August 2025
简析汽车数据出境监管新规(中国大陆)
随着中国智能网联汽车全球市场份额的持续扩大,数据跨境流动的合规压力陡增。2025年6月13日,工业和信息化部等八部门联合发布了《汽车数据出境安全指引(2025版)(征求意见稿)》(下称“《指引》”)。这一文件的出台标志着我国在汽车数据跨境流动监管领域迈入精细化治理新阶段,为快速发展的智能网联汽车产业提供了明确的合规框架。
从法律层级来看,《指引》属于行政规范性文件,其主要功能在于支撑《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法中关于重要数据保护和数据出境的具体要求,为汽车行业提供实操性规则。《指引》的适用范围较目前实施的《汽车数据安全管理若干规定(试行)》有明显的扩张。在主体方面,除传统的汽车制造商、零部件供应商、经销商、维修机构外,首次明确将“电信运营企业、自动驾驶服务商、平台运营企业”纳入规制范围。需提请相关企业注意的是,适用主体的核心判断标准在于其处理的数据类型是否属于汽车数据,而非机械的形式判断。
此外,在行为认定方面,《指引》明确三类行为构成数据出境:(1)将在境内运营中收集和产生的汽车数据传输至境外;(2)数据存储在境内,但境外机构、组织或个人可查询、调取、下载、导出;(3)在境外处理境内自然人个人信息。这一定义延续了我国数据出境管理的一贯思路。另就《指引》的重点内容归纳如下,以供相关企业参考。
一、明确合规路径、创新豁免机制
《指引》构建了层次分明的数据出境合规框架,根据不同数据类型和风险等级设定差异化合规义务,形成了“安全评估为底线、标准合同/认证为中轴、豁免场景为例外”的三级管理体系。
(一)强制安全评估情形
根据《指引》,汽车数据处理者在以下四种情形必须申报数据出境安全评估:(1)向境外提供重要数据;(2)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);(3)自当年1月1日起累计向境外提供1万人以上敏感个人信息;(4)关键信息基础设施运营者向境外提供个人信息。值得注意的是,《指引》将个人信息出境的量化标准与《促进和规范数据跨境流动规定》(下称“《322规定》”)保持一致,将废止此前《汽车数据安全管理若干规定(试行)》中“10万人个人信息即构成重要数据”的争议性规定,解决了行业长期面临的合规困境。这一调整显著降低了非重要数据类个人信息出境的合规成本,体现了监管的精准化和科学化趋势。
(二)标准合同与认证路径
对于不涉及重要数据的个人信息出境,《指引》设置了弹性化合规路径。符合以下情形之一的汽车数据处理者可选择订立标准合同或通过个人信息保护认证: (1)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);(2)自当年1月1日起累计向境外提供不满1万人敏感个人信息。该路径设计延续了《322规定》的基本框架,但特别明确“跨境购车、跨境寄递、跨境注册账户”等场景属于“为订立、履行个人作为一方当事人的合同确需向境外提供个人信息”的情形,为企业高频业务活动提供明确指引。
(三)创新豁免机制
《指引》最大的制度创新在于系统整合并扩展了豁免场景,形成九类免于申报数据出境安全评估、订立标准合同或通过认证的情形:其中六类与《322规定》大致相符, 后三类(7-9项)是《指引》新增的汽车行业特殊豁免场景,这些豁免以前置行政程序(报告或备案)为前提,避免了重复监管,降低了企业的合规成本。
二、重要数据的场景化识别创新
《指引》最重大的突破在于采用业务场景分类法重构了汽车重要数据的识别体系,将抽象的法定概念转化为具体行业场景下的可操作性规则,覆盖研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形六大领域。以研发设计场景为例,在传统观念中,研发数据因不直接涉及终端用户常被忽视。《指引》基于国家安全与技术保护视角,将以下数据纳入重要数据范畴:(1)产品研发数据:涉及国家重大专项、重点研发计划的物料清单、研发设计文档、产品技术开发源代码;(2)产品测试数据:实际道路测试中收集的标注场景数据、仿真场景数据(特别是包含敏感区域地理信息的内容)。这一规定直接影响车企的全球协同研发模式,要求企业在跨境传输研发数据时进行严格筛查和风险评估。例如,某跨国车企中国研发中心向总部传输某型号自动驾驶汽车的测试视频时,若视频中包含军事管理区周边道路环境,即使已进行模糊化处理,仍需根据《指引》评估是否达到重要数据标准。
