走出去智庫（CGGT）觀察

6月13日，工業和信息化部等八部門公開征求對《汽車數據出境安全指引（2025版）》的意見，反饋意見截止日期為2025年7月13日。該《指引》擬提出必須申報安全評估的情形、通過訂立標準合同或通過認證出境的情形以及9類豁免情形。

走出去智庫(CGGT)特約法律專家、金杜律師事務所合伙人寧宣鳳認為，盡管目前僅是征求意見稿，《指引》一定程度上回應了過去近3年數據出境實操中遇到的問題，反映了監管部門對各類汽車數據的認定標準，體現出相關監管經驗和參考價值。從法規銜接層面來看，《指引》的發布使現有的汽車數據安全管理規范體系更為健全，與現有的數據安全相關法律法規相互補充，形成了更為完善的數據出境管理法規框架。

汽車數據出境如何做好合規管理？今天，走出去智庫（CGGT）刊發金杜律師事務所寧宣鳳、吳涵、張凱勛、姚敏侶的文章，供關注跨境數據合規的讀者參考。

要點

1、《指引》經征求意見并通過后，也將成為汽車數據安全管理的有效參考規范之一，一定程度上代表了安全監管要求趨勢。

2、《指引》充分結合汽車行業客觀實際，提出了覆蓋汽車數據全生命周期和主要實踐場景下的識別細則。

3、《指引》細化了重要數據識別認定規則，企業需要依據這些規則重新審視和梳理所處理的汽車數據，明確哪些數據屬于重要數據范疇。

正文

引言：背景及規范概覽

1.《指引》的出臺背景

2025年6月13日，工業和信息化部（以下簡稱“工信部”）、國家互聯網信息辦公室（以下簡稱“國家網信辦”）、國家發展改革委、國家數據局、公安部、自然資源部、交通運輸部、市場監管總局聯合起草的《汽車數據出境安全指引（2025版）（征求意見稿）》（“《指引》”）正式向社會發布，公開征求意見。

近年來，隨著數字經濟迅猛發展，數據跨境流動日益頻繁，數據安全管理面臨新的挑戰與機遇。2024年，中國共產黨第二十屆中央委員會第三次全體會議決定指出“建立高效便利安全的數據跨境流動機制”，國家網信辦同年出臺的《促進和規范數據跨境流動規定》（以下簡稱“《322新規》”），為進一步優化各行業的數據跨境流動管理要求奠定了基礎，為行業細則的制定提供了空間。

2025年4月9日，國家網信辦發布“數據出境安全管理政策問答（2025年4月）”，明確指出數據出境涉及眾多行業領域，國家網信辦會同相關行業主管部門，逐步細化明確具體行業領域的數據出境業務場景以及個人信息出境必要范圍，為企業機構數據出境提供更為細化的政策指引。[1]

在此背景下，金融、汽車等強監管行業陸續制定了類似規則。2024年底，在世界互聯網大會烏鎮峰會上，中國人民銀行科技司司長李偉披露，國家將出臺關于金融業數據跨境流動的合規指南。[2]2025年4月17日，中國人民銀行、金融監管總局、中國證監會、國家外匯局、國家網信辦、國家數據局聯合印發《促進和規范金融業數據跨境流動合規指南》，為金融行業的數據跨境流動提供了明確的合規指引。[3]

汽車行業作為數據安全管理的重點行業部門，其數據跨境流動的規模和復雜性不斷增加，迫切需要統一的規則指引，以加強汽車數據的保護和出境管理。日前，正是基于此種背景，《指引》公開發布并面向社會征詢意見。

2.《指引》的結構與定位

從整體結構上看，《指引》分為“總則”“重要數據出境”“數據出境實施流程”和“汽車數據出境安全保護要求”四個部分，而在位階上屬于行政規范性文件，用于支撐《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等上位法中關于重要數據保護和數據出境的相關具體要求并提供實踐指引。《指引》整合了我國境內數據出境相關管理要求，并延續風險分級管理思路，主要對重要數據的出境活動進行了細化，包括各個場景下的重要數據范圍、重要數據識別和備案、數據出境安全評估申報流程，以及汽車數據出境安全保護要求。從規范角度來看，《指引》的實操意義比較強，需要屬于適用范圍內的相關企業予以特別關注。

