【政策综述】关于汽车数据出境安全指引（2025版）征求意见稿的政策分析

关于汽车数据出境安全指引（2025版）征求意见稿的政策分析 专业|共享|高效|创新 问题的提出 ￿￿￿￿￿￿2025年6月13日，工信部等八部委征求对《汽车数据出境安全指引（2025版）》的意见，旨在贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等上位法律法规，推动建立高效便利安全的汽车数据跨境流动机制，为产业发展营造良好环境。 ￿￿￿￿￿￿￿汽车数据涉及国家安全和社会公共利益，尤其是在自动驾驶、车联网等技术领域，数据一旦泄露或被滥用，可能对国家基础设施、关键系统运行和社会稳定造成严重影响。近年来，随着我国智能网联汽车产业的快速发展和全球化布局的加快，汽车出口量显著增加。2024年，我国汽车整车出口达到585.9万辆，同比增长19.3%。其中新能源汽车出口128.4万辆，同比增长6.7%。2025年1至6月，我国汽车整车出口308.3万辆，同比增长10.4%。其中，新能源汽车出口106万辆，同比增长75.2%。同时，随之而来的是大量汽车数据的跨境流动。这些数据不仅包括车辆运行状态、驾驶行为、用户信息等，还涉及自动驾驶、车联网、软件升级等关键领域。由于汽车数据与国家安全、社会公共利益密切相关，其跨境流动可能带来数据泄露、滥用、非法获取等风险，因此，有必要对《指引》征求意见稿的政策规定，以及对汽车生产企业带来的重大机遇与挑战进行全面分析，以求提前做好应对。 《指引（2025版）》征求意见稿的主要内容分析 《指引》相比《汽车数据安全管理若干规定（试行）》的主要变化 ￿￿￿￿￿￿￿2021年8月16日，国家互联网信息办公室等五部委联合印发《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。《规定》共十九条。这是我国在智能网联汽车发展背景下出台的首部针对汽车数据安全的专门法规，旨在通过明确数据处理规则、强化个人信息保护、规范重要数据管理、落实跨境数据传输要求等措施，构建汽车数据安全的法律框架。该规定不仅为汽车行业提供了明确的合规指引，也为其他领域的数据安全治理提供了有益借鉴。但是，随着我国自动驾驶汽车企业出海步伐加快，智能网联汽车运营过程中的数据安全问题备受关注。因为这类汽车在行驶和运营过程中涉及大量数据，一旦管理不当遭遇泄露、被恶意调用或被黑客入侵获取，都将带来安全风险。因此，《规定》已不适应智能网联汽车数据出境安全发展要求。 ￿￿￿￿￿￿￿《汽车数据安全管理若干规定（试行）》与《规定》相比，在数据出境路径、技术防护要求、重要数据识别、豁免场景、实施流程、安全保护要求、适用范围、个人信息保护、合规路径灵活性以及与现有法规的衔接等方面，进行了显著的细化和调整，为汽车数据出境提供更加明确和全面的指导。 《指引（2025版）》征求意见稿的主要内容分析 《指引（2025版）》征求意见稿的适用范围和数据出境行为 ￿￿￿￿￿￿￿《指引（2025版）》征求意见稿（以下简称《指引》）的适用范围：汽车数据处理者按照本指引开展数据出境活动。本指引所称汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。汽车数据处理者是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。与《规定》相比，汽车数据处理者新增了“电信运营企业、自动驾驶服务商、平台运营企业”。 ￿￿￿￿￿￿￿《指引》关于数据出境行为的规定。汽车数据处理者向中华人民共和国境外提供汽车数据，符合以下情形之一的属于数据出境行为：一是汽车数据处理者将在中华人民共和国境内运营中收集和产生的汽车数据传输至境外；二是汽车数据处理者收集和产生的汽车数据存储在境内，境外的机构、组织或者个人查询、调取、下载、导出；三是符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。