标签:公司与并购-公司合规体系,数字经济,汽车、制造业及工业-汽车与出行
自1999年中国第一家汽车4S店落地以来[1],我国汽车零售行业长期保持着以经销模式为主导的格局,即汽车品牌和生产厂家(“车企”)负责车辆生产,经销商负责车辆销售活动和售后服务。
2005年《汽车品牌销售管理实施办法》确立了品牌授权单一体制,一家汽车品牌经销商只能销售单一供应商授权品牌的产品。2017年,商务部颁布了《汽车销售管理办法》(“《管理办法》”),允许授权销售和非授权销售多种经销模式并行,即经销商既可以出售经供应商授权销售的汽车,也可以出售未经供应商授权销售的汽车;同时,经销商可以经营多品牌的汽车,汽车供应商不得限制经销商经营其他供应商的商品[2]。
《管理办法》并未限制车企通过直销的方式出售汽车,但明确规定,除非合同另有约定,供应商在经销商获得授权销售区域内不得直销。直销模式在《管理办法》出台后,限于当时的电子商务发展水平和大众消费模式,并未被车企大范围的采用。近几年来,随着新能源汽车的崛起,在造车新势力们的推动下,越来越多的车企纷纷开始尝试由经销模式向直销模式转变。
直销模式带来的变化是多方面的。对于消费者而言,产品价格透明,无需逐店议价,配件配饰可自主选择,没有销售人员过度推销,购车流程相对简单且直接对接车企,服务标准统一,消费体验更好。对于车企而言,开展直销可以直接获取第一手客户资源,接收消费端的真实反馈,有利于优化产品和服务质量。此外,直销作为新概念也可以突破消费者对传统汽车品牌的固有印象,品牌宣传效果显著。
在直面消费者的转变过程中,车企的数据合规要求将显著提高。2023年10月,上海市消费者权益保护委员会和上海市汽车销售行业协会共同发布了《上海市汽车销售行业个人信息保护合规指引》,从消费者个人信息的收集和使用、处理、存储等环节对车企、经销商等经营者提出了明确的合规要求。如何合法收集和处理个人信息将成为车企在销售模式转换过程中的挑战之一,车企需要重新审视和调整新销售模式下个人信息保护。
本文拟从数据合规角度,聚焦于车企在直销转型过程中需关注的重点问题。
一、经销模式vs.直销模式
传统经销模式与直销模式的主要区别如下图所示:
传统车企通常以新车型(特别是新能源车型)试水直销模式。与新势力从零创建的直销模式不同,传统车企在直销转型之路上往往受到历史因素的影响。一方面,传统车企仍需兼顾经营燃油车型,继续巩固现有的经销商体系;另一方面,由于开设直营门店的时间成本、经济成本以及后续运营成本都较为高昂,不少传统车企选择与经销商之间继续保持合作,基于现有的经销商体系进行直销转型,这进一步衍生出直销模式下的两类细分模式——直营模式和代理模式。
二、直营模式vs.代理模式
直营模式下,车企通常是唯一的经营主体,自行开设直营门店并直接负责经营,门店人员由车企雇佣,由车企直接向消费者销售车辆并开具发票,试驾、交付、售后等服务也均由车企提供。
代理模式下,代理商主要提供与车辆销售相关的服务,但车辆的销售主体仍是车企。代理商参与开设门店并配备人员,车辆在代理商门店中销售,但车辆所有权仍属于车企。消费者向车企支付购车款,由车企向消费者开具发票。代理商负责向消费者提供试驾、交付、售后(视具体情况)等服务,并向车企收取佣金或其他服务费用。
直营模式和代理模式相比,二者相同之处在于车辆的销售主体始终是车企,从数据合规角度而言,车企是消费者个人信息的主要处理者;而区别在于,代理模式下代理商也会参与到消费者个人信息的处理过程中,车企需要妥善安排与代理商之间的个人信息处理关系。我们将结合两种模式的共性和不同,在下文中探讨直销转型中的个人信息保护要点。
三、直销转型中的数据合规关注点
1. 车企自行收集消费者个人信息的告知-同意
在传统经销模式下,车企收集消费者(包括潜在客户)的个人信息往往需要经销商的高度参与。根据车企与经销商之间的约定,有些经销商会承担第一手个人信息处理者的身份,以经销商自身的名义出具个人信息处理规则(或称为“隐私政策”)并完成个人信息的收集,再按照个人信息共享的安排,将个人信息通过线上系统或线下方式提供给车企。有些车企和经销商之间也会根据经营策略、合规策略等因素,选择适用委托处理、共同处理等形式进行消费者个人信息收集和处理的协作。
