《汽车数据出境安全指引（2025版）》（征求意见稿）的准确理解与适用

走出去智库（CGGT）观察

6月13日，工业和信息化部等八部门公开征求对《汽车数据出境安全指引（2025版）》的意见，反馈意见截止日期为2025年7月13日。该《指引》拟提出必须申报安全评估的情形、通过订立标准合同或通过认证出境的情形以及9类豁免情形。

走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人宁宣凤认为，尽管目前仅是征求意见稿，《指引》一定程度上回应了过去近3年数据出境实操中遇到的问题，反映了监管部门对各类汽车数据的认定标准，体现出相关监管经验和参考价值。从法规衔接层面来看，《指引》的发布使现有的汽车数据安全管理规范体系更为健全，与现有的数据安全相关法律法规相互补充，形成了更为完善的数据出境管理法规框架。

汽车数据出境如何做好合规管理？今天，走出去智库（CGGT）刊发金杜律师事务所宁宣凤、吴涵、张凯勋、姚敏侣的文章，供关注跨境数据合规的读者参考。

要点

1、《指引》经征求意见并通过后，也将成为汽车数据安全管理的有效参考规范之一，一定程度上代表了安全监管要求趋势。

2、《指引》充分结合汽车行业客观实际，提出了覆盖汽车数据全生命周期和主要实践场景下的识别细则。

3、《指引》细化了重要数据识别认定规则，企业需要依据这些规则重新审视和梳理所处理的汽车数据，明确哪些数据属于重要数据范畴。

正文

引言：背景及规范概览

1. 《指引》的出台背景

2025年6月13日，工业和信息化部（以下简称“工信部”）、国家互联网信息办公室（以下简称“国家网信办”）、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局联合起草的《汽车数据出境安全指引（2025版）（征求意见稿）》（“《指引》”）正式向社会发布，公开征求意见。

近年来，随着数字经济迅猛发展，数据跨境流动日益频繁，数据安全管理面临新的挑战与机遇。2024年，中国共产党第二十届中央委员会第三次全体会议决定指出“建立高效便利安全的数据跨境流动机制”，国家网信办同年出台的《促进和规范数据跨境流动规定》（以下简称“《322新规》”），为进一步优化各行业的数据跨境流动管理要求奠定了基础，为行业细则的制定提供了空间。

2025年4月9日，国家网信办发布“数据出境安全管理政策问答（2025年4月）”，明确指出数据出境涉及众多行业领域，国家网信办会同相关行业主管部门，逐步细化明确具体行业领域的数据出境业务场景以及个人信息出境必要范围，为企业机构数据出境提供更为细化的政策指引。[1]

在此背景下，金融、汽车等强监管行业陆续制定了类似规则。2024年底，在世界互联网大会乌镇峰会上，中国人民银行科技司司长李伟披露，国家将出台关于金融业数据跨境流动的合规指南。[2]2025年4月17日，中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局联合印发《促进和规范金融业数据跨境流动合规指南》，为金融行业的数据跨境流动提供了明确的合规指引。[3]

汽车行业作为数据安全管理的重点行业部门，其数据跨境流动的规模和复杂性不断增加，迫切需要统一的规则指引，以加强汽车数据的保护和出境管理。日前，正是基于此种背景，《指引》公开发布并面向社会征询意见。

2. 《指引》的结构与定位

从整体结构上看，《指引》分为“总则”“重要数据出境”“数据出境实施流程”和“汽车数据出境安全保护要求”四个部分，而在位阶上属于行政规范性文件，用于支撑《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等上位法中关于重要数据保护和数据出境的相关具体要求并提供实践指引。《指引》整合了我国境内数据出境相关管理要求，并延续风险分级管理思路，主要对重要数据的出境活动进行了细化，包括各个场景下的重要数据范围、重要数据识别和备案、数据出境安全评估申报流程，以及汽车数据出境安全保护要求。从规范角度来看，《指引》的实操意义比较强，需要属于适用范围内的相关企业予以特别关注。

