(功能)的应用。“欧盟GDPR前十大行政罚款案例,除了高额行政罚款金额外,我们可以从被处罚企业的共同点中分析经验教训,做好数据合规。”以大众汽车在欧洲进行的高阶智驾测试为例,因为没有悬挂醒目的路测标识,存在侵犯个人隐私的风险,而被处以100多万欧元的罚款。这提示包括中国车企在内的所有具备高阶智驾功能的车企(品牌),在欧洲测试、使用高阶智驾功能时,要注意对个人隐私的保护,避免触犯相关数据合规要求。
在出海过程中,车企需要根据不同国家的不同要求,与当地的合作伙伴携手,做好数据合规工作,切实保障用户的数据安全。翁泽鸿强调,数据合规需要全球产业链的共同努力。企业在做好自身数据合规工作的基础上,要积极参与标准建设,紧跟数据合规发展趋势,投身车联网防护体系、测评体系和新人体系的建设,共同推动数据合规生态的健康发展。
利用数字化手段做好数据合规工作
“事实上,数据合规工作由来已久,早在2020年、2021年汽车行业就面临各种数据合规要求,相关车企也开始做数据合规工作。”翁泽鸿介绍,随着中国智能新能源汽车的出口,车企需要全面符合不同国家和地区对数据合规的要求,做好合规工作,才能成功让相关车辆在海外各国顺利上市、运行。“数据合规已经是车企的一道必答题,必须做好数据合规,才能顺利出海。”翁泽鸿强调。
为何数据合规,车企需构建从排查、建设,到全球推广三个阶段的数据合规与隐私保护管理体系。首先,在数据合规风险排查阶段,车企需要快速识别风险最高、最可能被处罚的领域,对关键业务邻域展开排查。例如,排查车型数据合规风险、IT系统数据合规风险、业务数据合规风险等,涉及数据跨境还需排查跨境合规风险。在排查过程中,从一线到后台,保障“不出问题”。在完成风险排查后,车企可开展体系化管理其数据合规工作,包括通过制度建设、组织建设、流程建设等,并向全球推广,做好全球数据合规工作。
基于全球法规,车企探索了数据跨境“七步法”。在实践层面,首先采取全面梳理数据跨境场景,基于业务及系统的数据跨境现状和需求,梳理数据的存储位置、传输对象、使用目的等信息,掌握正在进行中的跨境数据传输活动,形成数据跨境场景库,涵盖跨境的业务场景和系统、数据类型、数据量、跨境原因、境外接收方信息等,批量呈现跨境情况和潜在风险。其次,对数据跨境行为进行持续监测,定期开展自评估,掌握数据安全状态及接收处理方式,及时发现违规。此外,推广数据合规培训宣贯,建议对海外员工进行专门的数据跨境转向培训。目前,普华永道助力客户双线治理、覆盖海外重点国家和地区,形成长期跟踪、持续响应的跨境风险追踪、迭代机制。
在翁泽鸿看来,数据合规尤其是面向全球市场的数据合规是一项系统工程,相较于排放、安全等层面的合规尚处于方兴未艾的发展阶段,但长远看,需要企业设计专门的智能部门,制定系统科学的合规管理制度、规范,利用数字化的管理手段,做好数据合规工作。
AI技术的突破性进展和万物互联的物联网生态,使消费者要求数据主体权利的呼声越来越高,对公开透明的期望也在升高。车企要积极探索数据匿名化、隐私计算等前沿技术的应用,以提升综合防护能力。
智能新能源汽车的数据合规,要求贯穿数据全生命周期,这打破了过去车企汽车制造商的局限,要求车企的数据合规工作延伸至数据全生命周期,做好全面的数据安全、边界防护、安全监测与应急管理等措施。数据合规对车企而言是一项长期工程,而且重点是车辆出厂后的使用过程,这对企业的实力提出更高的要求,一定要做好打持久战的准备。
