• 一般数据（不涉及重要数据、且不触发个人信息出境门槛）原则上可依业务需要跨境流动；
• 对确需出境的重要数据，以及达到规定数量阈值的个人信息，依法适用数据出境安全评估、个人信息保护认证、个人信息出境标准合同等路径出境；
• 同时，通过豁免条款、自由贸易试验区机制等安排，在风险可控前提下提升跨境流动效率。

《2026 指引》在上述制度基础上，进一步结合汽车产业链特点，对数据出境管理方式、重要数据判定规则、流程要求与技术/日志管控要点进行了更清晰、更工程化的归纳与细化，增强了可执行性与可检查性。

二、《2026 指引》核心要点

对比以往数据出境政策，《2026 指引》在现有制度基础上，针对汽车行业特性制定了更多细化及创新规则（建议重点关注豁免场景、重要数据目录及安全保护要求），核心要点如下：

《2026 指引》延续行业既有口径：汽车数据指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据，整体与《汽车数据安全管理若干规定》的定义保持一致。

条款原文

《2026 指引》一、总则（一）适用范围：……本指引所称汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。

2、“汽车数据处理者”概念【范围扩大、责任主体更明确】

在《征求意见稿》强调定义为“开展汽车数据处理活动的组织”的基础上，《2026 指引》进一步明确：汽车数据处理者是指自主决定处理目的和处理方式的组织、个人。这一变化与《个人信息保护法》中“自主决定目的、处理方式”的控制者逻辑更一致，这也意味着：（1）产业链上“平台运营”“自动驾驶服务”“软件/算法提供方”等主体，若对处理目的或处理方式具有决定权，合规责任边界将更清晰；（2）集团内部多主体协同处理、委托处理、共同处理的场景，需要更精细地梳理控制权与责任分配。

条款原文

《2026 指引》一、总则（一）适用范围：……汽车数据处理者是指开展汽车数据处理活动中自主决定处理目的和处理方式的组织、个人，包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。

《个人信息保护法》第七十三条：（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

3、“数据出境行为”概念【基本不变，表述更规范】

《2026 指引》延续三类典型出境行为：

1. 境内运营中收集/产生的数据传输至境外；
2. 数据存储在境内，但境外主体可以查询、调取、下载、导出；【注意正式稿在此增加“可以”二字，强调了“潜在访问能力”即构成出境，而不仅限于实际发生查询等行为，更为严谨，与《数据出境安全评估申报指南》的表述保持一致。】
3. 符合个人信息保护法关于“境外处理境内自然人个人信息”的情形。

上述概念整体与安全评估申报指南、标准合同备案指南的定义保持一致。

4、数据出境管理方式（出境路径）【需重点关注，延续《征求意见稿》新增的3类豁免场景】

《2026 指引》总体上依旧沿袭既有数据出境管理方式，采取“数据出境安全评估/标准合同或认证/豁免情形”的路径结构，但在若干关键点上更为明确：

（1）必须申报数据出境安全评估的情形（5类情形）

仍包括：向境外提供重要数据；达到个人信息数量阈值；达到敏感个人信息数量阈值；关键信息基础设施运营者出境；以及国家规定的其他情形。

（2）标准合同与个人信息出境认证“二选一”的情形（2类情形）

仍延续“10万以上、未达安全评估阈值”的一般个人信息出境，以及“未达1万”的敏感个人信息出境等安排。

（3）免于安全评估/标准合同/认证的情形（9类情形）

总体仍覆盖：(i)境外收集且在境内处理时不涉及个人信息或重要数据的；(ii)合同履行所必需；(iii)跨境人力资源管理所必需；(iv)紧急情况下为保护生命健康财产安全所必需；(v)低于10万人个人信息出境；(vi)自贸试验区负面清单外数据出境等常规数据出境豁免情形。

同时新增3类汽车行业特有的豁免场景（与《征求意见稿》一致）：(vii)漏洞修补需要；(viii)处置安全事件；(ix)召回OTA软件包源代码等情形下的豁免。

同时，《2026 指引》通过统一表述明确：豁免条款项下的“个人信息”不包含重要数据，从而避免在每个豁免条款中重复“（不含重要数据）”的写法，体系更简洁。

5、汽车领域“重要数据”判定规则【重大变化，需重点关注，且正式稿显著扩容与细化】

相较于《汽车数据安全管理若干规定》对重要数据的概括性列举，《2026指引》构建了一个更为精细、可操作的“场景-数据项-判定规则”三层框架，覆盖研发设计、生产制造、驾驶自动化、软件升级及联网运行等核心业务场景。较之《征求意见稿》，正式稿在重要数据的界定上呈现出范围扩大、标准细化的趋势，值得企业予以高度重视：

