Ky开元（集团）股份有限公司·官网

　　中國網2月3日訊 據“工信微報”微信公眾號消息，為貫徹落實黨中央、國務院決策部署，推動建立高效便利安全的汽車數據跨境流動機制，提升汽車數據出境便利化水準，推動構建汽車産業高品質發展和高水準安全良性互動格局，工業和資訊化部、國家網信辦、國家發展改革委、國家數據局、公安部、自然資源部、交通運輸部、市場監管總局等八部門近日聯合印發《汽車數據出境安全指引(2026版)》(以下簡稱《安全指引》)。

　　《安全指引》規定了汽車數據出境活動管理方式和適用條件，提出九類豁免情形，面向研發設計、生産製造、駕駛自動化、軟體升級、聯網運作等業務場景細化重要數據判定規則，明確開展數據出境安全評估、訂立個人資訊出境標準合同或者通過個人資訊出境認證的工作要求，並從管理制度、技術防護、日誌管理、應急處置等方面提出保護要求，指導企業規範開展數據出境活動，提升汽車數據安全保護水準。

　　為貫徹落實《中華人民共和國數據安全法》《中華人民共和國網路安全法》《中華人民共和國個人資訊保護法》《網路數據安全管理條例》等法律法規，引導規範汽車數據處理者高效便利安全開展數據出境活動，提升汽車數據出境便利化水準，制定本指引。

　　汽車數據處理者按照本指引開展數據出境活動。本指引所稱汽車數據是指汽車設計、生産、銷售、使用、運維等過程中涉及的個人資訊和重要數據。汽車數據處理者是指開展汽車數據處理活動中自主決定處理目的和處理方式的組織、個人，包括汽車製造商、零部件和軟體供應商、電信運營企業、自動駕駛服務商、平臺運營企業、經銷商、維修機構以及出行服務企業等。

　　汽車數據處理者向中華人民共和國境外提供汽車數據，符合以下情形之一的屬於數據出境行為：

　　1.汽車數據處理者將在中華人民共和國境內運營中收集和産生的汽車數據傳輸至境外；

　　2.汽車數據處理者收集和産生的汽車數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；

　　3.符合《個人資訊保護法》第三條第二款情形，在境外處理境內自然人個人資訊等其他數據處理活動。

　　1.汽車數據處理者向境外提供汽車數據，符合以下情形之一的，應當申報數據出境安全評估：

　　(2)自當年1月1日起累計向境外提供100萬人以上個人資訊(不含敏感個人資訊)；

　　2.汽車數據處理者(關鍵資訊基礎設施運營者除外)向境外提供個人資訊，符合以下情形之一的，可在訂立個人資訊出境標準合同、通過個人資訊出境認證兩種方式中任選其一：

　　(1)自當年1月1日起，累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)的；

　　3.有下列情形之一的，汽車數據處理者免予申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊出境認證：

　　(1)在境外收集和産生的汽車數據傳輸至境內處理後向境外提供，處理過程中沒有引入境內個人資訊或者重要數據的；

　　(2)為訂立、履行個人作為一方當事人的合同，如跨境購車、跨境寄遞、跨境支付、跨境註冊賬戶等，確需向境外提供個人資訊的；

　　(3)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人資訊的；

　　(4)緊急情況下為保護自然人的生命健康和財産安全，確需向境外提供個人資訊的；

　　(5)關鍵資訊基礎設施運營者以外的汽車數據處理者自當年1月1日起累計向境外提供不滿10萬人個人資訊(不含敏感個人資訊)的；

　　(6)自由貿易試驗區內登記註冊的汽車數據處理者符合自由貿易試驗區有關要求，向境外提供負面清單外的數據的；

　　(7)因修補安全漏洞需要，汽車數據處理者按照《網路産品安全漏洞管理規定》有關要求，已向工業和資訊化部報告的安全漏洞數據；

　　(8)因處置安全事件需要，汽車數據處理者按照行業網路安全、數據安全事件相關應急預案，已向工業和資訊化部及相關行業監管部門報告的汽車産品、車聯網平臺及相關係統的安全事件數據；

