近日，工业和信息化部等八部门联合发布了《汽车数据出境安全指引（2026版）》（以下简称《安全指引》），《安全指引》的发布，将推动我国建立高效便利安全的汽车数据跨境流动机制。
　　《安全指引》明确了适用范围，适用于汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据的出境活动。汽车数据处理者包括汽车制造商、零部件供应商、电信运营商、自动驾驶服务商、经销商、维修机构及出行服务企业等。
　　《安全指引》对数据出境行为进行了界定，主要包括三种情形：将境内运营中收集和产生的数据传输至境外；存储在境内的数据可供境外机构、组织或个人查询、调取、下载、导出；以及在境外处理境内自然人个人信息等其他符合法律规定的数据处理活动。
　　在数据出境活动管理方式上，《安全指引》依据数据量级和类型设定了不同的合规路径。向境外提供重要数据，或累计向境外提供100万人以上个人信息、1万人以上敏感个人信息，以及关键信息基础设施运营者向境外提供个人信息等情形，必须申报数据出境安全评估。对于非关键信息基础设施运营者，若累计向境外提供10万人以上、不满100万人个人信息，或不满1万人敏感个人信息，可在订立个人信息出境标准合同与通过个人信息出境认证两种方式中任选其一。《安全指引》同时列举了九种可免予申报安全评估、订立标准合同或通过认证的情形，例如为履行跨境合同、实施跨境人力资源管理、保护生命财产安全等确需提供数据，或累计提供不满10万人个人信息等。
　　《安全指引》详细列出了重要数据的判定场景，覆盖研发设计、生产制造、驾驶自动化、软件升级服务及联网运行等多个环节。具体包括产品研发的物料清单、设计文档、源代码；产品测试的标注场景、仿真数据；驾驶自动化相关的算法、训练数据；升级安全驾驶、电池管理功能软件包的源代码；以及车辆识别码、车联网卡标识码、车外实景影像、位置轨迹、自动驾驶地图、构图类数据等联网运行数据。
　　数据出境流程分为数据识别、实施安全评估、订立标准合同、通过认证四个步骤。《安全指引》强调，应通过境内法人主体申报安全评估，不得采取数量拆分等方式规避安全评估义务。通过安全评估或完成合同备案、认证后，方可开展数据出境活动。若后续情况发生变化影响数据安全或个人权益，需重新履行相应程序。
　　《安全指引》还提出了汽车数据出境的安全保护要求，涵盖管理、技术防护、日志和应急处置四个方面。在管理上要求明确责任部门、安全负责人，建立相关制度和内部审批机制。在技术防护要求保障传输过程的保密性、完整性，对接收方进行身份鉴权，并实施安全监测。在日志方面，需记录并留存网络流量日志和操作行为日志，留存时间不少于3年，并进行定期审计。最后，要求建立应急处置能力，发现数据违规出境等异常行为时及时处置并报告。
　　记者 闫洁琼