八部門聯(lián)合發(fā)文 推進汽車數(shù)據(jù)高效便利安全跨境流動

來源：中國新聞網(wǎng)

中新網(wǎng)2月3日電 據(jù)“工信微報”微信公眾號消息，為貫徹落實黨中央、國務院決策部署，推動建立高效便利安全的汽車數(shù)據(jù)跨境流動機制，提升汽車數(shù)據(jù)出境便利化水平，推動構(gòu)建汽車產(chǎn)業(yè)高質(zhì)量發(fā)展和高水平安全良性互動格局，工業(yè)和信息化部、國家網(wǎng)信辦、國家發(fā)展改革委、國家數(shù)據(jù)局、公安部、自然資源部、交通運輸部、市場監(jiān)管總局等八部門近日聯(lián)合印發(fā)《汽車數(shù)據(jù)出境安全指引(2026版)》(以下簡稱《安全指引》)。

《安全指引》規(guī)定了汽車數(shù)據(jù)出境活動管理方式和適用條件，提出九類豁免情形，面向研發(fā)設計、生產(chǎn)制造、駕駛自動化、軟件升級、聯(lián)網(wǎng)運行等業(yè)務場景細化重要數(shù)據(jù)判定規(guī)則，明確開展數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同或者通過個人信息出境認證的工作要求，并從管理制度、技術(shù)防護、日志管理、應急處置等方面提出保護要求，指導企業(yè)規(guī)范開展數(shù)據(jù)出境活動，提升汽車數(shù)據(jù)安全保護水平。

《安全指引》具體內(nèi)容如下：

汽車數(shù)據(jù)出境安全指引(2026版)

為貫徹落實《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)，引導規(guī)范汽車數(shù)據(jù)處理者高效便利安全開展數(shù)據(jù)出境活動，提升汽車數(shù)據(jù)出境便利化水平，制定本指引。

一、總則

(一)適用范圍

汽車數(shù)據(jù)處理者按照本指引開展數(shù)據(jù)出境活動。本指引所稱汽車數(shù)據(jù)是指汽車設計、生產(chǎn)、銷售、使用、運維等過程中涉及的個人信息和重要數(shù)據(jù)。汽車數(shù)據(jù)處理者是指開展汽車數(shù)據(jù)處理活動中自主決定處理目的和處理方式的組織、個人，包括汽車制造商、零部件和軟件供應商、電信運營企業(yè)、自動駕駛服務商、平臺運營企業(yè)、經(jīng)銷商、維修機構(gòu)以及出行服務企業(yè)等。

(二)數(shù)據(jù)出境行為

汽車數(shù)據(jù)處理者向中華人民共和國境外1提供汽車數(shù)據(jù)，符合以下情形之一的屬于數(shù)據(jù)出境行為：

1.汽車數(shù)據(jù)處理者將在中華人民共和國境內(nèi)2運營中收集和產(chǎn)生的汽車數(shù)據(jù)傳輸至境外；

2.汽車數(shù)據(jù)處理者收集和產(chǎn)生的汽車數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出；

3.符合《個人信息保護法》第三條第二款情形，在境外處理境內(nèi)自然人個人信息等其他數(shù)據(jù)處理活動。

(三)數(shù)據(jù)出境活動管理方式

1.汽車數(shù)據(jù)處理者向境外提供汽車數(shù)據(jù)，符合以下情形之一的，應當申報數(shù)據(jù)出境安全評估：

(1)向境外提供重要數(shù)據(jù)3；

(2)自當年1月1日起累計向境外提供100萬人以上?個人信息(不含敏感個人信息)；

(3)自當年1月1日起累計向境外提供1萬人以上敏感個人信息；

(4)關(guān)鍵信息基礎設施運營者向境外提供個人信息；

(5)國家有關(guān)規(guī)定明確的其他需要申報數(shù)據(jù)出境安全評估的情形。

2.汽車數(shù)據(jù)處理者(關(guān)鍵信息基礎設施運營者除外)向境外提供個人信息，符合以下情形之一的，可在訂立個人信息出境標準合同、通過個人信息出境認證兩種方式中任選其一：

