行业合规丨汽车行业产品合规管理方法研究

近年来，随着近年来汽车行业的迅猛发展，监管部门对于汽车产品的法规管理要求不断完善，这使相关企业的合规管理能力面临挑战。由于城市化正在不断地改变和影响消费者的预期，加之新兴电子技术的到来，这些因素也使得传统汽车企业的未来发展面临挑战。汽车企业需要紧跟时代的步伐，通过建立新的商业模式和服务进行转型。转型的成功与否取决于企业能否从根本上改变固有的工作方法。

2019年1月4，国务院反垄断委员会《关于汽车业的反垄断指南》（简称《汽车指南》）以书籍汇编形式对外发布。《汽车指南》从相关市场界定、垄断协议、滥用市场支配地位、经营者集中、滥用行政权力排除、限制竞争等方面，为汽车行业的经营者提供了全方位的反垄断合规指导。

考虑到“汽车业是国民经济的重要支柱产业，在促进经济增长、技术创新、就业与社会发展等方面发挥着重要作用”，《汽车指南》拟通过科学有效的反垄断监管促进汽车业的公平竞争和健康发展。事实上，汽车行业的确是国内外反垄断执法关注的重点行业。据不完全统计，目前中国执法机关针对汽车行业的垄断行为作出公开处罚决定的案件超过20起，主要涉及垄断协议，涉案总金额已超过25亿元，且提交反垄断审查的汽车行业的并购交易超过350起。

一、汽车行业合规管理概述

（一）汽车行业产品认证要求

汽车行业经过百余年的发展，相关的管理要求不断得到完善，对于产品认证制度也形成了3个不同的类型：（1）美国的“自我认证、强制召回”制度；（2）欧洲的“型式认证、自愿召回”制度；（3）日本的“独具特色的型式认证”制度。

我国则参考欧洲的管理标准，实施强制认证制度。具体到细化的法规标准，则既有针对整车产品的认证要求，也有针对特定零部件/材料的认证要求，可以简单按国内外的要求分类示意，如法规认证要求示意图所示。

不同的认证要求所覆盖的范围各不相同，国内的 CCC 认证和欧盟的E-Mark认证覆盖范围较广、代表性较高，以下分别对这两类认证要求展开简要介绍。

（二）CCC认证要求

CCC（China Compulsory Certification）认证是国家认证认可监督管理委员会根据《强制性产品认证管理规定》制定的产品认证制度，自2002年5月1日起实施。目前汽车行业内要求取得CCC 证书或自我声明证书的零件如表所示。

其中值得注意的是，适用于自我声明方式的零部件，在获取证书的方式及周期等方面得到了简化（主要由供应商在国家认监委的自我声明信息报送系统中，进行相关信息的申报并取得电子自我声明证书），但对于零部件本身的管理要求并未降低。

（三）E-Mark认证要求

E-Mark 认证是指根据欧盟法令《EEC Directives》与欧洲经济委员会法规《ECE Regulation》的规定进行产品认证的制度，未进行认证并获得证书的整车产品不允许进入欧盟各国市场。根据发放国家的不同，其标志证书的编号也各不相同，如德国编号为E1，法国编号为E2。

其他国家和地区也有不同的法规要求（如中东地区为GCC认证、澳大利亚为RVSA认证等），在中国自主品牌不断开拓海外市场的过程中，充分有效地满足当地市场的法规管理要求，是企业得以立足并发展壮大的重要基础。

因此，建立一套对供应链可以进行有效合规管理的体系，是企业满足合规要求的重要前提，对企业在国内外市场的稳健发展有着重要的意义。

二、面向供应链的合规管理方法

在整车生产企业中，对于零件的开发、认可和批量生产等都制定了相应的管理要求（如项目管理流程、产品PPAP认可流程、绩效管理流程以及变更管理流程等），此类要求都会随着零件的开发、认可和量产过程，传递到供应链上的各个供应商，供应商作为零件的生产管理责任主体，对相关要求进行落实。

但与常规的产品质量管理相比，产品的合规管理具有特殊性：（1）责任主体不同：整车生产企业是问题的首要责任主体；（2）后果严重程度不同：不合规问题可能直接导致整车企业停产/召回等；（3）管理范围不同：只有部分涉及法规要求的零件会被纳入该管理范围中。

