案件名称:Gesamtverband Autoteile-Handel e.V. v Scania CV AB
中文常用名称:Scania案;Gesamtverband Autoteile-Handel案;车辆信息访问案
案号:C-319/22
裁判法院: Court of Justice of the European Union(CJEU), Third Chamber
判决日期:2023年11月9日
程序类型:初步裁决程序(preliminary ruling)
判决状态:终局判决,已生效
所属主题:汽车数据;维修与保养信息开放;Regulation (EU) 2018/858;VIN;GDPR;售后数据合规;汽车后市场竞争
官方判决全文:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62022CJ0319
一、引言
在欧盟数字治理与汽车后市场监管交叉领域,Scania案是迄今最重要的欧盟法院判例之一。该案并非一般意义上的数据保护案件,而是围绕《欧洲议会和理事会2018年5月30日关于机动车辆及其挂车以及拟用于此类车辆的系统、部件和独立技术单元的批准和市场监管欧盟第2018/858号条例》(简称“欧盟第2018/858号条例”或“Regulation (EU) 2018/858”)下制造商向独立经营者开放车辆维修与保养信息的义务,与欧盟《通用数据保护条例》(简称“GDPR”) 对个人数据处理合法性的要求之间如何衔接所展开的代表性案例。欧盟法院CJEU 在该案中明确指出,汽车维修与保养信息开放义务并不因可能涉及个人数据而当然中止;相反,当车辆识别号码(vehicle identification number,VIN)在具体场景中能够与自然人相关联并使其被识别时,相关处理应纳入GDPR,但只要欧盟法本身确立了明确、正当且合比例的法律义务,该等处理即可依据GDPR第6(1)(c)条获得合法性基础。
对汽车制造商、进口商、授权经销与售后服务网络、独立维修商、零部件企业以及技术信息服务商而言,本案的重要性在于,它首次由CJEU 正面回答了三个负有争议的核心问题:其一,制造商是否必须以可电子处理的数据集形式开放全部车辆维修与保养信息;其二,VIN 在汽车后市场信息开放场景中是否构成个人数据;其三,即便 VIN 可能属于个人数据,制造商向独立经营者披露 VIN 是否仍然具有 GDPR 意义上的合法依据。法院对上述问题的回答,实质上重塑了汽车企业在欧盟开展售后数据治理、信息开放、接口设计和竞争合规时的底层规则。
对于在欧盟经营汽车及其零部件、售后系统、车联网平台或维修数据服务的中国企业而言,Scania案并非仅涉及“独立经营者是否有权获取VIN”这一狭义问题,而是直接关系到车辆识别信息、售后维修数据、远程诊断支持、原厂零件目录、独立后市场接入和 GDPR 合法性基础的整体设计逻辑。其现实意义在于:企业不能再以“VIN 可能是个人数据”为由一概限制访问,也不能以“存在开放义务”为由忽视 GDPR 的适用边界,而必须在两套规则之间建立可证明、可执行的衔接机制。
二、案件背景与事实概述
本案源于德国汽车零部件贸易协会Gesamtverband Autoteile-Handel e.V. 与汽车制造商 Scania CV AB 之间的争议。该协会代表德国汽车零部件独立贸易商,其成员在德国独立汽车零部件贸易中占有较高市场份额。争议的核心在于,Scania 虽向独立经营者提供一定范围的车载诊断信息和维修保养信息,但并未向其开放全部该类信息,独立经营者亦无法以其所主张的方式通过数据库接口自动检索并下载相关数据。
根据转介法院的描述,Scania 不向独立经营者提供VIN。维修企业可在接受车主交付维修车辆时,从车辆底盘标识或车辆登记文件中获得具体车辆的 VIN,但独立经营者中的其他主体,如零部件分销商、技术信息服务商等,则无法取得制造商完整的VIN 数据,也无法据此在Scania的数据库中开展其所需的系统性检索。Gesamtverband 因而主张,Scania 提供的信息访问方式不符合 Regulation (EU) 2018/858 第61条关于“非限制、标准化、非歧视”以及“以机器可读、可电子处理数据集形式提供”的要求。
