为贯彻落实党中央、国务院决策部署,推动建立高效便利安全的汽车数据跨境流动机制,提升汽车数据出境便利化水平,推动构建汽车产业高质量发展和高水平安全良性互动格局,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等八部门近日联合印发《汽车数据出境安全指引(2026版)》(以下简称《安全指引》)。
《安全指引》规定了汽车数据出境活动管理方式和适用条件,提出九类豁免情形,面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等业务场景细化重要数据判定规则,明确开展数据出境安全评估、订立个人信息出境标准合同或者通过个人信息出境认证的工作要求,并从管理制度、技术防护、日志管理、应急处置等方面提出保护要求,指导企业规范开展数据出境活动,提升汽车数据安全保护水平。
关于印发《汽车数据出境安全指引(2026版)》的通知
工信部联网安〔2026〕27号
各省、自治区、直辖市通信管理局,各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门、网信办、发展改革委、数据管理部门、公安厅(局)、自然资源主管部门、交通运输厅(局、委)、市场监管局(厅、委),有关企业:
为贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,推进数据高效便利安全跨境流动,在国家数据安全工作协调机制统筹指导下,工业和信息化部、国家互联网信息办公室、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局制定了《汽车数据出境安全指引(2026版)》。现印发给你们,请认真遵照执行。
工业和信息化部
国家互联网信息办公室
国家发展和改革委员会
国家数据局
公安部
自然资源部
交通运输部
国家市场监督管理总局
2026年1月30日
汽车数据出境安全指引(2026版)
为贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,引导规范汽车数据处理者高效便利安全开展数据出境活动,提升汽车数据出境便利化水平,制定本指引。
一、总则
(一)适用范围
汽车数据处理者按照本指引开展数据出境活动。本指引所称汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。汽车数据处理者是指开展汽车数据处理活动中自主决定处理目的和处理方式的组织、个人,包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。
(二)数据出境行为
汽车数据处理者向中华人民共和国境外¹提供汽车数据,符合以下情形之一的属于数据出境行为:
1.汽车数据处理者将在中华人民共和国境内²运营中收集和产生的汽车数据传输至境外;
2.汽车数据处理者收集和产生的汽车数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
(三)数据出境活动管理方式
1.汽车数据处理者向境外提供汽车数据,符合以下情形之一的,应当申报数据出境安全评估:
(1)向境外提供重要数据³;
(2)自当年1月1日起累计向境外提供100万人以上⁴个人信息(不含敏感个人信息);
(3)自当年1月1日起累计向境外提供1万人以上敏感个人信息;
(4)关键信息基础设施运营者向境外提供个人信息;
(5)国家有关规定明确的其他需要申报数据出境安全评估的情形。
2.汽车数据处理者(关键信息基础设施运营者除外)向境外提供个人信息,符合以下情形之一的,可在订立个人信息出境标准合同、通过个人信息出境认证两种方式中任选其一:
(1)自当年1月1日起,累计向境外提供10万人以上、不满⁵100万人个人信息(不含敏感个人信息)的;
(2)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。
3.有下列情形之一的,汽车数据处理者免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证:
(1)在境外收集和产生的汽车数据传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
(2)为订立、履行个人作为一方当事人的合同,如跨境购车、跨境寄递、跨境支付、跨境注册账户等,确需向境外提供个人信息的;