直销模式下,消费者大多通过车企自营的线上销售和推广渠道留资和下订单,车企直接向消费者收集个人信息,不再依赖经销商的参与。由此,车企将独立扮演个人信息处理者的角色。根据个人信息保护的要求,车企需对个人信息处理的全流程进行盘点,通过隐私政策向消费者进行充分披露,并获取消费者同意(包括单独同意)。其中,我们提示车企关注以下几个方面:
(1)门店采集消费者人脸信息
除了线上销售平台以外,线下展厅和门店也是车企履行告知-同意义务的重要场景。
为安全防控、经营监督等目的,汽车销售门店内都安装有监控摄像头,这些摄像头会不可避免地收集到进店消费者的人脸信息。目前,具有人脸识别功能的智能摄像头越来越普遍。该等智能摄像头功能多样,通常可以统计进店人数、分析消费者性别比例、年龄结构等,有些摄像头产品和方案可以进一步对进店消费者的情绪、行为等数据进行识别和分析。
值得注意的是,智能摄像头识别某单一消费者往往通过人脸信息等生物识别信息来进行。生物识别信息属于敏感个人信息,根据《个人信息保护法》,处理敏感个人信息应当取得个人的单独同意[3]。在公共场所安装图像采集、个人身份识别设备的,应当设置显著的提示标识,所收集的个人图像、身份识别信息在仅用于维护公共安全目的的情况下可无需取得个人同意,若超出这一目的则仍应取得个人单独同意[4],否则可能构成违法违规处理个人信息,导致消费者投诉甚至监管处罚。
公共场所安装智能摄像头的相关数据合规问题在一些案例曝光后得到了诸多企业的重视。但在实践中,对相关合规要求的解读和落实曾出现不少细节上的差异。《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)这一国家标准的发布,对相关合规细节提供了不少借鉴和指导。总体而言,若仅为维护公共安全之目的安装摄像头,门店内需至少设置显著的提示标识;如需采集消费者人脸信息用作经营统计分析等其他目的,建议门店在采集行为开始前向消费者充分告知收集目的、收集的个人信息种类、采集设备的覆盖范围,个人信息保存期限、个人行使权利的方式和程序等事项,并取得消费者的单独同意。可采取的告知-同意方式例如,在门店入口显著位置或摄像头安装处张贴告示,简要说明隐私政策,张贴二维码以便消费者扫码查看详细的隐私政策并点击授权同意。
(2)通过企业微信收集消费者个人信息
目前越来越多车企在营销管理中启用了企业微信等数字化工具,要求门店销售人员统一使用企业微信与消费者对接。通过企业微信这类工具,车企既可以实时监督销售人员的沟通质量,又可以对沟通过程进行记录并开展数据分析、统计等处理活动。
许多消费者在与销售人员的聊天对话过程中直接披露了自己的个人信息,因此,车企也需在收集其个人信息前履行告知-同意义务。
我们建议车企对销售人员的企业微信进行统一设置,在销售人员添加消费者为好友时,采取适当的措施(包括通过车企的H5页面闭环收集个人信息、自动话术、提供隐私政策链接等)向消费者告知个人信息处理规则,通过销售人员人工提示或系统、页面自动引导,提醒消费者阅读隐私政策并回复同意。如果没有设置相应的告知-同意措施,销售人员在通过企业微信与消费者对话时,应及时提醒消费者不要在聊天对话过程中提供个人信息。
在使用企业微信等类似工具时,车企还需留意员工个人信息的保护。该方面风险可从员工个人信息保护体系予以防范和应对,在此不做赘述。
2. 隐私政策的投放方式和内容变化
直营模式中,车企将以自身名义制定隐私政策。在代理模式下,即使代理商参与车辆销售环节,为维持品牌统一形象、实施标准化运营,车企大多也倾向于以自身名义制定隐私政策,通过代理商向消费者发布。一些汽车经销商可能已自行制定了隐私政策,而这些隐私政策在经销商转型为代理商后可能将不再适用。
就线上收集个人信息而言,车企大多拥有多个App、小程序等线上触点,这些触点均需投放隐私政策。根据我们的观察,目前车企的隐私政策制定策略可分为两种:一种是制定统一的、“大而全”的隐私政策,完整罗列出车企对个人信息的所有处理目的和处理活动(即使某些处理活动可能并不适用于所投放的触点),所有线上触点均使用同一个隐私政策版本。另一种则是针对不同触点的功能制定不同的隐私政策。
相较而言,我们更倾向于后一种策略。一方面,根据不同触点量身定制的隐私政策更为灵活,如需修改或更新,企业往往仅需点对点进行修改。另一方面,“大而全”的隐私政策与某一触点实际开展的个人信息处理活动往往并不一致,隐私政策中所披露的处理活动不一定符合某一触点的必要性,且“告知”内容也不一定精准,从而偏离了隐私政策设置的初衷。
