文/李坤

　　随着自动驾驶技术的迅速发展，其在公共道路上的应用与商业化进程不断加快。该技术在提升交通效率与出行便利的同时，也引发了法律责任界定、数据保护与安全管理等多方面的挑战。为应对上述问题，欧盟层面相继建立了以《一般安全法规》《人工智能法》等为代表的系统性法律框架。在此基础上，德国、法国和荷兰等成员国通过制定或修订相关法律，确立了远程技术监督、数据记录以及事故责任划分等制度性安排，从而为自动驾驶车辆在公共道路的应用提供必要的法律保障。
　　
　　 一、欧盟层面

　　在欧盟层面，自动驾驶技术的发展与应用受到一系列法律与政策的系统性规范。这些规范涵盖车辆设计与安全标准、人工智能风险管理、个人数据保护以及网络与信息安全等多个维度，形成全流程的监管框架。

　　（一）自动驾驶车辆的设计标准与市场准入要求
　　欧盟《一般安全法规》是欧盟自动驾驶安全立法的重要基础，为车辆的设计、制造和市场准入提供统一标准。该法规对自动驾驶的相关概念予以了明确：自动驾驶车辆指经过设计制造，可在无需驾驶员持续监控的情况下自主运行一定时间，但仍需驾驶员在特定情境下介入的机动车；全自动驾驶车辆指经过设计制造，可实现完全自主运行，无需任何驾驶员监控的机动车。
　　此外，法规规定，欧盟市场销售的自动驾驶车辆必须配备一系列关键安全技术，如自动紧急制动、智能车速辅助、驾驶员监控以及事件数据记录仪等，以保障自动驾驶运行的安全性。这些强制性配置为自动驾驶车辆的安全操作提供了技术前提。

　　（二）高风险人工智能监管下的自动驾驶合规要求
　　欧盟《人工智能法》作为全球首部系统性人工智能立法，确立了风险导向监管模式，对人工智能的相关主体提出了全流程合规要求。其核心是按照风险等级进行分类管理，根据《人工智能法》的附件三规定，自动驾驶属于高风险系统，因此需遵循该法对高风险人工智能系统的全面规制要求。
　　该法主要规定：一是风险管理系统，自动驾驶技术提供者必须建立持续迭代的风险管理体系，以识别、分析并减轻预期用途或可预见误用带来的健康、安全及基本权利风险，并定期审查更新；二是数据和数据治理，自动驾驶系统在开发过程中需使用高质量的训练、验证和测试数据集，确保相关性、代表性和准确性，并通过治理机制控制偏差和错误；三是技术文件与可追溯性，自动驾驶技术提供者应编制并更新技术文件，详细记录系统特性、数据要求、监督措施及测试结果，同时运行期间必须记录事件，以便事后追溯和监管；四是透明度与人工监督，系统应足够透明，使部署者理解其运行逻辑和性能限制，并配有清晰的使用说明，同时必须支持人工监督，确保在必要时能够识别异常并干预操作；五是准确性、稳健性与网络安全，系统在整个生命周期内应维持高水平的准确性和安全性，并采取措施抵御故障、数据投毒和对抗性攻击等风险；六是责任，自动驾驶系统的提供者需建立质量管理体系、完成合格性评估、编制欧盟合格性声明并加贴CE标志，同时实施市场后监测。自动驾驶系统的部署者必须按照说明使用系统，确保合格人员监督运行并保存相关日志。包括自动驾驶在内的高风险人工智能系统必须加贴CE标志以表明符合规定，并允许在欧盟内部市场自由流通。成员国市场监督机构负责执法，对不合规系统有权采取调查、纠正或禁止措施。

　　（三）自动驾驶数据处理与隐私保护规范
　　自动驾驶车辆在运行过程中会持续收集与处理涉及自然人隐私的多类数据，如车辆位置、环境影像、乘客行为甚至健康状况。这些数据的敏感性决定自动驾驶技术必须严格遵守欧盟《通用数据保护条例》，以保障自然人的权利与自由。该条例规定了数据保护影响评估，合法性、透明性与最小化原则以及数据主体权利在自动驾驶情境下的落实等内容。
　　数据保护影响评估在自动驾驶场景下尤为关键。欧盟《通用数据保护条例》要求，当数据处理活动可能对个人带来高风险时，控制者须在处理前开展数据保护影响评估。自动驾驶系统往往涉及大规模监控公共空间、收集特殊类别数据以及对乘客行为的自动化分析，因此普遍需要开展此类评估，以识别和缓释隐私风险。
　　合法性、透明性与最小化原则在自动驾驶数据治理中具有直接意义。车辆在采集行驶轨迹和乘员数据时，必须告知用户处理目的和范围，并限定在“保障驾驶安全、提升交通效率”等特定目标内。超出此目的（如用于广告画像）则可能违反“目的限制”原则。同时，数据存储时间应严格限定，避免长期保留形成隐私侵害。
　　数据主体权利在自动驾驶情境下的落实存在新挑战。乘客和驾驶员有权知晓车辆系统采集哪些数据、出于何种目的，并可在数据不再必要时要求删除。对于依赖云端处理的自动驾驶企业，还需保障数据的可携权，确保用户在更换服务商时可以自由转移其数据。

