随着汽车产业数字化、智能化、网联化发展步伐加快,数据跨境流动已成为产业创新发展的重要支撑。
为规范汽车数据出境管理,促进产业健康发展,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等八部门联合印发了《汽车数据出境安全指引(2026版)》。
这一指引的出台,标志着我国在汽车数据跨境流动管理上迈出了重要一步。
制定该指引的核心考量体现在三个方面。
首先,这是贯彻落实党中央、国务院关于建立高效便利安全的数据跨境流动机制的重要举措,是对《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规的具体实践。
其次,指引旨在提升汽车数据出境的便利化水平,通过明确管理方式、判定规则和保护要求,促进数据有序便利跨境流动,推动构建汽车产业高质量发展与高水平安全的良性互动格局。
第三,指引贯彻《全球数据跨境流动合作倡议》理念,以全球高度关注的汽车产业为实践领域,提出了汽车数据出境安全管理的中国方案。
从内容结构看,指引主要包括四个部分。
总则部分明确了适用范围,规定了数据出境安全评估、个人信息出境标准合同、个人信息出境认证三种管理方式的适用条件,同时提出了九类免于上述管理方式的情形。
重要数据判定部分面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等汽车行业典型业务场景,细化了重要数据的判定规则。
数据出境流程部分围绕重要数据识别备案、管理方式判定、安全评估实施、标准合同订立、认证通过等环节,明确了规范开展数据出境活动的工作要求。
安全保护要求部分从管理制度、技术防护、日志管理、应急处置等四个方面,指导汽车数据处理者建立事前保护、事中监测、事后处置的全流程数据安全保护能力。
值得关注的是,指引在国家数据出境安全管理框架下,将涉及安全漏洞、安全事件、OTA升级软件包源代码的相关重要数据纳入免于申报数据出境安全评估的情形。
这一规定的主要目的是为企业提供方便快捷的数据出境渠道,确保相关漏洞、事件、隐患能够被及时修补或处置,保障车辆运行安全,维护消费者生命财产安全。
但企业在执行时必须把握两个关键点:一是要确认出境目的确实是因为修补安全漏洞、处置安全事件或消除产品缺陷、实施召回的需要;二是要按照相关要求,事先向工业和信息化部、国家市场监督管理总局等部门报告或备案。
如不符合上述要求,相关重要数据出境仍需申报出境安全评估。
在数据提交方面,指引与国家网信办《数据出境安全评估申报指南(第三版)》保持一致,要求企业在申报时提供拟向境外传输的重要数据和个人信息的具体特征,包括数据类型、涉及行业、数量规模等信息,但不要求提供数据本身。
这一规定既保证了安全评估的有效性,又避免了不必要的数据泄露风险。
汽车重要数据的识别判定是指引的重要内容。
汽车数据处理者在判断数据级别时,应先按照数据类别、数据项和数据项说明确定数据分类,再根据判定规则确定数据级别,识别是否属于重要数据。
考虑到汽车行业新技术新业务发展迅速,重要数据判定规则需要结合行业发展形势及时调整。
工业和信息化部表示,将会同相关部门持续加强跟踪研究,视情调整更新判定规则,确保指引的适应性和前瞻性。
在数据出境安全保护方面,指引要求汽车数据处理者建立健全全流程数据安全管理制度,采取相应的技术措施保障数据安全。
这包括建立完善的管理制度体系、部署先进的技术防护手段、规范日志管理流程、建立应急处置机制等。
通过这些措施,形成事前预防、事中监测、事后处置的完整安全保护链条。
数据跨境流动既是全球产业协同的现实需要,也是安全治理能力的综合检验。
《汽车数据出境安全指引(2026版)》在规则、流程与责任边界上进一步明晰“怎么出、出什么、如何管、如何护”,为行业提供了可落地的操作路径。
随着制度供给不断完善、企业治理能力持续提升,我国汽车产业有望在守住安全底线的同时,进一步释放数据要素价值,推动智能网联汽车高质量发展迈向更高水平。