三、全流程合规义务体系
《指引》超越单纯的数据分类要求,构建了覆盖数据出境全流程合规义务体系,强调“技术+管理”双轨并行的治理思路。
企业需建立自上而下的合规管理架构:明确数据出境安全负责人,对数据出境活动及保护措施进行监督并担责;设立专门管理部门统筹协调数据出境合规工作;建立内部登记审批机制,设定审批权限和流程,对审批材料存档备查。值得注意的是,《指引》鼓励集团化申报模式:境内多家子公司如同属一家集团公司且数据出境业务场景相似,可由集团公司作为申报主体合并申报。这一规定显著降低了跨国车企的合规成本,避免了多头申报的繁琐程序。
在防护技术层面,《指引》拟要求汽车数据处理者采用校验技术、密码技术、安全传输通道或协议,确保数据出境过程中的保密性和完整性,且对数据出境传输行为进行实时监测,形成安全日志并留存。汽车数据出境相关系统需具备对境外接收方进行身份鉴权的能力,确保其身份真实性。《指引》设置了严格的日志管理规范,构建数据出境的可追溯体系。这些要求对企业IT系统提出了实质性改造需求,特别是“全量留存”与“抽样留存”的双轨制设计,兼顾了监管效率与企业负担的平衡。
此外,《指引》要求企业建立汽车数据违规出境应急处置机制,发现异常行为时及时处置,并按规定向行业监管部门报告。这一规定亦与《网络产品安全漏洞管理规定》《网络安全事件应急预案》等既有规范相互衔接。
毋庸置疑,《指引》的实施将对中国汽车产业全球化布局产生深远的影响。建议相关企业认真研究《指引》内容,打破传统的合规思维,从“被动响应”转向“主动治理”,将数据出境合规的要求融入到产品设计、研发测试、生产制造和全球服务全链条中。
从法律层级来看,《指引》属于行政规范性文件,其主要功能在于支撑《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法中关于重要数据保护和数据出境的具体要求,为汽车行业提供实操性规则。《指引》的适用范围较目前实施的《汽车数据安全管理若干规定(试行)》有明显的扩张。在主体方面,除传统的汽车制造商、零部件供应商、经销商、维修机构外,首次明确将“电信运营企业、自动驾驶服务商、平台运营企业”纳入规制范围。需提请相关企业注意的是,适用主体的核心判断标准在于其处理的数据类型是否属于汽车数据,而非机械的形式判断。
此外,在行为认定方面,《指引》明确三类行为构成数据出境:(1)将在境内运营中收集和产生的汽车数据传输至境外;(2)数据存储在境内,但境外机构、组织或个人可查询、调取、下载、导出;(3)在境外处理境内自然人个人信息。这一定义延续了我国数据出境管理的一贯思路。另就《指引》的重点内容归纳如下,以供相关企业参考。
一、明确合规路径、创新豁免机制
《指引》构建了层次分明的数据出境合规框架,根据不同数据类型和风险等级设定差异化合规义务,形成了“安全评估为底线、标准合同/认证为中轴、豁免场景为例外”的三级管理体系。
(一)强制安全评估情形
根据《指引》,汽车数据处理者在以下四种情形必须申报数据出境安全评估:(1)向境外提供重要数据;(2)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);(3)自当年1月1日起累计向境外提供1万人以上敏感个人信息;(4)关键信息基础设施运营者向境外提供个人信息。值得注意的是,《指引》将个人信息出境的量化标准与《促进和规范数据跨境流动规定》(下称“《322规定》”)保持一致,将废止此前《汽车数据安全管理若干规定(试行)》中“10万人个人信息即构成重要数据”的争议性规定,解决了行业长期面临的合规困境。这一调整显著降低了非重要数据类个人信息出境的合规成本,体现了监管的精准化和科学化趋势。
(二)标准合同与认证路径