从适用范围上看，相比于《汽车数据安全管理若干规定（试行）》（“《规定》”），除了已有的“汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业”以外，《指引》中通过注意性规定增加了“电信运营企业、自动驾驶服务商、平台运营企业”这三类主体类别，且仍然保留了“等”非穷尽描述的措辞。事实上，针对适用主体类型的规定，核心的判断标准仍应当在于所处理的数据类型。在当前的智能网联汽车和无人驾驶等领域，包括电信运营商、自动驾驶技术提供方和服务平台等均是参与行业实践和标准建设的常见市场主体，而在相关市场领域中处于汽车数据处理上下游的这些组织机构，也需要符合相关的安全管理规定，这一点毋庸置疑。由此，我们建议企业在判断《指引》的适用范围和条件时，以自身所处理的“数据类型是否属于汽车数据”或“是否属于汽车数据处理者”的实质性判断，替代规范中明确列举的主体类型等机械形式判断，避免合规义务的遗漏风险。

此外，根据我们的观察以及项目经验，尽管目前仅是征求意见稿，《指引》一定程度上回应了过去近3年数据出境实操中遇到的问题，反映了监管部门对各类汽车数据的认定标准，体现出相关监管经验和参考价值。与此同时，《指引》经征求意见并通过后，也将成为汽车数据安全管理的有效参考规范之一，一定程度上代表了安全监管要求趋势。因此，对于从事研发设计、道路测试等业务的汽车数据处理者而言，在开展重要数据识别基础上做好数据出境安全合规管理显得尤为关键。

3. 《指引》的适用与衔接

就个人信息而言，《指引》总体上仍然遵循了《322新规》下的框架，并未提出额外的要求或豁免。不过，《指引》整合了各出境路径下的适用条件，方便汽车数据处理者参照适用，并且明确“跨境购车、跨境寄递、跨境注册账户”等情形属于“为订立、履行个人作为一方当事人的合同确需出境”的情形。

对比现有的各行业指引，我们观察到各主管部门根据其行业特性以及过去3年的监管实践，所发布的数据出境指引在规则设置上各有侧重，采取的方式也有所不同。例如，《促进和规范金融业数据跨境流动合规指南》侧重于对不同豁免情形明确具体的必要个人信息范围，并针对无法免于数据跨境相关合规义务但基于实际情况又确需向境外传输数据的情况，给出了常见金融业务场景的必要个人信息数据项示例。另一方面，此次公布的《指引》更多的是以重要数据识别和认定为视角，规范汽车数据出境活动，但并未提供满足豁免情形的数据项示例或个人信息出境必要范围。工信部日后是否会进一步出台关于满足豁免情形的个人信息数据项示例或个人信息出境必要范围指引，也有待观察。

值得注意的是，根据国家网信办发布的“数据出境安全管理政策问答（2025年5月）”[4]，数据处理者被告知掌握重要数据或者掌握的数据被公开发布为重要数据后，如需继续开展相关数据出境活动的，应当在被告知或者公开发布后2个月内，通过所在地省级网信部门向国家网信办申报数据出境安全评估。“数据出境安全管理政策问答（2025年5月）”在一定程度上体现了相应主管部门就企业履行申报重要数据出境安全评估义务有所期待。参考国家网信办的公告，预计《指引》正式发布后，符合条件的汽车数据处理者需及时履行数据出境安全评估申报手续，因此需尽早着手相关工作的考虑和布局。

此外，如果《指引》在11月前通过征求意见和审批流程并正式发布，也有可能对2025年各省市汽车数据安全管理情况报告中重要数据报送工作产生影响，不排除将以《指引》中的重要数据识别和认定条件为重要参照，并基于此要求汽车数据处理者提供相关风险评估材料。《网络数据安全管理条例》第52条提出了重要数据风险评估、重要数据出境安全评估应当加强衔接，避免重复评估的要求。因此，届时已经申报数据出境安全评估的汽车数据处理者在提交汽车数据安全管理年报时是否可能无需重复提交相关材料，还有待观察。

01、《指引》重点规则解读

1. 汽车数据出境路径的选择

除明确部分情形属于为订立、履行个人作为一方当事人的合同确需出境的情况，以及明确关键信息基础设施运营者同样可以适用《322新规》下的豁免情形外，《指引》拟针对汽车行业“新增”三种特殊豁免场景。在满足以下情形时，汽车数据处理者可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（以下简称“数据出境监管流程”）：

