2026年2月3日,《汽车数据出境安全指引(2026版)》(以下简称“指引”)正式发布。该指引由工业和信息化部、国家互联网信息办公室、国家发展和改革委员会、国家数据局、公安部、自然资源部、交通运输部、国家市场监督管理总局八部门联合印发,是为贯彻党中央、国务院关于“建立高效便利安全的数据跨境流动机制”“推进数据高效便利安全跨境流动”的决策部署,落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》《汽车数据安全管理若干规定(试行)》关于数据出境管理的有关要求,并在此基础上聚焦汽车行业特性,细化汽车重要数据判定规则,新增汽车数据出境豁免场景,规范汽车数据出境活动管理方式,强化汽车数据出境安全保护要求。
从法律文件效力上看,《指引》属于部门规范性文件,自公布之日起生效。其发布为促进和规范汽车数据跨境流动的安全合规提供了更为完善的实施指引,亦标志着国家对汽车数据的进一步精细化监管。
一、《指引》适用范围
《指引》明确“汽车数据处理者”的定义为“开展汽车数据处理活动的组织”,包括“汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等”。相较于《汽车数据安全管理若干规定(试行)》(以下简称“若干规定”),增加了电信运营企业、自动驾驶服务商、平台运营企业,与驾驶自动化场景、联网运行场景、车联网平台运营场景所涉及的重要数据类别相对应。
企业需根据上述定义判断是否属于汽车数据处理者,按照《指引》要求规范涉及的汽车数据跨境行为。
二、 明确汽车重要数据判定规则:六大场景
1. 汽车重要数据的六大场景
按照《指引》要求,汽车数据处理者应先开展重要数据目录备案,在此基础上进行数据识别,并进行汽车数据出境活动管理方式的选择。相较于《若干规定》,《指引》细化了汽车重要数据判定规则,将重要数据划分为六大场景,包括研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形,各场景对应数据项可参考下表。
表1 六大场景对应的重要数据类别与数据项
| 场景名称 | 序号 | 数据类别 | 数据项 |
| 研发设计 | 1 | 物料清单 | 工艺物料清单 |
| 2 | 研发设计文档 | 研发设计文档 | |
| 3 | 开发源代码 | 产品技术开发源代码 | |
| 4 | 标注场景数据 | 图片标注 | |
| 5 | 点云标注 | ||
| 6 | 多模态标注 | ||
| 7 | 视频标注 | ||
| 8 | 路网仿真文件 | ||
| 9 | 环境仿真文件 | ||
| 10 | 交通流量仿真文件 | ||
| 11 | 仿真合成文件 | ||
| 12 | 回灌仿真文件 | ||
| 13 | 测试场景数据 | 测试场景文件 | |
| 生产制造 | 1 | 物料清单 | 工艺物料清单 |
| 2 | 生产控制程序源代码 | 数控机床控制程序源代码 | |
| 3 | 工业机器人控制程序源代码 | ||
| 驾驶自动化 | 1 | 驾驶自动化算法数据 | 驾驶自动化算法文件 |
| 2 | 驾驶自动化算法源代码 | ||
| 3 | 驾驶自动化算法参数 | ||
| 4 | 驾驶自动化算法训练数据 | 驾驶员决策数据集 | |
| 5 | 组合驾驶辅助或自动驾驶系统决策或预测规划数据集 | ||
| 6 | 运行数据集 | ||
| 7 | 训练数据集 | ||
| 8 | 驾驶自动化算法特征数据 | 图像特征数据 | |
| 9 | 点云特征数据 | ||
| 软件升级服务 | 1 | 软件升级数据 | 安全驾驶、电池管理功能升级软件程序源代码 |
| 联网运行 | 1 | 车辆识别码 | 车辆识别码(VIN) |
| 2 | 车联网卡标识码 | 车联网卡标识数据 | |
| 3 | 车辆密钥 | 对称密钥 | |
| 4 | 非对称私钥 | ||
| 5 | 车辆数字证书 | 数字证书 | |
| 6 | 控制指令 | 车辆控制指令 | |
| 7 | 车外实景影像 | 摄像头拍摄图片 | |
| 8 | 摄像头拍摄视频 | ||
| 9 | 雷达数据 | 点云数据 | |
| 10 | 结构化数据 | ||
| 11 | 位置轨迹数据 | 时空定位数据 | |
