专业解读

引言

2026年2月3日，工业和信息化部会同国家互联网信息办公室、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、国家市场监督管理总局八部门联合印发《汽车数据出境安全指引（2026版）》（工信部联网安〔2026〕27号，以下简称“《指引》”），这是我国汽车行业首部专门针对数据出境的行业级、字段级操作指南。《指引》的出台，标志着汽车数据合规从原则性框架走向精细化、可操作化的新阶段。

回溯整个制度演进脉络——从2021年《汽车数据安全管理若干规定（试行）》奠基，经2024年《促进和规范数据跨境流动规定》的制度松绑，到2025年6月征求意见稿广泛吸纳行业反馈，再到2026年终稿落地——我国汽车数据跨境监管已完成从“三驾马车”（《网络安全法》《数据安全法》《个人信息保护法》）原则架构向场景化、矩阵式操作规则的系统性跃迁。

我们理解，《指引》不仅回应了汽车行业长期以来对“重要数据”界定标准模糊、合规路径选择困难等核心痛点的关切，更通过27大类、51项数据项的精细化分类，为主机厂、零部件供应商、软件服务商、智能驾驶企业等各类汽车数据处理者提供了首套可直接对照执行的合规“坐标系”。

一、制度定位与总体架构：从原则到操作的关键一跃

（一）法律定位与效力层级

《指引》在法律依据排列上，将《数据安全法》置于《网络安全法》之前——这一细微但重要的调整，反映了监管层对汽车行业“重要数据”出境治理的制度重心定位。配合2025年1月1日生效的《网络数据安全管理条例》，《指引》构建了“法律—行政法规—部门规范性文件”的三层级合规架构。值得注意的是，《指引》虽为八部门联合发布的规范性文件，不属于部门规章层级，但其八部委联合署名的规格在行业监管文件中极为罕见，反映了国家数据安全工作协调机制的全方位覆盖意图。

（二）适用范围与主体界定

《指引》对“汽车数据”采取全生命周期覆盖：设计、生产、销售、使用、运维五大环节全面纳入，数据类型涵盖个人信息与重要数据。在数据处理者方面，终稿在征求意见稿基础上新增了“个人”主体，覆盖范围从整车制造商延伸至零部件及软件供应商、电信运营商、自动驾驶服务提供者、平台运营者、经销商、维保机构、出行服务企业等全产业链参与者。

值得特别关注的是：终稿明确了三种构成“出境”的情形——境内收集数据向境外物理传输、境内存储但向境外实体提供查询/下载/导出等访问权限、以及依据《个人信息保护法》第三条第二款的域外处理行为。第二种情形在实务中极易被忽视，例如跨国企业通过全球IT系统授予海外总部对中国子公司数据库的远程访问权限，即可能构成数据出境。

二、重要数据判定矩阵：精细化时代的到来

（一）从6项概述到27大类51项数据项的质变

2021年《若干规定》仅以6项概括性描述界定重要数据，最典型的痛点在于“涉及10万人以上个人信息”的一般性门槛——对于日均产生海量数据的车联网场景而言，该标准几乎使所有规模化运营的车企均面临重要数据出境申报压力。《指引》对此进行了根本性重构，建立了五大业务场景、九个子场景下的27类重要数据判定框架，并给出了51项具体数据项。

（二）五大业务场景与判定规则要点

（三）九大判定规则维度

《指引》确立了九大维度的判定规则体系：成果/成就类（国家重点项目）、地理信息类（涉密/敏感测绘数据）、公共安全执法类、出口管制类、系统功能类、累计时长阈值类、规模/精度阈值类、车辆数量阈值（如≥10万辆）、个人信息规模阈值（如≥100万人）。其中，量化阈值的引入具有里程碑意义——以智能驾驶训练数据为例，征求意见稿曾以“5,000万公里”和“100万张”为门槛，终稿调整为“≥2,000小时原始影像”和“≥1,000万张原始图片”，更贴合行业实际数据管理方式。我们理解，这一调整不仅降低了中小型智驾企业的合规负担，也使判定规则更具可执行性。

（四）终稿相较征求意见稿的关键变化

三、三级合规路径与九类豁免：路径选择的决策体系

（一）三级合规架构

《指引》延续并细化了《数据出境安全评估办法》及《促进和规范数据跨境流动规定》确立的分级分类架构，形成清晰的三级体系：

第一级：强制安全评估。

适用于重要数据出境（含测绘数据须取得前置审批或地图审核）、自当年1月1日起累计向境外提供≥100万人个人信息（不含敏感个人信息）、累计向境外提供≥1万人敏感个人信息、关键信息基础设施运营者（CIIO）的任何个人信息出境，以及其他法定情形。值得注意的是，2024年3月修订后的安全评估办法将触发条件从“处理”100万人信息调整为“向境外提供”100万人信息，显著提高了门槛的合理性。截至2025年3月，CAC共完成298件安全评估申报，平均审核周期不足30个工作日，未通过率不到10%，主要原因为个人信息主体同意机制不完善。

