《汽车数据出境安全指引（2025版）（征求意见稿）》法律解读

2025年6月13日，工业和信息化部等八部门发布《汽车数据出境安全指引（2025版）（征求意见稿）》（以下简称“《指引》”），面向社会公开征求意见，意见反馈截止至7月13日。

较《汽车数据安全管理若干规定（试行）》（以下简称“《7号令》”）和《促进和规范数据跨境流动规范》等相关文件，《指引》聚焦于汽车行业特性，新增汽车数据出境豁免场景，按照业务场景分类细化了应申报数据出境安全评估的重要数据的范围以及提出了更具体的数据出境安全保护要求，为汽车数据跨境流动的安全与合规实践、重要数据备案工作以及数据保护的管理和技措施优化等提供参考指引。

适用范围

《指引》对“汽车数据”的定义为“汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据”，与《7号令》一致。

“汽车数据处理者”为“开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等组织”，所列出的组织示例较《7号令》增加了“电信运营企业、自动驾驶服务商、平台运营企业”，与《联网汽车运行及自动驾驶重要数据识别指引》（以下简称“《6号文》”）一致。

数据出境路径

《指引》延续了《数据出境安全评估申报指南（第二版）》等相关文件中对“数据出境行为”的定义，并发布了数据出境实施流程图（见下图），强调相关企业应在重要数据目录备案的基础上，开展数据识别、路径判定、合规实施等数据出境活动。

豁免场景

较《促进和规范数据跨境流动规范》，《指引》新增(7) (8) (9)三项汽车数据出境的豁免场景：

(7)因修补安全漏洞需要，汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求，已向工业和信息化部报告的安全漏洞数据；

(8)因处置安全事件需要，汽车数据处理者按照行业网络安全、数据安全事件相关应急预案，已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；

(9)因消除汽车产品缺陷、实施召回需要，汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。

上述新增豁免场景可归纳为安全漏洞、安全事件以及OTA源代码相关情形。此类场景涉及的数据虽可能构成重要数据，但因数据出境事态紧急，在短时间内难以履行完整的安全评估流程后出境。从《指引》来看，若汽车数据处理者已按照相关法规，履行了相应的报告、备案程序，可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。企业应当注意，虽然在以上场景中免于安全评估等程序要求，但仍需要根据《个人信息保护法》的要求，依法依规履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

重要数据

1.研发设计场景

1.1 产品研发

根据YD/T 4981-2024《工业领域重要数据识别指南》，6.6.4 与装备工业相关，g）在汽车产品研发设计过程中，收集和产生的与汽车行业竞争力相关的高价值敏感数据属于重要数据，如与行业核心技术竞争力相关、代表行业先进水平或泄露后对行业发展产生重大影响的算法开发所使用的数据等，属于重要数据。

在出境场景下，主要涉及汽车数据处理者在整合全球研发资源、产品协同设计开发过程中，收集和产生的物料清单、研发设计文档、产品技术开发源代码数据。

1.2 产品测试

根据《6号文》，场景库数据，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者开展汽车产品仿真、场地和实际道路测试过程中，收集和产生的标注场景数据、仿真场景数据、测试场景数据。

2.生产制造场景

根据YD/T 4981-2024《工业领域重要数据识别指南》，6.3 与国家安全相关，b）与国家科技安全相关，包括但不限于：1）与国家安全直接相关的工业领域国家科技计划（含国家重大专项、重点研发计划）项目在规划和实施过程中产生的，涉及国家安全和社会发展利益的数据，国家专项范围相关可行性研究报告、建设方案、科学数据、科技成果、产品技术研发路线以及相关知识产权数据；2）《中国禁止出口限制出口技术目录》中涉及的我国工业领域特有技术数据，如特有配方、制作工艺、生产工艺、编码和加密技术、制备技术、装饰工艺。e）与国家网络安全相关：能够引发工业领域重大网络和数据安全事件或生产安全事故的漏洞信息、恶意程序、事件信息、应急通信数据、网络与数据安全重大发现与重要研究成果。d）与人工智能相关：人工智能控制程序、算法、源代码、训练模型数据、数据挖掘分析数据。属于重要数据。

在出境场景下，主要涉及汽车数据处理者在汽车产品生产制造过程中，收集和产生的物料清单、生产控制程序源代码。

3.驾驶自动化场景

根据《车联网平台重要数据识别指南（报批稿）》，感知数据、算法数据、算法源码，符合一定条件属于重要数据。

根据《6号文》，算法数据，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者在组合驾驶辅助或自动驾驶功能开发、部署、应用等过程中，收集和产生的算法、训练数据、特征数据。此场景的示例相较于之前的文件有进一步的补充和拓展。

4.软件升级服务场景

根据《车联网平台重要数据识别指南（报批稿）》，OTA升级软件源代码，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者升级汽车动力系统、底盘系统、安全驾驶功能的软件包对应的源代码。

5.联网运行场景

5.1 车辆数据

根据《车联网平台重要数据识别指南（报批稿）》，经营管理类数据（车辆识别代号、车联网卡识别码、数字证书、密钥）、远程控制指令，符合一定条件属于重要数据。

根据《6号文》，个人信息、远程控制数据，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者在车辆联网运行过程中，收集和产生的车辆识别码、车联网卡识别码、车辆密钥、车辆数字证书、控制指令。

5.2 车路感知

根据《车联网平台重要数据识别指南（报批稿）》，感知数据（人脸、车牌、点云、摄像头数据、位置轨迹数据），符合一定条件属于重要数据。

根据《6号文》，车路感知数据、地图数据，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者在车辆及路侧设备联网运行过程中，收集和产生的车外实景影像、雷达数据、位置轨迹数据、惯性导航数据、自动驾驶地图数据、构图类数据。

5.3 车路分析

根据《6号文》，车路分析数据，符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者在开展车路协同分析、构建车路协同系统过程中，收集和产生的融合计算数据。

5.4 车联网平台运营

根据《车联网平台重要数据识别指南（报批稿）》，网络规划运维数据（车联网平台配置信息、网络拓扑图、）、充电运营数据（汽车充电设施基础数据、汽车充电设施运行数据、车辆充电状态监测数据），符合一定条件属于重要数据。

在出境场景下，主要涉及汽车数据处理者在开展车联网平台建设、运行、维护过程中，收集和产生的络规划数据、充电运行数据。

汽车数据出境安全保护要求

《指引》从管理、防护技术、日志和应急处置等方面对汽车数据处理者提出了更高的数据安全保护要求。

总结

《指引》的制定有利于推动建立高效便利安全的汽车数据跨境流动机制，为汽车产业发展营造良好的环境，相关车企应密切关注《指引》的制定及发布动向，可依据其条款内容，提前开展前瞻性合规排查与调整工作，包括但不限于重要数据目录的更新、管理组织和人员的设置、防护安全技术的升级以及相关日志的规范管理等。

作者 | 孙鹏程、徐安妮

来源 | 北京大成律师事务所