01 中国新能源汽车出海现状及困境
1. 新能源汽车出海现状
当前,中国新能源汽车出海驶入快车道。据中国汽车工业协会的统计数据,2023年我国新能源乘用车出口量为176.1万辆,较2022年增长60.5万辆,增速为49.6%。
目前,中国新能源汽车出海的热门目的地集中在亚洲和欧洲。两者作为中国新能源车出口的核心市场,2023年出口量占比分别为42%(亚洲)和41%(欧洲)。[1]其中,出口量最多的国家分别为比利时和泰国,纯电乘用车出口量分别为17.54万辆和15.59万辆。同时,泰国和比利时也是中国新能源汽车出口渗透率最高的两个国家,在向这两个国家出口的汽车中,新能源汽车占比分别为92.3%和80.6%。[2]
就出海方式而言,新能源汽车企业出海通常根据不同的市场策略和企业资源,因地制宜地选择适合企业自身和当地市场的方式。实践中,主要出海模式有如下几种:
第一,产品直接出口。这是最传统的出海方式,即企业将生产完成的新能源汽车直接销售到海外市场。
第二,本地建厂和品牌直营。这种模式有助于降低关税和运输成本,加快品牌在当地的影响力和市场份额。企业在海外投资建厂,实现供应链的本地化,同时采用直营店或授权经销商的形式进行销售和服务。
第三,合资或并购。企业通过与当地企业合资或并购现有的汽车品牌和生产线,快速进入当地市场,并利用当地企业的市场知识和分销网络。
第四,产业链出海。除了整车制造外,新能源汽车的零部件企业也在全球范围内布局产能,以快速响应客户需求,降低成本,稳固市场地位。
我国出海的新能源汽车类型主要包括纯电动汽车(Battery Electric Vehicle, BEV)和插电式混合动力汽车(Plug-in Hybrid Electric Vehicle, PHEV)。根据最新的市场报告,中国新能源汽车在全球市场的出口量逐年攀升,其中纯电动乘用车是新能源出口的绝对主力。
据霞光社《2024中国新能源汽车出海十大趋势洞察》报告指出,未来新能源汽车出海将呈现“四化”趋势:
第一,差异化战略。企业根据不同区域市场的特点制定差异化的市场策略。
第二,本地化生产。企业通过在海外建厂,更好地适应当地市场,减少贸易壁垒的影响。
第三,合规化。企业加强对数据保护、知识产权等国际市场法规的遵守,以确保合规经营。
第四,服务化。企业加快本土化服务的建设,提供维修、保养、金融保险等服务,以满足海外市场的需求。
2. 新能源汽车出海难点与困境
(1)出口管制
近年来,美欧等国在出口管制方面的政策逐渐加严,对中国新能源汽车的出海进程构成了严峻挑战。其中,美国在对中国实施长期管控的基础上不断推出更加有针对性的强化管制规则,同时不断加强与欧盟、英国和日本等盟国在出口管制方面的合作,并多次向其他国家施压以敦促其实施与美国一致的出口管制措施。
鉴于美国的出口管制体系从物项、用户、国别等各角度实施了广泛的管控,中国新能源车企主要面临供应链受阻的风险,及违反美国出口管制法律法规,进而被列入有关黑名单的风险。具体而言,一方面,随着美国收紧管制范围,中国企业获取芯片等先进科技产品的阻力增大,因此产品供应链可能因美国“卡脖子”监管而面临断裂风险;另一方面,若企业被列入美国出口管制黑名单,则企业现有供应商和其他潜在供应商可能被禁止与该企业开展业务,进而使得企业在供应链引入过程中难以及时找到替代方案。
此外,针对新能源汽车行业出海企业,美国商务部将于今年8月发布的智能网联汽车出口管制新规亦值得关注。根据美国商务部官员在今年7月16日的表态,美国商务部正在研究涉及汽车软件和数据相关的关键驱动部件的管制规则,并要求这些部件必须由美国盟国制造。此前,美国商务部工业和安全局(BIS)曾于2024年2月发布了该拟制定规则的预先通知(ANPRM),称对内嵌外国信息和通信技术及服务(ICTS)的网联汽车启动国家安全相关审查,并重点关注中国私营企业。[3]
(2)经济制裁
(3)数据安全
在全球范围内,数据合规已然成为企业有序经营的重要议题。根据联合国贸易和发展会议的统计,迄今,全球194个国家中已有130多个国家通过了数据和个人隐私保护相关法律。通常而言,绝大多数商业经营活动中都无法绕开数据和个人信息处理活动,汽车行业也不例外。
02 新能源汽车出海中的数据合规热点问题
1. 数据合规风险
汽车企业在研发、生产、销售、售后等多个环节均可能涉及个人信息处理活动。例如在营销活动中收集潜在客户的个人信息、向消费者销售车辆时收集消费者个人信息用于订立合同、车辆售出使用中通过智能座舱、车机平台收集车内个人信息以实现特定功能等。
(1)个人信息保护的一般性义务
