中国车企出海：阿联酋数据合规重难点问题概述

我们对中国车企目前开展出海业务的中东热门国家阿联酋、沙特阿拉伯的数据保护法律体系进行了整体的介绍。不难看出，虽然中东国家的数据保护立法在近些年已建立起较为完整的体系，但仍缺乏明确的实施细则与指南。因此，虽 “有法可依”，但很多中国企业却面临着不知如何履行相关数据合规要求的难题。一方面，相关的数据保护立法从效力上看已经生效，且有明确的处罚罚则，若不遵守可能会面临一定的风险；但另一方面，由于实施细则的缺失，企业从客观上暂无法实现完全的合规，也很难把握风险控制的具体尺度。

基于上述困境，在本篇文章中，我们将基于过往的实务经验，对中国车企出海阿联酋过程中所遇到的部分于数据合规相关的重难点问题进行简要介绍，以期就中国车企在当地开展合规工作的思维与路径为读者提供一些启发与经验。

1. 跨境传输

跨境传输是大部分中国车企在阿联酋开展合规工作首要面临的问题。从业务需求来说，企业一般需要在出海初期就确定整体的数据中心部署以及数据传输路径。在这个过程中，企业需就众多细节问题进行决策，例如，是否需要在阿联酋本地设立专门的数据中心存储本地收集的数据；如果在本地不设立数据中心，而将数据传输至阿联酋境外存储，是存在欧洲的数据中心还是直接回传至中国？这些问题的解决往往除了法律要求之外，还需要考虑车企的具体业务需求，在法律风险与商业利益之间寻求针对每个企业自身的最优解。

1.1 本地化存储

阿联酋对于部分特殊数据有着本地化存储的要求，对于车企而言，主要需要关注的是物联网数据。

根据阿联酋电信和数字政府监管局（“TDRA”）于 2018 年 3 月 22 日发布的《物联网监管条例》。物联网被广泛定义为“信息社会的全球基础设施，通过基于现有和不断发展的交互操作的信息和通信技术互连（物理和虚拟）事物来实现高级服务”。该条例适用范围广泛，包括“阿联酋境内所有与物联网相关的人员”、“物联网服务提供商”和物联网服务用户（即个人、企业和政府）。此外，该政策具有域外适用性，即使从阿联酋境外远程向阿联酋客户提供物联网服务，也适用于本条例。对于提供车联网服务的车企而言，其属于《物联网监管条例》项下的“物联网服务提供商”的范畴，需履行相关义务。

《物联网监管条例》要求物联网服务提供商对物联网服务中所产生的数据按照“公开、机密、秘密和敏感”1四种类别进行分类。除公开数据之外，其余的三类数据均需首先落实本地化存储的要求，且仅能在目的国的法律达到或超过阿联酋本地用户保护与安全规定的水平的前提下，才能将物联网数据传输至阿联酋境外。但需注意的是，目前阿联酋并未发布前述四类数据分类的具体标准，亦未发布上述目的国的具体清单。这也给落实上述本地化义务带来一定的困难。而根据TRDA的答复，物联网服务企业（包括车企）需根据自身情况，结合上述标准，自行完成数据的分类。需注意的是，车企需要在阿联酋本地申请关于提供车联网服务的资质，而前述数据分类的情况是申请该资质所必需提交的信息之一。

1.2 数据跨境传输

我们在第一篇文章中已简要介绍了阿联酋《个人数据保护法》（Personal Data Protection Law,以下简称“PDPL”）项下基本的数据跨境传输监管框架。阿联酋并不禁止个人数据的跨境传输，但跨境传输需符合特定的合规要求。同样的，企业在落实相关合规义务的时候也面临着较大的不确定性。例如，截止目前，阿联酋主管机关尚未发布白名单国家清单；再比如，如果要选择“合同保障”的路径，阿联酋也并未发布相关合同的模板或者对于合同内容的细则性要求。