·因修补安全漏洞需要，汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求，已向工信部报告的安全漏洞数据；

·因处置安全事件需要，汽车数据处理者按照行业网络安全、数据安全事件相关应急预案，已向工信部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；

·因消除汽车产品缺陷、实施召回需要，汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。

（以上豁免情形简称“汽车新增豁免”）

汽车新增豁免均属于汽车行业常见实践情形且具有广泛的实践基础，主要涉及的安全漏洞数据、安全事件数据、OTA升级软件包源代码中包含个人信息的可能性较低，因此，我们理解此类豁免情形主要针对的是汽车数据处理者的数据出境安全评估义务。实际上，在数据出境管理领域，类似的豁免情形并非首次出现。2024年8月30日发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》在汽车行业负面清单中，将车辆控制等在线升级数据列为自贸区范围内的重要数据，但也明确了例外情形，即“已在工信部备案，并通过相关安全技术措施处理，可确保升级包数据不被篡改的情形除外”。我们理解，此类汽车新增豁免体现更多的是法规层面的衔接意义，或者说，已经履行过相应的备案或报告程序的相关汽车数据处理者即无需因相关数据出境再重复申报，以同时节约主管部门的行政执法成本和企业的合规成本。当然此种场景充分考虑并限于汽车行业相对常见/通行的实践（如安全事件数据全球上报、召回等）。

目前，《指引》中并未体现《网络数据安全管理条例》第35条规定的履行法定职责或者法定义务确需出境的豁免（以下简称“法定义务豁免”）。汽车新增豁免均以前置性行政程序（包括报告、备案）作为前提，因此可能会被解读为法定义务豁免的具体情形。但值得注意的是，《网络数据安全管理条例》第35条的豁免条件的适用范围仅限于个人信息，因此其并非汽车新增豁免的恰当上位法依据。

相比之下，《数据安全法》第31条或许更适合作为汽车新增豁免情形的依据。根据第31条要求，不属于关键信息基础设施运营者的数据处理者的重要数据出境安全管理办法，由国家网信办会同国务院有关部门制定。第31条并未对重要数据出境安全管理办法提出法律层级的要求，也符合《指引》作为规范性文件的定位。尽管如此，从行文角度来看，汽车新增豁免情形似乎并未排除关键信息基础设施运营者适用的可能，而《网络安全法》第37条将关键信息基础设施运营者需要开展数据出境安全评估的例外情形限制在“法律、行政法规”的范围内，因此关键信息基础设施运营者是否可以适用此类豁免仍然存在讨论的空间。[5]

从趋势上看，纵观《网络安全法》《数据安全法》《个人信息保护法》的相关条款，对于规定数据出境例外情形的法规层级也在逐步降低，从“法律、行政法规”到“国家网信办规定”。我们认为这事实上符合实际需求，监管部门需要根据行业发展、国际形势等因素动态监管数据出境。如果将例外情形限定在法律、行政法规层面，则会导致相关机构无法及时做出调整，增加企业额外的合规成本。立法者在修订《网络安全法》时或许可以考虑参照《个人信息保护法》的措辞，将关键信息基础设施运营者开展数据出境安全评估的例外情形拓展至“国家网信办会同国务院有关部门明确可以不进行安全评估的，从其规定”。

就目前而言，如果《指引》起草者确实认为关键信息基础设施运营者在满足汽车新增豁免情形时无需开展数据出境安全评估，或许可以将其作为重要数据的例外情形，而非数据出境安全评估的例外情形。这样可以从规范设立技术角度规避与《网络安全法》第37条规定的冲突，但由此解释也可能会带来新的问题，即满足要求的安全漏洞数据、安全事件数据、OTA升级软件包源代码数据，在不涉及出境的处理活动中，如果符合重要数据的法律定义或属性，那么将导致此类数据在其他处理活动中无法受到相对应更为充分的保护。

为解决上述限制，工信部、国家网信办或许可以考虑在数据出境安全评估流程中针对关键信息基础设施运营者设立“绿色通道”。当汽车数据处理者确需出境安全漏洞数据、安全事件数据、OTA升级软件包源代码，并且已经提供已满足前置法定义务的证明材料时，通过“绿色通道”让其在较短的时间内通过数据出境安全评估。我们理解这种方式也可以在一定程度上起到适当监督豁免情形的作用，并且对医药等其他强监管行业也可以起到借鉴作用。

