跨境數(shù)據(jù)合規(guī)｜《汽車數(shù)據(jù)出境安全指引（2025版）》（征求意見稿）的準(zhǔn)確理解與適用【走出去智庫】

走出去智庫（CGGT）觀察

6月13日，工業(yè)和信息化部等八部門公開征求對《汽車數(shù)據(jù)出境安全指引（2025版）》的意見，反饋意見截止日期為2025年7月13日。該《指引》擬提出必須申報(bào)安全評估的情形、通過訂立標(biāo)準(zhǔn)合同或通過認(rèn)證出境的情形以及9類豁免情形。

走出去智庫(CGGT)特約法律專家、金杜律師事務(wù)所合伙人寧宣鳳認(rèn)為，盡管目前僅是征求意見稿，《指引》一定程度上回應(yīng)了過去近3年數(shù)據(jù)出境實(shí)操中遇到的問題，反映了監(jiān)管部門對各類汽車數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)，體現(xiàn)出相關(guān)監(jiān)管經(jīng)驗(yàn)和參考價值。從法規(guī)銜接層面來看，《指引》的發(fā)布使現(xiàn)有的汽車數(shù)據(jù)安全管理規(guī)范體系更為健全，與現(xiàn)有的數(shù)據(jù)安全相關(guān)法律法規(guī)相互補(bǔ)充，形成了更為完善的數(shù)據(jù)出境管理法規(guī)框架。

汽車數(shù)據(jù)出境如何做好合規(guī)管理？今天，走出去智庫（CGGT）刊發(fā)金杜律師事務(wù)所寧宣鳳、吳涵、張凱勛、姚敏侶的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)的讀者參考。

要點(diǎn)

1、《指引》經(jīng)征求意見并通過后，也將成為汽車數(shù)據(jù)安全管理的有效參考規(guī)范之一，一定程度上代表了安全監(jiān)管要求趨勢。

2、《指引》充分結(jié)合汽車行業(yè)客觀實(shí)際，提出了覆蓋汽車數(shù)據(jù)全生命周期和主要實(shí)踐場景下的識別細(xì)則。

3、《指引》細(xì)化了重要數(shù)據(jù)識別認(rèn)定規(guī)則，企業(yè)需要依據(jù)這些規(guī)則重新審視和梳理所處理的汽車數(shù)據(jù)，明確哪些數(shù)據(jù)屬于重要數(shù)據(jù)范疇。

正文

引言：背景及規(guī)范概覽

1.《指引》的出臺背景

2025年6月13日，工業(yè)和信息化部（以下簡稱“工信部”）、國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）、國家發(fā)展改革委、國家數(shù)據(jù)局、公安部、自然資源部、交通運(yùn)輸部、市場監(jiān)管總局聯(lián)合起草的《汽車數(shù)據(jù)出境安全指引（2025版）（征求意見稿）》（“《指引》”）正式向社會發(fā)布，公開征求意見。

近年來，隨著數(shù)字經(jīng)濟(jì)迅猛發(fā)展，數(shù)據(jù)跨境流動日益頻繁，數(shù)據(jù)安全管理面臨新的挑戰(zhàn)與機(jī)遇。2024年，中國共產(chǎn)黨第二十屆中央委員會第三次全體會議決定指出“建立高效便利安全的數(shù)據(jù)跨境流動機(jī)制”，國家網(wǎng)信辦同年出臺的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱“《322新規(guī)》”），為進(jìn)一步優(yōu)化各行業(yè)的數(shù)據(jù)跨境流動管理要求奠定了基礎(chǔ)，為行業(yè)細(xì)則的制定提供了空間。

2025年4月9日，國家網(wǎng)信辦發(fā)布“數(shù)據(jù)出境安全管理政策問答（2025年4月）”，明確指出數(shù)據(jù)出境涉及眾多行業(yè)領(lǐng)域，國家網(wǎng)信辦會同相關(guān)行業(yè)主管部門，逐步細(xì)化明確具體行業(yè)領(lǐng)域的數(shù)據(jù)出境業(yè)務(wù)場景以及個人信息出境必要范圍，為企業(yè)機(jī)構(gòu)數(shù)據(jù)出境提供更為細(xì)化的政策指引。[1]

在此背景下，金融、汽車等強(qiáng)監(jiān)管行業(yè)陸續(xù)制定了類似規(guī)則。2024年底，在世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會上，中國人民銀行科技司司長李偉披露，國家將出臺關(guān)于金融業(yè)數(shù)據(jù)跨境流動的合規(guī)指南。[2]2025年4月17日，中國人民銀行、金融監(jiān)管總局、中國證監(jiān)會、國家外匯局、國家網(wǎng)信辦、國家數(shù)據(jù)局聯(lián)合印發(fā)《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動合規(guī)指南》，為金融行業(yè)的數(shù)據(jù)跨境流動提供了明確的合規(guī)指引。[3]

汽車行業(yè)作為數(shù)據(jù)安全管理的重點(diǎn)行業(yè)部門，其數(shù)據(jù)跨境流動的規(guī)模和復(fù)雜性不斷增加，迫切需要統(tǒng)一的規(guī)則指引，以加強(qiáng)汽車數(shù)據(jù)的保護(hù)和出境管理。日前，正是基于此種背景，《指引》公開發(fā)布并面向社會征詢意見。

2.《指引》的結(jié)構(gòu)與定位

從整體結(jié)構(gòu)上看，《指引》分為“總則”“重要數(shù)據(jù)出境”“數(shù)據(jù)出境實(shí)施流程”和“汽車數(shù)據(jù)出境安全保護(hù)要求”四個部分，而在位階上屬于行政規(guī)范性文件，用于支撐《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等上位法中關(guān)于重要數(shù)據(jù)保護(hù)和數(shù)據(jù)出境的相關(guān)具體要求并提供實(shí)踐指引。《指引》整合了我國境內(nèi)數(shù)據(jù)出境相關(guān)管理要求，并延續(xù)風(fēng)險分級管理思路，主要對重要數(shù)據(jù)的出境活動進(jìn)行了細(xì)化，包括各個場景下的重要數(shù)據(jù)范圍、重要數(shù)據(jù)識別和備案、數(shù)據(jù)出境安全評估申報(bào)流程，以及汽車數(shù)據(jù)出境安全保護(hù)要求。從規(guī)范角度來看，《指引》的實(shí)操意義比較強(qiáng)，需要屬于適用范圍內(nèi)的相關(guān)企業(yè)予以特別關(guān)注。