(3)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(4)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(5)关键信息基础设施运营者以外的汽车数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的;
(6)自由贸易试验区内登记注册的汽车数据处理者符合自由贸易试验区有关要求,向境外提供负面清单外的数据的;
(7)因修补安全漏洞需要,汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求,已向工业和信息化部报告的安全漏洞数据;
(8)因处置安全事件需要,汽车数据处理者按照行业网络安全、数据安全事件相关应急预案⁶,已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据;
(9)因消除汽车产品缺陷、实施召回需要,汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。
前款所称向境外提供的个人信息,不包括重要数据。
二、重要数据判定
(一)研发设计场景
1.产品研发
汽车数据处理者在整合全球研发资源、产品协同设计开发过程中,收集和产生的物料清单、研发设计文档、开发源代码数据。
2.产品测试
汽车数据处理者开展产品仿真、场地和实际道路测试过程中,收集和产生的标注场景、仿真场景、测试场景数据。
(二)生产制造场景
汽车数据处理者在汽车产品生产制造过程中,收集和产生的物料清单、生产控制程序源代码。
(三)驾驶自动化场景
汽车数据处理者在组合驾驶辅助或自动驾驶功能开发、部署、应用等过程中,收集和产生的算法、训练数据、特征数据。
(四)软件升级服务场景
汽车数据处理者升级汽车安全驾驶、电池管理功能的软件包对应的源代码。
(五)联网运行场景
1.车辆数据
汽车数据处理者在车辆联网运行过程中,收集和产生的车辆识别码、车联网卡标识码、车辆密钥、车辆数字证书、控制指令。
2.车路感知
汽车数据处理者在车辆及路侧设备联网运行过程中,收集和产生的车外实景影像、雷达、位置轨迹、惯性导航、自动驾驶地图、构图类数据⁹。
3.车路分析
汽车数据处理者在开展车路协同分析、构建车路协同系统过程中,收集和产生的融合计算数据。
4.车联网平台运营
汽车数据处理者在开展车联网平台建设、运行、维护过程中收集和产生的网络规划、充电运行、安全保障数据。
(六)其他情形
符合以下情形之一的汽车数据:
1.其他出境业务场景中符合上述判定规则的;
2.汽车数据处理者按照国家有关规定和行业标准规范识别、申报重要数据,工业和信息化部、国家互联网信息办公室等相关部门公开或告知属于重要数据的。
三、数据出境流程
数据出境流程如下:
(一)数据识别
汽车数据处理者在重要数据目录备案基础上,按照本指引识别需申报出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证的汽车数据。
(二)实施数据出境安全评估
汽车数据处理者应当通过境内法人主体申报数据出境安全评估。境内无法人主体的,应由境内分支机构申报。境内多家子公司如同属一家集团公司(母公司)且数据出境业务场景相似,可由集团公司(母公司)作为申报主体合并申报。不得采取数量拆分等方式,将应当通过安全评估的数据通过订立标准合同等方式向境外提供。
汽车数据处理者按照《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南(第三版)》,开展数据出境风险自评估并整改风险问题,向网信部门提交申报材料。通过数据出境安全评估的,汽车数据处理者开展数据出境活动;出现影响出境数据安全情形的,应当重新申报评估。
(三)订立个人信息出境标准合同
汽车数据处理者按照《个人信息出境标准合同办法》《个人信息出境标准合同备案指南(第二版)》,开展个人信息保护影响评估并整改风险问题,与境外接收方签订个人信息出境标准合同,合同生效后方可开展个人信息出境活动。
汽车数据处理者向网信部门提交备案材料,符合相关要求的将获得备案编号;出现可能影响个人信息权益情形的,应当重新开展个人信息保护影响评估、订立标准合同并备案。
(四)通过个人信息出境认证
汽车数据处理者按照《个人信息出境认证办法》,开展个人信息保护影响评估并整改风险问题,向具备资质的专业认证机构申请认证,配合完成认证工作。通过认证后,汽车数据处理者方可开展个人信息出境活动。
个人信息出境情况不再符合认证要求的,汽车数据处理者应当重新开展个人信息保护影响评估并申请认证。
四、汽车数据出境安全保护要求