作为个人信息处理者,汽车企业需要履行个人信息保护义务。尽管各国的数据与个人信息保护法规存在差异,但通过对比包括欧盟《通用数据保护条例》(Regulation (EU) 2016/679,“GDPR”)[4]在内的国际主流个人信息保护思路,个人信息处理者的基本义务存在共通性。例如,个人信息处理者收集个人信息一般需要获得个人授权,或具备法定的其他合法性基础;个人信息处理者应当采取充分的安全保障措施以保护个人信息的安全;个人信息处理者收集、处理个人信息应当遵循最小必要、目的限制等原则;个人信息处理者应当保障个人信息主体的权益,向其提供行使法定权利的途径等。
(2)车内个人信息回传的特殊性义务
新能源汽车相较于传统能源汽车而言,智能化程度通常更高,其搭载了功能丰富的车机平台,形成新一代智能座舱。新兴技术比如驾驶员疲劳感知系统、AI语音助手等已成为许多新能源汽车的标准配置。这些智慧功能往往涉及对特定个人信息的收集,例如驾驶员疲劳感知系统需收集驾驶员面部识别特征、追踪眼球轨迹、AI语音助手需要收集声纹和对话内容等。
(3)自动驾驶功能或涉及测绘、数据安全、国家安全等多部门法律约束
自动驾驶还与测绘有着密切联系。具备自动驾驶功能的车辆在道路测试和运行过程中可能持续不断地收集环境信息,包括空间坐标、影像、点云及其属性信息等。考虑到测绘过程中收集所得信息的精度,测绘所得的数据可能关系国家安全。在中国,智能网联汽车在运行、服务和道路测试过程中收集上述信息的,构成收集测绘地理信息。在此情形下,整车厂、自动驾驶软件服务商等可能构成测绘地理信息的处理者,需遵守中国关于测绘的合规义务[8]。类似的,在韩国,未经有关政府部门许可,任何人不得将测绘所得的地图、照片或任何其他土地测绘结果携带出境[9]。
近年来,许多国家已将数据主权提升至维护国家安全的战略高度,如何保障数据安全成为各国的重要议题。中国新能源车企出海需着重了解各国数据合规法律要求,事先甄别可能涉及的数据种类和数据传输安排,确保遵守相关数据合规要求并降低违规风险。
(1)欧盟
欧盟的个人信息保护核心立法是GDPR,对所有欧盟成员国具有约束力。
GDPR具有域外效力,即便数据控制者或数据处理者未在欧盟设立营业场所,当数据处理活动涉及为欧盟境内的数据主体提供货物或服务,或对数据主体在欧盟境内的行为进行监控,亦将受到GDPR的约束。
GDPR确立了一系列个人信息处理原则,要求数据控制者和数据处理者实施技术与管理措施以保障个人信息安全,并赋予个人信息主体向成员国的数据保护机构投诉、寻求司法救济等救济权利。
GDPR对于个人信息传输至欧盟/欧洲经济区以外的国家或地区设置了几种跨境传输机制,数据控制者或数据处理者满足其一即可。其中主要的有三种,一是境外接收方所在国家或地区被列入欧盟委员会认定的具备充分的个人数据保护水平的“白名单”中,则个人信息跨境传输无需特别审批[10];二是针对集团内部的个人信息跨境传输,如果集团内部达成了有约束力的公司规则,并经监管部门批准,则集团范围内的主体可以自由传输个人信息[11];三是与境外接收方签订欧盟委员会制备的标准合同条款[12]。对于中国的新能源汽车企业,由于中国目前并不是“白名单”国家,且制定有约束力的公司规则亦需要获得监管机构的批准,如果涉及个人信息回传至国内,实务中通常会考虑标准合同条款机制。
针对汽车行业,欧洲数据保护委员会(European Data Protection Board,“EDPB”)对汽车行业(尤其是网联汽车)的“数据控制者”和“数据处理者”(均适用GDPR项下的定义)如何遵守GDPR制定了指南《第01/2020号指南:关于在联网车辆和出行相关应用中处理个人数据》(Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications)。该指南针对汽车行业的常见风险场景提供了应对思路。例如,对于车载Wi-Fi连接到互联网对个人信息带来的风险,EDPB指出,汽车和设备制造商应当设置易于操作的选择退出(opt-out)选项,确保个人可以拒绝车载Wi-Fi网络收集服务集标识符(SSID)[13]。
(2)美国
美国尚未制定联邦层面统一的数据安全法及个人信息保护法,但针对一些特定领域,例如医疗健康、金融、儿童隐私等,有专门的个人信息保护要求,主要涵盖知情-同意原则、最小必要原则、透明度原则等。
在美国对中国的管制措施可能不断升级的大背景下,中企出海美国应密切关注美国对数据跨境的监管要求。如前文所述,14117号行政命令旨在限制相关数据从美国传输至中国,以及限制潜在的会导致数据跨境传输至中国的活动,例如来自中国的投资、中资企业在美国开展经营等[16]。如果未来美国全面实施此行政命令,则该命令将对出海美国的中国车企的数据跨境传输带来较大影响。