從適用范圍上看，相比于《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（“《規(guī)定》”），除了已有的“汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)”以外，《指引》中通過注意性規(guī)定增加了“電信運(yùn)營企業(yè)、自動駕駛服務(wù)商、平臺運(yùn)營企業(yè)”這三類主體類別，且仍然保留了“等”非窮盡描述的措辭。事實(shí)上，針對適用主體類型的規(guī)定，核心的判斷標(biāo)準(zhǔn)仍應(yīng)當(dāng)在于所處理的數(shù)據(jù)類型。在當(dāng)前的智能網(wǎng)聯(lián)汽車和無人駕駛等領(lǐng)域，包括電信運(yùn)營商、自動駕駛技術(shù)提供方和服務(wù)平臺等均是參與行業(yè)實(shí)踐和標(biāo)準(zhǔn)建設(shè)的常見市場主體，而在相關(guān)市場領(lǐng)域中處于汽車數(shù)據(jù)處理上下游的這些組織機(jī)構(gòu)，也需要符合相關(guān)的安全管理規(guī)定，這一點(diǎn)毋庸置疑。由此，我們建議企業(yè)在判斷《指引》的適用范圍和條件時，以自身所處理的“數(shù)據(jù)類型是否屬于汽車數(shù)據(jù)”或“是否屬于汽車數(shù)據(jù)處理者”的實(shí)質(zhì)性判斷，替代規(guī)范中明確列舉的主體類型等機(jī)械形式判斷，避免合規(guī)義務(wù)的遺漏風(fēng)險。

此外，根據(jù)我們的觀察以及項(xiàng)目經(jīng)驗(yàn)，盡管目前僅是征求意見稿，《指引》一定程度上回應(yīng)了過去近3年數(shù)據(jù)出境實(shí)操中遇到的問題，反映了監(jiān)管部門對各類汽車數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)，體現(xiàn)出相關(guān)監(jiān)管經(jīng)驗(yàn)和參考價值。與此同時，《指引》經(jīng)征求意見并通過后，也將成為汽車數(shù)據(jù)安全管理的有效參考規(guī)范之一，一定程度上代表了安全監(jiān)管要求趨勢。因此，對于從事研發(fā)設(shè)計(jì)、道路測試等業(yè)務(wù)的汽車數(shù)據(jù)處理者而言，在開展重要數(shù)據(jù)識別基礎(chǔ)上做好數(shù)據(jù)出境安全合規(guī)管理顯得尤為關(guān)鍵。

3.《指引》的適用與銜接

就個人信息而言，《指引》總體上仍然遵循了《322新規(guī)》下的框架，并未提出額外的要求或豁免。不過，《指引》整合了各出境路徑下的適用條件，方便汽車數(shù)據(jù)處理者參照適用，并且明確“跨境購車、跨境寄遞、跨境注冊賬戶”等情形屬于“為訂立、履行個人作為一方當(dāng)事人的合同確需出境”的情形。

對比現(xiàn)有的各行業(yè)指引，我們觀察到各主管部門根據(jù)其行業(yè)特性以及過去3年的監(jiān)管實(shí)踐，所發(fā)布的數(shù)據(jù)出境指引在規(guī)則設(shè)置上各有側(cè)重，采取的方式也有所不同。例如，《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動合規(guī)指南》側(cè)重于對不同豁免情形明確具體的必要個人信息范圍，并針對無法免于數(shù)據(jù)跨境相關(guān)合規(guī)義務(wù)但基于實(shí)際情況又確需向境外傳輸數(shù)據(jù)的情況，給出了常見金融業(yè)務(wù)場景的必要個人信息數(shù)據(jù)項(xiàng)示例。另一方面，此次公布的《指引》更多的是以重要數(shù)據(jù)識別和認(rèn)定為視角，規(guī)范汽車數(shù)據(jù)出境活動，但并未提供滿足豁免情形的數(shù)據(jù)項(xiàng)示例或個人信息出境必要范圍。工信部日后是否會進(jìn)一步出臺關(guān)于滿足豁免情形的個人信息數(shù)據(jù)項(xiàng)示例或個人信息出境必要范圍指引，也有待觀察。

值得注意的是，根據(jù)國家網(wǎng)信辦發(fā)布的“數(shù)據(jù)出境安全管理政策問答（2025年5月）”[4]，數(shù)據(jù)處理者被告知掌握重要數(shù)據(jù)或者掌握的數(shù)據(jù)被公開發(fā)布為重要數(shù)據(jù)后，如需繼續(xù)開展相關(guān)數(shù)據(jù)出境活動的，應(yīng)當(dāng)在被告知或者公開發(fā)布后2個月內(nèi)，通過所在地省級網(wǎng)信部門向國家網(wǎng)信辦申報(bào)數(shù)據(jù)出境安全評估。“數(shù)據(jù)出境安全管理政策問答（2025年5月）”在一定程度上體現(xiàn)了相應(yīng)主管部門就企業(yè)履行申報(bào)重要數(shù)據(jù)出境安全評估義務(wù)有所期待。參考國家網(wǎng)信辦的公告，預(yù)計(jì)《指引》正式發(fā)布后，符合條件的汽車數(shù)據(jù)處理者需及時履行數(shù)據(jù)出境安全評估申報(bào)手續(xù)，因此需盡早著手相關(guān)工作的考慮和布局。

此外，如果《指引》在11月前通過征求意見和審批流程并正式發(fā)布，也有可能對2025年各省市汽車數(shù)據(jù)安全管理情況報(bào)告中重要數(shù)據(jù)報(bào)送工作產(chǎn)生影響，不排除將以《指引》中的重要數(shù)據(jù)識別和認(rèn)定條件為重要參照，并基于此要求汽車數(shù)據(jù)處理者提供相關(guān)風(fēng)險評估材料。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第52條提出了重要數(shù)據(jù)風(fēng)險評估、重要數(shù)據(jù)出境安全評估應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評估的要求。因此，屆時已經(jīng)申報(bào)數(shù)據(jù)出境安全評估的汽車數(shù)據(jù)處理者在提交汽車數(shù)據(jù)安全管理年報(bào)時是否可能無需重復(fù)提交相關(guān)材料，還有待觀察。

01、《指引》重點(diǎn)規(guī)則解讀

1.汽車數(shù)據(jù)出境路徑的選擇

除明確部分情形屬于為訂立、履行個人作為一方當(dāng)事人的合同確需出境的情況，以及明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者同樣可以適用《322新規(guī)》下的豁免情形外，《指引》擬針對汽車行業(yè)“新增”三種特殊豁免場景。在滿足以下情形時，汽車數(shù)據(jù)處理者可以免予申報(bào)數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護(hù)認(rèn)證（以下簡稱“數(shù)據(jù)出境監(jiān)管流程”）：

·因修補(bǔ)安全漏洞需要，汽車數(shù)據(jù)處理者按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，已向工信部報(bào)告的安全漏洞數(shù)據(jù)；

·因處置安全事件需要，汽車數(shù)據(jù)處理者按照行業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全事件相關(guān)應(yīng)急預(yù)案，已向工信部及相關(guān)行業(yè)監(jiān)管部門報(bào)告的汽車產(chǎn)品、車聯(lián)網(wǎng)平臺及相關(guān)系統(tǒng)的安全事件數(shù)據(jù)；

·因消除汽車產(chǎn)品缺陷、實(shí)施召回需要，汽車數(shù)據(jù)處理者按照《缺陷汽車產(chǎn)品召回管理?xiàng)l例》已向國家市場監(jiān)督管理總局備案的OTA升級軟件包對應(yīng)的源代碼。