考虑到阿联酋的PDPL的立法思路与GDPR极为相似，且GDPR是目前世界问题内公认的具有较高保护水平的数据保护立法，一般企业会倾向于认为，适用GDPR的欧盟。地区必然将会是未来“白名单”中的国家。然而，需考虑的是，当欧洲境内的数据再进一步传输至中国，则需要根据实际情况分析是否需要履行GDPR项下的合规传输义务不同的企业根据各自的业务需求以及全球数据中心的整体部署，在平衡风险与收益的结果后，往往会选择不同的合规路径。

需注意的是，如我们在本系列第一篇文章中所介绍的，阿联酋自由贸易区迪拜国际金融中心（Dubai International Financial Centre，以下简称“DIFC”）和阿布扎比全球市场（Abu Dhabi Global Market，以下简称“ADGM”）已经通过了适用于其自贸区的隐私保护法。相比于阿联酋PDPL而言，DIFC和ADGM的数据保护立法更为细致、全面，DIFC和ADGM各自的数据保护主管机关也已发布了系列指南、模板供数据处理者参考，其中就包括跨境传输白名单和标准合同条款等。欧盟目前是DIFC和ADGM认可的跨境传输白名单国家，但中国暂不在上述国家名单内。

很多中国车企基于上述数据本地化以及跨境传输相关法律的不确定性，暂时选择观望态度，并计划在法律进一步明确后再采取合规措施，但这确实使得企业的业务开展面临较大的合规风险。尤其是考虑到中东本地监管部门的执法活动并不具有充分的透明性和可预测性，采取观望态度对于中国车企并非为适宜的选择。

对于大部分跨国公司而言，为了实现本地业务的合规开展，常见的合规实践往往是按照较为严格的标准先落实PDPL项下的合规义务，对于PDPL中暂不明确的部分，可参考其它法域立法中较为严格的标准，先在一定程度上落实合规措施，从而最大程度保障业务的稳定性。

2. 路测中的数据合规

目前，中东地区已成为众多车企开展路测的热点区域，这与近年来这些车企将中东国家视为重点市场的背景也密不可分。但是，如何合规开展路测，尤其是如何合规处理路测中收集的各类数据，也是很多企业关注的热点问题。

2.1 数据处理的合法性基础

根据PDPL第4款的要求，个人数据的处理需取得个人数据主体的同意，除非符合特定的例外情形，例如个人数据的处理是为保护公共利益所必需、个人数据的处理是保护个人数据主体的利益所必需等。理论上，PDPL第4款规定的几项例外情形均并不完全符合路测场景下的个人数据处理。但是，在开展路测的过程当中，不可避免地会收集到个人数据，包括但不限于路人的面部图像、地理位置数据等。然而，在路测过程中取得个人数据主体的同意在客观上无法实现，这导致车企在开展路测的过程中，无法找到合适的个人数据处理合法性基础。需注意的是，未来发布的PDPL实施细则将进一步解释第4款项下的例外情形，同时也不排除增加新的例外情形。但根据现行的规定，确实暂无法明确路测场景下合适的合法性基础。

2.2 个人数据处理的告知义务

根据PDPL的要求，数据控制者需要将个人数据的处理以清晰的形式告知个人数据主体。但在路测中，几乎无法确保路人均能知晓其个人数据正在被收集。考虑到客观上实现合规的难度，开展路测的一方一般会在车辆上张贴相关告示或标志，以提醒路人该车辆正在进行路测。这类方式在阿联酋也具有一定的可行性，但具体的实现形式，在路测车企向当地的监管部门提交关于路测的审批申请后，监管部门一般会给出具体的指示。目前，阿联酋联邦层面并无专门规制自动驾驶的专门立法，目前仅迪拜出台了规制自动驾驶的专门法规，并确定其道路与交通部门（“Road and Transport Authority”）负责路测资质的审批以及路测活动的监管。根据过往经验，中国车企目前在阿联酋开展路测需要与监管部门保持紧密的沟通，包括数据合规方面的措施，若能提前得到当地监管部门的确认，相关的法律风险将得到有效的规避。