從適用范圍上看，相比于《汽車數據安全管理若干規定（試行）》（“《規定》”），除了已有的“汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業”以外，《指引》中通過注意性規定增加了“電信運營企業、自動駕駛服務商、平臺運營企業”這三類主體類別，且仍然保留了“等”非窮盡描述的措辭。事實上，針對適用主體類型的規定，核心的判斷標準仍應當在于所處理的數據類型。在當前的智能網聯汽車和無人駕駛等領域，包括電信運營商、自動駕駛技術提供方和服務平臺等均是參與行業實踐和標準建設的常見市場主體，而在相關市場領域中處于汽車數據處理上下游的這些組織機構，也需要符合相關的安全管理規定，這一點毋庸置疑。由此，我們建議企業在判斷《指引》的適用范圍和條件時，以自身所處理的“數據類型是否屬于汽車數據”或“是否屬于汽車數據處理者”的實質性判斷，替代規范中明確列舉的主體類型等機械形式判斷，避免合規義務的遺漏風險。

此外，根據我們的觀察以及項目經驗，盡管目前僅是征求意見稿，《指引》一定程度上回應了過去近3年數據出境實操中遇到的問題，反映了監管部門對各類汽車數據的認定標準，體現出相關監管經驗和參考價值。與此同時，《指引》經征求意見并通過后，也將成為汽車數據安全管理的有效參考規范之一，一定程度上代表了安全監管要求趨勢。因此，對于從事研發設計、道路測試等業務的汽車數據處理者而言，在開展重要數據識別基礎上做好數據出境安全合規管理顯得尤為關鍵。

3.《指引》的適用與銜接

就個人信息而言，《指引》總體上仍然遵循了《322新規》下的框架，并未提出額外的要求或豁免。不過，《指引》整合了各出境路徑下的適用條件，方便汽車數據處理者參照適用，并且明確“跨境購車、跨境寄遞、跨境注冊賬戶”等情形屬于“為訂立、履行個人作為一方當事人的合同確需出境”的情形。

對比現有的各行業指引，我們觀察到各主管部門根據其行業特性以及過去3年的監管實踐，所發布的數據出境指引在規則設置上各有側重，采取的方式也有所不同。例如，《促進和規范金融業數據跨境流動合規指南》側重于對不同豁免情形明確具體的必要個人信息范圍，并針對無法免于數據跨境相關合規義務但基于實際情況又確需向境外傳輸數據的情況，給出了常見金融業務場景的必要個人信息數據項示例。另一方面，此次公布的《指引》更多的是以重要數據識別和認定為視角，規范汽車數據出境活動，但并未提供滿足豁免情形的數據項示例或個人信息出境必要范圍。工信部日后是否會進一步出臺關于滿足豁免情形的個人信息數據項示例或個人信息出境必要范圍指引，也有待觀察。

值得注意的是，根據國家網信辦發布的“數據出境安全管理政策問答（2025年5月）”[4]，數據處理者被告知掌握重要數據或者掌握的數據被公開發布為重要數據后，如需繼續開展相關數據出境活動的，應當在被告知或者公開發布后2個月內，通過所在地省級網信部門向國家網信辦申報數據出境安全評估。“數據出境安全管理政策問答（2025年5月）”在一定程度上體現了相應主管部門就企業履行申報重要數據出境安全評估義務有所期待。參考國家網信辦的公告，預計《指引》正式發布后，符合條件的汽車數據處理者需及時履行數據出境安全評估申報手續，因此需盡早著手相關工作的考慮和布局。

此外，如果《指引》在11月前通過征求意見和審批流程并正式發布，也有可能對2025年各省市汽車數據安全管理情況報告中重要數據報送工作產生影響，不排除將以《指引》中的重要數據識別和認定條件為重要參照，并基于此要求汽車數據處理者提供相關風險評估材料。《網絡數據安全管理條例》第52條提出了重要數據風險評估、重要數據出境安全評估應當加強銜接，避免重復評估的要求。因此，屆時已經申報數據出境安全評估的汽車數據處理者在提交汽車數據安全管理年報時是否可能無需重復提交相關材料，還有待觀察。

01、《指引》重點規則解讀

1.汽車數據出境路徑的選擇

除明確部分情形屬于為訂立、履行個人作為一方當事人的合同確需出境的情況，以及明確關鍵信息基礎設施運營者同樣可以適用《322新規》下的豁免情形外，《指引》擬針對汽車行業“新增”三種特殊豁免場景。在滿足以下情形時，汽車數據處理者可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證（以下簡稱“數據出境監管流程”）：