《预通知》中描述了可能来自外国对手(特别是中国)的网联汽车领域的国家安全风险,其风险来源在于网联汽车的信息通信软件和硬件,如传感器、摄像头、电池等,需收集大量车辆数据、车内人员数据、车外环境数据以及联网基础设施数据;以及网联汽车可以与整车厂、第三方服务提供商等外部主体以及智能手机等车载设备通信。《预通知》称如果中国政府要求中国的网联汽车企业在其软硬件中部署安全漏洞,将可能导致中国政府得以获得大量美国人的数据,并可能攻击网联汽车和背后的互联网,对美国国家安全和公共安全产生风险[18]。
(3)泰国
泰国《个人数据保护法》实施后,泰国陆续颁布了一些配套实施规则,用于解释和指导实施泰国《个人数据保护法》。这些配套实施细则包括《个人数据控制者安全措施》(Security Measures of the Data Controller)、《数据处理者制备和保存处理活动记录的规则与方法》(Rules and Methods for Preparing and Maintaining Records of Processing Activities for the Data Processor)、《对小企业数据控制者豁免处理活动记录要求》(Exemption of the Record of Processing Activities Requirement for Data Controllers who are Small Businesses)等。
泰国《个人数据保护法》规定,个人数据控制者将个人数据传输至泰国境外时,应确保接收方所在的国家或地区具有充分的数据保护标准(Adequate Data Protection Standard),并按照泰国个人数据保护委员会(Personal Data Protection Committee)颁布的个人数据保护标准进行跨境传输,除非满足泰国《个人数据保护法》第28条明确的豁免情形(如为了遵守法律规定、为了履行个人数据主体作为一方的合同所必需等)[20]。如果集团内部已经制定关于个人数据跨境传输的保护规则(Personal Data Protection Policy),且该等保护规则已通过泰国个人数据保护委员会的审查和认证,则个人数据控制者可以依据该等保护规则进行跨境传输个人数据[21]。
(4)马来西亚
马来西亚早在2010年便颁布了统一的《个人数据保护法》(Personal Data Protection Act 2010),其后又颁布了若干配套实施细则,包括《个人数据保护条例》(Personal Data Protection Regulations 2013)等。除此之外,马来西亚的个人数据保护部门(The Department of Personal Data Protection)和个人数据保护委员会(Personal Data Protection Commission)分别作为监管机构和执法机构共同负责落实个人数据保护工作。
马来西亚《个人数据保护法》的立法体例与个人信息保护原则和中国《个人信息保护法》较相近。根据马来西亚《个人数据保护法》,处理个人数据的合法性基础原则上需取得个人同意,除非具备该法规定的其他合法性基础,例如为履行合同所必需,或保护个人的重要利益等[22]。
马来西亚《个人数据保护法》也具有域外效力。对于并非设立在马来西亚的主体,若其使用位于马来西亚的设备处理个人数据,并且该等处理并不只是为了过境目的,则该等主体的个人数据处理活动亦受马来西亚《个人数据保护法》管辖。
在数据跨境传输到中国而言,目前马来西亚《个人数据保护法》规定,数据使用者(含义同中国的“个人信息处理者”)不得将个人数据转移到马来西亚境外,除非目的国被列入允许向该国跨境传输个人数据的“白名单”中,或者具备其他跨境传输的合法性基础,例如个人数据主体同意、履行合同所必须、保护个人数据主体的利益所必需、维护公共利益所必需等[23]。
(5)沙特阿拉伯
沙特阿拉伯王国(“沙特”)的个人信息保护专门立法包括《个人数据保护法》(Personal Data Protection Law)、《个人数据保护法实施条例》(The Implementing Regulation of the Personal Data Protection Law)和《个人数据跨境传输条例》(Regulation on Personal Data Transfer outside the Kingdom)等。
