一、现有数据出境监管机制
自2017年以来,随着网络及数字经济的兴起,数据跨境流动活动日益频繁,我国从本国实际出发,结合全球对数据跨境流动安全管理制度性探索的经验,陆续制定了一系列法律法规和规则标准,建立起一套系统性、多层次的数据出境安全管理制度。
在法律及行政法规层面上,《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》对数据出境活动作出明确的制度性规定;同时,国家还针对汽车行业制定了专门的数据安全管理规定,即《汽车数据安全管理若干规定》[6],该规定从部门规章层面、明确了汽车行业重要数据的定义。
总体而言,对于不涉及重要数据(应被相关地区、部门告知或者公开发布)或者个人信息的一般数据可以跨境自由流动,重要数据和达到规定数量的个人信息通过数据出境安全评估后可以依法跨境流动,既保证在华企业因业务需要而进行的数据跨境流动的安全、自由,同时对涉及国家安全和公共政策目标的个人信息和重要数据跨境流动进行必要的监管。具体而言,对于确需出境的重要数据,经数据出境安全评估认为不会危害国家安全和社会公共利益的,可以出境;[7]对于个人信息出境,法律在区分数据敏感程度和出境规模的前提下规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种监管途径和治理机制。[8]
为落实法律规定,国家互联网信息办公室(以下简称“网信办”)先后出台实施《数据出境安全评估办法》[9]《个人信息出境标准合同办法》[10]《促进和规范数据跨境流动规定》[11],发布《数据出境安全评估申报指南》[12]《个人信息出境标准合同备案指南》[13]《关于实施个人信息保护认证的公告》[14]及配套认证规则[15],明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的实施路径,会同各地、各部门依法有序开展数据出境安全管理工作。
二、本次《征求意见稿》核心要点
对比以往数据出境政策,《征求意见稿》在现有制度基础上,针对汽车行业特性制定了更多细化及创新规则(建议重点关注豁免场景、重要数据目录及安全保护要求),核心要点如下:
1、“汽车数据”概念【基本不变】
2、“汽车数据处理者”概念【有新增】
3、“数据出境行为”概念【基本不变】
4、数据出境路径【需重点关注,新增3类豁免场景】
《征求意见稿》总体上依旧沿袭既有合规路径,即结合数据敏感程度和出境规模,分为四类路径和以下三大类情形:
- 必须申报数据出境安全评估的情形:5类情形,对比《数据出境安全评估申报指南(第二版/第三版)》,基本无变化。
- 与境外接收方订立个人信息出境标准合同和通过个人信息保护认证二选一情形:2类情形,对比《个人信息出境标准合同备案指南(第二版)》,基本无变化。
- 免予申报情形:9类情形,在《促进和规范数据跨境流动规定》第四、五、六条规定的基础上特别新增了3类豁免情形,即:“(7)因修补安全漏洞需要,汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求,已向工业和信息化部报告的安全漏洞数据;(8)因处置安全事件需要,汽车数据处理者按照行业网络安全、数据安全事件相关应急预案,已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据;(9)因消除汽车产品缺陷、实施召回需要,汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。”
上述豁免场景的新增体现汽车行业的特殊性和客观需求,有利于进一步降低企业的合规成本,同时确保必要的报告和跨境监管备案要求。
5、汽车重要数据目录及判定规则【需重点关注】
《汽车数据安全管理若干规定》第三条第六款曾对汽车领域所涉及的重要数据列举了六大类型,尽管该规定较为原则性,但过去一直是实践中的重要判定标准和依据。《征求意见稿》则在此基础上进一步明确了汽车领域重要数据的具体目录及判定标准,以表格形式详细列举了汽车重要数据的类别、数据项及具体判定规则,覆盖研发设计、生产制造、驾驶自动化、软件升级、联网运行等5大场景、26个数据类别和49个数据项,是汽车行业重要数据分类分级治理的一次精细化尝试,值得汽车数据处理者重点关注。
此外,《征求意见稿》还明确,拟出境的重要数据中,位置轨迹、自动驾驶地图数据、构图类数据等含有空间位置坐标的地理信息数据均应为采用国家认定的地理信息保密处理技术完成处理后的数据。这与现有测绘数据、时空数据的保密处理和出境等强制性要求相符。
6、数据出境实施流程及整体要求【基本不变】
如前所述,《征求意见稿》列举的数据出境路径延续先前政策要求,依然分为四类,即申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证及其他免予申报情形。这四类路径的具体数据出境流程及整体要求基本沿袭此前网信办发布的《数据出境安全评估申报指南》和《个人信息出境标准合同备案指南》等指南。
《征求意见稿》中展示的数据出境实施流程图如下:
在实施流程细节上,值得特别关注的是,《征求意见稿》首次明确了位于境外的汽车数据处理者可以由其在境内的分支机构代为申报数据出境安全评估。
此外,与网信办2025年4月发布的《数据出境安全管理政策问答》[16]相互呼应,《征求意见稿》中特别明确,境内多家子公司如同属一家集团公司(母公司)且数据出境业务场景相似,可以由集团公司(母公司)作为申报主体合并申报数据出境安全评估,有利于进一步提高数据出境工作效率。
7、汽车数据出境安全保护要求【需重点关注】
《征求意见稿》在《网络安全法》《网络数据安全管理条例》等法律法规基础上进一步构建了贯穿汽车数据出境事前防护、事中监控、事后处置全流程的管控保护机制,要求企业建立覆盖技术防护、日志留存、应急处置的全周期管理体系,以实现常态化、制度化、专业化管理效果。
- 管理要求:在《网络数据安全管理条例》等法律法规基础上,《征求意见稿》对汽车数据处理企业的数据安全保护义务进行了进一步明确和细化,要求从部门、人员、制度等方面贯彻落实数据安全保护责任。特别地,《征求意见稿》专门明确了“审批要求”,要求汽车数据处理者建立汽车数据出境内部登记审批机制,设定审批权限和审批流程,对审批材料进行整理存档。