因此，整车生产企业制定明确的合规管理要求，并在内部管理/供应链管理过程中进行落实是十分必要的。

在常规供应链管理的基础上建立的供应链合规管理模型，模型由三个层次组成：整车企业层、零件BOM层和供应链层，整车企业的一般管理要求会通过零件认可的过程传递至供应链上，但合规管理要求的制定、传递和落实是该模型的核心，相关的管理要求应能够直接传递并落实到供应商的管理体系中。

（一）法规识别

法规识别工作是整个管理流程的基础。针对国内外所涉及的法规要求，应该由专业的职能人员进行分析解读，并确认整车/零件应如何满足相关要求。对于整车企业，主要应关注合格证、环保清单、油耗等管理要求；对于零件供应商，主要应关注所负责的零件是否涉及法规要求，若有涉及，应明确具体的管理要求，并在开发过程中进行落实。

尤其应该注意的是，若原定面向国内市场的车型后来销往国外市场，或者原定在A国/地区销售后来销往B国/地区的，一定要对新市场的相关法规要求进行充分、有效的解读与确认，确保整车及相关零件能够满足新市场的相关要求。

（二）设计验证

设计验证工作是对法规要求的分析落实。在识别了相关法规要求的基础上，应结合产品的特性与开发验证进度，对相关法规标识/符号的要求、体现方法、体现位置、供应商名称以及代码等信息进行明确的设计输出，为后续的申报及产品认可提供依据。

（三）正式申报

正式申报工作是对法规要求的最终锁定。通过前期的设计验证，在产品设计输出的基础上，登陆规定的国家部委网站进行产品法规参数的申报，作为整车产品生产及销售的前提条件。

（四）批产认可

批产认可工作是对法规要求的产品实现。在汽车行业中，新开发的零部件产品一般都需要在完成PPAP（Production Part Approval Process）认可后，才可以在上市销售的整车产品上使用。

在进行PPAP认可时，需要提交产品检验报告以及试验验证报告、FMEA/Control Plan/MSA等多项交付物，同时，在该阶段应确认产品可以有效地满足法规要求，并作为PPAP认可的一项交付物进行提交。

（五）日常检查

日常检查工作是对法规要求的监督确认。在零部件完成PPAP认可并批量生产后，如何保证产品在整个生命周期内能够满足法规要求，也是管理的重点工作。

为此，需要对产品上所体现的法规参数与所申报的状态是否保持一致、相关的认证证书是否保证持续有效及供应商的相关信息是否发生变更等进行监督检查，以防范产品在全生命周期内出现违反法规要求的风险。

（六）型式试验

型式试验工作是对产品性能的持续验证。一般来说，日常检查工作可以对产品外在的信息（尺寸、法规标识等）进行较高频率的确认，而型式试验工作是对产品性能的验证，因周期长、成本高，一般该工作以每年一次的频率开展。

对于国家法规要求的性能参数（如内外饰产品的阻燃性），应确保产品按照既定的频次进行性能验证工作，并且报告出具机构应具备相应的资质。

（七）变更管理

变更管理工作是贯穿于整个产品生命周期的特殊管理要求工作。在完成正式申报工作以后，所有涉及法规要求的参数变更，都应纳入变更管理流程进行有效管理，并根据变更类型的不同，进行相应的重新申报和重新认可等工作。

尤其值得注意的是，根据工作中的实际案例，变更管理工作如果落实不到位，极有可能出现批量性的不合规问题（如产品型号不一致、生产企业名称不一致等），若问题车辆流入到销售市场，将可能导致车辆被批量召回、企业停止生产等严重后果。

三、汽车行业重要数据相关处理

（一）重要数据处理情况的风险评估及报送义务

《数据安全法》要求重要数据处理者按规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。在此基础上，《汽车数安规定》细化了汽车数据处理者的评估报告义务，将汽车数据处理者的报送义务分成了两部分，即第十条所规定的开展重要数据处理活动的汽车数据处理者自评估的风险评估报告义务，以及第十三条和第十四条所规定的年度报送义务及向境外提供重要数据的补充报告。