| 12 | 车辆高程 | ||
| 13 | 惯性导航数据 | 惯性导航数据 | |
| 14 | 自动驾驶地图数据 | 自动驾驶地图数据 | |
| 15 | 构图类数据 | 坐标相关的矢量数据 | |
| 16 | 融合计算数据 | 人员流量 | |
| 17 | 车辆流量 | ||
| 18 | 目标物成像数据 | ||
| 19 | 交通流指标数据 | ||
| 20 | 网络规划数据 | 资产配置信息 | |
| 21 | 网络拓扑图 | ||
| 22 | 充电运行数据 | 充电设施位置数据 | |
| 23 | 车辆充电状态监测数据 | ||
| 24 | 充电数据 | ||
| 25 | 安全保障数据 | 威胁信息 | |
| 其他情形 | 符合以下情形之一的汽车数据:1.其他出境业务场景中符合上述判定规则的;2.汽车数据处理者按照国家有关规定和行业标准规范识别、申报重要数据,工业和信息化部、国家互联网信息办公室等相关部门公开或告知属于重要数据的。 | ||
2. “10万”阈值的变化
需要注意的是,在重要数据判定中,关于“10万”这一阈值,《若干规定》将“超过10万人的个人信息”定义为重要数据,而《指引》则将“10万台车”收集的数据定义为重要数据,且包括产品研发、测试、上线(智驾、联网运行)各个环节所涉及的车辆数。统计维度从“个人信息主体人数”到“车辆台数”的转变,并涵盖产品全生命周期管理所涉及的车辆,更贴合汽车行业特性,使得重要数据判定规则更加合理明确、实操性更强。
3. 对年报相关要求的影响
近几年来,各地监管部门已按照《若干规定》要求,每年定期发布通知,要求汽车重要数据处理者报送年度汽车数据安全管理情况报告、汽车数据处理情况表及年度风险评估报告。《指引》发布后,由于重要数据的认定规则发生了变化,企业需依据《指引》所明确的重要数据判断规则重新开展重要数据识别,若识别结果有变化,需更新已备案的重要数据目录,按照新的重要数据条目开展重要数据安全风险评估。已知在2025年的汽车年报报送工作中,已有监管部门要求相关企业按照《汽车数据出境安全指引(2025版)(征求意见稿)》进行重要数据识别,并更新目录备案。《指引》正式生效后,其中关于重要数据的判定规则将成为汽车数据处理者进行重要数据识别的重要依据。
同时,企业在编制汽车数据安全管理年报及风险评估报告时,需关注涉及重要数据部分的情况变化。数据安全管理报告中涉及重要数据的内容包括重要数据处理情况、安全事件及用户投诉处置情况及向境外提供重要数据和个人信息情况;汽车数据处理情况表中涉及重要数据的内容包括本年度是否向境外提供重要数据、境外接收方的系统域名或IP地址等。具体影响填写的部分参考如下。
数据安全管理报告的相关部分:
汽车数据处理情况表的相关部分:
三、 调整汽车数据出境豁免情形
《指引》对《促进和规范数据跨境流动规定》(以下简称“跨境新规”)中已明确的六类豁免出境合规程序情形,进行了相应的扩充和调整:
1、明确“跨境购车”情形亦属于“为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息”予以豁免;
2、新增三个豁免情形:
1) 因修补安全漏洞需要,已向工信部报告的安全漏洞数据;
2) 因处置安全事件需要,已向工信部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据;
3) 因消除汽车产品缺陷、实施召回需要,已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。
此外,同《跨境新规》的规定,《指引》亦明确“自由贸易试验区内登记注册的汽车数据处理者符合自由贸易试验区有关要求,向境外提供负面清单外的数据的”为豁免情形。截至目前,已建立汽车数据出境“负面清单”的自贸区,包括北京、重庆、福建、天津。《指引》发布后各自贸区负面清单是否进行调整尚未可知,但基于该描述,可知自贸区负面清单适用优先于《指引》。自贸区内的汽车数据处理者进行识别重要数据或数据出境合规路径选择时,可一并评估《指引》及本自贸区负面清单的规定。
四、梳理汽车数据出境管理方式