沙特的《个人数据保护法》同样具有域外效力,适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动,但不适用于出于个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。
与中国《个人信息保护法》和欧盟GDPR类似,沙特《个人数据保护法》规定了以“告知-同意”为基础的个人信息处理原则,赋予个人信息主体一系列个人信息权益,要求数据控制者和数据处理者履行采取安全措施、开展个人信息保护影响评估等义务。
尽管沙特尚未出台汽车行业的专门数据保护立法,但在一些数据保护相关法规和指南中,有针对汽车行业数据控制者(或数据处理者)的特别要求。例如,在车联网场景下,根据沙特阿拉伯信息和通信技术委员会发布的《物联网监管框架》(Internet of Things (IoT) regulation framework),车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特境内,并将数据存储在沙特境内[25]。
(6)阿联酋
阿联酋属于联邦制国家。联邦法律的效力高于各酋长国的法律。因此,各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。
阿联酋《个人数据保护法》适用于位于阿联酋的任何数据控制者(data controller)或处理者(data processor,即受托处理者)所进行的所有个人数据处理活动(无论其处理的个人数据的数据主体位于何处),以及位于阿联酋境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动[27]。
值得注意的是,该《个人数据保护法》不适用于位于有数据保护相关立法的阿联酋自由区(free zones)的组织,也不适用于受与健康数据、银行和信贷数据有关的具体数据保护法约束的组织[28]。例如,在阿联酋的迪拜酋长国有两大自由区拥有自己的数据保护法律,分别为迪拜国际金融中心(Dubai International Financial Center)的《迪拜国际金融中心数据保护法》(The DIFC Data Protection Law (DIFC Law No. 5 of 2020))和迪拜健康城(Dubai Healthcare City)的《迪拜健康城健康数据保护条例》(Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013)。
阿联酋《个人数据保护法》的体例与欧盟GDPR和中国《个人信息保护法》有着相似的原则与要求。其中一个特别之处在于,对于个人数据跨境传输,若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据,则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突[29]。
阿联酋尚未出台汽车行业的专门数据保护立法。对于拟出海阿联酋的中国新能源车企,如果业务涉及阿联酋联邦内的多个酋长国或地区,除了需要关注阿联酋层面的立法,亦需关注各酋长国和自由区的特殊规定。
03 中国新能源汽车出海风险防范建议
近年来,全球范围内对个人信息及数据安全的保护和执法日益加强。随着中国新能源汽车企业出海到越来越多的境外市场,其面临的数据合规风险也越来越大。因此,出海企业应高度重视目标市场的个人信息与数据安全的法律法规要求,确保遵守相关规定,做到“合规先行”。此外,鉴于不断变化的国际形势及以美欧为首的各国频繁出台的管制及制裁政策,我们亦再次提请有关企业在出海过程中注意触碰管制与制裁的红线。具体应对建议如下:
考虑到新能源汽车的智能化程度越来越高,中国相关汽车企业不仅需了解出海目的国的一般数据保护法律要求,还需关注当地对智能座舱、车联网、测绘、数据本地化等应用场景和方面的特殊要求,从而尽早调整数据处理方案,为全球市场业务保驾护航。
此外,企业应当密切关注出口管制和制裁领域的规则动向,提升风险意识,时刻确保业务的进行符合最新的法律法规要求。同时,密切关注新闻媒体报道以及行业趋势,了解相关规则的变动方向,以提前调整业务流程和布局。另外,企业亦应高度关注自身及关联主体的负面舆情,例如在外国媒体报道或外国智库、外国政府报告中出现的出口管制和制裁相关负面信息,及时澄清不实信息并消除不良影响。
2. 植根业务实际,完善合规管理
在数据合规领域,许多国家就数据保护所提出的基本原则存在共同性,其具体规定也大多存在差异。因此,中国相关车企应根据其出海市场情况搭建境内境外一体化的数据合规总体框架,并在此基础上结合特定国家的具体要求进行本地化设计和实施。