（以上豁免情形簡稱“汽車新增豁免”）

汽車新增豁免均屬于汽車行業(yè)常見實(shí)踐情形且具有廣泛的實(shí)踐基礎(chǔ)，主要涉及的安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級軟件包源代碼中包含個人信息的可能性較低，因此，我們理解此類豁免情形主要針對的是汽車數(shù)據(jù)處理者的數(shù)據(jù)出境安全評估義務(wù)。實(shí)際上，在數(shù)據(jù)出境管理領(lǐng)域，類似的豁免情形并非首次出現(xiàn)。2024年8月30日發(fā)布的《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》在汽車行業(yè)負(fù)面清單中，將車輛控制等在線升級數(shù)據(jù)列為自貿(mào)區(qū)范圍內(nèi)的重要數(shù)據(jù)，但也明確了例外情形，即“已在工信部備案，并通過相關(guān)安全技術(shù)措施處理，可確保升級包數(shù)據(jù)不被篡改的情形除外”。我們理解，此類汽車新增豁免體現(xiàn)更多的是法規(guī)層面的銜接意義，或者說，已經(jīng)履行過相應(yīng)的備案或報(bào)告程序的相關(guān)汽車數(shù)據(jù)處理者即無需因相關(guān)數(shù)據(jù)出境再重復(fù)申報(bào)，以同時節(jié)約主管部門的行政執(zhí)法成本和企業(yè)的合規(guī)成本。當(dāng)然此種場景充分考慮并限于汽車行業(yè)相對常見/通行的實(shí)踐（如安全事件數(shù)據(jù)全球上報(bào)、召回等）。

目前，《指引》中并未體現(xiàn)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第35條規(guī)定的履行法定職責(zé)或者法定義務(wù)確需出境的豁免（以下簡稱“法定義務(wù)豁免”）。汽車新增豁免均以前置性行政程序（包括報(bào)告、備案）作為前提，因此可能會被解讀為法定義務(wù)豁免的具體情形。但值得注意的是，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第35條的豁免條件的適用范圍僅限于個人信息，因此其并非汽車新增豁免的恰當(dāng)上位法依據(jù)。

相比之下，《數(shù)據(jù)安全法》第31條或許更適合作為汽車新增豁免情形的依據(jù)。根據(jù)第31條要求，不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)處理者的重要數(shù)據(jù)出境安全管理辦法，由國家網(wǎng)信辦會同國務(wù)院有關(guān)部門制定。第31條并未對重要數(shù)據(jù)出境安全管理辦法提出法律層級的要求，也符合《指引》作為規(guī)范性文件的定位。盡管如此，從行文角度來看，汽車新增豁免情形似乎并未排除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者適用的可能，而《網(wǎng)絡(luò)安全法》第37條將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者需要開展數(shù)據(jù)出境安全評估的例外情形限制在“法律、行政法規(guī)”的范圍內(nèi)，因此關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者是否可以適用此類豁免仍然存在討論的空間。[5]

從趨勢上看，縱觀《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》的相關(guān)條款，對于規(guī)定數(shù)據(jù)出境例外情形的法規(guī)層級也在逐步降低，從“法律、行政法規(guī)”到“國家網(wǎng)信辦規(guī)定”。我們認(rèn)為這事實(shí)上符合實(shí)際需求，監(jiān)管部門需要根據(jù)行業(yè)發(fā)展、國際形勢等因素動態(tài)監(jiān)管數(shù)據(jù)出境。如果將例外情形限定在法律、行政法規(guī)層面，則會導(dǎo)致相關(guān)機(jī)構(gòu)無法及時做出調(diào)整，增加企業(yè)額外的合規(guī)成本。立法者在修訂《網(wǎng)絡(luò)安全法》時或許可以考慮參照《個人信息保護(hù)法》的措辭，將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展數(shù)據(jù)出境安全評估的例外情形拓展至“國家網(wǎng)信辦會同國務(wù)院有關(guān)部門明確可以不進(jìn)行安全評估的，從其規(guī)定”。

就目前而言，如果《指引》起草者確實(shí)認(rèn)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在滿足汽車新增豁免情形時無需開展數(shù)據(jù)出境安全評估，或許可以將其作為重要數(shù)據(jù)的例外情形，而非數(shù)據(jù)出境安全評估的例外情形。這樣可以從規(guī)范設(shè)立技術(shù)角度規(guī)避與《網(wǎng)絡(luò)安全法》第37條規(guī)定的沖突，但由此解釋也可能會帶來新的問題，即滿足要求的安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級軟件包源代碼數(shù)據(jù)，在不涉及出境的處理活動中，如果符合重要數(shù)據(jù)的法律定義或?qū)傩裕敲磳?dǎo)致此類數(shù)據(jù)在其他處理活動中無法受到相對應(yīng)更為充分的保護(hù)。

為解決上述限制，工信部、國家網(wǎng)信辦或許可以考慮在數(shù)據(jù)出境安全評估流程中針對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者設(shè)立“綠色通道”。當(dāng)汽車數(shù)據(jù)處理者確需出境安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、OTA升級軟件包源代碼，并且已經(jīng)提供已滿足前置法定義務(wù)的證明材料時，通過“綠色通道”讓其在較短的時間內(nèi)通過數(shù)據(jù)出境安全評估。我們理解這種方式也可以在一定程度上起到適當(dāng)監(jiān)督豁免情形的作用，并且對醫(yī)藥等其他強(qiáng)監(jiān)管行業(yè)也可以起到借鑒作用。

最后，雖然并非《指引》中明確的情形，但我們注意到將于2026年1月生效的強(qiáng)制性國標(biāo)GB 44495—2024《汽車整車信息安全技術(shù)要求》第7.4.7條明確，車輛不應(yīng)直接向境外傳輸數(shù)據(jù)，但用戶使用瀏覽器訪問境外網(wǎng)站、使用通信軟件向境外傳遞消息、自主安裝可能導(dǎo)致數(shù)據(jù)出境的第三方應(yīng)用等用戶自主行為不受該條款限制。因此，汽車數(shù)據(jù)處理者需要關(guān)注的范圍主要是在其掌控范圍內(nèi)的數(shù)據(jù)出境活動。

2.重要數(shù)據(jù)識別原則提煉與認(rèn)定規(guī)則細(xì)化

《指引》充分結(jié)合汽車行業(yè)客觀實(shí)際，提出了覆蓋汽車數(shù)據(jù)全生命周期和主要實(shí)踐場景下的識別細(xì)則。此前，境內(nèi)汽車數(shù)據(jù)處理者主要依據(jù)《規(guī)定》中明確的“重要數(shù)據(jù)”類型，初步劃分和研判自身處理重要數(shù)據(jù)的基礎(chǔ)情形。此外，結(jié)合國家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》（“《數(shù)據(jù)分類分級規(guī)則》”）第6.5 b) 條及其附錄G“（規(guī)范性）重要數(shù)據(jù)識別指南”中規(guī)定的重要數(shù)據(jù)識別因素予以綜合考慮。設(shè)立于特定自由貿(mào)易試驗(yàn)區(qū)（如北京、天津等）內(nèi)的汽車數(shù)據(jù)處理者，還可以依據(jù)《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》或者《中國（天津）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024年版）》中就“汽車行業(yè)”“智能汽車”“交通”等類別的劃分參考識別認(rèn)定具體的汽車重要數(shù)據(jù)。根據(jù)相關(guān)地區(qū)監(jiān)管實(shí)踐，也有部分主管部門通過向企業(yè)提供目錄識別指引等方式開展重要數(shù)據(jù)備案實(shí)踐，但整體而言缺少統(tǒng)一和全面的汽車重要數(shù)據(jù)識別規(guī)范。