最后，虽然并非《指引》中明确的情形，但我们注意到将于2026年1月生效的强制性国标GB 44495—2024《汽车整车信息安全技术要求》第7.4.7条明确，车辆不应直接向境外传输数据，但用户使用浏览器访问境外网站、使用通信软件向境外传递消息、自主安装可能导致数据出境的第三方应用等用户自主行为不受该条款限制。因此，汽车数据处理者需要关注的范围主要是在其掌控范围内的数据出境活动。

2. 重要数据识别原则提炼与认定规则细化

《指引》充分结合汽车行业客观实际，提出了覆盖汽车数据全生命周期和主要实践场景下的识别细则。此前，境内汽车数据处理者主要依据《规定》中明确的“重要数据”类型，初步划分和研判自身处理重要数据的基础情形。此外，结合国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（“《数据分类分级规则》”）第6.5 b) 条及其附录G“（规范性）重要数据识别指南”中规定的重要数据识别因素予以综合考虑。设立于特定自由贸易试验区（如北京、天津等）内的汽车数据处理者，还可以依据《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》或者《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》中就“汽车行业”“智能汽车”“交通”等类别的划分参考识别认定具体的汽车重要数据。根据相关地区监管实践，也有部分主管部门通过向企业提供目录识别指引等方式开展重要数据备案实践，但整体而言缺少统一和全面的汽车重要数据识别规范。

而此次《指引》将汽车重要数据按照“研发设计”“生产制造”“驾驶自动化”“软件升级（包括OTA）”“联网运行”等场景予以进一步细分和列举，针对智能驾驶企业而言，诸如“物料清单”“驾驶自动化算法和训练数据”“车辆数据（车辆识别号、数字证书等）”在符合相应判断规则的前提下均需按照“重要数据”予以管理和保护。对于企业而言无疑提出全面覆盖了智能驾驶技术研发、设计、测试、训练、应用，以及智能网联汽车生产、制造、销售、使用、运维的全过程数据安全要求。

《规定》中明确，国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门有权确定其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。除了《规定》中已明确的五类重要数据类型以外，有必要针对此次《指引》识别“汽车重要数据”的原则性条件和评判维度进行概括提炼，我们尝试在下表中进行初步梳理和列举，以把握其中的核心思路并且更好地掌握解释和适用的相应方法论。

值得注意的是，上述根据“重要数据”的识别和认定相关规则并非是孤立或单一的，《指引》中也列举了不少需同时结合“数据本身属性”和“数据精度或规模”多重因素综合评判的“重要数据”类型，例如联网运行场景下“涉及在境内运行的10万台以上车辆的安全启动、诊断、更新、通信过程中的密钥”类型数据，同时兼具了“安全属性”和“车辆数据”等判断条件。由此可见，即便《指引》充分细化和丰富了多场景下的重要数据识别和认定规则，但并不代表着汽车行业重要数据的认定仅局限于《指引》中已列举的数据类型和字段。换句话说，汽车行业重要数据的认定仍然是动态且依场景而变化的，需要综合多种客观因素和条件予以认定。

下述我们将根据《指引》区分场景对特定类型的重要数据予以解读。

（1）产品研发测试与生产制造相关数据

《指引》规定，符合特殊情形的研发设计信息属于重要数据，例如物料清单、研发设计文档以及开发源代码等等。《指引》明确针对“被列入国家重大专项、国家重点研发计划的”，相关数据不仅是企业内部的行业秘密，同时也是关涉国家安全和社会公共利益的重要数据，需要按照重要数据标准管理和出境。参照《科技部 财政部关于印发<国家重点研发计划管理暂行办法>的通知（国科发资〔2024〕28号）》《财政部、科技部关于印发<国家重点研发计划资金管理办法>的通知（财教〔2025〕2号）》，国家重大专项需国务院级审批，重点研发计划项目隶属科技部管理的专项。通常而言，企业判断是否落入前述具备重大科创属性的简单方式，可以通过科技部官网或信息系统核实项目是否列入年度申报指南或立项公告，或者通过核实相关项目开展基金来源和途径等方式予以结合判断。