对于不涉及重要数据的个人信息出境,《指引》设置了弹性化合规路径。符合以下情形之一的汽车数据处理者可选择订立标准合同或通过个人信息保护认证: (1)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);(2)自当年1月1日起累计向境外提供不满1万人敏感个人信息。该路径设计延续了《322规定》的基本框架,但特别明确“跨境购车、跨境寄递、跨境注册账户”等场景属于“为订立、履行个人作为一方当事人的合同确需向境外提供个人信息”的情形,为企业高频业务活动提供明确指引。
(三)创新豁免机制
《指引》最大的制度创新在于系统整合并扩展了豁免场景,形成九类免于申报数据出境安全评估、订立标准合同或通过认证的情形:其中六类与《322规定》大致相符, 后三类(7-9项)是《指引》新增的汽车行业特殊豁免场景,这些豁免以前置行政程序(报告或备案)为前提,避免了重复监管,降低了企业的合规成本。
二、重要数据的场景化识别创新
《指引》最重大的突破在于采用业务场景分类法重构了汽车重要数据的识别体系,将抽象的法定概念转化为具体行业场景下的可操作性规则,覆盖研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形六大领域。以研发设计场景为例,在传统观念中,研发数据因不直接涉及终端用户常被忽视。《指引》基于国家安全与技术保护视角,将以下数据纳入重要数据范畴:(1)产品研发数据:涉及国家重大专项、重点研发计划的物料清单、研发设计文档、产品技术开发源代码;(2)产品测试数据:实际道路测试中收集的标注场景数据、仿真场景数据(特别是包含敏感区域地理信息的内容)。这一规定直接影响车企的全球协同研发模式,要求企业在跨境传输研发数据时进行严格筛查和风险评估。例如,某跨国车企中国研发中心向总部传输某型号自动驾驶汽车的测试视频时,若视频中包含军事管理区周边道路环境,即使已进行模糊化处理,仍需根据《指引》评估是否达到重要数据标准。
三、全流程合规义务体系
《指引》超越单纯的数据分类要求,构建了覆盖数据出境全流程合规义务体系,强调“技术+管理”双轨并行的治理思路。
企业需建立自上而下的合规管理架构:明确数据出境安全负责人,对数据出境活动及保护措施进行监督并担责;设立专门管理部门统筹协调数据出境合规工作;建立内部登记审批机制,设定审批权限和流程,对审批材料存档备查。值得注意的是,《指引》鼓励集团化申报模式:境内多家子公司如同属一家集团公司且数据出境业务场景相似,可由集团公司作为申报主体合并申报。这一规定显著降低了跨国车企的合规成本,避免了多头申报的繁琐程序。
在防护技术层面,《指引》拟要求汽车数据处理者采用校验技术、密码技术、安全传输通道或协议,确保数据出境过程中的保密性和完整性,且对数据出境传输行为进行实时监测,形成安全日志并留存。汽车数据出境相关系统需具备对境外接收方进行身份鉴权的能力,确保其身份真实性。《指引》设置了严格的日志管理规范,构建数据出境的可追溯体系。这些要求对企业IT系统提出了实质性改造需求,特别是“全量留存”与“抽样留存”的双轨制设计,兼顾了监管效率与企业负担的平衡。
此外,《指引》要求企业建立汽车数据违规出境应急处置机制,发现异常行为时及时处置,并按规定向行业监管部门报告。这一规定亦与《网络产品安全漏洞管理规定》《网络安全事件应急预案》等既有规范相互衔接。
毋庸置疑,《指引》的实施将对中国汽车产业全球化布局产生深远的影响。建议相关企业认真研究《指引》内容,打破传统的合规思维,从“被动响应”转向“主动治理”,将数据出境合规的要求融入到产品设计、研发测试、生产制造和全球服务全链条中。
本网页上所有上海理慈法律新知资料内容(「内容」)均属上海理慈律师事务所所有。上海理慈保留所有权利,除非获得上海理慈事前许可外,均不得以任何形式或以任何方式重制、下载、散布、发行或移转本网页上之内容。
所有内容仅供作参考且非为特定议题或具体个案之法律或专业建议。所有内容未必为最新法律及法规之发展,上海理慈及其编辑群不保证内容之正确性,并明示声明不须对任何人就信赖使用本网页上全部或部分之内容,而据此所为或经许可而为或略而未为之结果负担任何及全部之责任。撰稿作者之观点不代表上海理慈之立场。如有任何建议或疑义,请与上海理慈联系。