而此次《指引》將汽車重要數(shù)據(jù)按照“研發(fā)設(shè)計(jì)”“生產(chǎn)制造”“駕駛自動化”“軟件升級（包括OTA）”“聯(lián)網(wǎng)運(yùn)行”等場景予以進(jìn)一步細(xì)分和列舉，針對智能駕駛企業(yè)而言，諸如“物料清單”“駕駛自動化算法和訓(xùn)練數(shù)據(jù)”“車輛數(shù)據(jù)（車輛識別號、數(shù)字證書等）”在符合相應(yīng)判斷規(guī)則的前提下均需按照“重要數(shù)據(jù)”予以管理和保護(hù)。對于企業(yè)而言無疑提出全面覆蓋了智能駕駛技術(shù)研發(fā)、設(shè)計(jì)、測試、訓(xùn)練、應(yīng)用，以及智能網(wǎng)聯(lián)汽車生產(chǎn)、制造、銷售、使用、運(yùn)維的全過程數(shù)據(jù)安全要求。

《規(guī)定》中明確，國家網(wǎng)信部門和國務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門有權(quán)確定其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。除了《規(guī)定》中已明確的五類重要數(shù)據(jù)類型以外，有必要針對此次《指引》識別“汽車重要數(shù)據(jù)”的原則性條件和評判維度進(jìn)行概括提煉，我們嘗試在下表中進(jìn)行初步梳理和列舉，以把握其中的核心思路并且更好地掌握解釋和適用的相應(yīng)方法論。

值得注意的是，上述根據(jù)“重要數(shù)據(jù)”的識別和認(rèn)定相關(guān)規(guī)則并非是孤立或單一的，《指引》中也列舉了不少需同時結(jié)合“數(shù)據(jù)本身屬性”和“數(shù)據(jù)精度或規(guī)模”多重因素綜合評判的“重要數(shù)據(jù)”類型，例如聯(lián)網(wǎng)運(yùn)行場景下“涉及在境內(nèi)運(yùn)行的10萬臺以上車輛的安全啟動、診斷、更新、通信過程中的密鑰”類型數(shù)據(jù)，同時兼具了“安全屬性”和“車輛數(shù)據(jù)”等判斷條件。由此可見，即便《指引》充分細(xì)化和豐富了多場景下的重要數(shù)據(jù)識別和認(rèn)定規(guī)則，但并不代表著汽車行業(yè)重要數(shù)據(jù)的認(rèn)定僅局限于《指引》中已列舉的數(shù)據(jù)類型和字段。換句話說，汽車行業(yè)重要數(shù)據(jù)的認(rèn)定仍然是動態(tài)且依場景而變化的，需要綜合多種客觀因素和條件予以認(rèn)定。

下述我們將根據(jù)《指引》區(qū)分場景對特定類型的重要數(shù)據(jù)予以解讀。

（1）產(chǎn)品研發(fā)測試與生產(chǎn)制造相關(guān)數(shù)據(jù)

《指引》規(guī)定，符合特殊情形的研發(fā)設(shè)計(jì)信息屬于重要數(shù)據(jù)，例如物料清單、研發(fā)設(shè)計(jì)文檔以及開發(fā)源代碼等等。《指引》明確針對“被列入國家重大專項(xiàng)、國家重點(diǎn)研發(fā)計(jì)劃的”，相關(guān)數(shù)據(jù)不僅是企業(yè)內(nèi)部的行業(yè)秘密，同時也是關(guān)涉國家安全和社會公共利益的重要數(shù)據(jù)，需要按照重要數(shù)據(jù)標(biāo)準(zhǔn)管理和出境。參照《科技部 財(cái)政部關(guān)于印發(fā) <國家重點(diǎn)研發(fā)計(jì)劃管理暫行辦法> 的通知（國科發(fā)資〔2024〕28號）》《財(cái)政部、科技部關(guān)于印發(fā) <國家重點(diǎn)研發(fā)計(jì)劃資金管理辦法> 的通知（財(cái)教〔2025〕2號）》，國家重大專項(xiàng)需國務(wù)院級審批，重點(diǎn)研發(fā)計(jì)劃項(xiàng)目隸屬科技部管理的專項(xiàng)。通常而言，企業(yè)判斷是否落入前述具備重大科創(chuàng)屬性的簡單方式，可以通過科技部官網(wǎng)或信息系統(tǒng)核實(shí)項(xiàng)目是否列入年度申報(bào)指南或立項(xiàng)公告，或者通過核實(shí)相關(guān)項(xiàng)目開展基金來源和途徑等方式予以結(jié)合判斷。

《指引》為自動駕駛道路測試相關(guān)數(shù)據(jù)是否符合重要數(shù)據(jù)屬性或特征提供了技術(shù)化判斷標(biāo)準(zhǔn)：一方面，如果涉及標(biāo)注場景數(shù)據(jù)、仿真場景數(shù)據(jù)和測試場景數(shù)據(jù)等可以滿足經(jīng)匯聚、分析后能推算出《規(guī)定》第3條中規(guī)定的“重要數(shù)據(jù)”類型的條件，或者達(dá)到相應(yīng)規(guī)格/精度的車外人臉、車牌信息，則應(yīng)當(dāng)作為重要數(shù)據(jù)予以管理，此“注意性規(guī)定”使得在相應(yīng)場景下的重要數(shù)據(jù)判斷更加有跡可循；另一方面，《指引》對于當(dāng)前場景下還可能涉及重要數(shù)據(jù)的情形（包括參照《測繪地理信息管理工作國家秘密范圍的規(guī)定》識別的涉密、敏感的地理信息數(shù)據(jù)，以及涉及社會公共安全行政執(zhí)法活動的）予以明確。考慮到《指引》對于開展自動駕駛道路測試所需的車外音視頻圖像數(shù)據(jù)提出了更多的安全性要求，因此可以看到相關(guān)企業(yè)進(jìn)一步采取技術(shù)措施、落實(shí)汽車數(shù)據(jù)車內(nèi)脫敏的安全原則屬于不可規(guī)避的發(fā)展趨勢。因此，建議企業(yè)結(jié)合GB/T 44464—2024《汽車數(shù)據(jù)通用要求》5.6.2 匿名化要求及相關(guān)資料性附件，對人臉和車牌匿名化的實(shí)現(xiàn)技術(shù)方式、效果等予以認(rèn)定和檢驗(yàn)。

此外，在生產(chǎn)環(huán)境中，由于《指引》對于生產(chǎn)控制程序源代碼作為重要數(shù)據(jù)的條件予以了關(guān)注和強(qiáng)調(diào)，因此對于OEM等車企而言需要考慮與《中國禁止出口限制出口技術(shù)目錄》中相關(guān)技術(shù)控制要點(diǎn)，以平衡出口管制和數(shù)據(jù)出境安全管理的雙重合規(guī)要求。