·因修補安全漏洞需要，汽車數據處理者按照《網絡產品安全漏洞管理規定》有關要求，已向工信部報告的安全漏洞數據；

·因處置安全事件需要，汽車數據處理者按照行業網絡安全、數據安全事件相關應急預案，已向工信部及相關行業監管部門報告的汽車產品、車聯網平臺及相關系統的安全事件數據；

·因消除汽車產品缺陷、實施召回需要，汽車數據處理者按照《缺陷汽車產品召回管理條例》已向國家市場監督管理總局備案的OTA升級軟件包對應的源代碼。

（以上豁免情形簡稱“汽車新增豁免”）

汽車新增豁免均屬于汽車行業常見實踐情形且具有廣泛的實踐基礎，主要涉及的安全漏洞數據、安全事件數據、OTA升級軟件包源代碼中包含個人信息的可能性較低，因此，我們理解此類豁免情形主要針對的是汽車數據處理者的數據出境安全評估義務。實際上，在數據出境管理領域，類似的豁免情形并非首次出現。2024年8月30日發布的《中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024版）》在汽車行業負面清單中，將車輛控制等在線升級數據列為自貿區范圍內的重要數據，但也明確了例外情形，即“已在工信部備案，并通過相關安全技術措施處理，可確保升級包數據不被篡改的情形除外”。我們理解，此類汽車新增豁免體現更多的是法規層面的銜接意義，或者說，已經履行過相應的備案或報告程序的相關汽車數據處理者即無需因相關數據出境再重復申報，以同時節約主管部門的行政執法成本和企業的合規成本。當然此種場景充分考慮并限于汽車行業相對常見/通行的實踐（如安全事件數據全球上報、召回等）。

目前，《指引》中并未體現《網絡數據安全管理條例》第35條規定的履行法定職責或者法定義務確需出境的豁免（以下簡稱“法定義務豁免”）。汽車新增豁免均以前置性行政程序（包括報告、備案）作為前提，因此可能會被解讀為法定義務豁免的具體情形。但值得注意的是，《網絡數據安全管理條例》第35條的豁免條件的適用范圍僅限于個人信息，因此其并非汽車新增豁免的恰當上位法依據。

相比之下，《數據安全法》第31條或許更適合作為汽車新增豁免情形的依據。根據第31條要求，不屬于關鍵信息基礎設施運營者的數據處理者的重要數據出境安全管理辦法，由國家網信辦會同國務院有關部門制定。第31條并未對重要數據出境安全管理辦法提出法律層級的要求，也符合《指引》作為規范性文件的定位。盡管如此，從行文角度來看，汽車新增豁免情形似乎并未排除關鍵信息基礎設施運營者適用的可能，而《網絡安全法》第37條將關鍵信息基礎設施運營者需要開展數據出境安全評估的例外情形限制在“法律、行政法規”的范圍內，因此關鍵信息基礎設施運營者是否可以適用此類豁免仍然存在討論的空間。[5]

從趨勢上看，縱觀《網絡安全法》《數據安全法》《個人信息保護法》的相關條款，對于規定數據出境例外情形的法規層級也在逐步降低，從“法律、行政法規”到“國家網信辦規定”。我們認為這事實上符合實際需求，監管部門需要根據行業發展、國際形勢等因素動態監管數據出境。如果將例外情形限定在法律、行政法規層面，則會導致相關機構無法及時做出調整，增加企業額外的合規成本。立法者在修訂《網絡安全法》時或許可以考慮參照《個人信息保護法》的措辭，將關鍵信息基礎設施運營者開展數據出境安全評估的例外情形拓展至“國家網信辦會同國務院有關部門明確可以不進行安全評估的，從其規定”。

就目前而言，如果《指引》起草者確實認為關鍵信息基礎設施運營者在滿足汽車新增豁免情形時無需開展數據出境安全評估，或許可以將其作為重要數據的例外情形，而非數據出境安全評估的例外情形。這樣可以從規范設立技術角度規避與《網絡安全法》第37條規定的沖突，但由此解釋也可能會帶來新的問題，即滿足要求的安全漏洞數據、安全事件數據、OTA升級軟件包源代碼數據，在不涉及出境的處理活動中，如果符合重要數據的法律定義或屬性，那么將導致此類數據在其他處理活動中無法受到相對應更為充分的保護。

為解決上述限制，工信部、國家網信辦或許可以考慮在數據出境安全評估流程中針對關鍵信息基礎設施運營者設立“綠色通道”。當汽車數據處理者確需出境安全漏洞數據、安全事件數據、OTA升級軟件包源代碼，并且已經提供已滿足前置法定義務的證明材料時，通過“綠色通道”讓其在較短的時間內通過數據出境安全評估。我們理解這種方式也可以在一定程度上起到適當監督豁免情形的作用，并且對醫藥等其他強監管行業也可以起到借鑒作用。

最后，雖然并非《指引》中明確的情形，但我們注意到將于2026年1月生效的強制性國標GB 44495—2024《汽車整車信息安全技術要求》第7.4.7條明確，車輛不應直接向境外傳輸數據，但用戶使用瀏覽器訪問境外網站、使用通信軟件向境外傳遞消息、自主安裝可能導致數據出境的第三方應用等用戶自主行為不受該條款限制。因此，汽車數據處理者需要關注的范圍主要是在其掌控范圍內的數據出境活動。