由此,德国科隆地方法院向CJEU 提出初步裁决请求,核心包括三方面问题:第一,制造商以机器可读、可电子处理形式提供信息的义务,究竟覆盖全部“车辆维修与保养信息”,还是仅覆盖与备件有关的信息;第二,制造商是否必须建立允许自动化检索和下载的数据库接口,或至少提供可直接电子处理的文件以及基于 VIN 之外其他标准的搜索功能;第三,如 VIN 在特定情形下构成个人数据,Regulation (EU) 2018/858 是否构成制造商向独立经营者披露 VIN 的 GDPR 第6(1)(c)条意义上的“法律义务”。
应当指出,本案并非单纯围绕一般隐私保护问题,而是典型体现了欧盟汽车后市场监管目标与个人数据保护规则之间的制度交汇。一方面,Regulation (EU) 2018/858 明确强调应确保独立经营者获得必要信息,以维持维修与保养信息服务市场的有效竞争;另一方面,该条例第62条序言同时明确,凡其措施涉及个人数据处理,均应遵守GDPR。因此,本案的真正难点不在于判断哪一部法律优先,而在于确定二者如何协同适用。
三、案件核心法律争议
(一)制造商以机器可读、可电子处理形式开放信息的义务范围究竟有多大
本案的第一项核心争议,是Regulation (EU) 2018/858 第61(1)条第二句所规定的信息应“以易于获取的方式,以机器可读且可电子处理的数据集形式”呈现,这一要求究竟适用于全部“车辆维修与保养信息”,还是仅限于附件X第6.1点所特别提及的与备件有关的信息。Scania 的理解显然更为狭窄,而协会则主张该义务应覆盖全部维修与保养信息。CJEU 最终采纳了后者,认为附件X第6.1点并不限定第61条所要求的信息范围,其不能将“车辆维修与保养信息”缩减为仅与备件有关的数据。
(二)制造商是否必须建立允许自动化搜索和下载的数据库接口
第二项争议涉及“易于获取”“机器可读”“可电子处理”这些要求在技术层面应如何落实。转介法院尤其关心:制造商是否必须提供一种数据库接口,使独立经营者能够自动化检索并直接下载结果;如果并非必须,制造商至少应提供到何种程度的数据可处理性。CJEU 在此作出较为平衡的解释:法院并未要求制造商必须搭建允许自动检索并下载结果的数据库接口,但明确要求其提供的文件格式应当能够使其中的数据被直接电子处理,而非仅提供需要额外转换、无法直接自动处理的格式;同时,制造商还必须建立数据库,使独立经营者不仅可以通过 VIN,还可以通过附件X第6.1点所列的其他附加方式检索原厂零件信息。
(三)VIN 在何种情况下属于 GDPR 意义上的个人数据
第三项争议是本案最具数据治理价值的部分,即VIN 是否属于个人数据。法院没有采取绝对化路径,而是延续 GDPR 关于“可识别性”的相对判断思路。CJEU 明确指出,VIN 作为制造商分配给车辆的标识代码,其本身并非天然“个人”数据;但是,一旦掌握 VIN 的主体能够合理地利用其可获得的手段,将该 VIN 与特定自然人相联系,VIN 即构成该自然人的个人数据。法院特别提到,根据车辆登记证制度,VIN 通常会与登记持有人姓名和地址相联系,因此对于能够借助这些手段识别自然人的主体,VIN 完全可能构成个人数据。
(四)即便VIN 可能属于个人数据,制造商向独立经营者披露 VIN 是否具有合法性基础
第四项争议是GDPR 层面的关键问题。若 VIN 在具体场景中构成个人数据,那么制造商向独立经营者披露 VIN 即构成 GDPR 第4(2)条意义上的“处理”,法院需进一步判断这种处理能否依据 GDPR 第6(1)(c)条作为履行法律义务而合法进行。对此,CJEU 明确回答:Regulation (EU) 2018/858 第61(1)条,结合第61(4)条及附件X第6.1点,确立了制造商向独立经营者开放 VIN 的法律义务;该义务旨在保障车辆维修与保养信息服务市场中的有效且不失真的竞争,属于公共利益目标;同时,法院还认定基于 VIN 进行识别是实现该目标所必需且合比例的。
