跨境數(shù)據(jù)合規(guī)｜《汽車數(shù)據(jù)出境安全指引（2025版）》（征求意見稿）的準(zhǔn)確理解與適用【走出去智庫(kù)】

走出去智庫(kù)（CGGT）觀察

6月13日，工業(yè)和信息化部等八部門公開征求對(duì)《汽車數(shù)據(jù)出境安全指引（2025版）》的意見，反饋意見截止日期為2025年7月13日。該《指引》擬提出必須申報(bào)安全評(píng)估的情形、通過訂立標(biāo)準(zhǔn)合同或通過認(rèn)證出境的情形以及9類豁免情形。

走出去智庫(kù)(CGGT)特約法律專家、金杜律師事務(wù)所合伙人寧宣鳳認(rèn)為，盡管目前僅是征求意見稿，《指引》一定程度上回應(yīng)了過去近3年數(shù)據(jù)出境實(shí)操中遇到的問題，反映了監(jiān)管部門對(duì)各類汽車數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)，體現(xiàn)出相關(guān)監(jiān)管經(jīng)驗(yàn)和參考價(jià)值。從法規(guī)銜接層面來(lái)看，《指引》的發(fā)布使現(xiàn)有的汽車數(shù)據(jù)安全管理規(guī)范體系更為健全，與現(xiàn)有的數(shù)據(jù)安全相關(guān)法律法規(guī)相互補(bǔ)充，形成了更為完善的數(shù)據(jù)出境管理法規(guī)框架。

汽車數(shù)據(jù)出境如何做好合規(guī)管理？今天，走出去智庫(kù)（CGGT）刊發(fā)金杜律師事務(wù)所寧宣鳳、吳涵、張凱勛、姚敏侶的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)的讀者參考。

要點(diǎn)

1、《指引》經(jīng)征求意見并通過后，也將成為汽車數(shù)據(jù)安全管理的有效參考規(guī)范之一，一定程度上代表了安全監(jiān)管要求趨勢(shì)。

2、《指引》充分結(jié)合汽車行業(yè)客觀實(shí)際，提出了覆蓋汽車數(shù)據(jù)全生命周期和主要實(shí)踐場(chǎng)景下的識(shí)別細(xì)則。

3、《指引》細(xì)化了重要數(shù)據(jù)識(shí)別認(rèn)定規(guī)則，企業(yè)需要依據(jù)這些規(guī)則重新審視和梳理所處理的汽車數(shù)據(jù)，明確哪些數(shù)據(jù)屬于重要數(shù)據(jù)范疇。

正文

引言：背景及規(guī)范概覽

1.《指引》的出臺(tái)背景

2025年6月13日，工業(yè)和信息化部（以下簡(jiǎn)稱“工信部”）、國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”）、國(guó)家發(fā)展改革委、國(guó)家數(shù)據(jù)局、公安部、自然資源部、交通運(yùn)輸部、市場(chǎng)監(jiān)管總局聯(lián)合起草的《汽車數(shù)據(jù)出境安全指引（2025版）（征求意見稿）》（“《指引》”）正式向社會(huì)發(fā)布，公開征求意見。

近年來(lái)，隨著數(shù)字經(jīng)濟(jì)迅猛發(fā)展，數(shù)據(jù)跨境流動(dòng)日益頻繁，數(shù)據(jù)安全管理面臨新的挑戰(zhàn)與機(jī)遇。2024年，中國(guó)共產(chǎn)黨第二十屆中央委員會(huì)第三次全體會(huì)議決定指出“建立高效便利安全的數(shù)據(jù)跨境流動(dòng)機(jī)制”，國(guó)家網(wǎng)信辦同年出臺(tái)的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》（以下簡(jiǎn)稱“《322新規(guī)》”），為進(jìn)一步優(yōu)化各行業(yè)的數(shù)據(jù)跨境流動(dòng)管理要求奠定了基礎(chǔ)，為行業(yè)細(xì)則的制定提供了空間。

2025年4月9日，國(guó)家網(wǎng)信辦發(fā)布“數(shù)據(jù)出境安全管理政策問答（2025年4月）”，明確指出數(shù)據(jù)出境涉及眾多行業(yè)領(lǐng)域，國(guó)家網(wǎng)信辦會(huì)同相關(guān)行業(yè)主管部門，逐步細(xì)化明確具體行業(yè)領(lǐng)域的數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景以及個(gè)人信息出境必要范圍，為企業(yè)機(jī)構(gòu)數(shù)據(jù)出境提供更為細(xì)化的政策指引。[1]

在此背景下，金融、汽車等強(qiáng)監(jiān)管行業(yè)陸續(xù)制定了類似規(guī)則。2024年底，在世界互聯(lián)網(wǎng)大會(huì)烏鎮(zhèn)峰會(huì)上，中國(guó)人民銀行科技司司長(zhǎng)李偉披露，國(guó)家將出臺(tái)關(guān)于金融業(yè)數(shù)據(jù)跨境流動(dòng)的合規(guī)指南。[2]2025年4月17日，中國(guó)人民銀行、金融監(jiān)管總局、中國(guó)證監(jiān)會(huì)、國(guó)家外匯局、國(guó)家網(wǎng)信辦、國(guó)家數(shù)據(jù)局聯(lián)合印發(fā)《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)指南》，為金融行業(yè)的數(shù)據(jù)跨境流動(dòng)提供了明確的合規(guī)指引。[3]

汽車行業(yè)作為數(shù)據(jù)安全管理的重點(diǎn)行業(yè)部門，其數(shù)據(jù)跨境流動(dòng)的規(guī)模和復(fù)雜性不斷增加，迫切需要統(tǒng)一的規(guī)則指引，以加強(qiáng)汽車數(shù)據(jù)的保護(hù)和出境管理。日前，正是基于此種背景，《指引》公開發(fā)布并面向社會(huì)征詢意見。

2.《指引》的結(jié)構(gòu)與定位

從整體結(jié)構(gòu)上看，《指引》分為“總則”“重要數(shù)據(jù)出境”“數(shù)據(jù)出境實(shí)施流程”和“汽車數(shù)據(jù)出境安全保護(hù)要求”四個(gè)部分，而在位階上屬于行政規(guī)范性文件，用于支撐《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等上位法中關(guān)于重要數(shù)據(jù)保護(hù)和數(shù)據(jù)出境的相關(guān)具體要求并提供實(shí)踐指引?！吨敢氛狭宋覈?guó)境內(nèi)數(shù)據(jù)出境相關(guān)管理要求，并延續(xù)風(fēng)險(xiǎn)分級(jí)管理思路，主要對(duì)重要數(shù)據(jù)的出境活動(dòng)進(jìn)行了細(xì)化，包括各個(gè)場(chǎng)景下的重要數(shù)據(jù)范圍、重要數(shù)據(jù)識(shí)別和備案、數(shù)據(jù)出境安全評(píng)估申報(bào)流程，以及汽車數(shù)據(jù)出境安全保護(hù)要求。從規(guī)范角度來(lái)看，《指引》的實(shí)操意義比較強(qiáng)，需要屬于適用范圍內(nèi)的相關(guān)企業(yè)予以特別關(guān)注。