汽车数据处理者自评估风险报告义务要求开展重要数据处理活动的汽车数据处理者，按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括该处理者所处理的重要数据种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等方面。作为一项法定义务，所有处理汽车数据的企业都应及时开始自评估及建立自评估体系，并报送风险评估报告。

对于年度报送义务，《汽车数安规定》并未明确较为具体的报送内容以及具体的报送流程，法律法规层面也尚无标准性可参考的文件，但在江苏省网信办和上海市网信办在通知中分别公布了适用于本省/市的《2021年度汽车数据安全管理情况报告》填写模板（分别简称为 《江苏模板》 和 《上海模板》）及未来可能出现的地方性申报要求文件或模板中，企业可以预见某些合规要点。

根据发布的《江苏模板》，汽车数据处理者应从以下七方面分别申报企业情况：

1.企业实体和组织结构情况，包括：企业基本情况、主营业务和数据业务情况、分支机构和运营架构情况、股权结构情况和组织架构情况；

2.数据管理情况，包括：年度数据基本情况、企业数据安全管理制度及执行情况、数据安全防护措施及有效性、数据安全教育培训、对数据接收方及服务商的监督和约束机制、境外数据接收方的基本情况和数据提供情况；

3.数据平台情况，包括：数据保存地点和数据保存期限、数据中心、数据资产规模情况；

4.数据处理情况，包括：处理汽车数据的种类、处理汽车数据的规模、处理各类数据的目的和必要性、处理个人信息时取得用户同意的情况、数据删除情况；

5.数据安全风险和处置措施；

6.数据安全事件及其处置情况；

7.数据安全相关的投诉及处理情况。

针对年度报送义务，《江苏模板》较为侧重汽车数据处理者企业内部的详细情况，要求企业提供股权结构、是否上市或计划上市、以及境外接收方的详细信息等。

相较而言，《上海模板》更侧重于要求汽车数据处理者提供其所处理的数据在各环节中的具体情况，该模板在《汽车数安规定》第十三条所规定的基础报送内容上，额外要求汽车数据处理者从七大数据类型的不同处理环节角度出发报送相应情况，具体包括：车外视频图像、车外雷达、汽车行踪轨迹、车内视频图像、车内音频、生物识别特征信息及其他个人信息这七大数据类型项下，从数据的收集、存储、使用、加工、传输、提供以及公开的全处理生命周期角度报送相关情况，报送要求极为细致，在汽车数据处理的目的及必要性的同时，特别侧重数据的安全保护及防护措施（脱敏、加密、降低精度、数据分类分级、匿名化、去标识化等）。

未来各省市网信办可能会逐步出台细化规定及申报模板对汽车数据处理者年度报送义务进行进一步规制，汽车数据处理企业应及时落地相应的合规措施并完成报送要求，这势必将成为汽车行业企业未来数据合规调整方向的重中之重。

（二）汽车数据处理原则

针对汽车数据处理者在开展数据处理活动，《汽车数安规定》第十六条提出了四项原则，以《上海模板》为例，这四项原则在收集汽车数据处理者七大处理数据类型项下均有具体体现。

1.车内处理原则：要求汽车数据处理者除非确有必要，否则不向车外提供。在《上海模板》中，对于七大数据类型在数据收集环节中的数据存储，均问及数据是否在车内储存、数据是否需要向车外提供、接收方身份、向车外提供的方式和频率，以及向车外提供后车内是否存储等问题；

2.默认不收集原则：要求除非驾驶人自主设定，否则每次驾驶时默认设定为不收集状态。《上海模板》亦要求汽车数据处理者提供数据收集前用户授权的方式，如“一次性”或“每次提供数据前”；

3.精度范围适用原则：要求汽车数据处理者根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。在《上海模板》中，汽车数据处理者应在七大数据类型（如涉及）项下的不同情景下提供具体的参数、精度等数据；

4.脱敏处理原则：根据数据处理的不同阶段，可将数据脱敏分为“车端数据脱敏”和“车外数据脱敏”。应完善数据脱敏的技术措施与标准化。包括但不限于建立数据访问权限控制、TLS加密传输、AES256、RSA2048或以上强度的加密算法进行加密存储、敏感信息脱敏显示等。《上海模板》要求汽车数据处理者提供是否在拍摄的同时进行脱敏、向外传输时脱敏、传输到云平台后立即脱敏、传输到云平台后择机脱敏以及所使用的脱敏技术等。