《指引》为自动驾驶道路测试相关数据是否符合重要数据属性或特征提供了技术化判断标准：一方面，如果涉及标注场景数据、仿真场景数据和测试场景数据等可以满足经汇聚、分析后能推算出《规定》第3条中规定的“重要数据”类型的条件，或者达到相应规格/精度的车外人脸、车牌信息，则应当作为重要数据予以管理，此“注意性规定”使得在相应场景下的重要数据判断更加有迹可循；另一方面，《指引》对于当前场景下还可能涉及重要数据的情形（包括参照《测绘地理信息管理工作国家秘密范围的规定》识别的涉密、敏感的地理信息数据，以及涉及社会公共安全行政执法活动的）予以明确。考虑到《指引》对于开展自动驾驶道路测试所需的车外音视频图像数据提出了更多的安全性要求，因此可以看到相关企业进一步采取技术措施、落实汽车数据车内脱敏的安全原则属于不可规避的发展趋势。因此，建议企业结合GB/T 44464—2024《汽车数据通用要求》5.6.2 匿名化要求及相关资料性附件，对人脸和车牌匿名化的实现技术方式、效果等予以认定和检验。

此外，在生产环境中，由于《指引》对于生产控制程序源代码作为重要数据的条件予以了关注和强调，因此对于OEM等车企而言需要考虑与《中国禁止出口限制出口技术目录》中相关技术控制要点，以平衡出口管制和数据出境安全管理的双重合规要求。

（2）辅助驾驶或驾驶自动化相关数据

针对辅助驾驶或驾驶自动化相关数据，《指引》总体上区分了“算法类数据”“训练类数据”和“特征类数据”等三类进行重要数据识别规则的规定。首先，由于算法类数据更关乎于技术创新能力和企业、行业和国家的竞争实力，因此在识别规则的设定上更加强调高科技属性对于汽车数据的要求，以“省部级奖励”等作为判断条件。《指引》为《重要数据识别指南》中所谓“对国家科技安全、行业竞争力有影响”相关数据的判断标准，例如“涉及车联网网络与数据安全、驾驶自动化功能相关成果获得省部级及以上奖励的”。这对于当前正在开拓海外市场、希望将境内已经训练完成或者处于研发成熟阶段的自动驾驶服务商而言需要关注，仅确保自动驾驶训练数据在境内存储、将算法模型（含参数）等部署在境外的实践做法可能存在合规挑战，建议相关企业参照《指引》规定予以特别留意并做好内部梳理，对于属于此类奖励范围内的自动驾驶算法文件（原理或流程）、源代码和参数等，根据《指引》均属于重要数据判定条件，为顺利推进海外市场项目执行落地，需在出境前提前开展相应的申报准备。

其次，针对训练数据集的重要数据特征，相应地更多体现在相关精度和规模的要求上。除《规定》中规定的判断条件以外，《指引》突出强调汽车重要数据中“数据规模”要素的意义，并且从“时间”“空间”和“数量”等维度解析和规定具体的“数据规模”认定门槛，例如“累计时间大于等于30天”“10万台以上车辆收集”“采集真实环境中5000万公里以上或2000小时以上的原始图片或原始影像的”“涉及1000万张以上原始图片的”“涉及100万个以上原始影像的”。

最后，针对包括图像数据和点云特征数据的算法特征数据，可以认为《指引》在设定规则时兼具糅合了“算法类数据”和“训练集数据”的判断标准。底层逻辑上不难理解，由于算法特征数据与算法和训练数据密不可分，且样态丰富多样、可推演可回溯，对于自动驾驶算法数据标注、模型训练而言均具备重要价值，此类重要数据的识别客观上即需要同时结合数据属性和规模等条件予以完成。

（3）软件升级相关数据

虽然未在《规定》中予以明确规定，但此次《指引》针对“软件升级服务场景”下汽车数据处理者升级汽车动力系统、底盘系统、安全驾驶功能的软件包对应的源代码时重要数据的认定予以了专门规定。但需注意，该项判断条件的标准是“同时符合”，即需要同时满足三个因素才予以认定，具体包括：1）升级对象需为境内运行车辆；2）仅限于远程控制功能（近场通信方式不在此列）；3）涉及车辆启动行驶、动力丢失、紧急制动、巡航控制、车道保持功能（总结起来可能需要具备辅助驾驶能力）。