　　（四）自动驾驶系统的网络安全与运营责任
　　在自动驾驶的运行链条中，车辆、制造商、运营商、道路基础设施和云端平台均可能成为网络攻击目标。为此，欧盟《网络与信息安全指令2》将交通运输业和汽车制造业纳入关键实体或重要实体范围，使自动驾驶相关企业必须遵循统一的网络安全合规义务。该指令主要包括以下几方面内容：一是风险管理措施，自动驾驶企业需在系统设计阶段嵌入网络安全要求，如防范远程接管车辆控制、保障传感器与通信链路的完整性；在运营层面，则需建立供应链管理机制，防止零部件或软件更新成为攻击入口，并确保车辆在遭遇攻击时具备业务连续性与危机响应能力。二是事件通报义务，自动驾驶系统一旦遭遇网络攻击，相关实体须在24小时内报告初步情况，72小时内提交详细信息，1个月内提交最终报告。这种快速通报机制有助于避免单点事故演变为区域性交通危机，主管部门能够及时掌握和处理风险事件。三是管理层责任，自动驾驶企业和运营商的高层必须对网络安全合规承担直接责任，若疏于管理导致系统漏洞或事件迟报，可能面临罚款或法律追责，从而强化组织的安全文化。

　　二、欧盟成员国层面

　　尽管欧盟层面制定了统一的安全法规与数据保护制度，但具体的落地实施主要由成员国负责，不同国家的政策存在差异。换言之，欧盟通过框架性立法奠定统一标准，而成员国则结合自身交通环境和监管需求，在许可机制、技术监督和事故责任等方面进行差异化探索，下文以德国、法国和荷兰为例进行说明。

　　（一）德国自动驾驶技术治理框架
　　德国作为全球首个建立专门自动驾驶法律框架的国家，于2021年修订《道路交通法》，并在其中确立系统性的自动驾驶法律制度。该法律不仅涵盖技术要求、准入条件，还对事故责任与保险制度作出明确规定，形成较为完整的监管体系。
　　一是自动驾驶车辆的准入与运营范围方面，法律明确规定，具备L4级自动驾驶系统的车辆可以在经主管部门批准的特定区域内进行常规运营。适用场景主要包括穿梭巴士、物流运输车辆以及自动驾驶出租车。
　　二是远程技术监督机制方面，德国创新性地引入远程“技术监督员”制度。法律要求，在车辆无人驾驶状态下，必须由经过授权的技术人员通过远程监控系统实时监督车辆运行，并在必要时能够介入操作或下达紧急停止指令。该制度确保在无人驾驶情况下仍然存在可追责的安全保障主体。
　　三是在测试、运营及制造商责任方面，法律统一规定自动驾驶车辆与自主驾驶车辆在测试与运营中的条件。制造商需确保系统符合安全标准，并在产品缺陷或系统故障导致事故时承担相应责任。这一规定强化了制造商在自动驾驶安全中的主体地位。
　　四是在数据记录与处理要求方面，法律要求所有自动驾驶车辆配备运行数据记录装置，并确立车辆所有人对数据存储的法定义务。同时，法律为交通主管部门的数据处理活动提供法律依据，规范车辆与政府机构之间的数据传输和使用。数据处理既需满足交通安全监管与事故调查的需要，也必须遵守欧盟《通用数据保护条例》，以实现安全性与隐私保护之间的平衡。
　　五是在事故责任与保险制度方面，法律明确坚持严格责任原则。当具备自动驾驶功能的机动车发生交通事故时，车辆所有人须对损害承担责任，而不论其是否存在过错。同时，车辆所有人必须购买机动车责任险，以确保事故受害人获得充分赔偿。
　　（二）法国自动驾驶技术治理框架
　　法国于2019年通过《出行指导法》，确立自动驾驶车辆上路的基础法律制度。其中，该法第31条授权政府可通过法令，在特定条件下允许自动驾驶车辆在公共道路运行。该条款要求在自动驾驶技术投入使用前，必须配套信息披露与培训措施，以确保驾驶人或操作员了解系统运行边界及干预方式。同时，政府可根据需要设定附加条件，如限定道路类型、运行时间。该法第32条进一步确立了自动驾驶车辆在数据存储与传输方面的义务，要求车辆配备具备数据记录与远程传输功能的系统，以便对自动驾驶车辆事故、保险理赔等方面提供溯源与原因认定支持。同时，数据收集须遵循最小化原则，仅限必要信息，并符合法国数据保护法及欧盟《通用数据保护条例》的要求。在《出行指导法》的框架下，法国于2021年进一步出台第2021-443号与第2021-873号两项细化实施性法令。
　　第2021-443号法令依照《出行指导法》第31条授权，对法国《道路交通法典》进行修订，以适应自动驾驶车辆的使用。该法令的主要内容包括：一是法令明确刑事责任划分，规定自动驾驶系统激活时由制造商或其代理商承担刑事责任，并规范执法部门获取“驾驶委托状态数据”的条件；二是法令要求建立罚单豁免机制，允许当事人提供自动驾驶系统激活证明以免除部分交通违法责任；三是法令设定自动驾驶系统激活条件，规定驾驶员在特定情况下的决策责任，以及系统故障时的警告、接管与安全停车机制；四是法令强化消费者知情权，要求销售或租赁前必须向用户提供完整信息；五是法令针对自动化道路运输系统，规定远程干预必须由专业持证人员执行，并设立相应安全验证程序。
　　第2021-873号法令则针对自动驾驶车辆及自动道路运输系统的道路部署作出了具体规定。该法令适用于需在远程监控下运行的高度至完全自动驾驶系统，且通常限定在预定路径或区域内使用。法令主要内容包括：一是法令明确系统的安全性能要求；二是法令规定驾驶员及远程干预人员的职责；三是法令通过特定的安全验证程序，对车辆、远程设备及操作流程进行合规性检验。该法令还规定，部分自动驾驶车辆需在遭遇特定危险或故障时向驾驶人发出接管请求；高度自动驾驶车辆则能够在其功能设计域内应对交通危险与故障，无需人工接管；完全自动驾驶车辆能够自主处置一切交通危险与故障，但目前仅限具备远程干预功能的自动道路运输系统运行场景。