第二级：标准合同或认证。

适用于非CIIO向境外提供10万至100万人非敏感个人信息或不足1万人敏感个人信息。标准合同主体条款不可修改，签订前须完成个人信息保护影响评估，合同生效之日起10个工作日内向省级CAC备案。截至2024年12月，全国共完成1,071件标准合同备案。集团公司可合并备案，2024年3月版《备案指引》已实现线上提交。

第三级：九类豁免情形。

《指引》明确列举了九类无需申报安全评估、签订标准合同或通过认证即可出境的情形。我们理解，这九类豁免与2024年《促规规定》的六类豁免高度对应，但在汽车行业场景下做了精准适配：包括境外采集数据的回传（不含境内个人信息/重要数据）、跨境购车/交付/支付/账户注册合同履行所必需的个人信息、跨境人力资源管理所必需的个人信息、紧急情况下保护生命健康财产安全所必需的个人信息、非CIIO向境外提供不足10万人非敏感个人信息、自贸区负面清单外数据、已向MIIT报送的安全漏洞信息、已向监管部门报告的安全事件信息，以及已按缺陷产品召回法规向SAMR备案的OTA升级源代码。

因此，建议在合规路径选择时，优先对照九类豁免清单进行“排除法”分析，确认是否可直接适用豁免。在实务中，大量日常性跨境数据交互——如售后零部件的全球供应链协调、境外研发中心的远程技术支持——可能因“合同履行所必需”或“不足10万人”等豁免条款而大幅简化合规流程。

（二）自贸区负面清单的制度红利

《指引》将自贸区负面清单机制纳入豁免体系，意味着在自贸区注册的汽车企业可依据“清单外推定许可”原则实现更便捷的数据出境。截至目前，已有五个自贸区完成负面清单备案：天津（2024年5月，首发，覆盖9个行业）、北京（2024年8月，最为详细，覆盖23个业务场景、198项具体数据字段，涵盖汽车、医药、民航、零售及AI训练数据）、上海（2024年，汽车/生物医药/公募基金）、海南（2024年，深海/种业）、浙江（2025年4月，跨境电商/支付/物流8场景134项数据）。

在此特别提示，北京自贸区的汽车数据负面清单虽覆盖了7类重要数据的字段级规范，但明确排除了自动驾驶企业——相关企业的专项监管规则尚在制定中。对于在上海临港（特斯拉所在地）、北京等自贸区注册的企业，充分利用负面清单机制可能成为降低合规成本的关键路径。

四、技术保障与日志留存：合规基础设施的硬性门槛

《指引》第四部分对数据出境的技术保护提出了系统性要求，这些要求对企业的IT基础设施和安全运营体系提出了实质性挑战：

管理层面：设立专门的数据出境管理部门、指定安全负责人、建立内部逐级登记审批与归档机制。传输保护层面：全程加密保障数据机密性和完整性，对境外接收方实施身份认证，建立安全监测及告警日志体系。日志留存层面：网络流量日志和操作行为日志须防篡改保存≥3年，并定期审计——这意味着企业需部署不可篡改的日志存储方案（如WORM存储或区块链存证），三年的留存周期远超许多企业现有的日志管理实践。检查支撑层面：完整网络流量留存1周，按时间范围和IP地址的样本留存≥1个月。应急响应层面：须建立健全应急处置能力。

上述要求的累积效应将显著提升数据出境合规的基础设施投入。数据本地化已使跨国车企的智能网联汽车开发成本增加约14%。《指引》的技术保障要求将进一步推高这一成本，尤其对中小型零部件供应商和软件服务提供商构成挑战。建议相关企业尽早评估现有IT基础设施与《指引》要求之间的差距，制定分阶段的技术改造计划。

五、测绘与地理数据：最严监管的“红线”领域

《指引》终稿新增的测绘前置审批要求，是对自然资源部2024年7月《自然资发〔2024〕139号》文件精神的延伸落实。含空间坐标、影像、点云数据的出境申请，须先获得测绘主管部门前置审批或通过地图审核程序后，方可进入安全评估流程。这实质上形成了“双重前置”机制。

在测绘资质方面，智能网联汽车（ICV）的数据采集活动已被明确纳入测绘活动范畴。所有ICV使用的地图——基础地图、ADAS地图、高精度地图、自动驾驶地图——均被归类为导航电子地图，必须由持有甲级导航电子地图制作测绘资质的单位生产。目前全国仅约14至25家机构持有该资质，以百度地图、高德地图、四维图新为代表。未经国家批准的保密处理技术处理的地理数据保留其原始密级，实质上完全阻断了原始地理数据的出境通道。