- 防护技术要求:基于《网络数据安全管理条例》中有关建立网络安全防护措施的一般性要求,此次《征求意见稿》对汽车数据处理者的数据出境防护及监测技术新增了明确要求,如采用校验技术、密码技术、安全传输通道或者安全传输协议等传输保护措施;在系统中建立境外数据接收方身份鉴权功能;对汽车数据出境传输行为进行安全检测,形成安全日志并留存;对数据出境原始流量进行留存等。
- 日志要求:基于《网络安全法》中有关留存网络日志的一般性要求,除上面提到的安全日志外,《征求意见稿》还结合汽车行业特点,进一步要求汽车数据处理者对汽车数据出境的网络通信行为和向境外传输汽车数据的主机的操作行为进行专门记录,形成通信日志和操作行为日志并进行防篡改留存,留存时间均不少于3年。
- 应急处置要求:在《网络安全法》有关数据安全应急处置要求的一般性规定的基础上,《征求意见稿》并未进行进一步细致规定,企业还需要继续关注后续网信办发布的有关规定,不断提升企业内部应急处置能力。
三、企业合规建议
1、内部管理组织及制度建设
对于有数据出境需求的汽车行业企业,企业应设立数据出境专职管理部门,通常而言可由法务、信息安全、生产研发等跨部门人员组成,并明确安全负责人,统筹制定企业内部数据分类政策、数据出境制度与出境审批流程。
2、系统识别标记重要数据
鉴于《征求意见稿》列明了汽车重要数据的目录和判定标准,企业可提前对照《征求意见稿》中列举的重要数据梳理标记自身业务场景中的重要数据,定期开展数据出境风险自评估,以确保妥善应对后续监管部门的安全评估和抽查。
3、汽车数据出境路径的评估和选择
《征求意见稿》对于四类出境路径进行了具体细化,尤其是新增了豁免情形,以及对于重要数据进行了细化,企业可以结合该规定,梳理现有的数据出境路径是否适当,是否需要调整申报策略。
4、完善技术防护措施与应急响应机制
建议企业提前部署加密传输、身份鉴权等技术措施;建立数据出境监测系统,实时识别异常行为;同时制定应急预案,建立数据出境异常行为的实时监测与拦截机制,确保发生数据泄露时能及时止损并报告。
5、持续跟踪监管政策更新动态
鉴于《征求意见稿》尚处于征求意见阶段,建议企业通过行业协会等渠道积极反馈实操难点,同时提前开展对照现行业务模式梳理潜在合规风险点。
结语
此次《征求意见稿》是对现有汽车行业数据出境规则的精细化填补,通过明确重要数据目录和细化判定标准,与数据出境安全评估、个人信息出境标准合同、个人信息保护认证等基本制度形成配套互补。《征求意见稿》既为汽车数据出境行为划定了安全红线,又指明了出境路径,虽然短期内可能会增加汽车企业的数据合规成本,但在长远来看,可以提升和完善整个行业的数据管理水平和安全体系,对中国车企的高质量出海具有深远影响。
数据是智能的基石,在智能网联时代,数据合规日益成为新的核心竞争力。建议企业牢牢把握此次《征求意见稿》的发布契机和合规窗口期,系统性重构数据出境治理体系,提前布局数据出境合规能力,把法定合规义务转化成自身的战略性竞争优势。
注释:
[1]工业和信息化部等八部门公开征求对《汽车数据出境安全指引(2025版)》的意见:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_181a52f57d14451ba4c8517b79c05177.html
[2]《中华人民共和国网络安全法》:
http://www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605.htm
[3]《中华人民共和国数据安全法》:
http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html
[4]《中华人民共和国个人信息保护法》:
http://www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313088.html
[5]《网络数据安全管理条例》:
https://www.gov.cn/gongbao/2024/issue_11646/202410/content_6980863.html
[6]《汽车数据安全管理若干规定(试行)》:
https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm
[7]同尾注[3]
[8]同尾注[4]
[9]国家互联网信息办公室《数据出境安全评估办法》:
https://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
[10]国家互联网信息办公室《个人信息出境标准合同办法》:
https://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
[11]国家互联网信息办公室《促进和规范数据跨境流动规定》:
https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
[12]国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》:
https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm
[13]同尾注[12]
[14]《关于实施个人信息保护认证的公告》:
https://www.gov.cn/zhengce/zhengceku/2022-11/25/content_5728770.htm
[15]《个人信息保护认证实施规则》:
https://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm
[16]《数据出境安全管理政策问答(2025年4月)》:
https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm
- 相关领域
- 汽车
