数据跨境为监管新重点，汽车行业迎接新挑战

《人民日报》2023年1月17日报道显示，我国2022年汽车出口突破300万辆，达到311.1万辆，同比增长54.4%，有效拉动行业整体增长。其中，新能源汽车出口67.9万辆，同比增长1.2倍。自2021年首次突破200万辆之后，中国汽车出口实现了跨越式发展。

中国汽车不但走向了国际舞台并且正在深度参与市场全球化，产品、数据双跨境将是汽车企业要面临的常态，由于汽车行业具有规模大、数据杂、产业链长、全球协作强的特点，因此跨国车企在研发、生产、销售等多个环节存在大量数据跨境流动的迫切需求，与此同时频发的汽车数据安全事件，也让汽车数据跨境逐渐成为了合规监管的重要内容。

（图片源自网络）

如何统筹产业创新发展与保障数据安全，如何在企业研发生产需求与个人及国家信息安全之间找到最佳平衡点，是汽车产业在数字信息化与全球化下所遇到新的挑战，也是一条汽车从业者们正在不断探讨，进行审慎探索的道路。

一、“GDPR”入境流程分析

纵观全球，欧盟是数据安全法规领域的先行者，欧盟数据跨境流动管理机制建立在《通用数据保护条例》（以下简称“GDPR”）之上，目前在GDPR框架下，数据跨境有以下几种方式，本文将其按企业实际操作难易顺序进行排序如下：

其中充分性认定最为容易，若跨境目标国有充分性认定则只需按当地法律流程推进，但充分性认定条件苛刻，目前欧洲国家及其海外领地范围外获通过的仅有日本韩国以色列等国。国际范围内如宝马等车企一般也仅使用BCR和SCC，以下是BCR的流程：

其中BCR应包括：

1、集团及各成员联系方式；

2、数据转移涉及的类别、目的、受影响的数据主体类型、第三国或其它国家的名称；

3、规则的法律约束力的性质；

4、GDPR的应用；

5、数据主题的权利，

6、责任承担；

7、有关公司约束规则的内容；

8、数据保护专员或相关负责人的联系方式、任务以及培训情况等；

9、申诉程序；

10、审计制度；

11、报告和记录规则；

12、与监管机构合作；

13、如何应对国内法冲突，尤其是本国法很有可能会对BCR的履行产生不利影响时；

14、对员工和分包商的数据保护培训。

SCC则相对简单，下载欧盟官网的new SCCs模板文件然后按照说明结合企业自身情况修改即可，以下是模板文件示例：

二、国内汽车数据如何出境

2020年8月，商务部印发《全面深化服务贸易创新发展试点总体方案》,建议在北京、上海、海南等条件较好的地区开展数据跨境传输安全管理试点，对标国际高标准高水平，推动数字营商环境便利化。2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》，其中22次提到“安全”一词，对个人数据安全的重视程度可见一斑。此外，《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律均对数据出境作出若干原则性规定，《网络安全审查办法》《个人信息出境标准合同规定》(征求意见稿)从不同的角度对数据出境进行细化。2022年9月1日，国家互联网信息办公室公布的《数据出境安全评估办法》（以下简称《办法》）正式生效。《办法》对国内数据出境首次做出了较详细的说明，基于《办法》我司梳理了国内汽车数据出境流程如下：

国家互联网信息办公室编制的《数据出境安全评估申报指南（第一版）》对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。申报材料要求整理如下：

出台数据分类分级指南和管理细则、建立事前风险评估和事后应急响应机制、重点关注跨境数据流动问题将是我国在逐步完善数据出境过程中的重点工作。从国家层面而言，制定低风险数据跨境白名单，参与国际数据标准制定以获得话语权，逐步建立以我国为主导的多边贸易规则，形成符合国家安全和产业利益的全球数据流动圈等，将助力我国车企参与跨国产业合作，更有效地平衡数据跨境安全与行业技术创新。

中汽研汽车科技（上海）有限公司成立于2004年，由国务院国资委直属的中央企业—— 中国汽车技术研究中心有限公司(CATARC)全资控股, 拥有检测、认证、测评、数据、咨询等汽车全方位服务能力。

上海临港新片区跨境数据科技有限公司和中汽研汽车科技（上海）有限公司共同成立了上海国际数据港汽车数据联合研究中心，针对汽车数据产业重大战略需求中前瞻性、关键性科学问题与核心技术进行探索，打造国际一流水平的研究平台，推动汽车产业协同发展。

参考材料：

《通用数据保护条例》（简称“GDPR”）

《数据出境安全评估申报指南（第一版）》

《人民日报》

《21世纪经济报》-智能网联汽车数据合规：数据跨境成监管重点，跨国车企迎挑战

《智能汽车数据跨境流动管理探究》

《探索汽车数据跨境安全防范，上海国际数据港领先一步》