但是,这并不意味着各个触点的隐私政策是完全独立的。我们通常建议车企在各个触点的隐私政策中根据业务场景之间的关联性建立逻辑关系,避免机械化的分割。比如,消费者在车企的品牌App中预约试驾某款车型,对App隐私政策做出过同意且提交了姓名、电话等个人信息,随后进店试驾时,门店应避免重复收集其个人信息,确认消费者曾进行过线上预约后直接从后台系统中调用即可。如试驾过程中并未进一步收集其他个人信息,则门店无需再向该消费者出示隐私政策;如消费者试驾后订购了车辆、门店需进一步收集消费者其他个人信息签订合同,此时可向其出示适用于线下门店的隐私政策(需声明车辆订购目的下需收集的个人信息类型等必要内容),获取其同意。
除了前端的个人信息收集环节外,后端的数据管理也同样需要给予关注。我们建议车企建立客户数据台账,记录客户数据的来源(如品牌官网、App、门店、其他第三方)、收集时间、客户同意的范围(收集的个人信息类型、相应的处理目的等)。尽管建立和持续维护客户数据台账的成本较高,但一方面,“同意管理”本身即是许多车企的重要合规议题,而客户数据台账是车企合法收集个人信息、合规程度较高的有力证明;另一方面,当客户要求行使其个人信息权利(特别是删除权)时,车企可清晰地追溯该客户的同意时间和同意范围,及时响应行权请求。
另外,我们建议车企及时对各渠道收集的客户数据进行清洗和汇聚融合,识别并关联属于同一客户的个人信息,剔除冗余数据,并避免在多个渠道中反复收集。若数据的汇聚融合导致个人信息的处理目的、处理方式和处理的个人信息种类发生变更、超出与收集个人信息时所告知的目的和范围,车企还需注意重新取得客户的同意[5]。
3. 与合作方的数据处理关系需重新界定
直营模式下,试驾、销售、交付、售后等环节均由车企负责,数据流向较为简单,而代理模式的情况则相对复杂,需要重新梳理车企、代理商和维修商各自的数据处理角色(即均为独立的个人信息处理者,或委托处理的委托方与受托方,或共同处理者)以及各方之间的数据流向。
具体而言,代理模式下的试驾和交付服务通常由代理商提供,但涉及收集个人信息时,应当以哪一主体的名义收集?即使以车企名义收集,实际上代理商可能是收集个人信息的第一层主体(假设消费者此前未通过任何渠道向车企留资),数据流向可能从代理商开始,之后才流向车企。如何妥善安排各方的数据处理角色,使之可以合理解释实际数据流向,是直销转型中确保数据合规首先需要厘清的问题。在此过程中,车企需结合自身的实际经营情况,进一步分析不同数据处理关系之间的利与弊。各数据处理关系所带来的权利和义务区别可参见文章《个人信息流动中的数据处理协议,你准备好了吗?》。
除了直接向车企留资的客户线索以外,汽车行业垂直媒体(“垂媒”)也是车企重要的客户线索来源。垂媒通常会将其收集的平台用户个人信息提供给用户有购车意向的车企,由车企、经销商或代理商跟进客户线索。车企、经销商、代理商与垂媒之间的数据流向和数据处理关系也需要重新审视并合理规划。
基于对合作方的数据处理角色和数据流向的梳理,车企需要订立或变更与合作方的数据处理协议,明确约定各方的数据处理责任和合规义务。
如车企与新的代理商合作,则可订立新的代理协议和数据处理协议或条款。如车企基于现有经销商体系开展代理模式,对特定新车型适用代理模式,对老车型仍适用传统经销模式,则经销商兼具代理商的双重身份。对此,车企需要就经销车型和代理车型相关的消费者个人信息进行明确划分,两类个人信息可能适用不同的数据处理关系。车企需与经销商变更经销协议(包括附随的经销车型清单、数据处理协议/条款等),同时需另行与经销商(代理商)签署代理协议,明确其在代理关系下的服务范围(试驾、交付、代办保险、车牌申领等)、数据处理范围(与代理车型相关的消费者个人信息)、二者的数据处理关系和权利义务。值得注意的是,经销商同时作为代理商,尽管从协议安排上可以进行划分,但实践中仍易发生数据管理上的混同,因此这类“双重身份”的安排往往是过渡性的,车企可能仍需结合业务长远规划调整数据处理安排。
4. 个人信息行权响应
如何响应行权请求也将是车企直面消费者时的重要课题。车企转型直销需搭建多种线上触点收集消费者信息,用于营销推广、市场调研等目的,相较于传统经销时期必然会收到更多的个人信息行权请求。我们建议车企设立专门的个人信息保护部门和行权响应渠道来处理消费者的行权请求,建立内部行权响应制度,为相关营销部门、合规部门、法务部门提供指引,并对销售人员进行个人信息保护和行权响应培训,避免因处理不当导致消费者投诉或监管调查。