從適用范圍上看，相比于《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（“《規(guī)定》”），除了已有的“汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)”以外，《指引》中通過注意性規(guī)定增加了“電信運(yùn)營(yíng)企業(yè)、自動(dòng)駕駛服務(wù)商、平臺(tái)運(yùn)營(yíng)企業(yè)”這三類主體類別，且仍然保留了“等”非窮盡描述的措辭。事實(shí)上，針對(duì)適用主體類型的規(guī)定，核心的判斷標(biāo)準(zhǔn)仍應(yīng)當(dāng)在于所處理的數(shù)據(jù)類型。在當(dāng)前的智能網(wǎng)聯(lián)汽車和無(wú)人駕駛等領(lǐng)域，包括電信運(yùn)營(yíng)商、自動(dòng)駕駛技術(shù)提供方和服務(wù)平臺(tái)等均是參與行業(yè)實(shí)踐和標(biāo)準(zhǔn)建設(shè)的常見市場(chǎng)主體，而在相關(guān)市場(chǎng)領(lǐng)域中處于汽車數(shù)據(jù)處理上下游的這些組織機(jī)構(gòu)，也需要符合相關(guān)的安全管理規(guī)定，這一點(diǎn)毋庸置疑。由此，我們建議企業(yè)在判斷《指引》的適用范圍和條件時(shí)，以自身所處理的“數(shù)據(jù)類型是否屬于汽車數(shù)據(jù)”或“是否屬于汽車數(shù)據(jù)處理者”的實(shí)質(zhì)性判斷，替代規(guī)范中明確列舉的主體類型等機(jī)械形式判斷，避免合規(guī)義務(wù)的遺漏風(fēng)險(xiǎn)。

此外，根據(jù)我們的觀察以及項(xiàng)目經(jīng)驗(yàn)，盡管目前僅是征求意見稿，《指引》一定程度上回應(yīng)了過去近3年數(shù)據(jù)出境實(shí)操中遇到的問題，反映了監(jiān)管部門對(duì)各類汽車數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)，體現(xiàn)出相關(guān)監(jiān)管經(jīng)驗(yàn)和參考價(jià)值。與此同時(shí)，《指引》經(jīng)征求意見并通過后，也將成為汽車數(shù)據(jù)安全管理的有效參考規(guī)范之一，一定程度上代表了安全監(jiān)管要求趨勢(shì)。因此，對(duì)于從事研發(fā)設(shè)計(jì)、道路測(cè)試等業(yè)務(wù)的汽車數(shù)據(jù)處理者而言，在開展重要數(shù)據(jù)識(shí)別基礎(chǔ)上做好數(shù)據(jù)出境安全合規(guī)管理顯得尤為關(guān)鍵。

3.《指引》的適用與銜接

就個(gè)人信息而言，《指引》總體上仍然遵循了《322新規(guī)》下的框架，并未提出額外的要求或豁免。不過，《指引》整合了各出境路徑下的適用條件，方便汽車數(shù)據(jù)處理者參照適用，并且明確“跨境購(gòu)車、跨境寄遞、跨境注冊(cè)賬戶”等情形屬于“為訂立、履行個(gè)人作為一方當(dāng)事人的合同確需出境”的情形。

對(duì)比現(xiàn)有的各行業(yè)指引，我們觀察到各主管部門根據(jù)其行業(yè)特性以及過去3年的監(jiān)管實(shí)踐，所發(fā)布的數(shù)據(jù)出境指引在規(guī)則設(shè)置上各有側(cè)重，采取的方式也有所不同。例如，《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)指南》側(cè)重于對(duì)不同豁免情形明確具體的必要個(gè)人信息范圍，并針對(duì)無(wú)法免于數(shù)據(jù)跨境相關(guān)合規(guī)義務(wù)但基于實(shí)際情況又確需向境外傳輸數(shù)據(jù)的情況，給出了常見金融業(yè)務(wù)場(chǎng)景的必要個(gè)人信息數(shù)據(jù)項(xiàng)示例。另一方面，此次公布的《指引》更多的是以重要數(shù)據(jù)識(shí)別和認(rèn)定為視角，規(guī)范汽車數(shù)據(jù)出境活動(dòng)，但并未提供滿足豁免情形的數(shù)據(jù)項(xiàng)示例或個(gè)人信息出境必要范圍。工信部日后是否會(huì)進(jìn)一步出臺(tái)關(guān)于滿足豁免情形的個(gè)人信息數(shù)據(jù)項(xiàng)示例或個(gè)人信息出境必要范圍指引，也有待觀察。

值得注意的是，根據(jù)國(guó)家網(wǎng)信辦發(fā)布的“數(shù)據(jù)出境安全管理政策問答（2025年5月）”[4]，數(shù)據(jù)處理者被告知掌握重要數(shù)據(jù)或者掌握的數(shù)據(jù)被公開發(fā)布為重要數(shù)據(jù)后，如需繼續(xù)開展相關(guān)數(shù)據(jù)出境活動(dòng)的，應(yīng)當(dāng)在被告知或者公開發(fā)布后2個(gè)月內(nèi)，通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信辦申報(bào)數(shù)據(jù)出境安全評(píng)估?！皵?shù)據(jù)出境安全管理政策問答（2025年5月）”在一定程度上體現(xiàn)了相應(yīng)主管部門就企業(yè)履行申報(bào)重要數(shù)據(jù)出境安全評(píng)估義務(wù)有所期待。參考國(guó)家網(wǎng)信辦的公告，預(yù)計(jì)《指引》正式發(fā)布后，符合條件的汽車數(shù)據(jù)處理者需及時(shí)履行數(shù)據(jù)出境安全評(píng)估申報(bào)手續(xù)，因此需盡早著手相關(guān)工作的考慮和布局。

此外，如果《指引》在11月前通過征求意見和審批流程并正式發(fā)布，也有可能對(duì)2025年各省市汽車數(shù)據(jù)安全管理情況報(bào)告中重要數(shù)據(jù)報(bào)送工作產(chǎn)生影響，不排除將以《指引》中的重要數(shù)據(jù)識(shí)別和認(rèn)定條件為重要參照，并基于此要求汽車數(shù)據(jù)處理者提供相關(guān)風(fēng)險(xiǎn)評(píng)估材料?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第52條提出了重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、重要數(shù)據(jù)出境安全評(píng)估應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評(píng)估的要求。因此，屆時(shí)已經(jīng)申報(bào)數(shù)據(jù)出境安全評(píng)估的汽車數(shù)據(jù)處理者在提交汽車數(shù)據(jù)安全管理年報(bào)時(shí)是否可能無(wú)需重復(fù)提交相關(guān)材料，還有待觀察。

01、《指引》重點(diǎn)規(guī)則解讀

1.汽車數(shù)據(jù)出境路徑的選擇

除明確部分情形屬于為訂立、履行個(gè)人作為一方當(dāng)事人的合同確需出境的情況，以及明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者同樣可以適用《322新規(guī)》下的豁免情形外，《指引》擬針對(duì)汽車行業(yè)“新增”三種特殊豁免場(chǎng)景。在滿足以下情形時(shí)，汽車數(shù)據(jù)處理者可以免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證（以下簡(jiǎn)稱“數(shù)據(jù)出境監(jiān)管流程”）：

·因修補(bǔ)安全漏洞需要，汽車數(shù)據(jù)處理者按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，已向工信部報(bào)告的安全漏洞數(shù)據(jù)；

·因處置安全事件需要，汽車數(shù)據(jù)處理者按照行業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全事件相關(guān)應(yīng)急預(yù)案，已向工信部及相關(guān)行業(yè)監(jiān)管部門報(bào)告的汽車產(chǎn)品、車聯(lián)網(wǎng)平臺(tái)及相關(guān)系統(tǒng)的安全事件數(shù)據(jù)；

·因消除汽車產(chǎn)品缺陷、實(shí)施召回需要，汽車數(shù)據(jù)處理者按照《缺陷汽車產(chǎn)品召回管理?xiàng)l例》已向國(guó)家市場(chǎng)監(jiān)督管理總局備案的OTA升級(jí)軟件包對(duì)應(yīng)的源代碼。