2.重要數據識別原則提煉與認定規則細化

《指引》充分結合汽車行業客觀實際，提出了覆蓋汽車數據全生命周期和主要實踐場景下的識別細則。此前，境內汽車數據處理者主要依據《規定》中明確的“重要數據”類型，初步劃分和研判自身處理重要數據的基礎情形。此外，結合國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》（“《數據分類分級規則》”）第6.5 b) 條及其附錄G“（規范性）重要數據識別指南”中規定的重要數據識別因素予以綜合考慮。設立于特定自由貿易試驗區（如北京、天津等）內的汽車數據處理者，還可以依據《中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024版）》或者《中國（天津）自由貿易試驗區數據出境管理清單（負面清單）（2024年版）》中就“汽車行業”“智能汽車”“交通”等類別的劃分參考識別認定具體的汽車重要數據。根據相關地區監管實踐，也有部分主管部門通過向企業提供目錄識別指引等方式開展重要數據備案實踐，但整體而言缺少統一和全面的汽車重要數據識別規范。

而此次《指引》將汽車重要數據按照“研發設計”“生產制造”“駕駛自動化”“軟件升級（包括OTA）”“聯網運行”等場景予以進一步細分和列舉，針對智能駕駛企業而言，諸如“物料清單”“駕駛自動化算法和訓練數據”“車輛數據（車輛識別號、數字證書等）”在符合相應判斷規則的前提下均需按照“重要數據”予以管理和保護。對于企業而言無疑提出全面覆蓋了智能駕駛技術研發、設計、測試、訓練、應用，以及智能網聯汽車生產、制造、銷售、使用、運維的全過程數據安全要求。

《規定》中明確，國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門有權確定其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。除了《規定》中已明確的五類重要數據類型以外，有必要針對此次《指引》識別“汽車重要數據”的原則性條件和評判維度進行概括提煉，我們嘗試在下表中進行初步梳理和列舉，以把握其中的核心思路并且更好地掌握解釋和適用的相應方法論。

值得注意的是，上述根據“重要數據”的識別和認定相關規則并非是孤立或單一的，《指引》中也列舉了不少需同時結合“數據本身屬性”和“數據精度或規模”多重因素綜合評判的“重要數據”類型，例如聯網運行場景下“涉及在境內運行的10萬臺以上車輛的安全啟動、診斷、更新、通信過程中的密鑰”類型數據，同時兼具了“安全屬性”和“車輛數據”等判斷條件。由此可見，即便《指引》充分細化和豐富了多場景下的重要數據識別和認定規則，但并不代表著汽車行業重要數據的認定僅局限于《指引》中已列舉的數據類型和字段。換句話說，汽車行業重要數據的認定仍然是動態且依場景而變化的，需要綜合多種客觀因素和條件予以認定。

下述我們將根據《指引》區分場景對特定類型的重要數據予以解讀。

（1）產品研發測試與生產制造相關數據

《指引》規定，符合特殊情形的研發設計信息屬于重要數據，例如物料清單、研發設計文檔以及開發源代碼等等。《指引》明確針對“被列入國家重大專項、國家重點研發計劃的”，相關數據不僅是企業內部的行業秘密，同時也是關涉國家安全和社會公共利益的重要數據，需要按照重要數據標準管理和出境。參照《科技部 財政部關于印發 <國家重點研發計劃管理暫行辦法> 的通知（國科發資〔2024〕28號）》《財政部、科技部關于印發 <國家重點研發計劃資金管理辦法> 的通知（財教〔2025〕2號）》，國家重大專項需國務院級審批，重點研發計劃項目隸屬科技部管理的專項。通常而言，企業判斷是否落入前述具備重大科創屬性的簡單方式，可以通過科技部官網或信息系統核實項目是否列入年度申報指南或立項公告，或者通過核實相關項目開展基金來源和途徑等方式予以結合判斷。

《指引》為自動駕駛道路測試相關數據是否符合重要數據屬性或特征提供了技術化判斷標準：一方面，如果涉及標注場景數據、仿真場景數據和測試場景數據等可以滿足經匯聚、分析后能推算出《規定》第3條中規定的“重要數據”類型的條件，或者達到相應規格/精度的車外人臉、車牌信息，則應當作為重要數據予以管理，此“注意性規定”使得在相應場景下的重要數據判斷更加有跡可循；另一方面，《指引》對于當前場景下還可能涉及重要數據的情形（包括參照《測繪地理信息管理工作國家秘密范圍的規定》識別的涉密、敏感的地理信息數據，以及涉及社會公共安全行政執法活動的）予以明確。考慮到《指引》對于開展自動駕駛道路測試所需的車外音視頻圖像數據提出了更多的安全性要求，因此可以看到相關企業進一步采取技術措施、落實汽車數據車內脫敏的安全原則屬于不可規避的發展趨勢。因此，建議企業結合GB/T 44464—2024《汽車數據通用要求》5.6.2 匿名化要求及相關資料性附件，對人臉和車牌匿名化的實現技術方式、效果等予以認定和檢驗。

