欧盟：通用数据保护法GDPR与汽车市场准入

书接上回，因为智能网联车的快速普及，汽车制造商有可能会在无意中就成为了GDPR法规中的数据管理者（Controller），因而不得不考虑对GDPR法规的符合性。

一个典型的案例是2024年年底大众集团约80万辆新能源车的数据泄露事件。但这毕竟是在车辆投入使用之后才会发生的事情，也就是发生在市场准入之后的阶段。

那么，通用数据保护法GDPR对欧盟的汽车市场准入都有什么样的影响呢？

1. GDPR不属于整车型式认证WVTA的强制性要求。

GDPR法规并没有包含在欧盟的整车型式认证框架法规Reg. (EU) 2018/858中，也并不属于CE认证的范围，因此，从严格意义上讲，GDPR不属于市场准入性质的法规。

但这并不妨碍有些车辆型式认证法规，包括WVTA中引用的联合国UNR法规，提及类似于GDPR法规的情况，例如通过在法规中的适当位置包含了下面的要求：

“This Regulation is without prejudice to requirements of national or regional laws related to privacy, data protection and personal data processing.”

这类规定，一方面是强调了GDPR等类似法规具有地域属性，另外一方面也表明相关的型式认证法规不要求（当然也不可能）对GDPR等法规的符合性进行检查。

2. GDPR中的部分要求通过“设计保护”和“默认保护”的原则在型式认证的某些技术法规中有所体现

在GDPR法规简介中，笔者提到对企业的要求包括“设计和默认保护”的原则。

另外，针对于大众集团的数据泄露事件，欧盟委员会近期在回复了公众的疑问文件中做了如下说明：

1)处理个人数据时，数据管理者（Controller）必须遵守通用数据保护法规（GDPR）的规定。

2)与个人数据处理相关的原则包括数据最小化、限制存储、完好性和保密性。

3)管理者应实施技术措施和管理措施，确保对数据的保护与处理过程中的风险程度相适应。

目前，在车辆型式认证和相关产品的CE认证（市场准入要求）的一些技术法规中，已经包含了一些“设计和默认保护”、“最小化、限制存储、完好性和保密性”的技术措施。

例如WVTA中的事件记录装置EDR法规Reg. (EU) 2022/545，因为EDR事件属于个人数据，所以要求车辆不仅需要满足UN R160的要求，还需要满足附加的技术要求（与GDPR法规相关）：

1)EDR记录、存储数据的方式采用闭环系统；

2)EDR记录、存储的数据应脱敏的，且不应包含VIN的最后4位以及其他能允许识别具体车辆或车主的信息。

而WVTA中的另一项法规，驾驶员注意力监测ADDW法规Reg. (EU) 2023/2590，则针对数据最小化和存储要求进行规范，并明确提及数据处理保护：

1)功能应不依赖于个人的生物信息。

2)只连续记录并保存系统运行所必需的数据，且在闭环系统中运行。

3)对个人数据的处理应满足欧盟的数据保护法。（型式认证时无法进行核查）

最后值得一提的是eCall法规Reg. (EU) 2015/758。认证时除了需要考虑Reg. (EU) 2017/79中的相应技术要求之外，还必须考虑如何满足配套的管理法规Reg. (EU) 2017/78中的一些要求：

1)制造商应采取措施确保eCall系统自动、连续的删除内存数据。

2)制造商应在用户手册中提供eCall系统对数据处理的相关信息以及用户权利信息。

3)对个人数据的处理应满足GDPR法规和2002/58/EC。（型式认证时无法进行核查）

当然，这些要求只是代表了汽车制造商所需要采取的一些技术措施和管理措施，它们既可以服务于企业未来对GDPR法规的符合性，也可以服务于企业的其他目的，比如网络安全、客户管理等。

但是，可以确定无疑的是，GDPR的合规管理绝对不是从产品进入欧盟市场的那一刻才开始的，而是从产品的规划设计阶段就已经开始了。

3. 因为汽车行业的特殊性EDPB发布了专门的指南文件

在汽车行业进行GDPR的合规管理，无疑是一项非常艰巨的任务，特别是在越来越多的人（企业家、设计师、用户……）都认为将家居、办公、娱乐、通讯……都纳入到这个小小的空间之中是一个好想法的时代。

嗯，当然，欧洲数据保护管理局EDPB可能并没有想那么多，在2021年发布的针对汽车行业的实施指南考虑的还是“常规意义”上的车辆，当然在这个大背景下笔者是将ADAS和ADS当成“常规车辆”的范畴了。

EDPB的指南，包括了技术方面的措施和管理方面的措施，既包括对汽车制造商的要求也包括对产业链、价值链、生命周期各阶段中相关企业的要求。以下摘要主要聚焦于与汽车制造商相关的内容。

对于汽车制造商来说，EDPB建议在保障数据主体的权利方面实施以下安全措施：

1>采用设计保护和默认保护的原则，因此需要制造商首先进行数据保护影响分析Data Protection Impact Assessment (DPIA)，并应特别关注以下三类数据：

a)位置数据

b)生物信息

c)可作为违法证据的数据

2>实施技术和管理措施，确保数据的安全性、保密性、完好性，包括

a)尽可能本地化处理

b)独立存储、加密传输等

c)权限管理、密钥管理

3>设计告知和获取同意的方式，在处理数据之前将下列情况告知数据主体

a)数据管理者和数据的接收者

b)数据处理的目的、数据存储的期限、

c)数据主体依法享有的权利、数据保护官员的联系方式

4>提供明确的技术工具或管理方式，使数据主体可以有效地行使下列主体权利

a)读取数据、修正数据

b)限制处理、撤销同意

c)删除数据、迁移数据

上述要求都与产品的设计研发相关，相关的措施也有可能会被纳入产品市场准入的要求中（例如型式认证、CE认证）。

在技术层面，EDPB在指南中还特别强调了匿名化处理（Anonymization）和假名化处理（Pseudonymisation)之间的根本性差异，以及不同的应对策略。假名化处理后的数据，虽然强化了安全措施、减少了滥用风险，但因为其仍然是可逆的，所以仍需要满足GDPR法规的要求。当数据需要向外部传输时，应优先考虑进行不可逆的匿名化处理的可行性。一旦进行了彻底的匿名化处理，数据就不再具备个人数据的属性，GDPR法规也就不再适用了。

其中，在与GDPR密切相关的网络安全方面，EDPB还建议汽车制造商实施以下安全措施：

ü 功能隔离：将车辆的核心功能与其他具备外部通讯的功能（例如“信息娱乐”）进行分隔；

ü 优先处理：对于车辆的核心功能，给予尽可能高的优先级并使用交通领域专用的通讯方式；

ü 网络退出：对于WiFi网络等移动联网服务提供易于操作的退出选项，以减少通过服务集标识符（SSID）泄露个人数据的风险。

ü 攻击响应：建立警报系统，在车辆系统受到攻击时发出警报、提供低性能运行模式；

ü 日志管理：存储车辆信息系统的访问日志，以便日后对潜在攻击来源和异常行为进行分析。

ü 技术准备：实施技术措施，使制造商能够在车辆的整个生命周期内快速地修补安全漏洞；

注意：以上在网络安全方面的实施建议是以满足GDPR法规为目的的措施，并非以满足网络安全法规（例如UN R155法规）为目的的措施，尽管二者有很多共同之处。

小结一下

a) GDPR法规不是欧盟汽车市场的准入要求。

b) GDPR法规是欧盟市场准入时不得不考虑的因素。