四、法院裁决要点
(一)“机器可读、可电子处理”的义务覆盖全部车辆维修与保养信息,而非仅限备件信息
CJEU 对第一项问题的回答,明确了制造商开放义务的覆盖范围。法院指出,第61(1)条所称应以易于获取方式、以机器可读且可电子处理数据集呈现的信息,系指 Article 3(48) 所定义的全部“车辆维修与保养信息”,而并非仅限于附件X第6.1点所涉及的备件相关信息。换言之,制造商不能通过狭义解释,把应向独立经营者开放的信息范围压缩至零件替换目录,而应理解为对诊断、服务、检查、维修、重新编程、远程诊断支持等全链条所需信息的开放义务。
(二)法院未强制要求数据库接口,但要求可直接电子处理的文件格式与多元检索路径
对于第二项争议,法院采取了功能导向而非技术路径绑定的解释。其一,CJEU 认为 Regulation (EU) 2018/858 并未强制要求制造商必须开放一个允许自动化检索并下载结果的数据库接口;其二,法院同时明确,制造商至少应以可直接电子处理的文件格式向独立经营者提供信息,不能仅提供需要中间转换、无法直接自动化使用的格式,例如仅能输出截图式或实质上难以再利用的格式;其三,制造商建立的数据库应允许基于 VIN 之外的其他附加条件进行检索,而不能只允许对单一 VIN 开展个别查询。法院在解释中多次强调,其目的在于保障独立经营者能够真正提取、保存并再利用所需技术数据,从而维持后市场竞争。
(三)VIN 不具有绝对的个人数据属性,而具有相对性与场景依赖性
本案最具理论价值的裁判要点之一,在于法院对VIN 个人数据属性的相对化处理。CJEU 明确指出,VIN 本身作为标识代码,并不当然是个人数据;但是,当某一主体合理地掌握可将该VIN 与特定自然人关联起来的手段时,VIN 即成为该主体视角下的个人数据。法院进一步指出,如果独立经营者合理地拥有能够将 VIN 与已识别或可识别自然人相联系的手段,则 VIN 对其而言属于个人数据;在这种情况下,制造商向其开放 VIN 的行为亦属于对个人数据的处理,即便在制造商自身视角下,VIN 并不总是“本身即为”个人数据,尤其在该车辆不属于自然人的情况下更是如此。
(四)Regulation (EU) 2018/858 构成制造商披露 VIN 的 GDPR 第6(1)(c)条法律义务
法院对第三项问题的回答,最终打通了Regulation 2018/858与 GDPR 的衔接路径。CJEU 认为,Regulation 2018/858第61(1)条,结合 第61(4)条 及附件X, 第6.1点,已经为制造商设定了向独立经营者开放VIN 的法律义务;这一义务以确保维修与保养信息服务市场中有效且不失真的竞争为目标,服务于内部市场的公共利益;并且,在卷宗材料中并不存在同时更少侵害但同样有效的替代识别方式,因此基于 VIN 的开放满足合法性、目的明确和比例性要求。由此,法院最终确认,该开放义务构成 GDPR 第6(1)(c)条意义上的合法处理基础。
五、对欧盟数据治理规则形成的核心影响
(一)法院进一步确认汽车行业的“数据开放义务”与 GDPR 并非相互排斥,而应协同适用
Scania案最重要的制度意义之一,在于其否定了实践中存在的两种对立化误解:其一,不能因为 VIN 或维修信息可能涉及个人数据,就将 GDPR 理解为制造商拒绝开放的“挡箭牌”;其二,也不能因为Regulation 2018/858确立了开放义务,就认为汽车行业的信息开放完全不受 GDPR 约束。CJEU 的答案是,开放义务与数据保护义务并行存在,关键不是二选一,而是识别何时构成个人数据处理,以及该处理是否有明确的欧盟法基础。该案因此成为汽车数据治理中“行业监管法与数据保护法协同适用”的标志性判例。
(二)进一步强化了GDPR 中“个人数据属性相对性”的判断逻辑
本案并未发明新的个人数据概念,但它将Breyer 案中的“合理可能使用的手段”标准具体适用于 VIN 这一典型汽车数据标识符。法院强调,判断某个数据是否为个人数据,不能只看数据本身是否直接显示姓名,而应看对相关主体而言,是否可能借助合理可用的手段将其与特定自然人联系起来。这一思路将对未来车辆识别码、远程诊断日志、账户标识符、车机标识、位置数据、驾驶评分标识等多类汽车数据的定性产生持续影响。