若出境数据不属于前述豁免情形,汽车数据处理者需结合自身企业属性,出境数据性质、数量及频率等,判断适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证中的哪种合规路径。企业可参考以下步骤实施数据出境合规程序:
1. 判断企业属性
是否属于《指引》所定义的汽车数据处理者,自身是否为关键信息基础设施运营者(CIIO,若无收到主管部门认定为CIIO的通知,则不是)。
2. 开展数据识别工作
汽车数据处理者需开展重要数据目录备案,在此基础上,识别并统计出境数据的个人信息类型(是否包括敏感个人信息)及数量。不同的数据性质、数量以及主体性质将对应不同的汽车数据出境管理方式,判断步骤可参考下图:
3. 实施数据出境合规程序
辨明出境合规路径后,企业按照《数据出境安全评估申报指南(第三版)》《个人信息出境标准合同备案指南(第二版)》《个人信息出境认证办法》要求实施合规程序。需注意,《指引》明确汽车数据处理者应当通过境内法人主体申报数据出境安全评估。境内无法人主体的,由境内分支机构申报。境内多家子公司如同属一家集团公司(母公司)且数据出境业务场景相似,可由集团公司(母公司)作为申报主体合并申报。同时,强调“不得采取数量拆分等方式,将应当通过安全评估的数据通过订立标准合同等方式向境外提供”。此外,实践中,集团公司符合标准合同备案要求,且符合上述条件的,亦可由集团公司(母公司)统一进行标准合同备案。
五、强化汽车数据出境安全保护要求
《指引》同时强调了数据安全技术合规的重要性,对数据安全保护提出了管理要求、防护技术要求、日志要求、应急处置要求。其中防护技术要求包括传输安全、安全监测、检查支持;日志要求包括日志记录、日志留存、日志审计。相较于《网络安全法》要求的“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,《指引》对汽车数据出境原始流量的留存范围、留存时间进行了规范,对汽车数据出境的网络通信行为产生的网络流量日志、向境外传输汽车数据的主机的操作行为产生的操作行为日志的类型、字段、留存时间进行了细化,要求汽车数据处理者应对出境的网络流量日志、操作行为日志、安全日志进行防篡改留存,留存时间不少于3年。
表2 数据出境原始流量管理要求
| 内容 | 留存范围 | 留存时间 |
| 数据出境原始流量 | 按照起止时间对数据出境流量进行全量留存 | 1周 |
| 按照起止时间、IP地址范围对数据出境流量进行抽样留存 | 不少于1个月 |
表3 网络日志、操作日志管理要求
| 日志类型 | 对应行为 | 日志字段 | 留存时间 |
| 网络流量日志 | 汽车数据出境的网络通信行为 | 日期、时间、源IP地址、目的IP地址、源端口、目的端口、传输层协议、应用层协议、数据包大小等,形成通信日志并留存 | 不少于3年 |
| 操作行为日志 | 向境外传输汽车数据的主机的操作行为 | 用户信息、操作时间、操作对象、操作类型、登录IP、设备信息等,形成操作行为日志并留存 |
总结
汽车数据天然横跨工业制造、网络安全、个人信息保护、测绘地理信息、交通运输安全与公共安全等多个监管维度,长期作为多部门交叉监管且被高度关注的重点领域。通过将《指引》这类多部门联合发布的指引性文件作为统一参照,监管部门能够在依法履职、未突破法定权限的前提下,协调并统一对汽车数据出境安全风险的技术认知和评估标准,逐步形成相对一致的监管口径,从而在多部门并行监管的背景下,缓解标准不统一所带来的合规压力,降低企业合规成本。
对地方监管部门而言,《指引》也极有可能逐步演化为开展日常检查、专项执法和合规评估的重要参考框架。但《指引》属于部门规范性文件,不属于法律、行政法规或部门规章,其本身不具有设定行政处罚或行政强制措施的效力。
企业可将《指引》作为识别监管预期的重要工具,在内部建立与之对应的数据分类分级、出境场景梳理、风险评估和技术防护体系;同时,在对外合规沟通和行政应对中,保持对法律依据层级的清晰区分,避免因超出法定要求而自行加重合规义务。
文章作者:赛博研究院咨询经理 徐芷琼、赛博研究院南区事业部咨询总监 刘境棠
赛博研究院
致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。
© 2026. All Rights Reserved. 沪ICP备19027819号 
沪公网安备31011002006159号
