问卷调查

立即填写
会员
搜索

      合规专刊 | 第一期(上):隐私设计(Privacy by Design)—— 车企出海欧洲数据合规之道

      时间:2024-11-01
      管理员:luxiang

      国内新能源汽车发展如火如荼,国内诸多车企也在全球布局。在2023年,中国出口汽车491万辆,超过了日本442万辆的出口量,成为全球第一大汽车出口国。而作为全球主要汽车市场之一,欧盟一直是中国车企的重要出海目的地。在全球地缘政治形势复杂、经济增长乏力、欧盟新能源补贴退潮的大背景下,中国车企出海面临着诸多复杂的挑战。欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)则是中国车企出海欧洲面临的最大的数据合规挑战。

       

      GDPR对中国出海车企的挑战

       

      欧盟《通用数据保护条例》于2018年5月25日生效,被称为史上最严格的个人数据保护法案。该法规旨在保护个人数据和隐私权,并规定了个人数据的收集、使用、处理和存储方式。罚款高达企业全年营业收入的4%或者2000万欧元,以较高者为准。

       

      截至 2023 年 8 月 14 日,GDPR执法总数 1778 起(相较去年 11 月 30 日的统计数据,增加 562 起),GDPR罚款总额超 40 亿欧元(增加约 20 亿欧元),最高的一笔罚款为 2023 年 5 月针对某国际互联网巨头开出的 12 亿欧元罚款。

       

      对于出海的中国车企而言,尤其是在智能化网联汽车、企业数字化转型都在飞速发展的今天,其产品和运营都面临着GDPR合规的挑战:

       

      1. 对于其产品,智能网联汽车和配套的移动应用,每天会收集、产生大量的数据,并频繁与公共设施、车企、第三方服务商、用户智能终端等进行交互。如辅助驾驶、车载摄像头、高精传感器、车内录音设备、地图定位、车机交互、远程控制等场景都可能会收集、产生GDPR语境下的个人数据,而这些数据或留在车内,或收集到车企与车企的服务商的信息系统内,或在用户设备与汽车之间流转。

       

      2.  对于其运营而言,与经销商的合作、营销活动、顾客数据管理、保险、金融服务、与云服务和电信运营商等技术服务方的合作、技术运维、与中国总部之间的配合等等,每一个环节都涉及着海量个人数据的收集、处理、存储、传输等。

       

      诚然,繁杂的场景、海量的数据,无不为出海欧洲的中国车企的GDPR合规带来了巨大挑战。但场景和数据可以梳理,或许对于出海车企更大的挑战在于:如何避免数据合规动作的滞后性。面对漫长的产品研发周期、高昂的违法成本、巨大的海外投资、复杂的跨国治理架构,这样的滞后性会带来更高的成本投入、沟通内耗、更加难以整改或弥补的后果。

       

       

      隐私设计(Privacy by Design)

       

      面对这样的挑战,我们建议出海车企采取“前置且嵌入”隐私设计的方法。即在产品、应用程序、业务流程设计之初,就提出隐私保护的设计需求。

       

      隐私设计的概念由加拿大渥太华省信息与隐私委员会前主席Ann Cavoukian博士在20世纪70年代提出,并在90年代纳入第95/46/EC号欧盟数据保护指令(RL 95/46/EC Data Protection Directive)。隐私设计提倡将隐私保护主动、全面、前置地嵌入企业技术与商业实践中,即在产品或服务设计之初就纳入隐私保护的需求,使得隐私保护的设计贯穿收集、传输、存储、处理、共享、销毁,整个个人数据处理活动的全生命周期,而不是在产品或服务成型后再寻求事后的补偿措施和手段。

       

      隐私设计有着七大基本原则:

       

       

      1. 1、主动而非被动。主动并持续实施隐私保护控制,而非在发生事件后再进行被动补偿。从产品与业务设计之初就考虑隐私保护相关的合规要求与风险控制措施,将有助于企业在隐私合规风险发生之前预测和预防这些合规风险。

      2. 2、默认隐私保护。隐私应作为产品的默认设置,也就是说在产品和运营中个人数据的处理应当按照默认自动被保护的形式来进行。在开发产品时,这种主动方法帮助企业将隐私设置为产品的默认设置。

      3. 3、隐私嵌入式设计。隐私保护考虑应从一开始就全面纳入产品或服务的设计,而不是事后才添加。通过将隐私嵌入设计,实施隐私保护功能和特性,并确保个人数据的处理符合法律法规要求和用户预期。

      4. 4、正和而非零和。好的隐私设计应当是与产品功能相辅相成的,而不应妨碍用户访问产品的基本功能和可用性。好的隐私设计将有助于品牌提升、帮助用户接受使用产品,是双赢的,而不是非此即彼的零和游戏。

      5. 5、端到端安全。隐私设计应贯穿数据的整个生命周期,确保用户数据从收集、传输、存储到使用、分享、销毁,一直受到保护。

      6. 6、可视性和透明度。企业应明确说明其处理个人信息的目的,并确保所有相关方都了解这些目的。同时,隐私设计应确保相关操作独立、可验证。

      7. 7、尊重用户隐私。企业应以用户为中心,尊重用户的隐私,形成相应的文化和理念。只有这样,企业才能落地隐私设计时做到想用户之所想,理解用户对隐私的需求,从而作出更好的决策。

       

      其实,隐私设计的核心原则已经在GDPR中有所体现。GDPR第25条和 FTC隐私设计框架都明确提到“隐私/数据保护设计(Privacy/Data protection by design)”和“默认隐私(Privacy by default” )的概念。欧盟数据保护委员会(European Data Protection Board,“EDPB”)于2019年11月发布的《关于GDPR第25条设计数据保护及默认设置数据保护的指南》(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default)对隐私设计理论与GDPR的实践做出指导。

       

      在了解了GDPR带来的挑战以及隐私设计的概念后,在本期专刊的下半部分,我们将针对出海车企在实施隐私设计时应当重点关注的四个方面作出建议:建立“一套流程”,形成“一叠证据”,产出“一张大图”,制定“一套制度”,落地“一组平台”,敬请期待!

       

      本文由上海市国际贸易促进委员会发布,未经授权不得复制、转载、修改、摘编或使用。本文仅为提供一般性信息之目的,不应用于替代专业咨询者提供的咨询意见。文内图片来源于网络。

      上一篇:分析|中国汽车出海月度分析报告(二)

      下一篇:合规专刊 | 第一期(下):隐私设计(Privacy by Design)—— 车企出海欧洲数据合规之道