（以上豁免情形簡(jiǎn)稱“汽車新增豁免”）

汽車新增豁免均屬于汽車行業(yè)常見實(shí)踐情形且具有廣泛的實(shí)踐基礎(chǔ)，主要涉及的安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級(jí)軟件包源代碼中包含個(gè)人信息的可能性較低，因此，我們理解此類豁免情形主要針對(duì)的是汽車數(shù)據(jù)處理者的數(shù)據(jù)出境安全評(píng)估義務(wù)。實(shí)際上，在數(shù)據(jù)出境管理領(lǐng)域，類似的豁免情形并非首次出現(xiàn)。2024年8月30日發(fā)布的《中國(guó)（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》在汽車行業(yè)負(fù)面清單中，將車輛控制等在線升級(jí)數(shù)據(jù)列為自貿(mào)區(qū)范圍內(nèi)的重要數(shù)據(jù)，但也明確了例外情形，即“已在工信部備案，并通過相關(guān)安全技術(shù)措施處理，可確保升級(jí)包數(shù)據(jù)不被篡改的情形除外”。我們理解，此類汽車新增豁免體現(xiàn)更多的是法規(guī)層面的銜接意義，或者說(shuō)，已經(jīng)履行過相應(yīng)的備案或報(bào)告程序的相關(guān)汽車數(shù)據(jù)處理者即無(wú)需因相關(guān)數(shù)據(jù)出境再重復(fù)申報(bào)，以同時(shí)節(jié)約主管部門的行政執(zhí)法成本和企業(yè)的合規(guī)成本。當(dāng)然此種場(chǎng)景充分考慮并限于汽車行業(yè)相對(duì)常見/通行的實(shí)踐（如安全事件數(shù)據(jù)全球上報(bào)、召回等）。

目前，《指引》中并未體現(xiàn)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第35條規(guī)定的履行法定職責(zé)或者法定義務(wù)確需出境的豁免（以下簡(jiǎn)稱“法定義務(wù)豁免”）。汽車新增豁免均以前置性行政程序（包括報(bào)告、備案）作為前提，因此可能會(huì)被解讀為法定義務(wù)豁免的具體情形。但值得注意的是，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第35條的豁免條件的適用范圍僅限于個(gè)人信息，因此其并非汽車新增豁免的恰當(dāng)上位法依據(jù)。

相比之下，《數(shù)據(jù)安全法》第31條或許更適合作為汽車新增豁免情形的依據(jù)。根據(jù)第31條要求，不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)處理者的重要數(shù)據(jù)出境安全管理辦法，由國(guó)家網(wǎng)信辦會(huì)同國(guó)務(wù)院有關(guān)部門制定。第31條并未對(duì)重要數(shù)據(jù)出境安全管理辦法提出法律層級(jí)的要求，也符合《指引》作為規(guī)范性文件的定位。盡管如此，從行文角度來(lái)看，汽車新增豁免情形似乎并未排除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者適用的可能，而《網(wǎng)絡(luò)安全法》第37條將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需要開展數(shù)據(jù)出境安全評(píng)估的例外情形限制在“法律、行政法規(guī)”的范圍內(nèi)，因此關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是否可以適用此類豁免仍然存在討論的空間。[5]

從趨勢(shì)上看，縱觀《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的相關(guān)條款，對(duì)于規(guī)定數(shù)據(jù)出境例外情形的法規(guī)層級(jí)也在逐步降低，從“法律、行政法規(guī)”到“國(guó)家網(wǎng)信辦規(guī)定”。我們認(rèn)為這事實(shí)上符合實(shí)際需求，監(jiān)管部門需要根據(jù)行業(yè)發(fā)展、國(guó)際形勢(shì)等因素動(dòng)態(tài)監(jiān)管數(shù)據(jù)出境。如果將例外情形限定在法律、行政法規(guī)層面，則會(huì)導(dǎo)致相關(guān)機(jī)構(gòu)無(wú)法及時(shí)做出調(diào)整，增加企業(yè)額外的合規(guī)成本。立法者在修訂《網(wǎng)絡(luò)安全法》時(shí)或許可以考慮參照《個(gè)人信息保護(hù)法》的措辭，將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開展數(shù)據(jù)出境安全評(píng)估的例外情形拓展至“國(guó)家網(wǎng)信辦會(huì)同國(guó)務(wù)院有關(guān)部門明確可以不進(jìn)行安全評(píng)估的，從其規(guī)定”。

就目前而言，如果《指引》起草者確實(shí)認(rèn)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在滿足汽車新增豁免情形時(shí)無(wú)需開展數(shù)據(jù)出境安全評(píng)估，或許可以將其作為重要數(shù)據(jù)的例外情形，而非數(shù)據(jù)出境安全評(píng)估的例外情形。這樣可以從規(guī)范設(shè)立技術(shù)角度規(guī)避與《網(wǎng)絡(luò)安全法》第37條規(guī)定的沖突，但由此解釋也可能會(huì)帶來(lái)新的問題，即滿足要求的安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級(jí)軟件包源代碼數(shù)據(jù)，在不涉及出境的處理活動(dòng)中，如果符合重要數(shù)據(jù)的法律定義或?qū)傩?，那么將?dǎo)致此類數(shù)據(jù)在其他處理活動(dòng)中無(wú)法受到相對(duì)應(yīng)更為充分的保護(hù)。

為解決上述限制，工信部、國(guó)家網(wǎng)信辦或許可以考慮在數(shù)據(jù)出境安全評(píng)估流程中針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者設(shè)立“綠色通道”。當(dāng)汽車數(shù)據(jù)處理者確需出境安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級(jí)軟件包源代碼，并且已經(jīng)提供已滿足前置法定義務(wù)的證明材料時(shí)，通過“綠色通道”讓其在較短的時(shí)間內(nèi)通過數(shù)據(jù)出境安全評(píng)估。我們理解這種方式也可以在一定程度上起到適當(dāng)監(jiān)督豁免情形的作用，并且對(duì)醫(yī)藥等其他強(qiáng)監(jiān)管行業(yè)也可以起到借鑒作用。

最后，雖然并非《指引》中明確的情形，但我們注意到將于2026年1月生效的強(qiáng)制性國(guó)標(biāo)GB 44495—2024《汽車整車信息安全技術(shù)要求》第7.4.7條明確，車輛不應(yīng)直接向境外傳輸數(shù)據(jù)，但用戶使用瀏覽器訪問境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等用戶自主行為不受該條款限制。因此，汽車數(shù)據(jù)處理者需要關(guān)注的范圍主要是在其掌控范圍內(nèi)的數(shù)據(jù)出境活動(dòng)。

2.重要數(shù)據(jù)識(shí)別原則提煉與認(rèn)定規(guī)則細(xì)化

《指引》充分結(jié)合汽車行業(yè)客觀實(shí)際，提出了覆蓋汽車數(shù)據(jù)全生命周期和主要實(shí)踐場(chǎng)景下的識(shí)別細(xì)則。此前，境內(nèi)汽車數(shù)據(jù)處理者主要依據(jù)《規(guī)定》中明確的“重要數(shù)據(jù)”類型，初步劃分和研判自身處理重要數(shù)據(jù)的基礎(chǔ)情形。此外，結(jié)合國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》（“《數(shù)據(jù)分類分級(jí)規(guī)則》”）第6.5 b) 條及其附錄G“（規(guī)范性）重要數(shù)據(jù)識(shí)別指南”中規(guī)定的重要數(shù)據(jù)識(shí)別因素予以綜合考慮。設(shè)立于特定自由貿(mào)易試驗(yàn)區(qū)（如北京、天津等）內(nèi)的汽車數(shù)據(jù)處理者，還可以依據(jù)《中國(guó)（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》或者《中國(guó)（天津）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024年版）》中就“汽車行業(yè)”“智能汽車”“交通”等類別的劃分參考識(shí)別認(rèn)定具體的汽車重要數(shù)據(jù)。根據(jù)相關(guān)地區(qū)監(jiān)管實(shí)踐，也有部分主管部門通過向企業(yè)提供目錄識(shí)別指引等方式開展重要數(shù)據(jù)備案實(shí)踐，但整體而言缺少統(tǒng)一和全面的汽車重要數(shù)據(jù)識(shí)別規(guī)范。