第三条第二款情形如下：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。 《指引（2025版）》征求意见稿的主要内容分析 《指引》关于数据出境路径的规定 ￿￿￿￿￿￿￿《指引》明确了汽车数据出境三大路径规则：一是应当申报数据出境安全评估。适用于涉及重要数据出境或关键信息运营者出境个人信息的情形。包括：向境外提供重要数据；自当年1￿月1￿日起累计向境外提供100￿万人以上个人信息（不含敏感个人信息）；自当年1￿月1￿日起累计向境外提供1￿万人以上敏感个人信息；关键信息基础设施运营者向境外提供个人信息；国家有关规定明确的其他需要申报数据出境安全评估的情形。二是订立个人信息出境标准合同。适用于通过合同约定数据出境的安全责任。可在与境外接收方订立个人信息出境标准合同、通过个人信息保护认证两种方式中任选其一： （1）自当年1￿月1￿日起，累计向境外提供10￿万人以上、不满4100￿万人个人信息（不含敏感个人信息）的；（2）自当年1￿月1￿日起，累计向境外提供不满1￿万人敏感个人信息的。三是通过个人信息保护认证。规定了九类免予申报安全评估、订立标准合同或通过认证的情形，包括纯境外数据过境、履行跨境合同必需、跨境人力资源管理、紧急保护生命财产、小规模个人信息出境、自贸试验区负面清单外数据、安全漏洞修补、安全事件处置、OTA召回相关源代码。这为低风险数据出境活动提供了便利通道。 《指引（2025版）》征求意见稿的主要内容分析 《指引》关于重要数据出境的规定（1） ￿￿￿￿￿￿￿《指引》最为核心的内容之一是对汽车行业重要数据的细化界定，通过具体业务场景和判定规则，解决了长期以来企业面临的“重要数据识别难”问题。《指引》采用“业务场景+数据类别+判定规则”的三维框架，明确了六大业务场景下可能构成重要数据的具体数据类型。 ￿￿￿￿￿￿￿一是研发设计场景。（一）产品研发。汽车数据处理者在整合全球研发资源、产品协同设计开发过程中，收集和产生的物料清单、研发设计文档、产品技术开发源代码数据；（二）产品测试。汽车数据处理者开展汽车产品仿真、场地和实际道路测试过程中，收集和产生的标注场景数据、仿真场景数据、测试场景数据。 ￿￿￿￿￿￿￿二是生产制造场景。汽车数据处理者在汽车产品生产制造过程中，收集和产生的物料清单、生产控制程序源代码。 ￿￿￿￿￿￿￿三是驾驶自动化场景。汽车数据处理者在组合驾驶辅助或自动驾驶功能开发、部署、应用等过程中，收集和产生的算法、训练数据、特征数据。 《指引（2025版）》征求意见稿的主要内容分析 《指引》关于重要数据出境的规定（2） ￿￿￿￿￿￿￿四是软件升级服务场景。汽车数据处理者升级汽车动力系统、底盘系统、安全驾驶功能的软件包对应的源代码。 ￿￿￿￿￿￿￿五是联网运行场景。包括车辆数据、车路感知、车路分析和车联网平台运营。（一）汽车数据处理者在车辆联网运行过程中，收集和产生的车辆识别码、车联网卡识别码、车辆密钥、车辆数字证书、控制指令；（二）汽车数据处理者在车辆及路侧设备联网运行过程中，收集和产生的车外实景影像、雷达数据、位置轨迹数据、惯性导航数据、自动驾驶地图数据、构图类数据；（三）汽车数据处理者在开展车路协同分析、构建车路协同系统过程中，收集和产生的融合计算数据；（四）汽车数据处理者在开展车联网平台建设、运行、维护过程中，收集和产生的网络规划数据、充电运行数据。 ￿￿￿￿￿￿￿六是其他情形。符合以下情形之一的汽车数据：（一）其他出境业务场景中符合上述判定规则的；（二）汽车数据处理者按照国家有关规定和行业标准规范识别、申报重要数据，工业和信息化部、国家网信办等相关部门公开或告知企业属于重要数据的。 《指引（2025版）》征求意见稿的主要内容分析 《指引》关于数据出境实施流程的规定 ￿￿￿￿￿￿￿《指引》细化了数据出境的实施流程，包括数据识别、路径判定和实施数据出境安全评估。具体流程如下：第一、数据识别。汽车数据处理者在重要数据目录备案基础上，按照本指引识别需申报出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的汽车数据。