此前，汽车领域强制性国标之一GB 44496-2024《汽车软件升级通用技术要求》也对相关技术要求予以明确，且其强制性效力意味着相关要求无法得以满足将构成“产品缺陷”而承担产品责任。其中规定“软件升级”是指将某版本的软件通过升级包更新到新版本（包括更改软件的配置参数）的过程，包括在线升级和离线升级两种类型。“在线升级”是指通过无线方式而不是使用电缆或其他本地连接方式将升级包传输到车辆的软件升级，也称“远程升级”。早在2022年工信部即公布并执行《关于开展汽车软件在线升级备案的通知》，不久前《工业和信息化部 市场监管总局关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知（工信部联通装〔2025〕45号）》发布，做出强化汽车软件在线升级活动协同管理的要求和部署。而此次《指引》将软件升级专门作为出境数据安全管理和重要数据识别的特殊场景，也体现出相关主管部门对于汽车软件升级业务服务下性能安全、数据安全的重视。

（4）车联网相关数据

在“联网运行场景”章节下，《指引》整体遵循已有车联网行业实践中常见的“车路云”分类思路以梳理具体的汽车重要数据类型，符合智能网联汽车数据分类分级要求，可见，智能网联汽车企业此前数据分类分级制度和落地具有现实的合规价值，也得以看出车联网行业领域贯彻数据分类分级规范的合规意义。例如实践中，北京市高级别自动驾驶示范区通过发布“数据分类分级白皮书”等方式，通过汇聚和凝聚实践经验并以指导和反哺实践的方式，实现行业内车联网数据分类分级的制度和措施优化，推动行业数据安全自驱。而在这个过程中，“示范区数据分类分级参考”起到了相应的参照作用。因此，企业在前述分类分级的基础上，也将更好地适应《指引》中设定的重要数据识别规则和出境安全管理要求。具体而言：

3. 申报实施细节问题

《指引》对数据出境的实施过程提供了进一步的指引，涵盖了数据识别、路径判断以及实施数据出境监管流程的细节。尽管大部分内容与此前国家网信办发布的《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》保持一致，但仍有以下几点值得汽车数据处理者关注。

（1）重要数据目录备案

首先，《指引》要求汽车数据处理者在“在重要数据目录备案基础上”，参考《指引》的规定识别需要开展不同数据出境监管流程的重要数据和个人信息。这意味着，在申报数据出境安全评估之前，汽车数据处理者应当根据《工业和信息化领域数据安全管理办法（试行）》的相关规定，完成重要数据的备案工作。结合此前网信部门在数据出境申报项目中要求个人信息处理者说明满足申报条件的实践要求，我们不排除后续网信部门在接受重要数据的数据出境安全评估前，要求汽车数据处理者提供已完成重要数据备案的证明材料的可能性。因此，汽车数据处理者在规划重要数据出境时，应将重要数据备案所需的时间纳入考量范围。

参考《工业和信息化领域数据安全管理办法（试行）》第4条和第12条的规定，如果汽车数据处理者需要开展重要数据目录备案，则其应当向其所在省、自治区、直辖市的通信管理局（以下简称“地方通管局”）进行备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况。地方通管局应当在提交备案申请的20个工作日内完成审核工作，备案内容符合要求的，予以备案，同时将备案情况报工信部。如存在不予备案的情形，地方通管局应当及时反馈汽车数据处理者并说明理由，汽车数据处理者应当在收到反馈情况后的15个工作日内再次提交备案申请。

（2）境外汽车数据处理者申报方式

《指引》首次明确了位于境外的汽车数据处理者可以由其在境内的分支机构代为申报数据出境安全评估，这在一定程度上回应了实践中关于境外直采数据出境合规的困惑，也体现了对当前实践的总结。值得注意的是，必须由境外汽车数据处理者在境内的分支机构进行申报，而不能指定外部机构。此外，参考申报材料要求及我们的项目经验，申报主体通常需要具备法人资格。因此，境外汽车数据处理者在境内设立的常驻代表机构或其境内分公司均无法作为数据出境安全评估的申报主体。

