工信部、发改委等部门联合发文 为汽车数据出境设置“安全阀”

中经记者 陈茂利 张硕 北京报道

汽车数据出境已成为涉及国家安全、个人隐私和商业竞争的复杂问题。日前，工业和信息化部（以下简称“工信部”）、国家发展和改革委员会等八部门联合印发《汽车数据出境安全指引（2026版）》（以下简称“《安全指引》”）。

在业内人士看来，《安全指引》出台是产业发展的必然。随着汽车全面进入智能网联时代，数据已成为驱动产业发展的核心生产要素。一辆配置完备的高阶自动驾驶汽车，日均产生的数据量可达10TB级别，内容涵盖车辆自身的状态、行驶轨迹、外部环境路况等。

与此同时，中国汽车产业的全球化步伐正在加速。2025年，我国汽车产销量均突破3400万辆，出口量跃升至700万辆以上。随着越来越多的智能汽车驶向全球，研发协同、跨境运营、远程服务等场景下的数据跨境流动日益频繁。

中国汽车流通协会乘用车市场信息联席分会秘书长崔东树向《中国经营报》记者指出：“《安全指引》的发布，标志着汽车数据跨境进入精细化监管阶段。对行业而言，统一规则消除跨境模糊地带，平衡安全与效率，利好跨国研发与出海。对车企而言，合规成为核心竞争力，数据分类分级、出境审批、境外管控全链条升级，短期增加合规成本，长期提升数据安全与全球竞争力。”

工业和信息化部有关负责人就《安全指引》相关问题答记者问时表示，制定《安全指引》主要处于三方面考虑：一是贯彻党中央、国务院关于“建立高效便利安全的数据跨境流动机制”“推进数据高效便利安全跨境流动”的决策部署，落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《汽车数据安全管理若干规定（试行）》关于数据出境管理有关要求。二是着力提升汽车数据出境便利化水平，明确汽车数据出境活动管理方式、重要数据判定规则和安全保护要求，促进数据有序便利跨境流动，推动构建汽车产业高质量发展和高水平安全良性互动格局。三是贯彻《全球数据跨境流动合作倡议》理念，以全球高度关注的汽车产业作为实践领域，通过《安全指引》提出汽车数据出境安全管理的中国方案。

为数据出境划合规“红线”

《安全指引》规定汽车数据处理者向中国境外提供汽车数据，符合以下情形之一的属于数据出境行为：一、汽车数据处理者将在中国境内运营中收集和产生的汽车数据传输至境外；二、汽车数据处理者收集和产生的汽车数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。

在此框架下，《安全指引》指出，汽车数据处理者向境外提供汽车数据，符合以下情形之一的，应当申报数据出境安全评估：一、向境外提供重要数据；二、自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）；三、自当年1月1日起累计向境外提供1万人以上敏感个人信息；四、关键信息基础设施运营者向境外提供个人信息；五、国家有关规定明确的其他需要申报数据出境安全评估的情形。

与此同时，汽车数据处理者（关键信息基础设施运营者除外）向境外提供个人信息，符合以下情形之一的，可在订立个人信息出境标准合同、通过个人信息出境认证两种方式中任选其一：一、自当年1月1日起，累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）的；二、自当年1月1日起，累计向境外提供不满1万人敏感个人信息的。

对于行业十分关注的判定重要数据的标准，《安全指引》面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等汽车行业典型业务场景制定了细化的判定规则。

安全漏洞、OTA升级可免于申报

《安全指引》规定了汽车数据出境活动管理方式和适用条件，提出九类豁免情形。

其中，《涉及安全漏洞、安全事件、OTA升级的重要数据免于申报数据出境安全评估。

具体来看，《安全指引》指出，因修补安全漏洞需要，汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求，已向工信部报告的安全漏洞数据；因处置安全事件需要，汽车数据处理者按照行业网络安全、数据安全事件相关应急预案，已向工信部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；因消除汽车产品缺陷、实施召回需要，汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局（以下简称“市场监管总局”）备案的OTA升级软件包对应的源代码，可免于履行数据出境相关合规手续。

“主要考虑是为企业提供方便快捷的数据出境渠道，确保相关漏洞、事件、隐患能够被及时修补或处置，保障车辆运行安全，维护相关境内外汽车消费者生命财产安全。”上述工信部有关负责人解读，“企业在执行时应当把握两点：一是要确认出境目的是因为修补安全漏洞需要、处置安全事件需要或者消除汽车产品缺陷、实施召回需要。二是要按照相关要求，事先向工信部、市场监管总局等部门报告或备案。如不符合上述要求，相关重要数据出境仍需申报出境安全评估。”

专家建议：车企加快数据盘点与认定

《安全指引》已经发布，下一步车企应该怎样行动？崔东树建议，车企按照“分类分级—场景适配—体系落地—持续优化”调整路线图。他表示：“先完成数据盘点与重要数据认定，再按安全评估、标准合同、豁免三类路径分场景施策；同步完善组织、制度、技术防护，建立出境审批与境外管控机制，最后嵌入业务流程，实现合规与业务协同，动态适配监管与业务变化。”

下一步如何推进《安全指引》落地见效？上述工信部负责人表示，《安全指引》发布后，工信部将与有关部门密切配合，从四个方面抓好落实：一是加强宣贯培训。指导编制《安全指引》你问我答，组织开展宣贯解读，指导汽车数据处理者准确理解掌握相关要求。二是持续开展重要数据识别。组织相关企业准确识别重要数据并备案，及时将备案结果告知企业，明确安全保护目标。三是提升安全保护水平。指导企业立足业务场景和保护需求，加强管理制度、操作规范和技术能力建设，强化全生命周期保护能力。四是深化国际合作。在《安全指引》基础上，与有关国家和地区进一步深化合作，推动建立平等互惠共赢、高效便利安全的汽车数据跨境流动国际规则。

需要关注的是，《安全指引》与国家网信办《数据出境安全评估申报指南（第三版）》衔接一致，要求企业在申报时提供拟向境外传输的重要数据和个人信息具体特征，包括数据类型、涉及行业、数量规模等信息，不要求提供数据本身。

上述工信部相关负责人强调，汽车行业新技术、新业务发展迅速，重要数据判定规则需要结合行业发展形势及时调整，工信部将会同相关部门，持续加强跟踪研究，视情（况）调整更新。

（编辑：张硕 审核：童海华 校对：张国刚）