（2）輔助駕駛或駕駛自動化相關(guān)數(shù)據(jù)

針對輔助駕駛或駕駛自動化相關(guān)數(shù)據(jù)，《指引》總體上區(qū)分了“算法類數(shù)據(jù)”“訓(xùn)練類數(shù)據(jù)”和“特征類數(shù)據(jù)”等三類進(jìn)行重要數(shù)據(jù)識別規(guī)則的規(guī)定。首先，由于算法類數(shù)據(jù)更關(guān)乎于技術(shù)創(chuàng)新能力和企業(yè)、行業(yè)和國家的競爭實(shí)力，因此在識別規(guī)則的設(shè)定上更加強(qiáng)調(diào)高科技屬性對于汽車數(shù)據(jù)的要求，以“省部級獎勵”等作為判斷條件。《指引》為《重要數(shù)據(jù)識別指南》中所謂“對國家科技安全、行業(yè)競爭力有影響”相關(guān)數(shù)據(jù)的判斷標(biāo)準(zhǔn)，例如“涉及車聯(lián)網(wǎng)網(wǎng)絡(luò)與數(shù)據(jù)安全、駕駛自動化功能相關(guān)成果獲得省部級及以上獎勵的”。這對于當(dāng)前正在開拓海外市場、希望將境內(nèi)已經(jīng)訓(xùn)練完成或者處于研發(fā)成熟階段的自動駕駛服務(wù)商而言需要關(guān)注，僅確保自動駕駛訓(xùn)練數(shù)據(jù)在境內(nèi)存儲、將算法模型（含參數(shù)）等部署在境外的實(shí)踐做法可能存在合規(guī)挑戰(zhàn)，建議相關(guān)企業(yè)參照《指引》規(guī)定予以特別留意并做好內(nèi)部梳理，對于屬于此類獎勵范圍內(nèi)的自動駕駛算法文件（原理或流程）、源代碼和參數(shù)等，根據(jù)《指引》均屬于重要數(shù)據(jù)判定條件，為順利推進(jìn)海外市場項(xiàng)目執(zhí)行落地，需在出境前提前開展相應(yīng)的申報(bào)準(zhǔn)備。

其次，針對訓(xùn)練數(shù)據(jù)集的重要數(shù)據(jù)特征，相應(yīng)地更多體現(xiàn)在相關(guān)精度和規(guī)模的要求上。除《規(guī)定》中規(guī)定的判斷條件以外，《指引》突出強(qiáng)調(diào)汽車重要數(shù)據(jù)中“數(shù)據(jù)規(guī)模”要素的意義，并且從“時間”“空間”和“數(shù)量”等維度解析和規(guī)定具體的“數(shù)據(jù)規(guī)模”認(rèn)定門檻，例如“累計(jì)時間大于等于30天”“10萬臺以上車輛收集”“采集真實(shí)環(huán)境中5000萬公里以上或2000小時以上的原始圖片或原始影像的”“涉及1000萬張以上原始圖片的”“涉及100萬個以上原始影像的”。

最后，針對包括圖像數(shù)據(jù)和點(diǎn)云特征數(shù)據(jù)的算法特征數(shù)據(jù)，可以認(rèn)為《指引》在設(shè)定規(guī)則時兼具糅合了“算法類數(shù)據(jù)”和“訓(xùn)練集數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。底層邏輯上不難理解，由于算法特征數(shù)據(jù)與算法和訓(xùn)練數(shù)據(jù)密不可分，且樣態(tài)豐富多樣、可推演可回溯，對于自動駕駛算法數(shù)據(jù)標(biāo)注、模型訓(xùn)練而言均具備重要價值，此類重要數(shù)據(jù)的識別客觀上即需要同時結(jié)合數(shù)據(jù)屬性和規(guī)模等條件予以完成。

（3）軟件升級相關(guān)數(shù)據(jù)

雖然未在《規(guī)定》中予以明確規(guī)定，但此次《指引》針對“軟件升級服務(wù)場景”下汽車數(shù)據(jù)處理者升級汽車動力系統(tǒng)、底盤系統(tǒng)、安全駕駛功能的軟件包對應(yīng)的源代碼時重要數(shù)據(jù)的認(rèn)定予以了專門規(guī)定。但需注意，該項(xiàng)判斷條件的標(biāo)準(zhǔn)是“同時符合”，即需要同時滿足三個因素才予以認(rèn)定，具體包括：1）升級對象需為境內(nèi)運(yùn)行車輛；2）僅限于遠(yuǎn)程控制功能（近場通信方式不在此列）；3）涉及車輛啟動行駛、動力丟失、緊急制動、巡航控制、車道保持功能（總結(jié)起來可能需要具備輔助駕駛能力）。

此前，汽車領(lǐng)域強(qiáng)制性國標(biāo)之一GB 44496-2024《汽車軟件升級通用技術(shù)要求》也對相關(guān)技術(shù)要求予以明確，且其強(qiáng)制性效力意味著相關(guān)要求無法得以滿足將構(gòu)成“產(chǎn)品缺陷”而承擔(dān)產(chǎn)品責(zé)任。其中規(guī)定“軟件升級”是指將某版本的軟件通過升級包更新到新版本（包括更改軟件的配置參數(shù)）的過程，包括在線升級和離線升級兩種類型。“在線升級”是指通過無線方式而不是使用電纜或其他本地連接方式將升級包傳輸?shù)杰囕v的軟件升級，也稱“遠(yuǎn)程升級”。早在2022年工信部即公布并執(zhí)行《關(guān)于開展汽車軟件在線升級備案的通知》，不久前《工業(yè)和信息化部 市場監(jiān)管總局關(guān)于進(jìn)一步加強(qiáng)智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入、召回及軟件在線升級管理的通知（工信部聯(lián)通裝〔2025〕45號）》發(fā)布，做出強(qiáng)化汽車軟件在線升級活動協(xié)同管理的要求和部署。而此次《指引》將軟件升級專門作為出境數(shù)據(jù)安全管理和重要數(shù)據(jù)識別的特殊場景，也體現(xiàn)出相關(guān)主管部門對于汽車軟件升級業(yè)務(wù)服務(wù)下性能安全、數(shù)據(jù)安全的重視。

（4）車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)