值得注意的是，《指引》仅在“实施数据出境安全评估”部分提及了可以由境内分支机构代为申报的可能性。由于《个人信息出境标准合同》的体例限制，《指引》并未在“订立个人信息出境标准合同”部分为境外直采场景提供合规路径。尽管目前实践中存在由境内分支机构代为开展备案的情况，但此类做法更多是基于当前的实践需求导致的过渡性安排。我们期待监管部门能够提供更明确的指引，以便有合规意愿的企业能够尽快满足我国数据出境的监管要求。

4. 出境安全管理要求

《指引》从组织管理、防护技术措施、日志记录和应急处置等角度，向汽车数据处理者提出了进一步的汽车数据出境安全管理要求。我们不排除后续网信部门或工信部可能会要求汽车数据处理者在《数据出境风险自评估报告》或《个人信息保护影响评估报告》的对应章节中，详细描述企业落实此类汽车数据出境安全管理要求的情况，因此建议汽车数据处理者尽早进行相关规划。

（1）组织管理

《指引》从部门、人员、制度以及审批等角度，对汽车数据处理者提出了更为详细的管理要求。总体而言，汽车数据处理者需要明确汽车数据出境安全负责人、汽车数据出境管理部门，从制度层面明确汽车数据出境安全管理要求，并建立企业内部审批登记流程。

目前，汽车数据处理者通常已经按照汽车数据安全管理年报的要求，任命了“汽车数据安全负责人”。《规定》暂未明确汽车数据出境安全负责人是否可以兼任，但在实践中，汽车数据处理者或许可以通过让汽车数据安全负责人兼任该职位，以满足相关要求。

就内部审批登记流程而言，汽车数据处理者可以参照现有的个人信息保护影响评估流程基础上，增加重要数据识别、备案、申报、风险评估流程。结合自身业务特点与数据出境场景，企业应制定详细且可操作的内部管理制度，明确审批流程中各部门的职责与审核要点，并对所有记录进行存档。虽然《规定》暂未明确具体的存档期限，但参考《网络数据安全管理条例》第12条的规定，我们理解汽车数据处理者应当保存相关记录至少3年。

整体而言，由于《规定》要求汽车数据处理者在制度层面针对汽车数据出境安全提供针对性要求，尽管目前尚不明确“针对性”所要求的具体颗粒度，但建议汽车数据处理者制定专门的汽车数据出境管理制度或标准操作程序（SOP），并确保其中至少涵盖《指引》中规定的各类安全保护要求。

（2）防护技术措施

《指引》从数据出境传输安全、数据出境安全监测，以及检查支持提出了详细的要求，具体要求如下表所述。

（3）日志记录

除上述数据出境安全监测部分要求的安全日志外，《规定》还要求汽车数据处理者留存网络流量日志和操作行为日志，具体要求如下表所示。

根据《规定》，安全日志、网络流量日志、操作行为日志均需采用防篡改技术措施保护，并且至少留存3年。汽车数据处理者同时需要对前述日志进行审计，当发现存在非法操作等安全风险隐患时，及时响应处置。

（4）应急处置要求

《规定》进一步规定，汽车数据处理者应当建立汽车数据违规出境的处置能力，发现异常行为时应及时处置，并按有关要求向本地区行业监管部门报告。我们理解，此处并非创设新的报告义务，而是对现有报告机制的进一步明确和细化。当汽车数据违规出境行为构成网络安全事件或数据安全事件时，汽车数据处理者应当依据《公共互联网网络安全突发事件应急预案》和《工业和信息化领域数据安全事件应急预案（试行）》的相关要求，履行相应的报告义务。

02、合规影响与实操建议

1. 对汽车数据安全及出境管理的影响

《指引》的发布为汽车行业的数据安全管理和数据出境活动提供了更为明确的指引和规范，对汽车行业的数据安全管理将产生积极影响。

汽车数据处理者可以借此机会审视和调整其汽车数据安全保护策略。《指引》细化了重要数据识别认定规则，企业需要依据这些规则重新审视和梳理所处理的汽车数据，明确哪些数据属于重要数据范畴。在此基础上，企业应积极推进重要数据目录的制定与备案工作，确保重要数据的管理有章可循、有据可依，并基于企业内部重要数据目录落实针对重要数据的全生命周期保护措施。