根据我们的观察,知情权、决定权和删除权是实践中消费者较为常见的个人信息行权内容,例如:消费者要求车企说明其个人信息如何被提供给第三方、拒绝车企使用其个人信息进行自动化决策、要求车企删除其个人信息,这些往往是实务中车企响应行权请求的难点。车企能够顺利响应行权请求的前提是具有完整的内部数据处理记录和健全的数据管理体系,前者包括对客户个人信息的渠道来源、个人信息类型、收集时间、授权同意范围等内容的详细记录和溯源(客户数据台账即是数据处理记录的重要工具之一);后者包括建立内部行权响应部门、制定相应的流程制度,加强对相关部门和人员的培训,这要求车企完善内部合规体系,不断提升行权响应能力。
5. 个人信息出境
进行直销转型的车企中不乏跨国车企的身影。跨国车企如需将中国境内消费者的个人信息传输至境外,因其可能处理较大数量的个人信息而需要根据《数据出境安全评估办法》向国家网信部门申报数据出境安全评估[6];未达到数据出境安全评估触发条件的,也可能需与境外接收方订立个人信息出境标准合同或通过个人信息保护认证方可向境外传输个人信息[7]。
2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(“《促进数据跨境规定(征求意见稿)》”),其中规定:
- 预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证[8];
- 预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估[9];
- 向境外提供100万人以上个人信息的,应当申报数据出境安全评估[10]。
以上规定在一定程度上放宽了个人信息出境的门槛,减轻了跨国车企的合规负担。此外,《促进数据跨境规定(征求意见稿)》也再次强调了“基于个人同意向境外提供个人信息的,应当取得个人信息主体同意”[11],跨国车企仍需注意在隐私政策或类似声明中明确告知个人信息出境事项,取得消费者单独同意,并做好同意记录的留存管理。
需要注意的是,《促进数据跨境规定(征求意见稿)》并未改变《数据出境安全评估办法》中“向境外提供重要数据应当申报数据出境安全评估”的规定。根据《汽车数据安全管理若干规定(试行)》,涉及个人信息主体超过10万人的个人信息即构成汽车行业的重要数据,因此若向境外传输超过10万人的个人信息,跨国车企仍应当申报数据出境安全评估。《数据出境安全评估办法》对于前述重要数据的界定是否会调整,还有待观察。
6. 个人信息保护审计
2023年8月3日国家互联网信息办公室发布的《个人信息保护合规审计管理办法(征求意见稿)》同样值得车企关注。该办法规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计[12]。
中小型车企转型直销后,直接收集并处理的个人信息数量可能显著增加,很可能超过100万人而需每年主动开展个人信息保护合规审计。另外,若车企的个人信息处理活动存在较大风险或者发生个人信息安全事件,网信部门等履行个人信息保护职责的部门也可以要求车企委托专业机构对个人信息处理活动进行合规审计。我们建议车企密切关注该立法进展,待正式稿发布后根据要求相应安排审计工作。
结语
近年来直销模式因新能源汽车的快速发展而进入公众视野,这无疑给中国汽车销售市场带来了巨大的变化。与此同时,针对车企和汽车零售门店违法违规处理个人信息的监管力度也正逐渐加强。车企在直销转型中寻求业务突破的同时,也需对数据方面的过渡衔接进行妥善安排和调整,梳理好与经销商、代理商的数据处理关系,为直面消费者、合法处理个人信息做好充分准备。
感谢实习生郭思雨和卢虹羽对本文作出的贡献。
扫码订阅“金杜律师事务所”,了解更多业务资讯
参见徐萍 姚丽娟文章“当我们谈论《汽车销售管理办法》,我们在谈论什么?”
《个人信息保护法》第29条
《个人信息保护法》第26条
《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第7.3条
《数据出境安全评估办法》第4条
《个人信息保护法》第38条
《规范和促进数据跨境流动规定(征求意见稿)》第五条
《规范和促进数据跨境流动规定(征求意见稿)》第六条
《规范和促进数据跨境流动规定(征求意见稿)》第六条
《规范和促进数据跨境流动规定(征求意见稿)》第五条、第六条
《个人信息保护合规审计管理办法(征求意见稿)》第四条