(三)明确后市场竞争目标可以构成GDPR 第6(1)(c)条和第6(3)条框架下的正当法律基础
法院在本案中并非抽象援引“法律义务”四字,而是具体论证了该义务的目的、公共利益属性及比例性。其结论表明,在欧盟法体系下,为维护独立经营者和后市场竞争而设置的数据开放义务,可以构成个人数据处理的充分法律基础。该结论对于今后理解汽车数据、设备数据、平台互操作数据在特定行业监管要求下的开放边界,具有显著先例意义。换言之,本案不仅是汽车案件,也为“竞争—互操作—数据开放—GDPR”之间的关系提供了清晰模板。
(四)推动汽车企业将“信息开放合规”从纸面义务转化为数据结构与系统架构义务
法院对“机器可读”“可电子处理”“允许多条件检索”的解释,使制造商不能再满足于形式上开设信息网页或仅提供人工可读文档,而必须从数据库结构、文件格式、检索方式、数据可再利用性等层面重构信息提供体系。这意味着 Regulation 2018/858的合规不再只是法务或监管应对问题,而是与 IT 架构、零件数据库、售后平台和接口治理直接相关的数据工程问题。
六、对中国出海企业及相关业务合规实践的具体启示
(一)不能以“VIN 可能是个人数据”为由一概拒绝独立经营者访问
对中国汽车制造商、进口商以及在欧盟销售车辆和零部件的企业而言,Scania案最直接的启示是:VIN 的个人数据属性并不自动导向“不得开放”的结论。若相关开放义务直接来源于Regulation 2018/858等欧盟法规定,且满足合法目的与比例性要求,企业不能将 GDPR 作为一概拒绝独立经营者获取信息的理由。实践中,若企业以“隐私保护”为由普遍限制维修与保养信息、原厂零件识别信息或 VIN 相关检索能力,可能同时面临后市场竞争合规风险与行业监管风险。
(二)企业应将VIN 视为“场景依赖型”数据,而非简单定性为当然个人数据或当然非个人数据
本案对中国企业特别重要的一点,是提示企业不能用静态标签管理VIN。对于车辆归属于法人车队、租赁公司、公共机构或其他非自然人主体的情形,VIN 可能并不构成个人数据;但在涉及自然人车主、登记持有人、合法使用人时,特别是独立经营者合理掌握可识别线索的情况下,VIN 可能构成个人数据。因此,企业更合理的做法是建立场景分级管理机制,而不是在制度文件中将 VIN 统一归入“绝对敏感”“绝对不开放”或“完全不受 GDPR 约束”的类别。
(三)应将后市场数据开放义务纳入产品、数据库与平台架构设计
对于出海欧盟的中国汽车企业,Scania案的真正挑战在于系统设计。企业应当提前梳理哪些信息构成Regulation 2018/858意义上的“车辆维修与保养信息”,哪些数据必须以机器可读、可电子处理方式开放,哪些检索路径不能仅限于单一 VIN 个别查询。尤其在零件数据库、售后技术文档平台、诊断信息平台、远程支持平台中,应预先考虑文件格式、搜索条件、再利用性和数据提取能力,否则即便企业在合同或隐私政策中作出一般性说明,也难以满足本案所揭示的实质合规要求。
(四)制造商、进口商、经销网络与技术信息服务商之间应重构责任分配
本案虽然直接针对制造商,但其实务影响会沿着汽车售后供应链向下游扩散。对中国企业而言,若其在欧盟通过进口商、授权经销商、售后网络、第三方零件供应商、技术信息服务商和数字平台共同运营后市场信息体系,则应当在合同和制度层面明确:哪些主体承担信息开放义务,哪些主体以独立经营者身份合法接收VIN 和相关信息,哪些处理活动以法律义务为基础,哪些则仍需另行寻找 GDPR 合法性基础。尤其对于同时经营原厂售后与数字平台业务的企业,更应避免因角色混同而引发竞争、数据保护和不正当限制访问的复合风险。
(五)本案对中国零部件企业和独立后市场参与者同样具有直接价值
Scania案并非只影响整车制造商,其实对中国零部件企业、技术信息服务商、独立维修链条和汽车后市场平台更具现实意义。法院明确承认,独立经营者不仅包括维修企业,还包括零部件制造或分销企业、技术信息服务商等,这意味着后市场参与者在欧盟法下拥有更明确的信息接入权利基础。对于计划进入欧盟汽车后市场的中国企业而言,本案提供了极具价值的合规与商业谈判依据。