在“聯(lián)網(wǎng)運(yùn)行場景”章節(jié)下，《指引》整體遵循已有車聯(lián)網(wǎng)行業(yè)實(shí)踐中常見的“車路云”分類思路以梳理具體的汽車重要數(shù)據(jù)類型，符合智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級要求，可見，智能網(wǎng)聯(lián)汽車企業(yè)此前數(shù)據(jù)分類分級制度和落地具有現(xiàn)實(shí)的合規(guī)價值，也得以看出車聯(lián)網(wǎng)行業(yè)領(lǐng)域貫徹?cái)?shù)據(jù)分類分級規(guī)范的合規(guī)意義。例如實(shí)踐中，北京市高級別自動駕駛示范區(qū)通過發(fā)布“數(shù)據(jù)分類分級白皮書”等方式，通過匯聚和凝聚實(shí)踐經(jīng)驗(yàn)并以指導(dǎo)和反哺實(shí)踐的方式，實(shí)現(xiàn)行業(yè)內(nèi)車聯(lián)網(wǎng)數(shù)據(jù)分類分級的制度和措施優(yōu)化，推動行業(yè)數(shù)據(jù)安全自驅(qū)。而在這個過程中，“示范區(qū)數(shù)據(jù)分類分級參考”起到了相應(yīng)的參照作用。因此，企業(yè)在前述分類分級的基礎(chǔ)上，也將更好地適應(yīng)《指引》中設(shè)定的重要數(shù)據(jù)識別規(guī)則和出境安全管理要求。具體而言：

3.申報(bào)實(shí)施細(xì)節(jié)問題

《指引》對數(shù)據(jù)出境的實(shí)施過程提供了進(jìn)一步的指引，涵蓋了數(shù)據(jù)識別、路徑判斷以及實(shí)施數(shù)據(jù)出境監(jiān)管流程的細(xì)節(jié)。盡管大部分內(nèi)容與此前國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估申報(bào)指南（第二版）》和《個人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》保持一致，但仍有以下幾點(diǎn)值得汽車數(shù)據(jù)處理者關(guān)注。

（1）重要數(shù)據(jù)目錄備案

首先，《指引》要求汽車數(shù)據(jù)處理者在“在重要數(shù)據(jù)目錄備案基礎(chǔ)上”，參考《指引》的規(guī)定識別需要開展不同數(shù)據(jù)出境監(jiān)管流程的重要數(shù)據(jù)和個人信息。這意味著，在申報(bào)數(shù)據(jù)出境安全評估之前，汽車數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》的相關(guān)規(guī)定，完成重要數(shù)據(jù)的備案工作。結(jié)合此前網(wǎng)信部門在數(shù)據(jù)出境申報(bào)項(xiàng)目中要求個人信息處理者說明滿足申報(bào)條件的實(shí)踐要求，我們不排除后續(xù)網(wǎng)信部門在接受重要數(shù)據(jù)的數(shù)據(jù)出境安全評估前，要求汽車數(shù)據(jù)處理者提供已完成重要數(shù)據(jù)備案的證明材料的可能性。因此，汽車數(shù)據(jù)處理者在規(guī)劃重要數(shù)據(jù)出境時，應(yīng)將重要數(shù)據(jù)備案所需的時間納入考量范圍。

參考《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第4條和第12條的規(guī)定，如果汽車數(shù)據(jù)處理者需要開展重要數(shù)據(jù)目錄備案，則其應(yīng)當(dāng)向其所在省、自治區(qū)、直轄市的通信管理局（以下簡稱“地方通管局”）進(jìn)行備案。備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護(hù)措施等基本情況。地方通管局應(yīng)當(dāng)在提交備案申請的20個工作日內(nèi)完成審核工作，備案內(nèi)容符合要求的，予以備案，同時將備案情況報(bào)工信部。如存在不予備案的情形，地方通管局應(yīng)當(dāng)及時反饋汽車數(shù)據(jù)處理者并說明理由，汽車數(shù)據(jù)處理者應(yīng)當(dāng)在收到反饋情況后的15個工作日內(nèi)再次提交備案申請。

（2）境外汽車數(shù)據(jù)處理者申報(bào)方式

《指引》首次明確了位于境外的汽車數(shù)據(jù)處理者可以由其在境內(nèi)的分支機(jī)構(gòu)代為申報(bào)數(shù)據(jù)出境安全評估，這在一定程度上回應(yīng)了實(shí)踐中關(guān)于境外直采數(shù)據(jù)出境合規(guī)的困惑，也體現(xiàn)了對當(dāng)前實(shí)踐的總結(jié)。值得注意的是，必須由境外汽車數(shù)據(jù)處理者在境內(nèi)的分支機(jī)構(gòu)進(jìn)行申報(bào)，而不能指定外部機(jī)構(gòu)。此外，參考申報(bào)材料要求及我們的項(xiàng)目經(jīng)驗(yàn)，申報(bào)主體通常需要具備法人資格。因此，境外汽車數(shù)據(jù)處理者在境內(nèi)設(shè)立的常駐代表機(jī)構(gòu)或其境內(nèi)分公司均無法作為數(shù)據(jù)出境安全評估的申報(bào)主體。

值得注意的是，《指引》僅在“實(shí)施數(shù)據(jù)出境安全評估”部分提及了可以由境內(nèi)分支機(jī)構(gòu)代為申報(bào)的可能性。由于《個人信息出境標(biāo)準(zhǔn)合同》的體例限制，《指引》并未在“訂立個人信息出境標(biāo)準(zhǔn)合同”部分為境外直采場景提供合規(guī)路徑。盡管目前實(shí)踐中存在由境內(nèi)分支機(jī)構(gòu)代為開展備案的情況，但此類做法更多是基于當(dāng)前的實(shí)踐需求導(dǎo)致的過渡性安排。我們期待監(jiān)管部門能夠提供更明確的指引，以便有合規(guī)意愿的企業(yè)能夠盡快滿足我國數(shù)據(jù)出境的監(jiān)管要求。

4.出境安全管理要求

《指引》從組織管理、防護(hù)技術(shù)措施、日志記錄和應(yīng)急處置等角度，向汽車數(shù)據(jù)處理者提出了進(jìn)一步的汽車數(shù)據(jù)出境安全管理要求。我們不排除后續(xù)網(wǎng)信部門或工信部可能會要求汽車數(shù)據(jù)處理者在《數(shù)據(jù)出境風(fēng)險自評估報(bào)告》或《個人信息保護(hù)影響評估報(bào)告》的對應(yīng)章節(jié)中，詳細(xì)描述企業(yè)落實(shí)此類汽車數(shù)據(jù)出境安全管理要求的情況，因此建議汽車數(shù)據(jù)處理者盡早進(jìn)行相關(guān)規(guī)劃。

（1）組織管理

《指引》從部門、人員、制度以及審批等角度，對汽車數(shù)據(jù)處理者提出了更為詳細(xì)的管理要求。總體而言，汽車數(shù)據(jù)處理者需要明確汽車數(shù)據(jù)出境安全負(fù)責(zé)人、汽車數(shù)據(jù)出境管理部門，從制度層面明確汽車數(shù)據(jù)出境安全管理要求，并建立企業(yè)內(nèi)部審批登記流程。

目前，汽車數(shù)據(jù)處理者通常已經(jīng)按照汽車數(shù)據(jù)安全管理年報(bào)的要求，任命了“汽車數(shù)據(jù)安全負(fù)責(zé)人”。《規(guī)定》暫未明確汽車數(shù)據(jù)出境安全負(fù)責(zé)人是否可以兼任，但在實(shí)踐中，汽車數(shù)據(jù)處理者或許可以通過讓汽車數(shù)據(jù)安全負(fù)責(zé)人兼任該職位，以滿足相關(guān)要求。