此外，在生產環境中，由于《指引》對于生產控制程序源代碼作為重要數據的條件予以了關注和強調，因此對于OEM等車企而言需要考慮與《中國禁止出口限制出口技術目錄》中相關技術控制要點，以平衡出口管制和數據出境安全管理的雙重合規要求。

（2）輔助駕駛或駕駛自動化相關數據

針對輔助駕駛或駕駛自動化相關數據，《指引》總體上區分了“算法類數據”“訓練類數據”和“特征類數據”等三類進行重要數據識別規則的規定。首先，由于算法類數據更關乎于技術創新能力和企業、行業和國家的競爭實力，因此在識別規則的設定上更加強調高科技屬性對于汽車數據的要求，以“省部級獎勵”等作為判斷條件。《指引》為《重要數據識別指南》中所謂“對國家科技安全、行業競爭力有影響”相關數據的判斷標準，例如“涉及車聯網網絡與數據安全、駕駛自動化功能相關成果獲得省部級及以上獎勵的”。這對于當前正在開拓海外市場、希望將境內已經訓練完成或者處于研發成熟階段的自動駕駛服務商而言需要關注，僅確保自動駕駛訓練數據在境內存儲、將算法模型（含參數）等部署在境外的實踐做法可能存在合規挑戰，建議相關企業參照《指引》規定予以特別留意并做好內部梳理，對于屬于此類獎勵范圍內的自動駕駛算法文件（原理或流程）、源代碼和參數等，根據《指引》均屬于重要數據判定條件，為順利推進海外市場項目執行落地，需在出境前提前開展相應的申報準備。

其次，針對訓練數據集的重要數據特征，相應地更多體現在相關精度和規模的要求上。除《規定》中規定的判斷條件以外，《指引》突出強調汽車重要數據中“數據規模”要素的意義，并且從“時間”“空間”和“數量”等維度解析和規定具體的“數據規模”認定門檻，例如“累計時間大于等于30天”“10萬臺以上車輛收集”“采集真實環境中5000萬公里以上或2000小時以上的原始圖片或原始影像的”“涉及1000萬張以上原始圖片的”“涉及100萬個以上原始影像的”。

最后，針對包括圖像數據和點云特征數據的算法特征數據，可以認為《指引》在設定規則時兼具糅合了“算法類數據”和“訓練集數據”的判斷標準。底層邏輯上不難理解，由于算法特征數據與算法和訓練數據密不可分，且樣態豐富多樣、可推演可回溯，對于自動駕駛算法數據標注、模型訓練而言均具備重要價值，此類重要數據的識別客觀上即需要同時結合數據屬性和規模等條件予以完成。

（3）軟件升級相關數據

雖然未在《規定》中予以明確規定，但此次《指引》針對“軟件升級服務場景”下汽車數據處理者升級汽車動力系統、底盤系統、安全駕駛功能的軟件包對應的源代碼時重要數據的認定予以了專門規定。但需注意，該項判斷條件的標準是“同時符合”，即需要同時滿足三個因素才予以認定，具體包括：1）升級對象需為境內運行車輛；2）僅限于遠程控制功能（近場通信方式不在此列）；3）涉及車輛啟動行駛、動力丟失、緊急制動、巡航控制、車道保持功能（總結起來可能需要具備輔助駕駛能力）。

此前，汽車領域強制性國標之一GB 44496-2024《汽車軟件升級通用技術要求》也對相關技術要求予以明確，且其強制性效力意味著相關要求無法得以滿足將構成“產品缺陷”而承擔產品責任。其中規定“軟件升級”是指將某版本的軟件通過升級包更新到新版本（包括更改軟件的配置參數）的過程，包括在線升級和離線升級兩種類型。“在線升級”是指通過無線方式而不是使用電纜或其他本地連接方式將升級包傳輸到車輛的軟件升級，也稱“遠程升級”。早在2022年工信部即公布并執行《關于開展汽車軟件在線升級備案的通知》，不久前《工業和信息化部 市場監管總局關于進一步加強智能網聯汽車產品準入、召回及軟件在線升級管理的通知（工信部聯通裝〔2025〕45號）》發布，做出強化汽車軟件在線升級活動協同管理的要求和部署。而此次《指引》將軟件升級專門作為出境數據安全管理和重要數據識別的特殊場景，也體現出相關主管部門對于汽車軟件升級業務服務下性能安全、數據安全的重視。