七、常见合规风险提示
(一)误以为只要涉及VIN,就当然不得向独立经营者披露
这是本案最直接纠正的常见误区。法院明确并未认定VIN 在任何场景下都当然属于个人数据,更未认定一旦构成个人数据即不得披露。相反,法院指出,只要欧盟法设定了明确的法律义务,并满足目的和比例性要求,制造商完全可以依据 GDPR 第6(1)(c)条合法开放 VIN。企业若据此采取“一刀切封闭”策略,可能构成对行业开放义务的误解。
(二)误以为只需向独立经营者提供人工可读网页或PDF 文档即可履行开放义务
本案明确否定了这种低标准理解。法院虽未强制要求开放自动化接口,但要求制造商提供的文件格式应当服务于直接电子处理和再利用,而不是只能人工查阅或需复杂转换才能处理。实践中,如果企业仅通过网页截图、封闭PDF 或难以结构化提取的文档提供信息,仍可能被认定未达到Regulation 2018/858的要求。
(三)误以为只需支持基于单一VIN 的逐车查询即可
法院明确指出,制造商建立的数据库不仅要允许基于VIN 的查询,还应允许依据附件X第6.1点规定的附加标准进行检索。对后市场参与者而言,仅能对单台具体车辆开展个案查询,无法满足其在零件供应链、技术信息服务和业务再利用中的现实需求。企业若仅提供单VIN 查询而不提供更广泛的搜索能力,存在合规风险。
(四)误以为Regulation 2018/858开放义务只覆盖备件目录,不涵盖全部维修与保养信息
一些企业在实践中倾向于将附件X中关于备件数据库的要求理解为全部信息开放义务的边界,从而压缩开放范围。Scania案已明确否定这一理解。企业若仍仅开放零件替换信息,而不开放诊断、服务、检验、维修、远程支持等其他维修与保养信息,将难以与法院解释相一致。
(五)误以为该案仅适用于传统线下维修,不适用于数字化售后和远程支持场景
Regulation 2018/858第3(48)条对“车辆维修与保养信息”的定义已明确包括远程诊断支持所需信息。本案的逻辑因此不仅适用于传统维修车间,也会对数字化售后平台、远程技术支持系统、软件重编程、在线故障诊断和零件匹配平台产生影响。随着汽车售后日益数字化,企业若仍以传统维修场景来理解其信息开放与数据处理义务,极易低估合规范围。
八、结语
Scania案的意义,并不止于回答制造商是否应当向独立经营者开放 VIN 或维修保养信息这一单一争点。其更重要的价值在于,欧盟法院在本案中以较为清晰的规范衔接方式说明:在汽车后市场这一高度技术化、数据化的行业场景中,行业监管法所要求的信息开放义务与 GDPR 所确立的个人数据保护规则,并不是彼此排斥的两套规范,而是需要在具体处理场景中被同时识别、同时适用、同时校准。法院一方面确认,制造商不能通过对Regulation 2018/858附件 X 或 VIN 数据属性的狭义理解,实质性地压缩独立经营者依法应获得的信息范围;另一方面也明确,相关信息一旦在具体场景中可与自然人相关联并使其被识别,相关处理仍应受到GDPR 约束,只是该等处理在满足法定目的、必要性与比例性要求时,可以建立在欧盟法所设定的明确法律义务之上。
对于在欧盟经营汽车制造、进口分销、售后服务、零部件供应及相关数字化平台业务的企业而言,本案所提示的重点,不在于简单判断“VIN 能否开放”或“GDPR 是否适用”,而在于能否围绕维修与保养信息开放、数据字段分级、检索方式设计、平台权限配置以及后市场业务协同,形成一套能够同时回应行业准入要求、竞争秩序要求与数据保护要求的内部治理机制。从这个意义上说,Scania案所澄清的,不只是一个信息访问问题,而是欧盟汽车数据治理中“开放义务如何合规落地”的具体方法。
声明:
以上所刊登的文章仅代表作者本人观点,仅对相关法律与案例进行分析,不构成任何具体操作建议或法律合规意见。如有相关业务需求,欢迎随时联系本律师团队(邮箱:liunian@weihenglaw.com; 电话:18826100095)。