(一)管理要求
1.部门要求
汽车数据处理者应当明确汽车数据出境管理部门,统筹协调推进数据出境安全管理,监督检查数据出境相关管理要求的落实情况。
2.人员要求
汽车数据处理者应当明确汽车数据出境安全负责人,对数据出境活动以及采取的保护措施进行监督,对数据出境活动的安全负责。
3.制度要求
汽车数据处理者应当明确网络安全、数据安全、个人信息保护等方面的制度要求,针对性明确汽车数据出境安全管理要求。
4.审批要求
汽车数据处理者应当建立汽车数据出境内部登记审批机制,设定审批权限和审批流程,对审批材料进行整理存档。
(二)防护技术要求
1.数据出境传输安全
汽车数据处理者应当采取以下保护措施:
(1)采用校验技术、密码技术、安全传输通道或者安全传输协议等措施,保证数据出境传输过程中汽车数据的保密性和完整性。
(2)汽车数据出境相关系统应当具备对境外数据接收方进行身份鉴权的能力,确保境外数据接收方身份真实性。
2.数据出境安全监测
汽车数据处理者应当对汽车数据出境传输网络通信、主机或系统操作行为进行安全监测,形成安全告警日志并留存。
3.检查支持
汽车数据直接出境传输的平台或系统应当具备数据出境安全检查技术支持能力,对数据出境网络通信流量进行留存,支持数据防篡改和内容解析。
(1)全量留存。按照起止时间对数据出境网络通信流量进行全量留存,留存时间1周。
(2)抽样留存。支持按照起止时间、IP地址范围对数据出境网络通信流量进行抽样留存,留存时间不少于1个月。
(三)日志要求
1.日志记录
(1)网络流量日志
汽车数据处理者应当对汽车数据出境的网络通信行为进行记录,至少包括日期、时间、源IP地址、目的IP地址、源端口、目的端口、传输层协议、应用层协议、数据量大小等,形成网络流量日志并留存。
(2)操作行为日志
汽车数据处理者应当对直接向境外传输汽车数据的主机的操作行为进行记录,包括用户信息、操作时间、操作对象、操作类型、登录IP、设备信息、操作结果、数据访问权限变更等,形成操作行为日志并留存。
2.日志留存
汽车数据处理者应对网络流量日志、操作行为日志、安全告警日志进行防篡改留存,留存时间不少于3年。
3.日志审计
汽车数据处理者应当对网络流量日志、操作行为日志、安全告警日志进行审计,当发现存在非法操作等安全风险隐患时,及时响应处置。
(四)应急处置要求
汽车数据处理者应当建立汽车数据违规出境的处置能力,发现异常行为时应及时处置,并按有关要求向本地区行业监管部门报告。
注1:以下简称境外。
注2:以下简称境内。
注3:包含空间坐标、影像、点云及其属性信息等测绘地理信息数据的,应当在申报数据出境安全评估前依法履行对外提供审批或地图审核程序。
注4:按自然人(去重)统计数量,所指“以上”均包含本数。
注5:所指“不满”均不包含本数。
注6:网络安全事件依据《公共互联网网络安全突发事件应急预案》,数据安全事件依据《工业和信息化领域数据安全事件应急预案(试行)》。
注7:按照《测绘地理信息管理工作国家秘密范围的规定》《公开地图内容表示规范》等识别涉密、敏感地理信息数据。
注8:近场通信是指使用电感耦合设备以13.56MHz中心频率连接计算机外围设备的近场通讯接口和协议1(NFCIP-1)的通讯模式(ISO/IEC 18092:2023)。
注9:位置轨迹数据、自动驾驶地图数据、构图类数据等含有空间位置坐标的地理信息数据均应为采用国家认定的地理信息保密处理技术完成处理后的数据。
八问+一图,读懂《汽车数据出境安全指引(2026版)》
近日,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等八部门联合印发《汽车数据出境安全指引(2026版)》(以下简称《安全指引》)。工业和信息化部有关负责人就《安全指引》相关问题回答了记者提问。
一、制定《安全指引》的主要考虑是什么?
主要有三方面考虑:
一是贯彻党中央、国务院关于“建立高效便利安全的数据跨境流动机制”“推进数据高效便利安全跨境流动”的决策部署,落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》《汽车数据安全管理若干规定(试行)》关于数据出境管理有关要求。
二是着力提升汽车数据出境便利化水平,明确汽车数据出境活动管理方式、重要数据判定规则和安全保护要求,促进数据有序便利跨境流动,推动构建汽车产业高质量发展和高水平安全良性互动格局。
三是贯彻《全球数据跨境流动合作倡议》理念,以全球高度关注的汽车产业作为实践领域,通过《安全指引》提出汽车数据出境安全管理的中国方案。
二、《安全指引》的主要内容是什么?