1）动力电池相关数据监管范畴扩大，明确新增为重要数据

《2026指引》在研发设计、生产制造等场景中，显著强化了对动力电池相关数据的管控。具体而言，将关键材料（如正负极活性物质、电解液）的配比方案、化学通式、物料用量，以及电极制备、装配、化成等核心工序的工艺参数、控制逻辑及设备调优算法文件等，明确新增为重要数据。这意味着，对于新能源车企及动力电池相关产业链企业而言，跨境研发协同、工艺参数共享、控制逻辑/设备调优算法跨境传输等场景的合规敏感度明显提升，需要尽早针对这些数据资产进行识别、分类，并建立与之匹配的跨境流动审批与使用规则。

2）出口管制合规衔接更紧密：新增“两用物项出口管制清单”维度

值得关注的是，《2026指引》在研发与制造场景相关重要数据的判定规则中，除“国家重大专项/重点研发计划”“禁止/限制出口技术目录”等外，新增了“涉及《中华人民共和国两用物项出口管制清单》中相关物项”这一维度。此举使得数据出境安全管理与既有出口管制法律体系产生了直接联结。在实务中，这意味着对某些高敏感技术（如特定材料、工艺）的数据跨境传输，可能同时触发数据出境安全评估与出口管制许可的双重义务。企业法务、合规团队需协同技术部门，对跨境数据传输活动进行复合性评估，防范合规风险的交叠与遗漏。

3）测试数据管控趋严：新增“视频标注”并细化敏感场景

《2026指引》在“产品测试”场景的数据项中，在图片/点云/多模态标注的基础上，特别新增了“视频标注”类别，弥补了《征求意见稿》的可能漏洞。

此外，在“判定规则”方面，正式稿将“涉及社会公共安全行政执法活动”这一判定条件，具体阐释为涵盖“大型活动安保等管控现场情况、交通事故等突发案事件警情现场情况”。另外，新增了“8.涉及采集真实环境中累计2000小时以上原始影像的，或者基于此影像生成的；9.涉及1000万张以上原始图片的，或者基于此图片生成的”的判定条件。

这一细化显著扩大了相关数据被认定为重要数据的边界。对于从事自动驾驶技术研发、测试及数据标注的企业，上述调整意味着其数据采集、处理及出境流程面临更严格的审查。企业有必要在数据采集的源头阶段，即审慎规划地理范围规避、人脸车牌模糊化等脱敏策略，并严格限定数据的访问与共享范围。

4）软件升级管控范围扩展至电池管理，明确远程控制边界

《2026指引》将软件升级场景下的重要数据，从“安全驾驶功能”升级程序源代码，明确扩展至“安全驾驶、电池管理功能”的升级程序源代码。同时，通过对“近场通信”进行技术定义（援引ISO/IEC标准），清晰划定了豁免范围（近场控制）与监管范围（远程控制）的界限。这一变化表明，与车辆远程控制（尤其是动力电池的充放电管理、热管理）相关的软件升级活动受到更严密的关注。企业在开展涉及境外主体的远程诊断、故障排除或软件升级支持时，需对相关代码和指令的跨境传输路径进行重点审查与合规设计。

5）车联网平台运营场景新增“安全保障数据（威胁信息）”

《2026指引》在“车联网平台运营”场景中，创新性地增设了“安全保障数据”类别，将未公开的安全漏洞详情、网络攻击指标（IOC）、重大安全事件分析报告等威胁情报纳入监管视野，并以“高危及以上漏洞”、“重大及以上安全事件”作为判定门槛。这对企业开展全球网络安全协同（如与海外SOC、外部安全研究机构或供应商共享威胁信息）提出了新的合规课题。企业需着手建立内部分类机制，明确区分可基于业务协同需要、在豁免或简化路径下跨境共享的运营性安全数据，与必须置于境内闭环处理或需履行严格出境评估程序的高敏威胁情报，并配套建立相应的审批与留痕制度。