一、背景概要
自2020年起,EHang、AutoFlight等中资企业先后在东南亚、中东及欧洲试飞与示范运营,开启所谓的“eVTOL外交”时代。[1]欧盟也与中国就城市空中出行(UAM)与无人机系统(UAS)展开监管对话,推动标准和测试场景的双向互认。在此背景下,2022年12月,中国EHang“EH216-S”在西班牙阿维拉市由国家警察首次进行公共安全试飞,使西班牙成为欧盟首个正式运营eVTOL的国家。2025年3月,EHang在西班牙完成首个全自主无人eVTOL,为其在欧洲推广积累运营经验。[2]
就低空经济而言,中欧存在互补空间。一方面,中国作为世界工厂在UAV核心零部件(电机、传感器、电池)方面拥有完整供应链,同时在协同生产方面具备成本控制的优势和规模生产能力;另一方面,欧盟关注技术与安全标准的互认,其内部高端市场需求可与中国规模生产优势结合,形成技术与运营经验、资本与政策协同方面的互补。中资企业就低空经济领域投资欧盟有较为广阔的机遇。
二、为什么低空经济相关领域的中资企业应注意数据隐私合规?
为论证该命题的重要性,需要厘清两个法域管辖地(jurisdiction)即欧盟和中国对数据隐私保护的差异及历史渊源。
在欧盟,个人数据保护被视为基本人权,源于对《欧洲人权公约》(ECHR)对关于隐私权的长期保护传统,同时也根植于二战期间纳粹滥用人口数据的深刻教训。例如,纳粹曾通过人口普查数据精准识别犹太人及其血统进而对其实施压迫。[3]因此,《欧盟基本权利宪章》第7条(隐私权)与第8条(个人数据保护)为欧盟数据法提供了坚实的宪政基础。第7条规定,每个人有权享有私人和家庭生活、住宅和通信受尊重的权利。第8条规定,个人数据必须基于特定目的、以公平方式处理,并需获得数据主体的同意或法律规定的其他合法依据。[4]
在执法层面,该合规要求覆盖的范围较广,例如欧盟关于数据隐私保护的重要条例《通用数据保护条例》(下称“GDPR”)采用长臂管辖原则,其适用范围具有域外效力。第3条特别厘清了具备域外管辖权的适用情境:(1)该条例适用于在欧盟境内设立的控制者或处理者在其活动背景下对个人数据的处理,无论该处理是否发生在欧盟境内。(2)即使不在欧盟设立的控制者或处理者对位于欧盟的数据主体的个人数据的处理,只要涉及处理活动与向位于欧盟的数据主体提供商品或服务有关,或对发生在欧盟境内行为的监控,均适用该条例。(3)即使数据控制者不在欧盟,但其所处地点根据国际公法属于某成员国法律适用范围的,也适用该条例。换言之,GDPR适用于所有处理欧盟居民数据的企业,无论其是否在欧盟境内设立实体。[5]
因此,在欧盟,企业对GDPR的重视程度极高,普遍设立数据保护负责岗位主动开展数据保护影响评估(DPIA),形成了一套成熟的数据隐私合规管理体系。
相比之下,在中国,数据隐私保护起步较晚,个人隐私保护长期处于附属地位,这方面的立法较多借鉴于欧盟,例如2018年生效的《一般数据保护条例》,以及2021年生效的《个人信息保护法》。在实践层面,企业合规意识仍处于培育阶段。[6]许多企业尚未建立完整的隐私保护机制,对“最小必要原则”“数据跨境传输安全评估”等要求的理解不足或意识不够,尽管并非不可理解,直到遭受重大处罚之前,许多企业的观念是先谋求企业生存和业务发展,合规管理可以轻视或忽视。[7]
因此,对于投资欧盟低空经济的企业需要注意不同法域之间的规则差异,这也是笔者撰写本文的目的之一。
在欧盟适用的《通用数据保护条例》及相关电子隐私规定完全适用于收集欧盟居民个人数据的无人机操作。低空经济的主要应用领域涉及无人机物流、城市空中交通、工农业的巡检和检测等,无人机将大大提高这些应用场景的工作效率。与此同时,使用无人机的过程也将涉及对相当部分隐私数据的收集。
以无人机物流配送、空中载客为例,在注册建立订单层面,服务平台需要收集的eVTOL用户的个人信息包括收货人姓名、联系方式、地址等,以便录入订单系统中;在无人机的运输层面,需要获取收件人精准的地理位置和飞行航线,这将收集用户的居住地、商务工作地、娱乐休闲地等常用地址,并且能够被分析生成用户个人的常规路径图。在支付层面,也将涉及对银行卡、电子钱包等敏感信息的收集,以及对用户生物识别(如人脸识别支付)的信息。