　　(9)因消除汽車産品缺陷、實施召回需要，汽車數據處理者按照《缺陷汽車産品召回管理條例》已向國家市場監督管理總局備案的OTA升級套裝軟體對應的源代碼。

　　汽車數據處理者在整合全球研發資源、産品協同設計開發過程中，收集和産生的物料清單、研發設計文檔、開發源代碼數據。

　　汽車數據處理者開展産品倣真、場地和實際道路測試過程中，收集和産生的標注場景、倣真場景、測試場景數據。

　　汽車數據處理者在汽車産品生産製造過程中，收集和産生的物料清單、生産控製程序源代碼。

　　汽車數據處理者在組合駕駛輔助或自動駕駛功能開發、部署、應用等過程中，收集和産生的演算法、訓練數據、特徵數據。

　　汽車數據處理者在車輛聯網運作過程中，收集和産生的車輛識別碼、車聯網卡標識碼、車輛密鑰、車輛數字證書、控制指令。

　　汽車數據處理者在車輛及路側設備聯網運作過程中，收集和産生的車外實景影像、雷達、位置軌跡、慣性導航、自動駕駛地圖、構圖類數據。

　　汽車數據處理者在開展車路協同分析、構建車路協同系統過程中，收集和産生的融合計算數據。

　　汽車數據處理者在開展車聯網平臺建設、運作、維護過程中收集和産生的網路規劃、充電運作、安全保障數據。

　　2.汽車數據處理者按照國家有關規定和行業標準規範識別、申報重要數據，工業和資訊化部、國家網際網路信息辦公室等相關部門公開或告知屬於重要數據的。

　　汽車數據處理者在重要數據目錄備案基礎上，按照本指引識別需申報出境安全評估、訂立個人資訊出境標準合同、通過個人資訊出境認證的汽車數據。

　　汽車數據處理者應當通過境內法人主體申報數據出境安全評估。境內無法人主體的，應由境內分支機構申報。境內多家子公司如同屬一家集團公司(母公司)且數據出境業務場景相似，可由集團公司(母公司)作為申報主體合併申報。不得採取數量拆分等方式，將應當通過安全評估的數據通過訂立標準合同等方式向境外提供。

　　汽車數據處理者按照《數據出境安全評估辦法》《促進和規範數據跨境流動規定》《數據出境安全評估申報指南(第三版)》，開展數據出境風險自評估並整改風險問題，向網信部門提交申報材料。通過數據出境安全評估的，汽車數據處理者開展數據出境活動；出現影響出境數據安全情形的，應當重新申報評估。

　　汽車數據處理者按照《個人資訊出境標準合同辦法》《個人資訊出境標準合同備案指南(第二版)》，開展個人資訊保護影響評估並整改風險問題，與境外接收方簽訂個人資訊出境標準合同，合同生效後方可開展個人資訊出境活動。

　　汽車數據處理者向網信部門提交備案材料，符合相關要求的將獲得備案編號；出現可能影響個人資訊權益情形的，應當重新開展個人資訊保護影響評估、訂立標準合同並備案。

　　汽車數據處理者按照《個人資訊出境認證辦法》，開展個人資訊保護影響評估並整改風險問題，向具備資質的專業認證機構申請認證，配合完成認證工作。通過認證後，汽車數據處理者方可開展個人資訊出境活動。

　　個人資訊出境情況不再符合認證要求的，汽車數據處理者應當重新開展個人資訊保護影響評估並申請認證。

　　汽車數據處理者應當明確汽車數據出境管理部門，統籌協調推進數據出境安全管理，監督檢查數據出境相關管理要求的落實情況。

　　汽車數據處理者應當明確汽車數據出境安全負責人，對數據出境活動以及採取的保護措施進行監督，對數據出境活動的安全負責。

　　汽車數據處理者應當明確網路安全、數據安全、個人資訊保護等方面的制度要求，針對性明確汽車數據出境安全管理要求。

　　汽車數據處理者應當建立汽車數據出境內部登記審批機制，設定審批許可權和審批流程，對審批材料進行整理存檔。

　　(1)採用校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施，保證數據出境傳輸過程中汽車數據的保密性和完整性。

　　(2)汽車數據出境相關係統應當具備對境外數據接收方進行身份鑒權的能力，確保境外數據接收方身份线.數據出境安全監測

　　汽車數據處理者應當對汽車數據出境傳輸網路通信、主機或系統操作行為進行安全監測，形成安全告警日誌並留存。

　　汽車數據直接出境傳輸的平臺或系統應當具備數據出境安全檢查技術支援能力，對數據出境網路通信流量進行留存，支援數據防篡改和內容解析。

　　汽車數據處理者應對網路流量日誌、操作行為日誌、安全告警日誌進行防篡改留存，留存時間不少於3年。

　　汽車數據處理者應當對網路流量日誌、操作行為日誌、安全告警日誌進行審計，當發現存在非法操作等安全風險隱患時，及時響應處置。

　　汽車數據處理者應當建立汽車數據違規出境的處置能力，發現異常行為時應及時處置，並按有關要求向本地區行業監管部門報告。