对于上述四项处理原则，汽车数据处理者应根据现有《汽车数安规定》和各省市通知中相关问题的指引，落实和开展日常企业数据合规工作。

四、汽车行业合规常见问题

（一）汽车行业是否需按供应环节、所售车型、销售地区分别界定市场

根据《汽车指南》，汽车产业链的不同环节需分别界定相关商品市场，且每一环节可能进一步细分：汽车经销可能需区分为批发和零售环节，并可能需从其他方面进一步细分；汽车售后市场可以分为售后配件经销市场和售后维修保养市场，也可能进一步细分。此外，乘用车和商用车也通常作为市场细分的基础因素。

除相关商品市场外，比起征求意见稿，正式发布的《汽车指南》对相关地域市场界定也提出了指引。具体而言，汽车制造或批发市场可界定为国别市场，而零售市场则可界定为省级或地区性市场。

当然，上述市场界定指引也并非全面覆盖或一成不变，实践中仍需依据相关经营者的具体业务进行判断。例如，新车与二手车在相关商品市场方面是否需要区分界定、线上汽车零售平台的地域范围是否仍为省级或地区性市场，都需要结合具体案情进行分析。

（二）垄断行为能否适用“安全港”规则进行豁免

《汽车指南》保留了征求意见稿中已提出的“安全港”规则。欧盟反垄断机制中，已有成熟的《纵向协议集体豁免条例》规定该等“安全港”规则，关于在中国执法实践中是否也应引入这一规则的讨论也存在已久。在《禁止垄断协议暂行规定》（征求意见稿）中，相关规则也曾提及，但最终正式稿中未予采纳，本次汇编收录的《汽车指南》和《知识产权指南》是“安全港”规则第一次在官方正式反垄断指导性文件中出现。

根据《汽车指南》，就纵向垄断协议的竞争评估而言，在相关市场占有30%以下市场份额的经营者有可能被推定为不具有显著市场力量。然而，该等“安全港”规则的推定豁免仅能够推定符合《反垄断法》第15条的豁免情形，除经营者的市场份额外，仍需结合具体行为限制竞争的程度以及是否能够使消费者获利具体判断。

就此，《汽车指南》列举了一些可以推定适用豁免的行为（包括，限制主动销售的地域、客户、限制批发商直接向最终用户进行销售、限制经销商向汽车厂商销售配件），可结合市场份额“安全港”进行推定豁免。

此外，《汽车指南》也提及某些可个案豁免的价格行为，如，新能源汽车的短期转售价格限制、仅承担中间商角色的经销商销售中的转售价格限制、汽车供应商电商销售中的转售价格限制等。

（三）是否可以设置建议价、指导价或者限定最高价

《反垄断法》第14条禁止经营者固定向第三人转售商品的价格，或限定向第三人转售商品的最低价格。就此，《汽车指南》澄清，建议价、指导价或最高价如果从效果上等同于固定价格或限定最低价，则也会被认定为构成纵向垄断协议，例如，“通过实施价格监测对不遵守建议价的经销商取消返利、拒绝供货或提前解除授权协议等”。

这一点在《汽车指南》出台前也已被执法实践所验证。例如，2016年上海物价局对某车企的处罚决定中显示，涉案车企为其经销商规定了建议价，未直接固定价格，但该等建议价配合价格监测实施，并对不符合建议价的经销商施以处罚，该行为被认定为限定最低转售价格的纵向垄断协议。

结 语

如今，愈来愈多的跨国车企将工作重心转向中国，无论是扩大生产能力，还是下沉营销渠道，正在不断深化中国业务流程，中国的自主品牌车企也在推进产品升级，拓宽自身国际化道路。这些都对合规工作提出了新的挑战，合规政策不但要满足国内的相关规定，也要符合国际通行法规。

今后，国内外的合规法规会越来越完善，执法会越来越严格，因此只有在日常工作中不断积累实际经验，不断完善公司内部政策法规、业务流程，才会使企业在今后的发展过程中不受到合规问题的羁绊，才能助力企业健康成长，快速发展。

来源：子象 作者：梁枫 何勇