　　（三）荷兰自动驾驶技术治理框架
　　荷兰于2019年7月正式通过《实验车辆法》。该法通过对本国《道路交通法》的修订，旨在为无人驾驶车辆在公共道路开展测试提供法律框架。
　　首先，该法规定了实验许可制度。自动驾驶车辆若在无安全驾驶员在场的情况下进行道路测试，必须事先获得基础设施与水管理部部长颁发的特别许可。许可期限最长为三年，且可附加条件或豁免，允许在必要范围内免除部分交通法规的适用，但不得违反最核心的交通安全条款。申请人需提交完整的实验方案，包括车辆技术说明、运行环境、测试路线、运行时间及天气条件等。许可审批须征求司法与安全部以及道路管理机构的意见，并抄送交通管理部门及相关道路主管机构，以确保透明性与多部门监督。
　　其次，该法规定了技术监督机制。法律要求每个实验项目必须配备远程技术监督员。监督员虽无需在车内，但必须具备随时保持通信与控制的能力，能够在紧急情况下立即接管车辆或下达停止指令。制度明确实验驾驶员的法律身份，即便其不在车内，也需承担相应责任。同时，规定了监督员的位置、职责范围以及其可同时操控的车辆数量，从而在缺乏传统驾驶员的情况下，确保仍有明确、可追责的安全责任人。
　　再次，该法规定了事故责任与保险制度。《实验车辆法》延续了荷兰《道路交通法》的严格责任原则。车辆所有人对事故承担无过错赔偿责任，即不论是否存在过错，车主均需对受害人进行赔偿。如事故由车辆技术缺陷或系统失效引发，则制造商或运营企业需承担补充责任。为保障事故受害人权益，法律要求实验及商业运营车辆必须购买机动车责任保险，以提供充分的赔偿保障。
　　最后，该法规定了数据记录与监测机制。所有实验车辆均须安装运行数据记录系统，以记录车辆状态、系统干预情况、远程操控指令及事故信息。实验主体需定期向主管部门提交数据报告，用于政府开展风险分析与政策评估。相关数据既服务于事故责任追溯，也为未来自动驾驶法规与技术标准的制定提供实证依据。数据处理须符合荷兰法律及欧盟《通用数据保护条例》的要求，在保障交通安全与政策制定需要的同时，兼顾个人隐私保护。

　　三、结语

　　自动驾驶技术的发展不仅推动了交通运输的创新，也对现有法律和监管体系提出了新的挑战。总体来看，欧盟法律以统一标准、风险管理和市场监督为核心，强调高风险人工智能系统的合规要求、个人数据保护及网络安全；而成员国法律则更侧重远程技术监督、数据记录以及事故责任划分等，为自动驾驶车辆在公共道路的应用提供可操作性保障。欧盟“统一框架+差异化实施”的模式，不仅有助于保障道路交通安全和用户权益，也为未来欧盟在自动驾驶领域实现跨国协同监管、推动技术创新提供可能。■
　　（本文系公安部第三研究所2025年基础理论和软科学项目的阶段性成果，编号：KYC25310）
　　
　　【作者简介】李坤，公安部第三研究所网络安全法律工程师，研究方向：网络犯罪、网络治理法。
　　（责任编辑：冯苗苗）