而此次《指引》將汽車重要數(shù)據(jù)按照“研發(fā)設(shè)計(jì)”“生產(chǎn)制造”“駕駛自動(dòng)化”“軟件升級(jí)（包括OTA）”“聯(lián)網(wǎng)運(yùn)行”等場(chǎng)景予以進(jìn)一步細(xì)分和列舉，針對(duì)智能駕駛企業(yè)而言，諸如“物料清單”“駕駛自動(dòng)化算法和訓(xùn)練數(shù)據(jù)”“車輛數(shù)據(jù)（車輛識(shí)別號(hào)、數(shù)字證書等）”在符合相應(yīng)判斷規(guī)則的前提下均需按照“重要數(shù)據(jù)”予以管理和保護(hù)。對(duì)于企業(yè)而言無(wú)疑提出全面覆蓋了智能駕駛技術(shù)研發(fā)、設(shè)計(jì)、測(cè)試、訓(xùn)練、應(yīng)用，以及智能網(wǎng)聯(lián)汽車生產(chǎn)、制造、銷售、使用、運(yùn)維的全過程數(shù)據(jù)安全要求。

《規(guī)定》中明確，國(guó)家網(wǎng)信部門和國(guó)務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門有權(quán)確定其他可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。除了《規(guī)定》中已明確的五類重要數(shù)據(jù)類型以外，有必要針對(duì)此次《指引》識(shí)別“汽車重要數(shù)據(jù)”的原則性條件和評(píng)判維度進(jìn)行概括提煉，我們嘗試在下表中進(jìn)行初步梳理和列舉，以把握其中的核心思路并且更好地掌握解釋和適用的相應(yīng)方法論。

值得注意的是，上述根據(jù)“重要數(shù)據(jù)”的識(shí)別和認(rèn)定相關(guān)規(guī)則并非是孤立或單一的，《指引》中也列舉了不少需同時(shí)結(jié)合“數(shù)據(jù)本身屬性”和“數(shù)據(jù)精度或規(guī)?！倍嘀匾蛩鼐C合評(píng)判的“重要數(shù)據(jù)”類型，例如聯(lián)網(wǎng)運(yùn)行場(chǎng)景下“涉及在境內(nèi)運(yùn)行的10萬(wàn)臺(tái)以上車輛的安全啟動(dòng)、診斷、更新、通信過程中的密鑰”類型數(shù)據(jù)，同時(shí)兼具了“安全屬性”和“車輛數(shù)據(jù)”等判斷條件。由此可見，即便《指引》充分細(xì)化和豐富了多場(chǎng)景下的重要數(shù)據(jù)識(shí)別和認(rèn)定規(guī)則，但并不代表著汽車行業(yè)重要數(shù)據(jù)的認(rèn)定僅局限于《指引》中已列舉的數(shù)據(jù)類型和字段。換句話說(shuō)，汽車行業(yè)重要數(shù)據(jù)的認(rèn)定仍然是動(dòng)態(tài)且依場(chǎng)景而變化的，需要綜合多種客觀因素和條件予以認(rèn)定。

下述我們將根據(jù)《指引》區(qū)分場(chǎng)景對(duì)特定類型的重要數(shù)據(jù)予以解讀。

（1）產(chǎn)品研發(fā)測(cè)試與生產(chǎn)制造相關(guān)數(shù)據(jù)

《指引》規(guī)定，符合特殊情形的研發(fā)設(shè)計(jì)信息屬于重要數(shù)據(jù)，例如物料清單、研發(fā)設(shè)計(jì)文檔以及開發(fā)源代碼等等?！吨敢访鞔_針對(duì)“被列入國(guó)家重大專項(xiàng)、國(guó)家重點(diǎn)研發(fā)計(jì)劃的”，相關(guān)數(shù)據(jù)不僅是企業(yè)內(nèi)部的行業(yè)秘密，同時(shí)也是關(guān)涉國(guó)家安全和社會(huì)公共利益的重要數(shù)據(jù)，需要按照重要數(shù)據(jù)標(biāo)準(zhǔn)管理和出境。參照《科技部 財(cái)政部關(guān)于印發(fā) <國(guó)家重點(diǎn)研發(fā)計(jì)劃管理暫行辦法> 的通知（國(guó)科發(fā)資〔2024〕28號(hào)）》《財(cái)政部、科技部關(guān)于印發(fā) <國(guó)家重點(diǎn)研發(fā)計(jì)劃資金管理辦法> 的通知（財(cái)教〔2025〕2號(hào)）》，國(guó)家重大專項(xiàng)需國(guó)務(wù)院級(jí)審批，重點(diǎn)研發(fā)計(jì)劃項(xiàng)目隸屬科技部管理的專項(xiàng)。通常而言，企業(yè)判斷是否落入前述具備重大科創(chuàng)屬性的簡(jiǎn)單方式，可以通過科技部官網(wǎng)或信息系統(tǒng)核實(shí)項(xiàng)目是否列入年度申報(bào)指南或立項(xiàng)公告，或者通過核實(shí)相關(guān)項(xiàng)目開展基金來(lái)源和途徑等方式予以結(jié)合判斷。

《指引》為自動(dòng)駕駛道路測(cè)試相關(guān)數(shù)據(jù)是否符合重要數(shù)據(jù)屬性或特征提供了技術(shù)化判斷標(biāo)準(zhǔn)：一方面，如果涉及標(biāo)注場(chǎng)景數(shù)據(jù)、仿真場(chǎng)景數(shù)據(jù)和測(cè)試場(chǎng)景數(shù)據(jù)等可以滿足經(jīng)匯聚、分析后能推算出《規(guī)定》第3條中規(guī)定的“重要數(shù)據(jù)”類型的條件，或者達(dá)到相應(yīng)規(guī)格/精度的車外人臉、車牌信息，則應(yīng)當(dāng)作為重要數(shù)據(jù)予以管理，此“注意性規(guī)定”使得在相應(yīng)場(chǎng)景下的重要數(shù)據(jù)判斷更加有跡可循；另一方面，《指引》對(duì)于當(dāng)前場(chǎng)景下還可能涉及重要數(shù)據(jù)的情形（包括參照《測(cè)繪地理信息管理工作國(guó)家秘密范圍的規(guī)定》識(shí)別的涉密、敏感的地理信息數(shù)據(jù)，以及涉及社會(huì)公共安全行政執(zhí)法活動(dòng)的）予以明確。考慮到《指引》對(duì)于開展自動(dòng)駕駛道路測(cè)試所需的車外音視頻圖像數(shù)據(jù)提出了更多的安全性要求，因此可以看到相關(guān)企業(yè)進(jìn)一步采取技術(shù)措施、落實(shí)汽車數(shù)據(jù)車內(nèi)脫敏的安全原則屬于不可規(guī)避的發(fā)展趨勢(shì)。因此，建議企業(yè)結(jié)合GB/T 44464—2024《汽車數(shù)據(jù)通用要求》5.6.2 匿名化要求及相關(guān)資料性附件，對(duì)人臉和車牌匿名化的實(shí)現(xiàn)技術(shù)方式、效果等予以認(rèn)定和檢驗(yàn)。

此外，在生產(chǎn)環(huán)境中，由于《指引》對(duì)于生產(chǎn)控制程序源代碼作為重要數(shù)據(jù)的條件予以了關(guān)注和強(qiáng)調(diào)，因此對(duì)于OEM等車企而言需要考慮與《中國(guó)禁止出口限制出口技術(shù)目錄》中相關(guān)技術(shù)控制要點(diǎn)，以平衡出口管制和數(shù)據(jù)出境安全管理的雙重合規(guī)要求。