对于工业、农业的巡检和监控,平台将通过多光谱红外图像、实时视频流收集巡检地理坐标位置、卫星图像、飞行轨迹,由温湿度传感器、空气质量检测仪等设备,收集土壤湿度、温度、二氧化碳浓度、光照强度等环境数据。[8]工业设备(如电力线路、风力涡轮机)的振动、温度、磨损程度等实时状态信息,可通过红外热成像或激光雷达获取。[9]这些高精度地图将收集并可能暴露农业种植密度、工厂生产线配置等商业机密,涉及国家重要数据或商业秘密。
总之,以上低空经济的领域将直接触发欧盟隐私数据的合规要求,企业应当采取必要的合规措施,以免触发行政处罚,甚至刑事处罚。
(一)高额的行政处罚
在上述的应用场景中,企业使用无人机若违反GDPR的合规要求,可能导致行政罚款。该罚款分为二级:在适用条款、数据主题权利、数据处理、记录保存等层面违反规定,适用第一级罚款,最高1千万欧元或上一财年全球年营业额2%,以较高者为准。[10]若违反数据主体基本权利与隐私原则、跨境传输、DPO未任命或未履行其职责等情形,将适用第二级罚款,最高2千万欧元或上一财年全球年营业额4%,以较高者为准。由当地数据保护主管机关(下称“DPA”)依法进行包括书面警告、命令更正或删除数据、暂停传输或访问数据、撤销认证,以及开具罚款等。[11]在罚款决定前,DPA通常会发出“整改通知”(order to comply)并给予合理期限;若未改正,可直接实施罚款或其他强制措施。
尽管GDPR本身不设刑事处罚,但各成员国可根据本国法律对严重违规者追究刑事责任。例如,法国《信息与自由法》对未报告泄露或违法监控实施行政处罚,严重者可判处监禁并处以高额罚款。[12]
(二)公开企业的处罚记录
欧洲数据保护委员会(下称“EDPB”)或作出处罚的欧盟国家有权决定是否将被处罚的企业披露在处罚案例库中。这意味着企业一旦被处罚,尤其是重大处罚或具备典型意义的处罚,将可能导致企业被公开在欧盟的官方数据库。[13]这种公开将不利于企业在低空经济市场的商业声望,以及合作伙伴对其商业背调的积极反馈。例如,2019年法国数据保护监管机构认定谷歌违反GDPR,对其处以近5700万欧元的重罚,该案例从此被记录并广泛引用。
五、低空经济涉及的合规运营策略
(一)设立数据保护负责人(下称“DPO”)职位
根据GDPR第37条,通常来说,涉及“进行定期且大规模的系统化监控”或“主要处理活动涉及对大量数据主体的特定类别个人数据或刑事特定数据”的企业,均需要设定DPO,这属于强制性义务。对于不属于该两种情况的企业,许多跨国企业也会自行设立DPO,以管控GDPR的合规风险。
对于使用无人机定期、大规模系统化监控的企业,例如上述提到的物流运输,U-Space或eVTOL运营平台,安全巡防等,都有可能属于第37条规定的核心业务场景,具体情况应由企业咨询专业人士根据自身情况判定。若属于第37条规定的条件,企业立即任命具备专业知识且独立运作的DPO,并向当地监管机构登记其联系方式,以免因未任命DPO而陷入合规风险。
(二)基于最小化原则和目的限制等重要原则收集数据
企业应当基于数据最小化原则和目的限制原则收集数据,即仅收集必要数据。[14]这点与中国《个人信息保护法》第6条的立法思路是一致的。在无人机的使用中,根据收集最小化原则,物流无人机仅需用户地址,那么企业则不应当采集用户人脸识别或对用户地址进行图像储存等其他非必要相关的信息。这不仅能有效降低数据泄露的风险,还能够优化无人机的存储空间与管理成本,将对无人机的使用规范在合理范围之内。而根据目的限制原则,无人机在为用户配送而收集的信息地址,属于履行合同的目的,企业需要提前明确告知用户收集行为和使用目的。如果企业要将该数据别作他用,例如用以分析无人机配送的市场情况,那么应当另行获得用户的同意。
(三)跨境数据合规传输
由于中资企业的决策架构,欧盟实体需要与其中国总部有频繁的数据同步,这将涉及跨境数据传输的合规性。
根据GDPR第45条,如果欧盟委员会认定第三国(如英国、以色列、日本等)对个人数据提供了与GDPR等同的保护水平,则可在无需额外措施下自由传输个人数据。该决定基于对该国法律、权利救济机制、监管体制等的综合评估。目前,中国不在该“充分性决定”名单中。