《安全指引》主要包括四部分内容:
一是总则,明确适用范围,规定应当申报数据出境安全评估、订立个人信息出境标准合同或者通过个人信息出境认证三种管理方式的适用条件,提出免于上述三种管理方式的九类情形。
二是重要数据判定,面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等汽车行业典型业务场景,细化汽车重要数据判定规则。
三是数据出境流程,围绕重要数据识别备案、判定数据出境活动管理方式、实施数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证等方面,明确规范开展数据出境活动的工作要求。
四是汽车数据出境安全保护要求,从管理制度、技术防护、日志管理、应急处置等四方面,指导汽车数据处理者建立事前保护、事中监测、事后处置的数据出境安全保护能力。
三、如何执行涉及安全漏洞、安全事件、OTA升级的重要数据免于申报数据出境安全评估?
《安全指引》在国家数据出境安全管理框架下,将涉及安全漏洞、安全事件、OTA升级软件包源代码的相关重要数据纳入免于申报数据出境安全评估情形,主要考虑是为企业提供方便快捷的数据出境渠道,确保相关漏洞、事件、隐患能够被及时修补或处置,保障车辆运行安全,维护相关境内外汽车消费者生命财产安全。企业在执行时应当把握两点:
一是要确认出境目的是因为修补安全漏洞需要、处置安全事件需要或者消除汽车产品缺陷、实施召回需要。
二是要按照相关要求,事先向工业和信息化部、国家市场监督管理总局等部门报告或备案。
如不符合上述要求,相关重要数据出境仍需申报出境安全评估。
四、《安全指引》是否要求提交原始数据?
《安全指引》与国家网信办《数据出境安全评估申报指南(第三版)》衔接一致,要求企业在申报时提供拟向境外传输的重要数据和个人信息具体特征,包括数据类型、涉及行业、数量规模等信息,不要求提供数据本身。
五、汽车重要数据如何识别判定?
《安全指引》第二部分面向研发设计、生产制造、驾驶自动化、软件升级服务、联网运行等场景提出重要数据判定规则。汽车数据处理者在判断数据级别时,应先按照数据类别、数据项和数据项说明确定数据分类,再根据判定规则确定数据级别,识别是否属于重要数据。
六、汽车重要数据的判定规则是否还会调整?
汽车行业新技术新业务发展迅速,重要数据判定规则需要结合行业发展形势及时调整,工业和信息化部将会同相关部门,持续加强跟踪研究,视情调整更新。
七、汽车数据处理者如何开展数据出境安全保护?
《中华人民共和国数据安全法》要求数据处理者建立健全全流程数据安全管理制度,采取相应的技术措施保障数据安全。《安全指引》第四部分从管理制度、技术防护、日志管理、应急处置等四方面,指导汽车数据处理者建立数据出境安全保护能力。
八、下一步如何推进《安全指引》落地见效?
《安全指引》发布后,工业和信息化部将与有关部门密切配合,从四个方面抓好落实:
一是加强宣贯培训。指导编制《安全指引》你问我答,组织开展宣贯解读,指导汽车数据处理者准确理解掌握相关要求。
二是持续开展重要数据识别。组织相关企业准确识别重要数据并备案,及时将备案结果告知企业,明确安全保护目标。
三是提升安全保护水平。指导企业立足业务场景和保护需求,加强管理制度、操作规范和技术能力建设,强化全生命周期保护能力。
四是深化国际合作。在《安全指引》基础上,与有关国家和地区进一步深化合作,推动建立平等互惠共赢、高效便利安全的汽车数据跨境流动国际规则。
来源:工业和信息化部网络安全管理局
声明:本文来自工信微报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