(1)自當年1月1日起，累計向境外提供10萬人以上、不滿?100萬人個人信息(不含敏感個人信息)的；

(2)自當年1月1日起，累計向境外提供不滿1萬人敏感個人信息的。

3.有下列情形之一的，汽車數(shù)據(jù)處理者免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息出境認證：

(1)在境外收集和產(chǎn)生的汽車數(shù)據(jù)傳輸至境內(nèi)處理后向境外提供，處理過程中沒有引入境內(nèi)個人信息或者重要數(shù)據(jù)的；

(2)為訂立、履行個人作為一方當事人的合同，如跨境購車、跨境寄遞、跨境支付、跨境注冊賬戶等，確需向境外提供個人信息的；

(3)按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；

(4)緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的；

(5)關(guān)鍵信息基礎設施運營者以外的汽車數(shù)據(jù)處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的；

(6)自由貿(mào)易試驗區(qū)內(nèi)登記注冊的汽車數(shù)據(jù)處理者符合自由貿(mào)易試驗區(qū)有關(guān)要求，向境外提供負面清單外的數(shù)據(jù)的；

(7)因修補安全漏洞需要，汽車數(shù)據(jù)處理者按照《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，已向工業(yè)和信息化部報告的安全漏洞數(shù)據(jù)；

(8)因處置安全事件需要，汽車數(shù)據(jù)處理者按照行業(yè)網(wǎng)絡安全、數(shù)據(jù)安全事件相關(guān)應急預案?，已向工業(yè)和信息化部及相關(guān)行業(yè)監(jiān)管部門報告的汽車產(chǎn)品、車聯(lián)網(wǎng)平臺及相關(guān)系統(tǒng)的安全事件數(shù)據(jù)；

(9)因消除汽車產(chǎn)品缺陷、實施召回需要，汽車數(shù)據(jù)處理者按照《缺陷汽車產(chǎn)品召回管理條例》已向國家市場監(jiān)督管理總局備案的OTA升級軟件包對應的源代碼。

前款所稱向境外提供的個人信息，不包括重要數(shù)據(jù)。

二、重要數(shù)據(jù)判定

(一)研發(fā)設計場景

1.產(chǎn)品研發(fā)

汽車數(shù)據(jù)處理者在整合全球研發(fā)資源、產(chǎn)品協(xié)同設計開發(fā)過程中，收集和產(chǎn)生的物料清單、研發(fā)設計文檔、開發(fā)源代碼數(shù)據(jù)。

2.產(chǎn)品測試

汽車數(shù)據(jù)處理者開展產(chǎn)品仿真、場地和實際道路測試過程中，收集和產(chǎn)生的標注場景、仿真場景、測試場景數(shù)據(jù)。

(二)生產(chǎn)制造場景

汽車數(shù)據(jù)處理者在汽車產(chǎn)品生產(chǎn)制造過程中，收集和產(chǎn)生的物料清單、生產(chǎn)控制程序源代碼。

(三)駕駛自動化場景

汽車數(shù)據(jù)處理者在組合駕駛輔助或自動駕駛功能開發(fā)、部署、應用等過程中，收集和產(chǎn)生的算法、訓練數(shù)據(jù)、特征數(shù)據(jù)。

(四)軟件升級服務場景

汽車數(shù)據(jù)處理者升級汽車安全駕駛、電池管理功能的軟件包對應的源代碼。

(五)聯(lián)網(wǎng)運行場景

1.車輛數(shù)據(jù)

汽車數(shù)據(jù)處理者在車輛聯(lián)網(wǎng)運行過程中，收集和產(chǎn)生的車輛識別碼、車聯(lián)網(wǎng)卡標識碼、車輛密鑰、車輛數(shù)字證書、控制指令。

2.車路感知

汽車數(shù)據(jù)處理者在車輛及路側(cè)設備聯(lián)網(wǎng)運行過程中，收集和產(chǎn)生的車外實景影像、雷達、位置軌跡、慣性導航、自動駕駛地圖、構(gòu)圖類數(shù)據(jù)?。

3.車路分析

汽車數(shù)據(jù)處理者在開展車路協(xié)同分析、構(gòu)建車路協(xié)同系統(tǒng)過程中，收集和產(chǎn)生的融合計算數(shù)據(jù)。