因此,根据GDPR第46条,如果中资企业在欧盟的实体需要传输数据到中国境内时,中国境内的集团关联公司和欧盟的分公司签署符合要求的“标准合同条款”(下称“SCC”),确保接收方依法保障数据主体权利。[15]SCC的模板由欧盟委员会制定并定期更新,企业或其DPO可在官网查阅。[16]涵盖多种数据控制者与处理者规定模式,包括数据单向流通(欧洲分公司向中国总部输送)或双向数据流(欧洲分公司和中国总部互相输送数据)的场景。同时,由于低空经济企业涉及供应、研发、销售等多个关联架构实体,故也建议企业在合同中明示要求其集团内部的关联实体和外部的交易实体一并遵守并履行GDPR的合规标准。
本文聚焦中资企业在欧盟低空经济领域的数据隐私合规挑战,通过对比中欧法律差异及实践要求,揭示了中欧之间的法律渊源的差异,尤其是企业对于数据隐私合规方面的不同认识,从而指导其不同的实践决策。
笔者通过解构GDPR的核心法条,系统地分析了无人机使用可能触发的数据隐私合规风险及后果,从用户生物特征采集到飞行轨迹分析,从数据收集到跨国传输,均可能因违反GDPR的规定而面临高额处罚。因此,笔者提供了框架性的合规策略,包括设立DPO、基于必要原则收集数据、采用SCCs标准条款,为中资企业提供欧盟法域下的初步指南。对于更加细分的低空经济场景,未来需结合更多行业实践深化研究。
注:
[1]https://www.revolution.aero/deep_dive/what-is-going-on-in-china-the-growth-of-the-low-altitude-economy/
[2]https://electrek.co/2025/03/24/ehang-double-breakthrough-evtol-factory-first-unmanned-flight-in-europe/
[3]https://zh.wikipedia.org/zh-cn/1939%E5%B9%B4%E5%BE%B7%E5%9C%8B%E4%BA%BA%E5%8F%A3%E6%99%AE%E6%9F%A5
[4]Charter of Fundamental Rights of the European union Article 7:Everyone has the right to respect for his or her private and family life, home and communications.
Article 8:1.Everyone has the right to the protection of personal data concerning him or her. 2.Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. 3.Compliance with these rules shall be subject to control by an independent authority.
[5]REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
[7]https://www.legal-theory.org/?mod=info&act=view&id=26423
[8]https://flypix.ai/zh/blog/agriculture-drone-companies-usa/
[9]https://mobile.iotworld.com.cn/View.aspx/news-2cb5f7efefd4baae
[10]GDPR Art. 7 Art. 5–6 Art. 12–22 Art. 30
[11]GDPR Art. 58
[12]Article 226-16 & 226-17 Code pénal
[13]https://www.edpb.europa.eu/edpb_en
[14]GDPR Article 5 .1.Personal data shall be: (c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
[15]GDPR Art 46 1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.
[16]https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
六、结语
关注我们
粤公网安备 44030502001500