在管制与制裁方面,建议企业加强内部管控,通过搭建合规体系对物项、客户和交易在各方面的风险进行体系化管理,例如根据美国财政部、美国商务部等部门的合规指引制定内部合规文件、定期进行风险评估、对员工定期开展出口管制和制裁相关的培训,确保在公司层面具有完备的贸易合规措施,在人员层面涉及海外运营业务的员工熟悉相关管制规定和合规要点。
脚注:
[1] 乘联会、西部证券研发中心。
[2] 《2024中国新能源汽车出海十大趋势洞察——逆势出口环境下的“新四化”》,霞光智库联合和君咨询共同发布。
[5] 《汽车数据安全管理若干规定(试行)》第三条。
[6] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Sec.2。
[7] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Sec.7 (l).
[8] 《自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知》第二条。
[9] Act on the Establishment, Management, etc. of Spatial Data, Article 16.
[10] GDPR, Article 45.
[11] GDPR, Article 47.
[12] GDPR, Article 46 (c)
[13] Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications, 2.10
[16] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Sec.1
[19] Personal Data Protection Act, B.E. 2562 (2019), Section 5.
[20] Personal Data Protection Act, B.E. 2562 (2019), Section 28.
[21] Personal Data Protection Act, B.E. 2562 (2019), Section 29.
[22] Personal Data Protection Act 2010 (Act 709), Section 6.
[23] Personal Data Protection Act 2010 (Act 709), Section 129.
[24] An Act to amend the Personal Data Protection Act 2010, Section 10.
[25] Internet of Things (IoT) regulation framework, Section 7.
[27] Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (2) 1.
[28] Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (2) 2.
[29] Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (23) 1.b.
本文作者
赵新华
合伙人
公司业务部
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
郭欢
合伙人
公司业务部
业务领域:企业合规、并购重组及跨境监管业务
郭欢律师担任各级国资委及数百家跨国公司、上市公司、国内外头部企业及大型机构的法律顾问,在出口管制及经济制裁领域,郭律师协助众多企业搭建出口管制合规内控体系(ECP),配合企业开展产业链溯源并建立和完善产业链安全管理体系,协助企业从出口管制及经济制裁视角出发,开展交易前可行性分析及专项尽职调查、建立风险筛查机制、设计并实施相关合规流程等,具备卓越的提供跨境合规领域综合法律服务的能力。郭欢律师同时担任中国机电产品进出口商会出口管制合规委员会专家、中国国际贸易促进委员会四川省委员会调解员、北外跨国制裁与出口管制研究中心副秘书长、中国人民大学海关与外汇法律研究所研究员、中国政法大学研究生院特聘讲师、中国报关协会行业讲师、走出去智库特聘专家等职务。郭欢律师连续多年被《法律500强》(The Legal 500)评为 “明日之星”,被《国际金融法律评论》(IFLR1000)评为“新星合伙人”,被Benchmark Litigation评为政府与监管领域“争议之星”,被《中国知名企业法总推荐的优秀律师&律所》评为“客户首选律师”。