就內(nèi)部審批登記流程而言，汽車數(shù)據(jù)處理者可以參照現(xiàn)有的個人信息保護(hù)影響評估流程基礎(chǔ)上，增加重要數(shù)據(jù)識別、備案、申報(bào)、風(fēng)險評估流程。結(jié)合自身業(yè)務(wù)特點(diǎn)與數(shù)據(jù)出境場景，企業(yè)應(yīng)制定詳細(xì)且可操作的內(nèi)部管理制度，明確審批流程中各部門的職責(zé)與審核要點(diǎn)，并對所有記錄進(jìn)行存檔。雖然《規(guī)定》暫未明確具體的存檔期限，但參考《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第12條的規(guī)定，我們理解汽車數(shù)據(jù)處理者應(yīng)當(dāng)保存相關(guān)記錄至少3年。

整體而言，由于《規(guī)定》要求汽車數(shù)據(jù)處理者在制度層面針對汽車數(shù)據(jù)出境安全提供針對性要求，盡管目前尚不明確“針對性”所要求的具體顆粒度，但建議汽車數(shù)據(jù)處理者制定專門的汽車數(shù)據(jù)出境管理制度或標(biāo)準(zhǔn)操作程序（SOP），并確保其中至少涵蓋《指引》中規(guī)定的各類安全保護(hù)要求。

（2）防護(hù)技術(shù)措施

《指引》從數(shù)據(jù)出境傳輸安全、數(shù)據(jù)出境安全監(jiān)測，以及檢查支持提出了詳細(xì)的要求，具體要求如下表所述。

（3）日志記錄

除上述數(shù)據(jù)出境安全監(jiān)測部分要求的安全日志外，《規(guī)定》還要求汽車數(shù)據(jù)處理者留存網(wǎng)絡(luò)流量日志和操作行為日志，具體要求如下表所示。

根據(jù)《規(guī)定》，安全日志、網(wǎng)絡(luò)流量日志、操作行為日志均需采用防篡改技術(shù)措施保護(hù)，并且至少留存3年。汽車數(shù)據(jù)處理者同時需要對前述日志進(jìn)行審計(jì)，當(dāng)發(fā)現(xiàn)存在非法操作等安全風(fēng)險隱患時，及時響應(yīng)處置。

（4）應(yīng)急處置要求

《規(guī)定》進(jìn)一步規(guī)定，汽車數(shù)據(jù)處理者應(yīng)當(dāng)建立汽車數(shù)據(jù)違規(guī)出境的處置能力，發(fā)現(xiàn)異常行為時應(yīng)及時處置，并按有關(guān)要求向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。我們理解，此處并非創(chuàng)設(shè)新的報(bào)告義務(wù)，而是對現(xiàn)有報(bào)告機(jī)制的進(jìn)一步明確和細(xì)化。當(dāng)汽車數(shù)據(jù)違規(guī)出境行為構(gòu)成網(wǎng)絡(luò)安全事件或數(shù)據(jù)安全事件時，汽車數(shù)據(jù)處理者應(yīng)當(dāng)依據(jù)《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》和《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》的相關(guān)要求，履行相應(yīng)的報(bào)告義務(wù)。

02、合規(guī)影響與實(shí)操建議

1.對汽車數(shù)據(jù)安全及出境管理的影響

《指引》的發(fā)布為汽車行業(yè)的數(shù)據(jù)安全管理和數(shù)據(jù)出境活動提供了更為明確的指引和規(guī)范，對汽車行業(yè)的數(shù)據(jù)安全管理將產(chǎn)生積極影響。

汽車數(shù)據(jù)處理者可以借此機(jī)會審視和調(diào)整其汽車數(shù)據(jù)安全保護(hù)策略。《指引》細(xì)化了重要數(shù)據(jù)識別認(rèn)定規(guī)則，企業(yè)需要依據(jù)這些規(guī)則重新審視和梳理所處理的汽車數(shù)據(jù)，明確哪些數(shù)據(jù)屬于重要數(shù)據(jù)范疇。在此基礎(chǔ)上，企業(yè)應(yīng)積極推進(jìn)重要數(shù)據(jù)目錄的制定與備案工作，確保重要數(shù)據(jù)的管理有章可循、有據(jù)可依，并基于企業(yè)內(nèi)部重要數(shù)據(jù)目錄落實(shí)針對重要數(shù)據(jù)的全生命周期保護(hù)措施。

從法規(guī)銜接層面來看，《指引》的發(fā)布使現(xiàn)有的汽車數(shù)據(jù)安全管理規(guī)范體系更為健全，與現(xiàn)有的數(shù)據(jù)安全相關(guān)法律法規(guī)相互補(bǔ)充，形成了更為完善的數(shù)據(jù)出境管理法規(guī)框架。同時，《指引》在規(guī)范數(shù)據(jù)出境活動的過程中，既注重實(shí)質(zhì)性把握重要數(shù)據(jù)出境安全風(fēng)險，又兼顧了數(shù)據(jù)跨境流動的合理需求，體現(xiàn)了“促進(jìn)和規(guī)范”兩手并重的原則。這將為汽車行業(yè)的國際化發(fā)展提供有力的法規(guī)支持，促進(jìn)汽車產(chǎn)業(yè)在全球范圍內(nèi)的合作與交流，推動汽車數(shù)據(jù)的合理利用和創(chuàng)新發(fā)展，同時確保數(shù)據(jù)安全始終處于可控狀態(tài)。

2.實(shí)操建議

盡管《汽車數(shù)據(jù)出境安全指引（2025版）》目前仍處于征求意見稿階段，但其重要數(shù)據(jù)范圍是基于實(shí)踐凝練而成，并且與《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》的重要數(shù)據(jù)清單存在較多重合之處。基于此，我們預(yù)計(jì)后續(xù)進(jìn)行大規(guī)模調(diào)整的可能性較低，但仍不排除可能會有微調(diào)。

因此，汽車數(shù)據(jù)處理者應(yīng)在現(xiàn)有數(shù)據(jù)出境工作的基礎(chǔ)上，結(jié)合《指引》中的重要數(shù)據(jù)清單，提前逐步開展以下工作，以便在《指引》正式發(fā)布后，能夠有序、合規(guī)地申報(bào)數(shù)據(jù)出境安全評估等工作，避免對業(yè)務(wù)連續(xù)性造成影響：

·重要數(shù)據(jù)識別：參照《指引》梳理企業(yè)掌握的數(shù)據(jù)，明確其中是否涉及重要數(shù)據(jù)。

·申報(bào)情況梳理：對于屬于重要數(shù)據(jù)的部分，進(jìn)一步梳理哪些數(shù)據(jù)此前已經(jīng)申報(bào)，哪些尚未申報(bào)。

·已申報(bào)數(shù)據(jù)的評估：對于已被生效的數(shù)據(jù)出境安全評估結(jié)果所涵蓋的數(shù)據(jù)，我們理解《指引》不會對其產(chǎn)生影響。

·未申報(bào)數(shù)據(jù)的策略制定：對于尚未申報(bào)的重要數(shù)據(jù)，企業(yè)需結(jié)合既有業(yè)務(wù)開展情況，制定數(shù)據(jù)出境安全評估申報(bào)策略。同時，企業(yè)應(yīng)充分考慮重要數(shù)據(jù)備案所需的時間，以及如果重要數(shù)據(jù)未獲準(zhǔn)出境時的整改方案。