（2）輔助駕駛或駕駛自動(dòng)化相關(guān)數(shù)據(jù)

針對(duì)輔助駕駛或駕駛自動(dòng)化相關(guān)數(shù)據(jù)，《指引》總體上區(qū)分了“算法類數(shù)據(jù)”“訓(xùn)練類數(shù)據(jù)”和“特征類數(shù)據(jù)”等三類進(jìn)行重要數(shù)據(jù)識(shí)別規(guī)則的規(guī)定。首先，由于算法類數(shù)據(jù)更關(guān)乎于技術(shù)創(chuàng)新能力和企業(yè)、行業(yè)和國(guó)家的競(jìng)爭(zhēng)實(shí)力，因此在識(shí)別規(guī)則的設(shè)定上更加強(qiáng)調(diào)高科技屬性對(duì)于汽車數(shù)據(jù)的要求，以“省部級(jí)獎(jiǎng)勵(lì)”等作為判斷條件?！吨敢窞椤吨匾獢?shù)據(jù)識(shí)別指南》中所謂“對(duì)國(guó)家科技安全、行業(yè)競(jìng)爭(zhēng)力有影響”相關(guān)數(shù)據(jù)的判斷標(biāo)準(zhǔn)，例如“涉及車聯(lián)網(wǎng)網(wǎng)絡(luò)與數(shù)據(jù)安全、駕駛自動(dòng)化功能相關(guān)成果獲得省部級(jí)及以上獎(jiǎng)勵(lì)的”。這對(duì)于當(dāng)前正在開拓海外市場(chǎng)、希望將境內(nèi)已經(jīng)訓(xùn)練完成或者處于研發(fā)成熟階段的自動(dòng)駕駛服務(wù)商而言需要關(guān)注，僅確保自動(dòng)駕駛訓(xùn)練數(shù)據(jù)在境內(nèi)存儲(chǔ)、將算法模型（含參數(shù)）等部署在境外的實(shí)踐做法可能存在合規(guī)挑戰(zhàn)，建議相關(guān)企業(yè)參照《指引》規(guī)定予以特別留意并做好內(nèi)部梳理，對(duì)于屬于此類獎(jiǎng)勵(lì)范圍內(nèi)的自動(dòng)駕駛算法文件（原理或流程）、源代碼和參數(shù)等，根據(jù)《指引》均屬于重要數(shù)據(jù)判定條件，為順利推進(jìn)海外市場(chǎng)項(xiàng)目執(zhí)行落地，需在出境前提前開展相應(yīng)的申報(bào)準(zhǔn)備。

其次，針對(duì)訓(xùn)練數(shù)據(jù)集的重要數(shù)據(jù)特征，相應(yīng)地更多體現(xiàn)在相關(guān)精度和規(guī)模的要求上。除《規(guī)定》中規(guī)定的判斷條件以外，《指引》突出強(qiáng)調(diào)汽車重要數(shù)據(jù)中“數(shù)據(jù)規(guī)模”要素的意義，并且從“時(shí)間”“空間”和“數(shù)量”等維度解析和規(guī)定具體的“數(shù)據(jù)規(guī)?！闭J(rèn)定門檻，例如“累計(jì)時(shí)間大于等于30天”“10萬(wàn)臺(tái)以上車輛收集”“采集真實(shí)環(huán)境中5000萬(wàn)公里以上或2000小時(shí)以上的原始圖片或原始影像的”“涉及1000萬(wàn)張以上原始圖片的”“涉及100萬(wàn)個(gè)以上原始影像的”。

最后，針對(duì)包括圖像數(shù)據(jù)和點(diǎn)云特征數(shù)據(jù)的算法特征數(shù)據(jù)，可以認(rèn)為《指引》在設(shè)定規(guī)則時(shí)兼具糅合了“算法類數(shù)據(jù)”和“訓(xùn)練集數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。底層邏輯上不難理解，由于算法特征數(shù)據(jù)與算法和訓(xùn)練數(shù)據(jù)密不可分，且樣態(tài)豐富多樣、可推演可回溯，對(duì)于自動(dòng)駕駛算法數(shù)據(jù)標(biāo)注、模型訓(xùn)練而言均具備重要價(jià)值，此類重要數(shù)據(jù)的識(shí)別客觀上即需要同時(shí)結(jié)合數(shù)據(jù)屬性和規(guī)模等條件予以完成。

（3）軟件升級(jí)相關(guān)數(shù)據(jù)

雖然未在《規(guī)定》中予以明確規(guī)定，但此次《指引》針對(duì)“軟件升級(jí)服務(wù)場(chǎng)景”下汽車數(shù)據(jù)處理者升級(jí)汽車動(dòng)力系統(tǒng)、底盤系統(tǒng)、安全駕駛功能的軟件包對(duì)應(yīng)的源代碼時(shí)重要數(shù)據(jù)的認(rèn)定予以了專門規(guī)定。但需注意，該項(xiàng)判斷條件的標(biāo)準(zhǔn)是“同時(shí)符合”，即需要同時(shí)滿足三個(gè)因素才予以認(rèn)定，具體包括：1）升級(jí)對(duì)象需為境內(nèi)運(yùn)行車輛；2）僅限于遠(yuǎn)程控制功能（近場(chǎng)通信方式不在此列）；3）涉及車輛啟動(dòng)行駛、動(dòng)力丟失、緊急制動(dòng)、巡航控制、車道保持功能（總結(jié)起來(lái)可能需要具備輔助駕駛能力）。

此前，汽車領(lǐng)域強(qiáng)制性國(guó)標(biāo)之一GB 44496-2024《汽車軟件升級(jí)通用技術(shù)要求》也對(duì)相關(guān)技術(shù)要求予以明確，且其強(qiáng)制性效力意味著相關(guān)要求無(wú)法得以滿足將構(gòu)成“產(chǎn)品缺陷”而承擔(dān)產(chǎn)品責(zé)任。其中規(guī)定“軟件升級(jí)”是指將某版本的軟件通過升級(jí)包更新到新版本（包括更改軟件的配置參數(shù)）的過程，包括在線升級(jí)和離線升級(jí)兩種類型?！霸诰€升級(jí)”是指通過無(wú)線方式而不是使用電纜或其他本地連接方式將升級(jí)包傳輸?shù)杰囕v的軟件升級(jí)，也稱“遠(yuǎn)程升級(jí)”。早在2022年工信部即公布并執(zhí)行《關(guān)于開展汽車軟件在線升級(jí)備案的通知》，不久前《工業(yè)和信息化部 市場(chǎng)監(jiān)管總局關(guān)于進(jìn)一步加強(qiáng)智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入、召回及軟件在線升級(jí)管理的通知（工信部聯(lián)通裝〔2025〕45號(hào)）》發(fā)布，做出強(qiáng)化汽車軟件在線升級(jí)活動(dòng)協(xié)同管理的要求和部署。而此次《指引》將軟件升級(jí)專門作為出境數(shù)據(jù)安全管理和重要數(shù)據(jù)識(shí)別的特殊場(chǎng)景，也體現(xiàn)出相關(guān)主管部門對(duì)于汽車軟件升級(jí)業(yè)務(wù)服務(wù)下性能安全、數(shù)據(jù)安全的重視。

（4）車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)