对于向境外提供个人信息的，汽车数据处理者应当依法依规履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。第二、路径判定。根据本指引“一、总则（三）数据出境路径”判断和确定数据出境路径。符合本指引“一、总则（三）数据出境路径”第3￿项规定情形的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。第三、实施数据出境安全评估。汽车数据处理者实施数据出境安全评估应按照《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南（第二版）》规定申报评估。第四、订立个人信息出境标准合同。汽车数据处理者应按照《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第二版）》规定，订立个人信息出境标准合同。第五、通过个人信息保护认证。按网信办和市场监管总局等部门有关规定开展。 《指引（2025版）》征求意见稿的主要内容分析 《指引》关于汽车数据出境安全保护要求的规定 ￿￿￿￿￿￿￿《指引》关于汽车数据出境安全保护要求包括以下四个方面。 ￿￿￿￿￿￿￿第一、管理要求。包括部门要求、人员要求、制度要求和审批要求。汽车数据处理者应明确内部管理部门和安全负责人，建立数据出境审批机制。应当明确网络安全、数据安全、个人信息保护等方面的制度要求，针对性明确汽车数据出境安全管理要求；建立汽车数据出境内部登记审批机制，设定审批权限和审批流程，对审批材料进行整理存档。 ￿￿￿￿￿￿￿第二、防护技术要求。包括数据出境传输安全、数据出境安全监测要求、检查支持要求。采用加密、访问控制、数据脱敏等技术手段，保障数据在传输和存储过程中的安全性。 ￿￿￿￿￿￿￿第三、日志要求。包括日志记录、日志留存和日志审计。汽车数据处理者应当对汽车数据出境的网络通信行为和直接向境外传输汽车数据的主机的操作行为进行记录。记录留存时间不少于3￿年。 ￿￿￿￿￿￿￿第四、应急处置要求。汽车数据处理者应当建立汽车数据违规出境的处置能力，发现异常行为时应及时处置，并按有关要求向本地区行业监管部门报告。 《指引（2025版）》对车企带来的重大挑战与机遇 《指引》重要数据目录对汽车企业带来哪些重大挑战 ￿￿￿￿￿￿￿《指引》的出台虽然为汽车数据跨境流动提供了更为清晰的规范框架，但也给汽车行业带来了多维度、深层次的合规挑战。这些挑战不仅涉及技术层面的调整，更要求企业重构数据治理体系，应对跨境业务模式重塑带来的战略考验。一是复杂场景下的重要数据识别难题。《指引》大幅提高了汽车企业的合规判定难度。企业需要组建专业团队，持续跟踪业务场景下各类数据的动态变化，评估其是否达到位置、规模、精度等阈值标准；需要研发测试数据中的算法训练素材是否反映“敏感区域”特征、生产制造数据中的工艺参数是否关联“国家重大专项”等问题；需要对数据资产管理系统进行深度改造，增加场景标签、动态阈值判断等功能模块，这需要投入大量资金与时间成本。二是数据出境路径选择的合规风险。《指引》要求出境地理信息数据必须经国家认定的保密技术处理，这对自动驾驶汽车等高依赖环境感知数据的业务构成特殊挑战。对已上路车辆的OTA升级改造面临技术可行性与用户接受度双重挑战。三是合规成本激增的经营压力。汽车数据合规需要既懂法律法规，又了解汽车技术和数据科学的复合型人才。流程再造工作需要投入大量管理资源，直接影响短期经营效益。 《指引（2025版）》对车企带来的重大挑战与机遇 《指引》重要数据目录对汽车企业带来哪些重大机遇 ￿￿￿￿￿￿￿《指引》的实施在带来严峻挑战的同时，也为汽车产业创造了结构性发展机遇。敏锐的企业能够将合规要求转化为竞争优势，在数据要素市场化进程中抢占战略高地。一是自贸试验区政策红利的战略布局。已备案的17个领域数据出境负面清单为汽车数据跨境提供了便利化通道。企业可将研发中心、数据中心等关键设