从法规衔接层面来看，《指引》的发布使现有的汽车数据安全管理规范体系更为健全，与现有的数据安全相关法律法规相互补充，形成了更为完善的数据出境管理法规框架。同时，《指引》在规范数据出境活动的过程中，既注重实质性把握重要数据出境安全风险，又兼顾了数据跨境流动的合理需求，体现了“促进和规范”两手并重的原则。这将为汽车行业的国际化发展提供有力的法规支持，促进汽车产业在全球范围内的合作与交流，推动汽车数据的合理利用和创新发展，同时确保数据安全始终处于可控状态。

2. 实操建议

尽管《汽车数据出境安全指引（2025版）》目前仍处于征求意见稿阶段，但其重要数据范围是基于实践凝练而成，并且与《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》的重要数据清单存在较多重合之处。基于此，我们预计后续进行大规模调整的可能性较低，但仍不排除可能会有微调。

因此，汽车数据处理者应在现有数据出境工作的基础上，结合《指引》中的重要数据清单，提前逐步开展以下工作，以便在《指引》正式发布后，能够有序、合规地申报数据出境安全评估等工作，避免对业务连续性造成影响：

·重要数据识别：参照《指引》梳理企业掌握的数据，明确其中是否涉及重要数据。

·申报情况梳理：对于属于重要数据的部分，进一步梳理哪些数据此前已经申报，哪些尚未申报。

·已申报数据的评估：对于已被生效的数据出境安全评估结果所涵盖的数据，我们理解《指引》不会对其产生影响。

·未申报数据的策略制定：对于尚未申报的重要数据，企业需结合既有业务开展情况，制定数据出境安全评估申报策略。同时，企业应充分考虑重要数据备案所需的时间，以及如果重要数据未获准出境时的整改方案。

在开展重要数据识别等相关工作的同时，汽车数据处理者的IT和安全部门应对《指引》中涉及的出境安全管理工作进行评估。评估内容包括相关技术措施的可行性，例如企业目前采取的数据加密、访问控制等技术手段是否能够满足《指引》的要求，以确保数据在出境过程中的保密性、完整性和真实性，以及相关日志要求以及所需要的时间期限是否能够得到落实。通过IT和安全部门的协同评估，汽车数据处理者可以提前做好技术准备和资源规划，确保在《指引》正式实施后能够顺利开展数据出境管理工作，降低因技术或管理不到位而导致的数据安全风险，保障企业的正常运营和数据跨境流动的合规。

结语

此次公开征求意见的《指引》，在整合近些年汽车行业数据安全监管规则和数据出境安全规范的基础上，从全生命周期和多场景视角为企业认定和识别汽车重要数据目录并相应开展出境安全管理工作提供了更为明确的参考规则，凝聚和呈现了安全发展两举并重的数据治理经验和产业监管良好互动的局面。更进一步地，汽车数据合规不仅是企业履行法律责任的需要，也是新质生产力时代提升企业竞争力、赢得消费者和市场信任的重要资格。此次《指引》透露出企业通过建立健全数据管理体系、强化汽车数据合规管理流程的突出价值。特别是针对存在汽车数据出境和海外市场发展战略的车企而言，根据《指引》细化和专门要求，在保障数据安全的前提下，能够顺利开展汽车重要数据识别认定以及数据出境安全管理活动，助力汽车产业的全球化发展。

脚注：

[1] 国家网信办，https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm

[2] 新华网，https://www.xinhuanet.com/money/20241122/bf66a82b9c0e4a7f8c1848eb6bdefe96/c.html

[3] 中国人民银行，http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5675551/index.html

[4] 国家网信办，https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm

[5] 关键信息基础设施运营者对于个人信息的豁免可以依据《个人信息保护法》第40条，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定”。

[6] 涉密属性构成重要数据的判断维度之一，但根据《网络数据安全管理条例》第63条第3款，并不因此排除数据本身构成保密信息应遵循包括但不限于《保守国家秘密法》等在内的相关法定义务。

来源：金杜研究院