在“聯(lián)網(wǎng)運(yùn)行場(chǎng)景”章節(jié)下，《指引》整體遵循已有車聯(lián)網(wǎng)行業(yè)實(shí)踐中常見的“車路云”分類思路以梳理具體的汽車重要數(shù)據(jù)類型，符合智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級(jí)要求，可見，智能網(wǎng)聯(lián)汽車企業(yè)此前數(shù)據(jù)分類分級(jí)制度和落地具有現(xiàn)實(shí)的合規(guī)價(jià)值，也得以看出車聯(lián)網(wǎng)行業(yè)領(lǐng)域貫徹?cái)?shù)據(jù)分類分級(jí)規(guī)范的合規(guī)意義。例如實(shí)踐中，北京市高級(jí)別自動(dòng)駕駛示范區(qū)通過發(fā)布“數(shù)據(jù)分類分級(jí)白皮書”等方式，通過匯聚和凝聚實(shí)踐經(jīng)驗(yàn)并以指導(dǎo)和反哺實(shí)踐的方式，實(shí)現(xiàn)行業(yè)內(nèi)車聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)的制度和措施優(yōu)化，推動(dòng)行業(yè)數(shù)據(jù)安全自驅(qū)。而在這個(gè)過程中，“示范區(qū)數(shù)據(jù)分類分級(jí)參考”起到了相應(yīng)的參照作用。因此，企業(yè)在前述分類分級(jí)的基礎(chǔ)上，也將更好地適應(yīng)《指引》中設(shè)定的重要數(shù)據(jù)識(shí)別規(guī)則和出境安全管理要求。具體而言：

3.申報(bào)實(shí)施細(xì)節(jié)問題

《指引》對(duì)數(shù)據(jù)出境的實(shí)施過程提供了進(jìn)一步的指引，涵蓋了數(shù)據(jù)識(shí)別、路徑判斷以及實(shí)施數(shù)據(jù)出境監(jiān)管流程的細(xì)節(jié)。盡管大部分內(nèi)容與此前國(guó)家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》保持一致，但仍有以下幾點(diǎn)值得汽車數(shù)據(jù)處理者關(guān)注。

（1）重要數(shù)據(jù)目錄備案

首先，《指引》要求汽車數(shù)據(jù)處理者在“在重要數(shù)據(jù)目錄備案基礎(chǔ)上”，參考《指引》的規(guī)定識(shí)別需要開展不同數(shù)據(jù)出境監(jiān)管流程的重要數(shù)據(jù)和個(gè)人信息。這意味著，在申報(bào)數(shù)據(jù)出境安全評(píng)估之前，汽車數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》的相關(guān)規(guī)定，完成重要數(shù)據(jù)的備案工作。結(jié)合此前網(wǎng)信部門在數(shù)據(jù)出境申報(bào)項(xiàng)目中要求個(gè)人信息處理者說(shuō)明滿足申報(bào)條件的實(shí)踐要求，我們不排除后續(xù)網(wǎng)信部門在接受重要數(shù)據(jù)的數(shù)據(jù)出境安全評(píng)估前，要求汽車數(shù)據(jù)處理者提供已完成重要數(shù)據(jù)備案的證明材料的可能性。因此，汽車數(shù)據(jù)處理者在規(guī)劃重要數(shù)據(jù)出境時(shí)，應(yīng)將重要數(shù)據(jù)備案所需的時(shí)間納入考量范圍。

參考《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第4條和第12條的規(guī)定，如果汽車數(shù)據(jù)處理者需要開展重要數(shù)據(jù)目錄備案，則其應(yīng)當(dāng)向其所在省、自治區(qū)、直轄市的通信管理局（以下簡(jiǎn)稱“地方通管局”）進(jìn)行備案。備案內(nèi)容包括但不限于數(shù)據(jù)來(lái)源、類別、級(jí)別、規(guī)模、載體、處理目的和方式、使用范圍、責(zé)任主體、對(duì)外共享、跨境傳輸、安全保護(hù)措施等基本情況。地方通管局應(yīng)當(dāng)在提交備案申請(qǐng)的20個(gè)工作日內(nèi)完成審核工作，備案內(nèi)容符合要求的，予以備案，同時(shí)將備案情況報(bào)工信部。如存在不予備案的情形，地方通管局應(yīng)當(dāng)及時(shí)反饋汽車數(shù)據(jù)處理者并說(shuō)明理由，汽車數(shù)據(jù)處理者應(yīng)當(dāng)在收到反饋情況后的15個(gè)工作日內(nèi)再次提交備案申請(qǐng)。

（2）境外汽車數(shù)據(jù)處理者申報(bào)方式

《指引》首次明確了位于境外的汽車數(shù)據(jù)處理者可以由其在境內(nèi)的分支機(jī)構(gòu)代為申報(bào)數(shù)據(jù)出境安全評(píng)估，這在一定程度上回應(yīng)了實(shí)踐中關(guān)于境外直采數(shù)據(jù)出境合規(guī)的困惑，也體現(xiàn)了對(duì)當(dāng)前實(shí)踐的總結(jié)。值得注意的是，必須由境外汽車數(shù)據(jù)處理者在境內(nèi)的分支機(jī)構(gòu)進(jìn)行申報(bào)，而不能指定外部機(jī)構(gòu)。此外，參考申報(bào)材料要求及我們的項(xiàng)目經(jīng)驗(yàn)，申報(bào)主體通常需要具備法人資格。因此，境外汽車數(shù)據(jù)處理者在境內(nèi)設(shè)立的常駐代表機(jī)構(gòu)或其境內(nèi)分公司均無(wú)法作為數(shù)據(jù)出境安全評(píng)估的申報(bào)主體。

值得注意的是，《指引》僅在“實(shí)施數(shù)據(jù)出境安全評(píng)估”部分提及了可以由境內(nèi)分支機(jī)構(gòu)代為申報(bào)的可能性。由于《個(gè)人信息出境標(biāo)準(zhǔn)合同》的體例限制，《指引》并未在“訂立個(gè)人信息出境標(biāo)準(zhǔn)合同”部分為境外直采場(chǎng)景提供合規(guī)路徑。盡管目前實(shí)踐中存在由境內(nèi)分支機(jī)構(gòu)代為開展備案的情況，但此類做法更多是基于當(dāng)前的實(shí)踐需求導(dǎo)致的過渡性安排。我們期待監(jiān)管部門能夠提供更明確的指引，以便有合規(guī)意愿的企業(yè)能夠盡快滿足我國(guó)數(shù)據(jù)出境的監(jiān)管要求。

4.出境安全管理要求

《指引》從組織管理、防護(hù)技術(shù)措施、日志記錄和應(yīng)急處置等角度，向汽車數(shù)據(jù)處理者提出了進(jìn)一步的汽車數(shù)據(jù)出境安全管理要求。我們不排除后續(xù)網(wǎng)信部門或工信部可能會(huì)要求汽車數(shù)據(jù)處理者在《數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告》或《個(gè)人信息保護(hù)影響評(píng)估報(bào)告》的對(duì)應(yīng)章節(jié)中，詳細(xì)描述企業(yè)落實(shí)此類汽車數(shù)據(jù)出境安全管理要求的情況，因此建議汽車數(shù)據(jù)處理者盡早進(jìn)行相關(guān)規(guī)劃。

（1）組織管理

《指引》從部門、人員、制度以及審批等角度，對(duì)汽車數(shù)據(jù)處理者提出了更為詳細(xì)的管理要求?？傮w而言，汽車數(shù)據(jù)處理者需要明確汽車數(shù)據(jù)出境安全負(fù)責(zé)人、汽車數(shù)據(jù)出境管理部門，從制度層面明確汽車數(shù)據(jù)出境安全管理要求，并建立企業(yè)內(nèi)部審批登記流程。

目前，汽車數(shù)據(jù)處理者通常已經(jīng)按照汽車數(shù)據(jù)安全管理年報(bào)的要求，任命了“汽車數(shù)據(jù)安全負(fù)責(zé)人”。《規(guī)定》暫未明確汽車數(shù)據(jù)出境安全負(fù)責(zé)人是否可以兼任，但在實(shí)踐中，汽車數(shù)據(jù)處理者或許可以通過讓汽車數(shù)據(jù)安全負(fù)責(zé)人兼任該職位，以滿足相關(guān)要求。