在開展重要數(shù)據(jù)識別等相關(guān)工作的同時，汽車數(shù)據(jù)處理者的IT和安全部門應(yīng)對《指引》中涉及的出境安全管理工作進(jìn)行評估。評估內(nèi)容包括相關(guān)技術(shù)措施的可行性，例如企業(yè)目前采取的數(shù)據(jù)加密、訪問控制等技術(shù)手段是否能夠滿足《指引》的要求，以確保數(shù)據(jù)在出境過程中的保密性、完整性和真實(shí)性，以及相關(guān)日志要求以及所需要的時間期限是否能夠得到落實(shí)。通過IT和安全部門的協(xié)同評估，汽車數(shù)據(jù)處理者可以提前做好技術(shù)準(zhǔn)備和資源規(guī)劃，確保在《指引》正式實(shí)施后能夠順利開展數(shù)據(jù)出境管理工作，降低因技術(shù)或管理不到位而導(dǎo)致的數(shù)據(jù)安全風(fēng)險，保障企業(yè)的正常運(yùn)營和數(shù)據(jù)跨境流動的合規(guī)。

結(jié)語

此次公開征求意見的《指引》，在整合近些年汽車行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則和數(shù)據(jù)出境安全規(guī)范的基礎(chǔ)上，從全生命周期和多場景視角為企業(yè)認(rèn)定和識別汽車重要數(shù)據(jù)目錄并相應(yīng)開展出境安全管理工作提供了更為明確的參考規(guī)則，凝聚和呈現(xiàn)了安全發(fā)展兩舉并重的數(shù)據(jù)治理經(jīng)驗(yàn)和產(chǎn)業(yè)監(jiān)管良好互動的局面。更進(jìn)一步地，汽車數(shù)據(jù)合規(guī)不僅是企業(yè)履行法律責(zé)任的需要，也是新質(zhì)生產(chǎn)力時代提升企業(yè)競爭力、贏得消費(fèi)者和市場信任的重要資格。此次《指引》透露出企業(yè)通過建立健全數(shù)據(jù)管理體系、強(qiáng)化汽車數(shù)據(jù)合規(guī)管理流程的突出價值。特別是針對存在汽車數(shù)據(jù)出境和海外市場發(fā)展戰(zhàn)略的車企而言，根據(jù)《指引》細(xì)化和專門要求，在保障數(shù)據(jù)安全的前提下，能夠順利開展汽車重要數(shù)據(jù)識別認(rèn)定以及數(shù)據(jù)出境安全管理活動，助力汽車產(chǎn)業(yè)的全球化發(fā)展。

腳注：

[1] 國家網(wǎng)信辦，https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm

[2] 新華網(wǎng)，https://www.xinhuanet.com/money/20241122/bf66a82b9c0e4a7f8c1848eb6bdefe96/c.html

[3] 中國人民銀行，http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5675551/index.html

[4] 國家網(wǎng)信辦，https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm

[5] 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對于個人信息的豁免可以依據(jù)《個人信息保護(hù)法》第40條，“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的，從其規(guī)定”。

[6] 涉密屬性構(gòu)成重要數(shù)據(jù)的判斷維度之一，但根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第63條第3款，并不因此排除數(shù)據(jù)本身構(gòu)成保密信息應(yīng)遵循包括但不限于《保守國家秘密法》等在內(nèi)的相關(guān)法定義務(wù)。

來源：金杜研究院

作者簡介

寧宣鳳

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：反壟斷與反不正當(dāng)競爭，以及網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)

在反壟斷領(lǐng)域，寧律師所提供的法律服務(wù)內(nèi)容主要包括經(jīng)營者集中反壟斷申報(bào)、應(yīng)對反壟斷行政調(diào)查、反壟斷法合規(guī)咨詢以及反壟斷訴訟。早在2008年《反壟斷法》實(shí)施之前，寧宣鳳律師就曾積極參與政府起草該項(xiàng)法案的咨詢工作，并在該法頒布后，繼續(xù)積極參與協(xié)助相關(guān)條例、實(shí)施辦法及指南的起草工作。在網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域，寧律師曾為多家國內(nèi)外知名企業(yè)提供數(shù)據(jù)合規(guī)盡職調(diào)查、風(fēng)險評估、合規(guī)體系建設(shè)等法律服務(wù)。作為國內(nèi)最早涉足該類法律實(shí)務(wù)的律師之一，寧律師在為客戶提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)法律咨詢服務(wù)方面有著豐富的經(jīng)驗(yàn)。

吳涵

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)與治理

吳律師主要協(xié)助企業(yè)在數(shù)字經(jīng)濟(jì)轉(zhuǎn)型期發(fā)揮數(shù)據(jù)驅(qū)動力，實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、數(shù)據(jù)商業(yè)化及智能化應(yīng)用。具體包括協(xié)助客戶制定修改隱私政策、算法可解釋性聲明，制定跨境數(shù)據(jù)傳輸計(jì)劃，制定數(shù)據(jù)商業(yè)化合規(guī)方案，搭建算法治理體系，梳理企業(yè)數(shù)據(jù)（包括個人信息保護(hù)）合規(guī)體系，進(jìn)行網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)自查，協(xié)助搭建數(shù)據(jù)融合的商業(yè)及合規(guī)框架，構(gòu)建企業(yè)數(shù)據(jù)資產(chǎn)體系等。吳律師擅長從中國合規(guī)的角度為跨國企業(yè)在中國的分支機(jī)構(gòu)提供網(wǎng)絡(luò)安全、數(shù)據(jù)治理及智能合規(guī)意見。同時吳涵律師能夠立足中國相關(guān)法律法規(guī)，為中國走出去企業(yè)建立符合歐盟（GDPR）及美國（CCPA）等跨司法轄區(qū)要求的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)及智能化監(jiān)管體系。項(xiàng)目覆蓋金融、保險、健康醫(yī)療、人工智能、網(wǎng)約車平臺、航空、消費(fèi)電子、互聯(lián)網(wǎng)廣告、汽車、電商等多個行業(yè)。

張凱勛

金杜律師事務(wù)所合規(guī)業(yè)務(wù)部

姚敏侶

金杜律師事務(wù)所主辦律師

合規(guī)業(yè)務(wù)部

免責(zé)聲明

本文僅代表原作者觀點(diǎn)，不代表走出去智庫立場。

延展閱讀

▌地緣政治風(fēng)險:

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競爭:

▌品牌聲譽(yù)管理:

讓中國企業(yè)更好預(yù)警跨境風(fēng)險、掌握前瞻趨勢，由走出去智庫、道瓊斯風(fēng)險合規(guī)、卓緯律師事務(wù)所共同合作，并聯(lián)合30多國家35家領(lǐng)先律所團(tuán)隊(duì)共同推出第一期《跨境數(shù)據(jù)合規(guī)和法律研究》報(bào)告。（如需報(bào)告可點(diǎn)擊下文申請）