（4）車聯網相關數據

在“聯網運行場景”章節下，《指引》整體遵循已有車聯網行業實踐中常見的“車路云”分類思路以梳理具體的汽車重要數據類型，符合智能網聯汽車數據分類分級要求，可見，智能網聯汽車企業此前數據分類分級制度和落地具有現實的合規價值，也得以看出車聯網行業領域貫徹數據分類分級規范的合規意義。例如實踐中，北京市高級別自動駕駛示范區通過發布“數據分類分級白皮書”等方式，通過匯聚和凝聚實踐經驗并以指導和反哺實踐的方式，實現行業內車聯網數據分類分級的制度和措施優化，推動行業數據安全自驅。而在這個過程中，“示范區數據分類分級參考”起到了相應的參照作用。因此，企業在前述分類分級的基礎上，也將更好地適應《指引》中設定的重要數據識別規則和出境安全管理要求。具體而言：

3.申報實施細節問題

《指引》對數據出境的實施過程提供了進一步的指引，涵蓋了數據識別、路徑判斷以及實施數據出境監管流程的細節。盡管大部分內容與此前國家網信辦發布的《數據出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》保持一致，但仍有以下幾點值得汽車數據處理者關注。

（1）重要數據目錄備案

首先，《指引》要求汽車數據處理者在“在重要數據目錄備案基礎上”，參考《指引》的規定識別需要開展不同數據出境監管流程的重要數據和個人信息。這意味著，在申報數據出境安全評估之前，汽車數據處理者應當根據《工業和信息化領域數據安全管理辦法（試行）》的相關規定，完成重要數據的備案工作。結合此前網信部門在數據出境申報項目中要求個人信息處理者說明滿足申報條件的實踐要求，我們不排除后續網信部門在接受重要數據的數據出境安全評估前，要求汽車數據處理者提供已完成重要數據備案的證明材料的可能性。因此，汽車數據處理者在規劃重要數據出境時，應將重要數據備案所需的時間納入考量范圍。

參考《工業和信息化領域數據安全管理辦法（試行）》第4條和第12條的規定，如果汽車數據處理者需要開展重要數據目錄備案，則其應當向其所在省、自治區、直轄市的通信管理局（以下簡稱“地方通管局”）進行備案。備案內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況。地方通管局應當在提交備案申請的20個工作日內完成審核工作，備案內容符合要求的，予以備案，同時將備案情況報工信部。如存在不予備案的情形，地方通管局應當及時反饋汽車數據處理者并說明理由，汽車數據處理者應當在收到反饋情況后的15個工作日內再次提交備案申請。

（2）境外汽車數據處理者申報方式

《指引》首次明確了位于境外的汽車數據處理者可以由其在境內的分支機構代為申報數據出境安全評估，這在一定程度上回應了實踐中關于境外直采數據出境合規的困惑，也體現了對當前實踐的總結。值得注意的是，必須由境外汽車數據處理者在境內的分支機構進行申報，而不能指定外部機構。此外，參考申報材料要求及我們的項目經驗，申報主體通常需要具備法人資格。因此，境外汽車數據處理者在境內設立的常駐代表機構或其境內分公司均無法作為數據出境安全評估的申報主體。

值得注意的是，《指引》僅在“實施數據出境安全評估”部分提及了可以由境內分支機構代為申報的可能性。由于《個人信息出境標準合同》的體例限制，《指引》并未在“訂立個人信息出境標準合同”部分為境外直采場景提供合規路徑。盡管目前實踐中存在由境內分支機構代為開展備案的情況，但此類做法更多是基于當前的實踐需求導致的過渡性安排。我們期待監管部門能夠提供更明確的指引，以便有合規意愿的企業能夠盡快滿足我國數據出境的監管要求。

4.出境安全管理要求

《指引》從組織管理、防護技術措施、日志記錄和應急處置等角度，向汽車數據處理者提出了進一步的汽車數據出境安全管理要求。我們不排除后續網信部門或工信部可能會要求汽車數據處理者在《數據出境風險自評估報告》或《個人信息保護影響評估報告》的對應章節中，詳細描述企業落實此類汽車數據出境安全管理要求的情況，因此建議汽車數據處理者盡早進行相關規劃。

（1）組織管理

《指引》從部門、人員、制度以及審批等角度，對汽車數據處理者提出了更為詳細的管理要求。總體而言，汽車數據處理者需要明確汽車數據出境安全負責人、汽車數據出境管理部門，從制度層面明確汽車數據出境安全管理要求，并建立企業內部審批登記流程。