就內(nèi)部審批登記流程而言，汽車數(shù)據(jù)處理者可以參照現(xiàn)有的個(gè)人信息保護(hù)影響評(píng)估流程基礎(chǔ)上，增加重要數(shù)據(jù)識(shí)別、備案、申報(bào)、風(fēng)險(xiǎn)評(píng)估流程。結(jié)合自身業(yè)務(wù)特點(diǎn)與數(shù)據(jù)出境場(chǎng)景，企業(yè)應(yīng)制定詳細(xì)且可操作的內(nèi)部管理制度，明確審批流程中各部門的職責(zé)與審核要點(diǎn)，并對(duì)所有記錄進(jìn)行存檔。雖然《規(guī)定》暫未明確具體的存檔期限，但參考《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第12條的規(guī)定，我們理解汽車數(shù)據(jù)處理者應(yīng)當(dāng)保存相關(guān)記錄至少3年。

整體而言，由于《規(guī)定》要求汽車數(shù)據(jù)處理者在制度層面針對(duì)汽車數(shù)據(jù)出境安全提供針對(duì)性要求，盡管目前尚不明確“針對(duì)性”所要求的具體顆粒度，但建議汽車數(shù)據(jù)處理者制定專門的汽車數(shù)據(jù)出境管理制度或標(biāo)準(zhǔn)操作程序（SOP），并確保其中至少涵蓋《指引》中規(guī)定的各類安全保護(hù)要求。

（2）防護(hù)技術(shù)措施

《指引》從數(shù)據(jù)出境傳輸安全、數(shù)據(jù)出境安全監(jiān)測(cè)，以及檢查支持提出了詳細(xì)的要求，具體要求如下表所述。

（3）日志記錄

除上述數(shù)據(jù)出境安全監(jiān)測(cè)部分要求的安全日志外，《規(guī)定》還要求汽車數(shù)據(jù)處理者留存網(wǎng)絡(luò)流量日志和操作行為日志，具體要求如下表所示。

根據(jù)《規(guī)定》，安全日志、網(wǎng)絡(luò)流量日志、操作行為日志均需采用防篡改技術(shù)措施保護(hù)，并且至少留存3年。汽車數(shù)據(jù)處理者同時(shí)需要對(duì)前述日志進(jìn)行審計(jì)，當(dāng)發(fā)現(xiàn)存在非法操作等安全風(fēng)險(xiǎn)隱患時(shí)，及時(shí)響應(yīng)處置。

（4）應(yīng)急處置要求

《規(guī)定》進(jìn)一步規(guī)定，汽車數(shù)據(jù)處理者應(yīng)當(dāng)建立汽車數(shù)據(jù)違規(guī)出境的處置能力，發(fā)現(xiàn)異常行為時(shí)應(yīng)及時(shí)處置，并按有關(guān)要求向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。我們理解，此處并非創(chuàng)設(shè)新的報(bào)告義務(wù)，而是對(duì)現(xiàn)有報(bào)告機(jī)制的進(jìn)一步明確和細(xì)化。當(dāng)汽車數(shù)據(jù)違規(guī)出境行為構(gòu)成網(wǎng)絡(luò)安全事件或數(shù)據(jù)安全事件時(shí)，汽車數(shù)據(jù)處理者應(yīng)當(dāng)依據(jù)《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》和《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》的相關(guān)要求，履行相應(yīng)的報(bào)告義務(wù)。

02、合規(guī)影響與實(shí)操建議

1.對(duì)汽車數(shù)據(jù)安全及出境管理的影響

《指引》的發(fā)布為汽車行業(yè)的數(shù)據(jù)安全管理和數(shù)據(jù)出境活動(dòng)提供了更為明確的指引和規(guī)范，對(duì)汽車行業(yè)的數(shù)據(jù)安全管理將產(chǎn)生積極影響。

汽車數(shù)據(jù)處理者可以借此機(jī)會(huì)審視和調(diào)整其汽車數(shù)據(jù)安全保護(hù)策略?！吨敢芳?xì)化了重要數(shù)據(jù)識(shí)別認(rèn)定規(guī)則，企業(yè)需要依據(jù)這些規(guī)則重新審視和梳理所處理的汽車數(shù)據(jù)，明確哪些數(shù)據(jù)屬于重要數(shù)據(jù)范疇。在此基礎(chǔ)上，企業(yè)應(yīng)積極推進(jìn)重要數(shù)據(jù)目錄的制定與備案工作，確保重要數(shù)據(jù)的管理有章可循、有據(jù)可依，并基于企業(yè)內(nèi)部重要數(shù)據(jù)目錄落實(shí)針對(duì)重要數(shù)據(jù)的全生命周期保護(hù)措施。

從法規(guī)銜接層面來(lái)看，《指引》的發(fā)布使現(xiàn)有的汽車數(shù)據(jù)安全管理規(guī)范體系更為健全，與現(xiàn)有的數(shù)據(jù)安全相關(guān)法律法規(guī)相互補(bǔ)充，形成了更為完善的數(shù)據(jù)出境管理法規(guī)框架。同時(shí)，《指引》在規(guī)范數(shù)據(jù)出境活動(dòng)的過程中，既注重實(shí)質(zhì)性把握重要數(shù)據(jù)出境安全風(fēng)險(xiǎn)，又兼顧了數(shù)據(jù)跨境流動(dòng)的合理需求，體現(xiàn)了“促進(jìn)和規(guī)范”兩手并重的原則。這將為汽車行業(yè)的國(guó)際化發(fā)展提供有力的法規(guī)支持，促進(jìn)汽車產(chǎn)業(yè)在全球范圍內(nèi)的合作與交流，推動(dòng)汽車數(shù)據(jù)的合理利用和創(chuàng)新發(fā)展，同時(shí)確保數(shù)據(jù)安全始終處于可控狀態(tài)。

2.實(shí)操建議

盡管《汽車數(shù)據(jù)出境安全指引（2025版）》目前仍處于征求意見稿階段，但其重要數(shù)據(jù)范圍是基于實(shí)踐凝練而成，并且與《中國(guó)（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》的重要數(shù)據(jù)清單存在較多重合之處。基于此，我們預(yù)計(jì)后續(xù)進(jìn)行大規(guī)模調(diào)整的可能性較低，但仍不排除可能會(huì)有微調(diào)。

因此，汽車數(shù)據(jù)處理者應(yīng)在現(xiàn)有數(shù)據(jù)出境工作的基礎(chǔ)上，結(jié)合《指引》中的重要數(shù)據(jù)清單，提前逐步開展以下工作，以便在《指引》正式發(fā)布后，能夠有序、合規(guī)地申報(bào)數(shù)據(jù)出境安全評(píng)估等工作，避免對(duì)業(yè)務(wù)連續(xù)性造成影響：

·重要數(shù)據(jù)識(shí)別：參照《指引》梳理企業(yè)掌握的數(shù)據(jù)，明確其中是否涉及重要數(shù)據(jù)。

·申報(bào)情況梳理：對(duì)于屬于重要數(shù)據(jù)的部分，進(jìn)一步梳理哪些數(shù)據(jù)此前已經(jīng)申報(bào)，哪些尚未申報(bào)。

·已申報(bào)數(shù)據(jù)的評(píng)估：對(duì)于已被生效的數(shù)據(jù)出境安全評(píng)估結(jié)果所涵蓋的數(shù)據(jù)，我們理解《指引》不會(huì)對(duì)其產(chǎn)生影響。

·未申報(bào)數(shù)據(jù)的策略制定：對(duì)于尚未申報(bào)的重要數(shù)據(jù)，企業(yè)需結(jié)合既有業(yè)務(wù)開展情況，制定數(shù)據(jù)出境安全評(píng)估申報(bào)策略。同時(shí)，企業(yè)應(yīng)充分考慮重要數(shù)據(jù)備案所需的時(shí)間，以及如果重要數(shù)據(jù)未獲準(zhǔn)出境時(shí)的整改方案。

