近日,工业和信息化部、国家互联网信息办公室、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等八部门联合印发《汽车数据出境安全指引(2026版)》(以下简称《安全指引》),旨在引导汽车数据处理者高效、便利、安全地开展数据出境活动,提升汽车数据出境便利化水平,推动构建汽车产业高质量发展和高水平安全良性互动格局。
一、出台背景与总体定位
《安全指引》是在国家数据出境安全管理框架下,针对汽车行业数据跨境流动特点制定的专项指引文件。随着新一代信息技术与汽车产业加速融合,智能网联汽车快速发展,汽车数据处理能力不断增强,数据安全风险日益突出。2025年我国汽车产销量均突破3400万辆,出口量超过700万辆,一辆高阶自动驾驶测试车日均可产生高达10TB量级数据,从研发到售后,汽车全产业链均产生高频、刚性的数据,对数据跨境流动管理提出更高要求。
《安全指引》贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,推进数据高效便利安全跨境流动,在国家数据安全工作协调机制统筹指导下制定,为汽车数据处理者提供可操作的合规指南。
二、适用范围与数据出境行为界定
《安全指引》适用于汽车数据处理者向境外提供汽车数据的行为。汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。汽车数据处理者包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等,只要是开展汽车数据处理活动中自主决定处理目的和处理方式的组织、个人,均需遵守本指引。
《安全指引》明确三类数据出境行为:一是汽车数据处理者将在境内运营中收集和产生的汽车数据传输至境外;二是汽车数据处理者收集和产生的汽车数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;三是符合《个人信息保护法》相关规定,在境外处理境内自然人个人信息的其他数据处理活动。
三、数据出境活动管理方式与豁免情形
《安全指引》规定了三种数据出境活动管理方式:申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证,并明确了各自的适用条件。
汽车数据处理者向境外提供汽车数据,符合以下情形之一的,应当申报数据出境安全评估:向境外提供重要数据;自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);自当年1月1日起累计向境外提供1万人以上敏感个人信息;关键信息基础设施运营者向境外提供个人信息;国家有关规定明确的其他需要申报数据出境安全评估的情形。
同时,《安全指引》提出九类豁免情形,包括在境外收集和产生的汽车数据传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据;紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;跨境购车、紧急救援、员工跨境人力资源管理、已备案的OTA召回软件源代码传输等业务场景。其中,涉及安全漏洞、安全事件、OTA升级软件包源代码的相关重要数据纳入免于申报数据出境安全评估情形,主要考虑是为企业提供方便快捷的数据出境渠道,确保相关漏洞、事件、隐患能够被及时修补或处置,保障车辆运行安全,维护相关境内外汽车消费者生命财产安全。
四、重要数据判定规则
《安全指引》面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等汽车行业典型业务场景,细化汽车重要数据判定规则,首次明确了“重要数据判定”识别规则,提出了包括开发源代码、驾驶自动化算法数据以及软件升级等在内的27类51项重要数据及对应判定规则。
汽车数据处理者在判断数据级别时,应先按照数据类别、数据项和数据项说明确定数据分类,再根据判定规则确定数据级别,识别是否属于重要数据。汽车行业新技术新业务发展迅速,重要数据判定规则需要结合行业发展形势及时调整,工业和信息化部将会同相关部门,持续加强跟踪研究,视情调整更新。
五、数据出境流程与安全保护要求
《安全指引》围绕重要数据识别备案、判定数据出境活动管理方式、实施数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证等方面,明确规范开展数据出境活动的工作要求。
汽车数据处理者应当通过境内法人主体申报数据出境安全评估。境内无法人主体的,应由境内分支机构申报。境内多家子公司如同属一家集团公司(母公司)且数据出境业务场景相似,可由集团公司(母公司)作为申报主体合并申报。不得采取数量拆分等方式,将应当通过安全评估的数据通过订立标准合同等方式向境外提供。
在安全保护方面,《安全指引》从管理制度、技术防护、日志管理、应急处置等四方面,指导汽车数据处理者建立事前保护、事中监测、事后处置的数据出境安全保护能力。要求企业建立数据分类分级制度,落实传输加密、访问控制、日志留存不少于三年等技术措施,并完善内部管理制度。
六、下一步工作安排
《安全指引》发布后,工业和信息化部将与有关部门密切配合,从四个方面抓好落实:一是加强宣贯培训,指导编制《安全指引》问答,组织开展宣贯解读,指导汽车数据处理者准确理解掌握相关要求;二是持续开展重要数据识别,组织相关企业准确识别重要数据并备案,及时将备案结果告知企业,明确安全保护目标;三是提升安全保护水平,指导企业立足业务场景和保护需求,加强管理制度、操作规范和技术能力建设,强化全生命周期保护能力;四是深化国际合作,在《安全指引》基础上,与有关国家和地区进一步深化合作,推动建立平等互惠共赢、高效便利安全的汽车数据跨境流动国际规则。
全部评论 (0)