4.車聯(lián)網(wǎng)平臺運營

汽車數(shù)據(jù)處理者在開展車聯(lián)網(wǎng)平臺建設、運行、維護過程中收集和產(chǎn)生的網(wǎng)絡規(guī)劃、充電運行、安全保障數(shù)據(jù)。

(六)其他情形

符合以下情形之一的汽車數(shù)據(jù)：

1.其他出境業(yè)務場景中符合上述判定規(guī)則的；

2.汽車數(shù)據(jù)處理者按照國家有關(guān)規(guī)定和行業(yè)標準規(guī)范識別、申報重要數(shù)據(jù)，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室等相關(guān)部門公開或告知屬于重要數(shù)據(jù)的。

三、數(shù)據(jù)出境流程

數(shù)據(jù)出境流程如下：

(一)數(shù)據(jù)識別

汽車數(shù)據(jù)處理者在重要數(shù)據(jù)目錄備案基礎上，按照本指引識別需申報出境安全評估、訂立個人信息出境標準合同、通過個人信息出境認證的汽車數(shù)據(jù)。

(二)實施數(shù)據(jù)出境安全評估

汽車數(shù)據(jù)處理者應當通過境內(nèi)法人主體申報數(shù)據(jù)出境安全評估。境內(nèi)無法人主體的，應由境內(nèi)分支機構(gòu)申報。境內(nèi)多家子公司如同屬一家集團公司(母公司)且數(shù)據(jù)出境業(yè)務場景相似，可由集團公司(母公司)作為申報主體合并申報。不得采取數(shù)量拆分等方式，將應當通過安全評估的數(shù)據(jù)通過訂立標準合同等方式向境外提供。

汽車數(shù)據(jù)處理者按照《數(shù)據(jù)出境安全評估辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》《數(shù)據(jù)出境安全評估申報指南(第三版)》，開展數(shù)據(jù)出境風險自評估并整改風險問題，向網(wǎng)信部門提交申報材料。通過數(shù)據(jù)出境安全評估的，汽車數(shù)據(jù)處理者開展數(shù)據(jù)出境活動；出現(xiàn)影響出境數(shù)據(jù)安全情形的，應當重新申報評估。

(三)訂立個人信息出境標準合同

汽車數(shù)據(jù)處理者按照《個人信息出境標準合同辦法》《個人信息出境標準合同備案指南(第二版)》，開展個人信息保護影響評估并整改風險問題，與境外接收方簽訂個人信息出境標準合同，合同生效后方可開展個人信息出境活動。

汽車數(shù)據(jù)處理者向網(wǎng)信部門提交備案材料，符合相關(guān)要求的將獲得備案編號；出現(xiàn)可能影響個人信息權(quán)益情形的，應當重新開展個人信息保護影響評估、訂立標準合同并備案。

(四)通過個人信息出境認證

汽車數(shù)據(jù)處理者按照《個人信息出境認證辦法》，開展個人信息保護影響評估并整改風險問題，向具備資質(zhì)的專業(yè)認證機構(gòu)申請認證，配合完成認證工作。通過認證后，汽車數(shù)據(jù)處理者方可開展個人信息出境活動。

個人信息出境情況不再符合認證要求的，汽車數(shù)據(jù)處理者應當重新開展個人信息保護影響評估并申請認證。

四、汽車數(shù)據(jù)出境安全保護要求

(一)管理要求

1.部門要求

汽車數(shù)據(jù)處理者應當明確汽車數(shù)據(jù)出境管理部門，統(tǒng)籌協(xié)調(diào)推進數(shù)據(jù)出境安全管理，監(jiān)督檢查數(shù)據(jù)出境相關(guān)管理要求的落實情況。

2.人員要求

汽車數(shù)據(jù)處理者應當明確汽車數(shù)據(jù)出境安全負責人，對數(shù)據(jù)出境活動以及采取的保護措施進行監(jiān)督，對數(shù)據(jù)出境活動的安全負責。

3.制度要求

汽車數(shù)據(jù)處理者應當明確網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護等方面的制度要求，針對性明確汽車數(shù)據(jù)出境安全管理要求。

4.審批要求

汽車數(shù)據(jù)處理者應當建立汽車數(shù)據(jù)出境內(nèi)部登記審批機制，設定審批權(quán)限和審批流程，對審批材料進行整理存檔。

(二)防護技術(shù)要求

1.數(shù)據(jù)出境傳輸安全

汽車數(shù)據(jù)處理者應當采取以下保護措施：

(1)采用校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施，保證數(shù)據(jù)出境傳輸過程中汽車數(shù)據(jù)的保密性和完整性。

