转自：中国政府采购报

为进一步规范汽车数据出境活动，保障数据安全，工业和信息化部等八部门起草的《汽车数据出境安全指引（2025版）（征求意见稿）》（下文简称《指引》）发布，并面向社会公开征求意见，反馈截止日期为7月13日。

《指引》明确汽车数据出境的三大路径规则，提出9类可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免场景；此外，还细化了驾驶自动化、联网运行等六大业务场景下，需申报数据出境安全评估的重要数据类型与判定标准等。

《指引》明确适用范围，涵盖汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据，汽车制造商、零部件供应商、自动驾驶服务商等均属于汽车数据处理者范畴。同时，界定了数据出境行为，包括数据传输至境外、境外机构查询调取境内存储数据以及境外处理境内个人信息等情形。

在数据出境路径方面，《指引》分为三类情况。一是向境外提供重要数据、累计向境外提供100万人以上个人信息等5类情形，需申报数据出境安全评估；二是累计向境外提供10万至不满100万人个人信息等2类情形，可选择订立个人信息出境标准合同或通过个人信息保护认证；三是9类免予申报场景，包括在境外收集数据回传，跨境购车支付，已按照相关要求报告的安全漏洞数据，已报告的汽车产品、车联网平台及相关系统的安全事件数据，以及因消除汽车产品缺陷、实施召回需要，已向国家市场监督管理总局备案的OTA升级软件包对应的源代码等。

《指引》规定，汽车数据处理者向境外提供下述六大业务场景所列重要数据的，应当申报数据出境安全评估，并对具体数据类型与判定标准等作出细化。六大场景分别为研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形，其下又分为众多具体场景。例如，研发设计场景中的物料清单、研发文档、源代码，生产制造场景的工艺物料清单、控制程序源代码，驾驶自动化场景的算法、训练数据、特征数据，以及软件升级、联网运行等场景的特定数据等。

《指引》还提出汽车数据出境安全保护要求，涵盖管理与技术层面。管理上，企业需明确内部管理部门和安全负责人，建立制度与审批机制；技术上，需采取传输加密、身份鉴权等措施，对数据出境行为进行安全监测，留存网络流量、操作行为等日志不少于3年，并建立应急处置机制。