在開展重要數(shù)據(jù)識(shí)別等相關(guān)工作的同時(shí)，汽車數(shù)據(jù)處理者的IT和安全部門應(yīng)對(duì)《指引》中涉及的出境安全管理工作進(jìn)行評(píng)估。評(píng)估內(nèi)容包括相關(guān)技術(shù)措施的可行性，例如企業(yè)目前采取的數(shù)據(jù)加密、訪問控制等技術(shù)手段是否能夠滿足《指引》的要求，以確保數(shù)據(jù)在出境過程中的保密性、完整性和真實(shí)性，以及相關(guān)日志要求以及所需要的時(shí)間期限是否能夠得到落實(shí)。通過IT和安全部門的協(xié)同評(píng)估，汽車數(shù)據(jù)處理者可以提前做好技術(shù)準(zhǔn)備和資源規(guī)劃，確保在《指引》正式實(shí)施后能夠順利開展數(shù)據(jù)出境管理工作，降低因技術(shù)或管理不到位而導(dǎo)致的數(shù)據(jù)安全風(fēng)險(xiǎn)，保障企業(yè)的正常運(yùn)營(yíng)和數(shù)據(jù)跨境流動(dòng)的合規(guī)。

結(jié)語(yǔ)

此次公開征求意見的《指引》，在整合近些年汽車行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則和數(shù)據(jù)出境安全規(guī)范的基礎(chǔ)上，從全生命周期和多場(chǎng)景視角為企業(yè)認(rèn)定和識(shí)別汽車重要數(shù)據(jù)目錄并相應(yīng)開展出境安全管理工作提供了更為明確的參考規(guī)則，凝聚和呈現(xiàn)了安全發(fā)展兩舉并重的數(shù)據(jù)治理經(jīng)驗(yàn)和產(chǎn)業(yè)監(jiān)管良好互動(dòng)的局面。更進(jìn)一步地，汽車數(shù)據(jù)合規(guī)不僅是企業(yè)履行法律責(zé)任的需要，也是新質(zhì)生產(chǎn)力時(shí)代提升企業(yè)競(jìng)爭(zhēng)力、贏得消費(fèi)者和市場(chǎng)信任的重要資格。此次《指引》透露出企業(yè)通過建立健全數(shù)據(jù)管理體系、強(qiáng)化汽車數(shù)據(jù)合規(guī)管理流程的突出價(jià)值。特別是針對(duì)存在汽車數(shù)據(jù)出境和海外市場(chǎng)發(fā)展戰(zhàn)略的車企而言，根據(jù)《指引》細(xì)化和專門要求，在保障數(shù)據(jù)安全的前提下，能夠順利開展汽車重要數(shù)據(jù)識(shí)別認(rèn)定以及數(shù)據(jù)出境安全管理活動(dòng)，助力汽車產(chǎn)業(yè)的全球化發(fā)展。

腳注：

[1] 國(guó)家網(wǎng)信辦，https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm

[2] 新華網(wǎng)，https://www.xinhuanet.com/money/20241122/bf66a82b9c0e4a7f8c1848eb6bdefe96/c.html

[3] 中國(guó)人民銀行，http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5675551/index.html

[4] 國(guó)家網(wǎng)信辦，https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm

[5] 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)于個(gè)人信息的豁免可以依據(jù)《個(gè)人信息保護(hù)法》第40條，“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估；法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定”。

[6] 涉密屬性構(gòu)成重要數(shù)據(jù)的判斷維度之一，但根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第63條第3款，并不因此排除數(shù)據(jù)本身構(gòu)成保密信息應(yīng)遵循包括但不限于《保守國(guó)家秘密法》等在內(nèi)的相關(guān)法定義務(wù)。

來(lái)源：金杜研究院

作者簡(jiǎn)介

寧宣鳳

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：反壟斷與反不正當(dāng)競(jìng)爭(zhēng)，以及網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)

在反壟斷領(lǐng)域，寧律師所提供的法律服務(wù)內(nèi)容主要包括經(jīng)營(yíng)者集中反壟斷申報(bào)、應(yīng)對(duì)反壟斷行政調(diào)查、反壟斷法合規(guī)咨詢以及反壟斷訴訟。早在2008年《反壟斷法》實(shí)施之前，寧宣鳳律師就曾積極參與政府起草該項(xiàng)法案的咨詢工作，并在該法頒布后，繼續(xù)積極參與協(xié)助相關(guān)條例、實(shí)施辦法及指南的起草工作。在網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域，寧律師曾為多家國(guó)內(nèi)外知名企業(yè)提供數(shù)據(jù)合規(guī)盡職調(diào)查、風(fēng)險(xiǎn)評(píng)估、合規(guī)體系建設(shè)等法律服務(wù)。作為國(guó)內(nèi)最早涉足該類法律實(shí)務(wù)的律師之一，寧律師在為客戶提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)法律咨詢服務(wù)方面有著豐富的經(jīng)驗(yàn)。

吳涵

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)與治理

吳律師主要協(xié)助企業(yè)在數(shù)字經(jīng)濟(jì)轉(zhuǎn)型期發(fā)揮數(shù)據(jù)驅(qū)動(dòng)力，實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、數(shù)據(jù)商業(yè)化及智能化應(yīng)用。具體包括協(xié)助客戶制定修改隱私政策、算法可解釋性聲明，制定跨境數(shù)據(jù)傳輸計(jì)劃，制定數(shù)據(jù)商業(yè)化合規(guī)方案，搭建算法治理體系，梳理企業(yè)數(shù)據(jù)（包括個(gè)人信息保護(hù)）合規(guī)體系，進(jìn)行網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)自查，協(xié)助搭建數(shù)據(jù)融合的商業(yè)及合規(guī)框架，構(gòu)建企業(yè)數(shù)據(jù)資產(chǎn)體系等。吳律師擅長(zhǎng)從中國(guó)合規(guī)的角度為跨國(guó)企業(yè)在中國(guó)的分支機(jī)構(gòu)提供網(wǎng)絡(luò)安全、數(shù)據(jù)治理及智能合規(guī)意見。同時(shí)吳涵律師能夠立足中國(guó)相關(guān)法律法規(guī)，為中國(guó)走出去企業(yè)建立符合歐盟（GDPR）及美國(guó)（CCPA）等跨司法轄區(qū)要求的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)及智能化監(jiān)管體系。項(xiàng)目覆蓋金融、保險(xiǎn)、健康醫(yī)療、人工智能、網(wǎng)約車平臺(tái)、航空、消費(fèi)電子、互聯(lián)網(wǎng)廣告、汽車、電商等多個(gè)行業(yè)。

張凱勛

金杜律師事務(wù)所合規(guī)業(yè)務(wù)部

姚敏侶

金杜律師事務(wù)所主辦律師

合規(guī)業(yè)務(wù)部

免責(zé)聲明

本文僅代表原作者觀點(diǎn)，不代表走出去智庫(kù)立場(chǎng)。

延展閱讀

▌地緣政治風(fēng)險(xiǎn):

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競(jìng)爭(zhēng):

▌品牌聲譽(yù)管理:

讓中國(guó)企業(yè)更好預(yù)警跨境風(fēng)險(xiǎn)、掌握前瞻趨勢(shì)，由走出去智庫(kù)、道瓊斯風(fēng)險(xiǎn)合規(guī)、卓緯律師事務(wù)所共同合作，并聯(lián)合30多國(guó)家35家領(lǐng)先律所團(tuán)隊(duì)共同推出第一期《跨境數(shù)據(jù)合規(guī)和法律研究》報(bào)告。（如需報(bào)告可點(diǎn)擊下文申請(qǐng)）