目前，汽車數據處理者通常已經按照汽車數據安全管理年報的要求，任命了“汽車數據安全負責人”。《規定》暫未明確汽車數據出境安全負責人是否可以兼任，但在實踐中，汽車數據處理者或許可以通過讓汽車數據安全負責人兼任該職位，以滿足相關要求。

就內部審批登記流程而言，汽車數據處理者可以參照現有的個人信息保護影響評估流程基礎上，增加重要數據識別、備案、申報、風險評估流程。結合自身業務特點與數據出境場景，企業應制定詳細且可操作的內部管理制度，明確審批流程中各部門的職責與審核要點，并對所有記錄進行存檔。雖然《規定》暫未明確具體的存檔期限，但參考《網絡數據安全管理條例》第12條的規定，我們理解汽車數據處理者應當保存相關記錄至少3年。

整體而言，由于《規定》要求汽車數據處理者在制度層面針對汽車數據出境安全提供針對性要求，盡管目前尚不明確“針對性”所要求的具體顆粒度，但建議汽車數據處理者制定專門的汽車數據出境管理制度或標準操作程序（SOP），并確保其中至少涵蓋《指引》中規定的各類安全保護要求。

（2）防護技術措施

《指引》從數據出境傳輸安全、數據出境安全監測，以及檢查支持提出了詳細的要求，具體要求如下表所述。

（3）日志記錄

除上述數據出境安全監測部分要求的安全日志外，《規定》還要求汽車數據處理者留存網絡流量日志和操作行為日志，具體要求如下表所示。

根據《規定》，安全日志、網絡流量日志、操作行為日志均需采用防篡改技術措施保護，并且至少留存3年。汽車數據處理者同時需要對前述日志進行審計，當發現存在非法操作等安全風險隱患時，及時響應處置。

（4）應急處置要求

《規定》進一步規定，汽車數據處理者應當建立汽車數據違規出境的處置能力，發現異常行為時應及時處置，并按有關要求向本地區行業監管部門報告。我們理解，此處并非創設新的報告義務，而是對現有報告機制的進一步明確和細化。當汽車數據違規出境行為構成網絡安全事件或數據安全事件時，汽車數據處理者應當依據《公共互聯網網絡安全突發事件應急預案》和《工業和信息化領域數據安全事件應急預案（試行）》的相關要求，履行相應的報告義務。

02、合規影響與實操建議

1.對汽車數據安全及出境管理的影響

《指引》的發布為汽車行業的數據安全管理和數據出境活動提供了更為明確的指引和規范，對汽車行業的數據安全管理將產生積極影響。

汽車數據處理者可以借此機會審視和調整其汽車數據安全保護策略。《指引》細化了重要數據識別認定規則，企業需要依據這些規則重新審視和梳理所處理的汽車數據，明確哪些數據屬于重要數據范疇。在此基礎上，企業應積極推進重要數據目錄的制定與備案工作，確保重要數據的管理有章可循、有據可依，并基于企業內部重要數據目錄落實針對重要數據的全生命周期保護措施。

從法規銜接層面來看，《指引》的發布使現有的汽車數據安全管理規范體系更為健全，與現有的數據安全相關法律法規相互補充，形成了更為完善的數據出境管理法規框架。同時，《指引》在規范數據出境活動的過程中，既注重實質性把握重要數據出境安全風險，又兼顧了數據跨境流動的合理需求，體現了“促進和規范”兩手并重的原則。這將為汽車行業的國際化發展提供有力的法規支持，促進汽車產業在全球范圍內的合作與交流，推動汽車數據的合理利用和創新發展，同時確保數據安全始終處于可控狀態。

2.實操建議

盡管《汽車數據出境安全指引（2025版）》目前仍處于征求意見稿階段，但其重要數據范圍是基于實踐凝練而成，并且與《中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024版）》的重要數據清單存在較多重合之處。基于此，我們預計后續進行大規模調整的可能性較低，但仍不排除可能會有微調。

因此，汽車數據處理者應在現有數據出境工作的基礎上，結合《指引》中的重要數據清單，提前逐步開展以下工作，以便在《指引》正式發布后，能夠有序、合規地申報數據出境安全評估等工作，避免對業務連續性造成影響：

·重要數據識別：參照《指引》梳理企業掌握的數據，明確其中是否涉及重要數據。

·申報情況梳理：對于屬于重要數據的部分，進一步梳理哪些數據此前已經申報，哪些尚未申報。

·已申報數據的評估：對于已被生效的數據出境安全評估結果所涵蓋的數據，我們理解《指引》不會對其產生影響。

·未申報數據的策略制定：對于尚未申報的重要數據，企業需結合既有業務開展情況，制定數據出境安全評估申報策略。同時，企業應充分考慮重要數據備案所需的時間，以及如果重要數據未獲準出境時的整改方案。