2.3 其它需关注的义务

(i) 物联网数据

如上文所介绍，除了个人数据，对于车企而言，还需关注物联网数据的合规。然而，对于路测中所产生的数据，是否受制于相关物联网数据的合规要求，目前法律未明确说明。但对于开展路测的车辆而言，即使其并未联网，也无法完全排除监管部门扩大解释《物联网监管条例》适用范围的可能性，我们也建议车企在开展路测前，进一步了解本地最近的监管实践以及监管口径。

(ii) 必要性原则

路测场景下个人数据的处理需遵守PDPL规定的必要性原则，即仅基于路测的必要目的处理相关个人数据。对于路测中无需使用的个人数据应及时进行删除或匿名化处理，避免传出车外。

(iii) 采取适当的数据安全措施

PDPL要求数据控制者采取适当的技术措施以及组织措施以确保个人数据的安全。开展路测的车企需结合数据的敏感程度以及数据处理活动的实际情况，采取相应的安全措施，例如对传输的数据进行加密等。

3. 高风险车数据处理活动的风险评估

根据PDPL的要求，在开始处理数据之前，若该等处理使用任何可能对个人数据的隐私和机密性构成高风险的现代技术时，控制者必须评估拟议处理对个人数据的影响，即个人数据保护影响评估（以下简称“DPIA”）。具体而言，数据控制者在以下场景中需要进行DPIA: (1)当数据处理涉及基于自动化处理（包括分析）对数据主体的个人方面进行系统、全面的评估，这将产生法律后果或严重影响数据主体；或（2）可能会处理大量敏感个人数据。

对于上述的触发场景一，如果车企在业务中涉及基于自动化处理对用户的个人数据进行分析或评估，则需要提前评估是否需要就该等个人数据处理活动开展DPIA；对于上述场景二，需要注意的是，阿联酋数据保护制度尚未在此背景下定义“大量”，但我们预计这一点可能将在未来的执行条例中得到澄清。

除了PDPL第21条所规定的基本评估要点之外，虽然目前阿联酋尚未发布DPIA的实施细则或相关模板。值得注意的是，DIFC和ADGM已发布了关于开展DPIA的相关模板。实践中，一般涉及到敏感数据处理的高风险车机功能，由于其可能会收集或处理大量的敏感个人数据，在上线相关车机功能前，车企往往会对该等车机功能所涉及的数据处理活动进行DPIA的预评估。对于可能落入DPIA范围的车机功能，进一步开展DPIA，并结合评估的风险结果以及风险缓释措施，综合决定是否上线相关功能或者是否对相关功能做进一步的整改。

实践中，很多中国企业对于是否应开展DPIA、如何开展DPIA都抱有疑惑的态度。有很多企业因为目前相关细则暂未发布而选择观望的态度。从过往的经验以及主流车厂的实践来看，我们推荐中国企业尤其是车企在进入阿联酋市场前，就高风险的车机功能所涉及的数据处理活动进行DPIA预评估，并对可能落入DPIA范围的数据处理活动尽早开展评估。一方面，开展 DPIA 可以确保出海车企在早期阶段就考虑隐私设置并采用“设计保护隐私”（Privacy by Design）的方法完成整改，另一方面，它还能带来更广泛的合规优势，包括是向监管部门证明遵守数据保护原则和义务的有效方式。

4. 总结

阿联酋作为中东最热门的出海国家之一，其数据保护立法以及中国企业开展合规的思路在中东地区具有一定的代表性。对于中国的车企而言，最大的挑战来自于立法与监管的不确定性，在这个前提下，企业对于本地法律的精准理解、当地监管口径与监管趋势的把握以及市场实践的了解，是设计最符合企业本身实际情况的数据合规路径必不可少的因素。在阿联酋数据保护立法已生效的前提下，虽然实施细则并未落地，对于中国车企而言，仅采取观望态度而不推进任何合规措施并非最佳的选择，尤其是考虑到汽车企业本身所涉及的个人数据处理活动的高风险性。我们建议中国车企在进入本地市场前，结合产品与业务的实际情况，积极推动相关数据合规工作的提前开展，从而确保本地业务的延续性，使得数据合规的风险降低到可控范围内。