自動駕駛技術的快速發展伴隨著數據隱私保護的嚴峻挑戰。中國《個人信息保護法》（PIPL）與歐盟《通用數據保護條例》（GDPR）為自動駕駛數據合規設立了高標準。本篇文章將帶大家深入探討PIPL與GDPR的異同點，期望能夠幫助車企更好地理解并應對數據隱私保護法規的挑戰，推動自動駕駛行業健康發展。

一、自動駕駛數據合規挑戰

2021年8月20日，中國發布了一項重要的數據保護法，即《個人信息保護法》(Personal Information Protection Law, PIPL)。圍繞數據隱私，將零碎的立法統一并加強為一套完整的規范，包含數據的收集、處理和保護等規則。

與歐盟的通用數據保護條例（General Data Protection Regulation,GDPR）類似，PIPL在眾多方面對于數據隱私做出了相應的限制。

數據隱私保護法規的相關限制對自動駕駛行業無疑是一項重大挑戰。這是因為近年來在自動駕駛行業，眾多新能源車企已經將眼光從逐漸飽和的中國市場轉向歐洲市場，而數據采集作為自動駕駛數據閉環的開始，在中國地區和歐洲地區之間的數據轉移必須要符合相應地區的隱私保護法規，否則可能會和Google一樣，因涉嫌侵犯用戶的隱私而面臨巨額罰款。

目前GDPR相關的罰款總額現已達到近50億歐元。

在中歐地區之間進行自動駕駛行業的數據轉移時，為幫助車企避免違規受罰，本文接下來將從多個方面討論中國和歐盟隱私保護法規的異同之處。

二、PIPL和GDPR的異同點

1、覆蓋范圍

PIPL的范圍：（1）中國境內的個人信息的處理；（2）在海外處理中國境內個人信息：a.必須為中國提供產品或相關服務;b.中國公民的行為或是活動的數據分析處理必須在中國境內進行。

在覆蓋范圍這一層面上，GDPR（歐盟通用數據保護條例）與PIPL（中國個人信息保護法）呈現出相似性。就PIPL而言，它明確保障了在中國境內居住公民的個人信息安全。而對于在境外處理涉及中國公民個人信息的數據活動，PIPL同樣設定了條件，即這種處理必須旨在向中國境內的消費者提供商品或服務，簡而言之，其服務對象必須限定為中國公民。

一個可能的差異點在于，PIPL在執行過程中明確指出了可能會援引其他法律或行政法規的情況，這一特點使得PIPL的適用范圍相較于GDPR更為廣泛。但在處理數據的過程中，企業也需要更加全面地考慮各種可能的法律限制和約束。

2、個人信息定義

PIPL規定了個人信息是指由電子類設備或是其他方式記錄，與已識別或可識別的自然人相關的信息，并指出不包括匿名化處理后的數據。

GDPR則在這一基礎上進一步細化了可識別自然人的定義，明確了無論是直接還是間接方式能夠識別出的個體均屬于此范疇，并列舉了諸如姓名、身份證號碼、居住地址，以及自然人的物理、生理等特征作為具體示例，以更直觀地說明其定義。

3、敏感數據

在敏感數據處理方面，PIPL與GDPR也存在異同之處。比如，PIPL與CCPA類似，直接使用了“敏感數據”（Sensitive Data）這一術語，而GDPR則稱之為“特殊類別信息”（Special Category Information）。這一稱呼上的差異也反映了兩者在敏感數據定義上的不同。

GDPR通過明確列出一種具體的信息清單，將符合該清單的數據歸類為“特殊類別信息”，并為其提供專門的保護。這種方式使得GDPR在敏感數據的識別上更加直接和具體。

相比之下，PIPL在敏感數據的定義上采取了更為寬泛的視角。它不僅包括了生物計量學特征、低于14歲公民個人信息等明確列出的內容，還支持對清單外數據內容提出爭議的權利。這意味著，在PIPL的框架下，敏感數據的范圍可能更加廣泛。

未完待續，我們將分享更多數據隱私和匿名化的相關內容。