在開展重要數據識別等相關工作的同時，汽車數據處理者的IT和安全部門應對《指引》中涉及的出境安全管理工作進行評估。評估內容包括相關技術措施的可行性，例如企業目前采取的數據加密、訪問控制等技術手段是否能夠滿足《指引》的要求，以確保數據在出境過程中的保密性、完整性和真實性，以及相關日志要求以及所需要的時間期限是否能夠得到落實。通過IT和安全部門的協同評估，汽車數據處理者可以提前做好技術準備和資源規劃，確保在《指引》正式實施后能夠順利開展數據出境管理工作，降低因技術或管理不到位而導致的數據安全風險，保障企業的正常運營和數據跨境流動的合規。

結語

此次公開征求意見的《指引》，在整合近些年汽車行業數據安全監管規則和數據出境安全規范的基礎上，從全生命周期和多場景視角為企業認定和識別汽車重要數據目錄并相應開展出境安全管理工作提供了更為明確的參考規則，凝聚和呈現了安全發展兩舉并重的數據治理經驗和產業監管良好互動的局面。更進一步地，汽車數據合規不僅是企業履行法律責任的需要，也是新質生產力時代提升企業競爭力、贏得消費者和市場信任的重要資格。此次《指引》透露出企業通過建立健全數據管理體系、強化汽車數據合規管理流程的突出價值。特別是針對存在汽車數據出境和海外市場發展戰略的車企而言，根據《指引》細化和專門要求，在保障數據安全的前提下，能夠順利開展汽車重要數據識別認定以及數據出境安全管理活動，助力汽車產業的全球化發展。

腳注：

[1] 國家網信辦，https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm

[2] 新華網，https://www.xinhuanet.com/money/20241122/bf66a82b9c0e4a7f8c1848eb6bdefe96/c.html

[3] 中國人民銀行，http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5675551/index.html

[4] 國家網信辦，https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm

[5] 關鍵信息基礎設施運營者對于個人信息的豁免可以依據《個人信息保護法》第40條，“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定”。

[6] 涉密屬性構成重要數據的判斷維度之一，但根據《網絡數據安全管理條例》第63條第3款，并不因此排除數據本身構成保密信息應遵循包括但不限于《保守國家秘密法》等在內的相關法定義務。

來源：金杜研究院

作者簡介

寧宣鳳

金杜律師事務所合伙人

合規業務部

業務領域：反壟斷與反不正當競爭，以及網絡安全與數據合規

在反壟斷領域，寧律師所提供的法律服務內容主要包括經營者集中反壟斷申報、應對反壟斷行政調查、反壟斷法合規咨詢以及反壟斷訴訟。早在2008年《反壟斷法》實施之前，寧宣鳳律師就曾積極參與政府起草該項法案的咨詢工作，并在該法頒布后，繼續積極參與協助相關條例、實施辦法及指南的起草工作。在網絡安全與數據合規領域，寧律師曾為多家國內外知名企業提供數據合規盡職調查、風險評估、合規體系建設等法律服務。作為國內最早涉足該類法律實務的律師之一，寧律師在為客戶提供網絡安全與數據合規法律咨詢服務方面有著豐富的經驗。

吳涵

金杜律師事務所合伙人

合規業務部

業務領域：網絡安全、數據合規與治理

吳律師主要協助企業在數字經濟轉型期發揮數據驅動力，實現數字化轉型、數據商業化及智能化應用。具體包括協助客戶制定修改隱私政策、算法可解釋性聲明，制定跨境數據傳輸計劃，制定數據商業化合規方案，搭建算法治理體系，梳理企業數據（包括個人信息保護）合規體系，進行網絡安全和數據合規自查，協助搭建數據融合的商業及合規框架，構建企業數據資產體系等。吳律師擅長從中國合規的角度為跨國企業在中國的分支機構提供網絡安全、數據治理及智能合規意見。同時吳涵律師能夠立足中國相關法律法規，為中國走出去企業建立符合歐盟（GDPR）及美國（CCPA）等跨司法轄區要求的網絡安全、數據合規及智能化監管體系。項目覆蓋金融、保險、健康醫療、人工智能、網約車平臺、航空、消費電子、互聯網廣告、汽車、電商等多個行業。

張凱勛

金杜律師事務所合規業務部

姚敏侶

金杜律師事務所主辦律師

合規業務部

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數據監管:

▌全球科技競爭:

▌品牌聲譽管理:

讓中國企業更好預警跨境風險、掌握前瞻趨勢，由走出去智庫、道瓊斯風險合規、卓緯律師事務所共同合作，并聯合30多國家35家領先律所團隊共同推出第一期《跨境數據合規和法律研究》報告。（如需報告可點擊下文申請）