(2)汽車數(shù)據(jù)出境相關(guān)系統(tǒng)應當具備對境外數(shù)據(jù)接收方進行身份鑒權(quán)的能力，確保境外數(shù)據(jù)接收方身份真實性。

2.數(shù)據(jù)出境安全監(jiān)測

汽車數(shù)據(jù)處理者應當對汽車數(shù)據(jù)出境傳輸網(wǎng)絡通信、主機或系統(tǒng)操作行為進行安全監(jiān)測，形成安全告警日志并留存。

3.檢查支持

汽車數(shù)據(jù)直接出境傳輸?shù)钠脚_或系統(tǒng)應當具備數(shù)據(jù)出境安全檢查技術(shù)支持能力，對數(shù)據(jù)出境網(wǎng)絡通信流量進行留存，支持數(shù)據(jù)防篡改和內(nèi)容解析。

(1)全量留存。按照起止時間對數(shù)據(jù)出境網(wǎng)絡通信流量進行全量留存，留存時間1周。

(2)抽樣留存。支持按照起止時間、IP地址范圍對數(shù)據(jù)出境網(wǎng)絡通信流量進行抽樣留存，留存時間不少于1個月。

(三)日志要求

1.日志記錄

(1)網(wǎng)絡流量日志

汽車數(shù)據(jù)處理者應當對汽車數(shù)據(jù)出境的網(wǎng)絡通信行為進行記錄，至少包括日期、時間、源IP地址、目的IP地址、源端口、目的端口、傳輸層協(xié)議、應用層協(xié)議、數(shù)據(jù)量大小等，形成網(wǎng)絡流量日志并留存。

(2)操作行為日志

汽車數(shù)據(jù)處理者應當對直接向境外傳輸汽車數(shù)據(jù)的主機的操作行為進行記錄，包括用戶信息、操作時間、操作對象、操作類型、登錄IP、設備信息、操作結(jié)果、數(shù)據(jù)訪問權(quán)限變更等，形成操作行為日志并留存。

2.日志留存

汽車數(shù)據(jù)處理者應對網(wǎng)絡流量日志、操作行為日志、安全告警日志進行防篡改留存，留存時間不少于3年。

3.日志審計

汽車數(shù)據(jù)處理者應當對網(wǎng)絡流量日志、操作行為日志、安全告警日志進行審計，當發(fā)現(xiàn)存在非法操作等安全風險隱患時，及時響應處置。

(四)應急處置要求

汽車數(shù)據(jù)處理者應當建立汽車數(shù)據(jù)違規(guī)出境的處置能力，發(fā)現(xiàn)異常行為時應及時處置，并按有關(guān)要求向本地區(qū)行業(yè)監(jiān)管部門報告。

注1：以下簡稱境外。

注2：以下簡稱境內(nèi)。

注3：包含空間坐標、影像、點云及其屬性信息等測繪地理信息數(shù)據(jù)的，應當在申報數(shù)據(jù)出境安全評估前依法履行對外提供審批或地圖審核程序。

注4：按自然人(去重)統(tǒng)計數(shù)量，所指“以上”均包含本數(shù)。

注5：所指“不滿”均不包含本數(shù)。

注6：網(wǎng)絡安全事件依據(jù)《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》，數(shù)據(jù)安全事件依據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案(試行)》。

注7：按照《測繪地理信息管理工作國家秘密范圍的規(guī)定》《公開地圖內(nèi)容表示規(guī)范》等識別涉密、敏感地理信息數(shù)據(jù)。

注8：近場通信是指使用電感耦合設備以13.56MHz中心頻率連接計算機外圍設備的近場通訊接口和協(xié)議1(NFCIP-1)的通訊模式(ISO/IEC 18092:2023)。

注9：位置軌跡數(shù)據(jù)、自動駕駛地圖數(shù)據(jù)、構(gòu)圖類數(shù)據(jù)等含有空間位置坐標的地理信息數(shù)據(jù)均應為采用國家認定的地理信息保密處理技術(shù)完成處理后的數(shù)據(jù)。