合规系列 | 电动汽车充电桩行业合规要点

由于国内电动汽车保有量的快速增长释放出巨大的充电需求，加之“新基建”和“稳增长”等政策的鼓励和支持，我国新能源汽车充电桩行业进入了快速发展与扩张阶段——建设需求大、建设途径广、政策扶持多。在充分掌握政策要求并合理把控合规风险的情况下，汽车充电桩行业不失为一个潜能巨大的投资方向。

有鉴于此，本文将着重介绍充电桩投资建设的基本流程和分析运营过程中的数据合规问题。

新建充电桩的基本流程与合规要点

按照安装地点分类，充电桩可分为公共充电桩和专用充电桩。公共充电桩是建设在公共停车场（库），为社会车辆提供公共充电服务的充电桩；专用充电桩是建设单位（企业）自有停车场（库），为单位（企业）内部人员使用的充电桩，以及建设在个人自有车位（库），为私人用户提供充电的充电桩。

投资建设不同类型的充电设施涉及的审批要求存在差异。除自用充电设施因其使用场景的特殊性不涉及项目投资建设的相关审批外，其他充电设施的投资建设均可能涉及项目备案、建设审批、验收等环节的合规流程。各地方根据项目的不同情形针对专用充电设施和公用充电设施的投建项目规定了不同的审批要求，尽管在细节上存在差异，但总体而言需要经过以下环节：

（1）取得土地使用权：由于竞买国有建设用地使用权的成本很高，与充电站本身的经营回报难以形成正比，因此，现实中，充电站项目一般都是通过租赁方式取得土地使用权，或者使用自有物业（例如办公楼地库）；

（2）项目投资备案：根据国家发改委《企业投资项目核准和备案管理办法》第四条的规定，充电站经营企业应向项目所在地区发改部门进行投资项目备案；

 （3）建设审批：充电设施项目是否需要建设审批取决于项目是否涉及新增土地。在既有建筑物、场地内加建新能源汽车充电装的，无需新增土地，不需要办理报建手续。需要说明的是，充电设施与其他主体建筑物建设同步进行的，例如，建设单位停车场、公共停车场、高速公路服务区的同时同步建设充电设施，则无需单独为同步建设的充电设施单独办理报建手续；

 （4）申办用电手续：充电站经营企业需要向供电部门提出新增用电报装申请，由供电部门为充电站安装新增高压电源，以便充电设施接入使用；

 （5）项目验收：充电基础设施建设完成后，需根据各地要求进行工程验收，未经验收或者验收不合格的充电设施不得投入运行。以北京为例，北京市要求充电设施建设完成后，停车场产权（运营）单位、充电设施建设运营企业、上游电源供应单位应当共同开展充电设施的竣工验收，并提请区城市管理委（市政市容委）参与验收。各区城市管理委（市政市容委）可以委托第三方专业机构参与竣工验收。未经验收或者验收不合格的充电设施不得投入运行。

充电桩运营企业的数据合规风险

充电桩运营端企业在提供充电桩服务时，会直接收集用户的相关个人信息和汽车数据。用户在使用充电桩时，通常需要通过小程序或者APP进行登录。在使用APP或者小程序的过程中，用户的个人信息就会被平台收集，如银行账户信息、支付信息、位置信息、设备信息等。这意味着处理个人敏感信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者（如服务商）提供个人信息和数据跨境传输等情形一旦发生，极易导致用户个人信息和汽车数据的泄露，从而触犯相应法律法规。

01 | 过度收集个人信息的风险

 《网络安全法》和《个人信息保护法》要求收集个人信息应遵循“必要”和“最小范围”的原则，即“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”、“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”企业过度收集用户个人信息，是未通过明文约定收集个人信息，或收集服务需求范围之外的个人信息。对于非必要的信息，在收集时应和必要信息区分开来，并给予用户拒绝授权的选择。企业如果未加区分通过隐私政策要求用户一并授权，则可能会面临过度收集信息的风险。

02 | 个人信息和汽车数据泄露的风险

 《个人信息保护法》规定，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的加密、去标识化等安全技术措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

充电桩平台在收集完信息后，应及时对信息进行加密处理，保证个人信息不受侵犯。坚持尽可能进行匿名化、去标识化等的脱敏处理原则，处理个人信息的告知同意规则，敏感个人信息处理规则等，以及建立便捷的投诉举报机制，避免个人信息泄露风险。同时需要做好泄露报告及预警方案，避免数据泄露的风险。

03 | 未经同意处理个人信息的风险

根据《个人信息保护法》规定，充电桩业务中处理个人信息应当取得个人同意（法律规定的豁免情形除外）。根据《网络安全法》规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。故充电桩业务处理涉及收集个人信息和汽车数据时，应当明确用户的明确同意，避免未经同意处理个人信息和汽车数据所导致的风险。

充电桩运营企业的数据合规建议

新能源充电桩企业在运营充电桩时，在个人信息和汽车数据的全生命周期流程应严格遵守有关法律法规要求，合法、合规地进行对内对外的风险防控，制定并有效执行个人信息保护及汽车数据合规的相关制度和内控流程，以降低企业的合规风险。

1.数据收集阶段

新能源充电桩企业应当精准定位具体业务应收集的信息和数据的种类和范围，将信息和数据的收集范围限制在必需收集的最低限度，并确定默认不收集的个人信息和汽车数据范围。同时，新能源充电桩企业应当升级制定权利义务清晰、内容涵盖全面、重点突出、提示到位、披露第三方服务商的用户协议和隐私协议，就特定个人信息和汽车数据向用户进行告知，并取得其书面同意；在收集敏感个人信息，如面部识别信息和金融账户信息时，单独获得用户的书面同意；不得非法购买和收集有关个人信息和汽车数据。

2.数据存储阶段

新能源充电桩企业应确保收集来的个人信息及汽车数据在我国境内存储，且储存应当满足限定的期限要求。此外，应当采取加密和去标识化的信息安全技术，并制定有效的数据安全应急预案，在个人信息和汽车数据不慎泄露时，及时通知并采取补救措施等。

3.数据加工阶段

新能源充电桩企业严格按照已经获得同意的处理种类、规模、目的、方式等对个人信息和汽车数据进行加工。如变更前述内容及方式的，应重新获得同意。

4.数据使用阶段

新能源充电桩企业不得非法使用已收集的个人信息和汽车数据，如将个人信息与汽车数据非法出售；未获得单独同意即提供给境外；违反我国有关主管部门的限制性规定、反制措施提供给被限制或制裁的对象；违反司法协助的有关规定，绕过中国主管机关将信息直接提供给境外等。

5.数据传输及跨境提供阶段

新能源充电桩企业应当在数据的传输中使用有效的安全技术，非经单独同意，不得披露给公众。如果将个人信息提供给境外时，应当进行安全评估、信息保护认证、按照标准合同订立有关合同等；如果将汽车数据中的重要数据提供给境外时，应当开展安全评估。

6.数据删除阶段

 当发生保存期限届满、不再必要继续保存、用户撤回同意等情形时，新能源充电桩企业应当删除有关个人信息和汽车数据。

-END-