对于跨国车企而言，这一规则要求与中国持资质的测绘服务商建立深度合作。目前的行业实践中，宝马与四维图新合作开发L3级高精度地图，大众通过CARIZON（与地平线合资）建立GAIA数据平台，特斯拉使用百度地图用于导航和ADAS场景。这一“本地化合作”模式已成为行业标配。

六、行业实务影响与合规建议

（一）跨国主机厂：制度确认与增量义务并存

对于已在中国建立本地数据中心的跨国车企（如特斯拉上海临港数据中心、宝马及奔驰中国数据中心），《指引》在很大程度上是对既有合规实践的制度确认。然而，终稿在以下方面提出了增量义务：电池管理数据纳入重要数据范畴（与出口管制清单对齐），测绘数据前置审批程序，V2X平台安全保障数据（含威胁情报）的管控要求。

特斯拉面临的“双向数据壁垒”困境具有典型性——中国不允许将FSD训练影像出境，而美国商务部禁止在中国进行AI训练。2025年3月17日生效的美国BIS联网车辆规则（自2027车型年起禁止含中国关联软硬件的车辆）进一步叠加了镜像式的数据主权挑战。这要求跨国车企建立真正独立的中国区数据平台和训练基础设施。

（二）智能驾驶企业：算法与训练数据的精准管控

《指引》将算法参数范围从征求意见稿的“训练参数”限缩为“权重系数”，排除了出厂预装且不可导出的算法参数，为智能驾驶企业的合规边界提供了更清晰的界定。但训练数据和特征数据一旦涉及敏感地理信息或大规模真实道路影像，即触发重要数据判定——这对依赖大量道路实采数据的L2+/L3级智驾方案商影响尤为深远。2025年前三季度，L2级辅助驾驶车辆渗透率已达新乘用车销量的64%，相关数据处理规模的快速增长使合规管理的紧迫性倍增。

（三）零部件及软件供应商：供应链传导效应

《指引》的主体覆盖范围延伸至零部件供应商、软件服务商乃至电信运营商，意味着合规义务将沿汽车产业链向上下游传导。Tier 1供应商在向主机厂交付含数据处理功能的产品时，可能需要同步提供数据分类报告、安全评估配合承诺等合规支撑文件。因此，建议供应链各环节尽早建立数据合规联动机制。

（四）综合合规建议

第一，立即启动数据资产盘点。对照27类、51项数据项清单，逐项梳理企业自身采集、处理、存储、传输的汽车数据类型及流向，建立数据分类分级台账。

第二，优先适用豁免分析。在合规路径选择前，系统评估九类豁免情形的适用性——尤其关注“合同履行必需”“低于10万人非敏感信息”等条款对日常业务的覆盖范围。

第三，评估自贸区注册红利。对于数据出境需求频繁的企业，考虑在已发布负面清单的自贸区（尤其是北京、上海）设立运营主体或数据处理中心。

第四，升级技术保障基础设施。重点关注三年防篡改日志留存、全程加密传输、境外接收方身份认证等硬性要求，评估现有IT系统差距并制定分阶段改造方案。

第五，关注电池管理数据合规。终稿新增的电池管理数据要求与出口管制制度形成交叉——涉及电池技术的研发、生产、OTA升级及运营数据均需纳入合规审查范围。

第六，建立与测绘主管部门的常态化沟通。对于涉及空间坐标、影像、点云的数据出境需求，尽早了解前置审批的具体流程和时间预期。

七、展望：2026上半年合规窗口期与监管趋势

2026年第一季度形成了一个罕见的合规“汇聚点”——GB 44495/44496/44497-2024三项强制性国家标准（2026年1月起对新车型适用）、修订后的《网络安全法》（2026年1月生效）、《个人信息出境认证办法》（2026年1月生效）与本《指引》在同一时间窗口集中生效。这一制度叠加效应要求所有在华汽车数据处理者在2026年上半年内完成全面合规评估。

从执法趋势看，2025年5月上海作出了首例公开披露的跨境个人信息违法处罚，CAC推行“工程化、场景化、链条化”的合规核查路径，“护网-2025”专项行动聚焦等级保护基线合规、供应链安全和数据跨境违规。同时，2024年11月签署的中德跨境数据传输谅解备忘录以及中欧汽车数据跨境流动工作组的筹建，预示着双边和多边协调机制的加速推进。

从八部委联合发文的规格、与全球数据跨境流动合作倡议的呼应来看，《指引》既展现了中国在数据安全领域的管控决心，也释放了促进汽车产业全球化的务实信号。正所谓“千钧一发，驭数有方”——在数据安全与产业发展的动态平衡中，合规不仅是义务，更是竞争力的核心要素。

声明

本文仅代表作者个人观点，不代表律所的法律意见或建议。如需就特定事项获取法律意见，请与作者或其他专业律师联系。