《汽车数据出境安全指引（2025版）》是由工业和信息化部牵头，联合中央网信办、国家发改委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等共八部门于2025年6月13日联合起草并公开征求意见的规范性文件。其内容体现出我国在智能网联汽车快速发展背景下，对数据跨境流动实施系统化、场景化、分类分级管理的明确思路。

　　一

　　适用范围与主体

　　适用对象：所有“汽车数据处理者”，包括：

　　汽车制造商；

　　零部件与软件供应商；

　　自动驾驶服务商；

　　车联网平台运营商；

　　经销商、维修机构、出行服务平台等。

　　数据范围：

　　涵盖汽车设计、生产、销售、使用、运维全生命周期中产生的个人信息和重要数据。

　　二

　　什么是“数据出境”？三种情形均被纳入监管

　　将境内收集和产生的汽车数据传输至境外；

　　数据虽存储在境内，但境外机构/个人可查询、调取、下载或导出；

　　在境外对境内自然人的个人信息等进行处理活动（如模型训练、分析等）。

　　这意味着“物理不出境但逻辑出境”也被视为数据出境，堵住了以往“境内存储、境外访问”的合规漏洞。

　　三

　　必须申报“数据出境安全评估”的五类情形

　　符合以下任一条件，须向主管部门申报安全评估：

　　向境外提供重要数据；

　　当年累计向境外提供100万人以上的非敏感个人信息；

　　当年累计向境外提供1万人以上的敏感个人信息；

　　关键信息基础设施运营者（CIIO）向境外提供任何个人信息；

　　国家另有规定的其他情形。

　　四

　　“重要数据”的典型场景与类型（需重点识别）

　　特别

　　强调

　　5000万公里以上道路影像、含军事敏感区域的数据、32像素以上的人脸图像等，均被划入重要或敏感范畴。

　　五

　　合规路径：三类出境方式

　　根据数据类型与规模，企业可选择以下路径：

　　六

　　9类“免签”豁免情形（可直接出境）

　　境外产生、境内处理后返传，且未引入境内个人信息或重要数据；

　　为履行跨境购车、支付、寄递等合同所必需；

　　跨境人力资源管理（如外派员工）；

　　紧急救援（如事故医疗数据传输）；

　　非CIIO且年出境<10万人非敏感个人信息；

　　自贸区企业向境外提供负面清单外的数据；

　　已按规上报的安全漏洞数据；

　　已报备的安全事件响应数据；

　　已向市监总局备案的召回相关OTA源代码。

　　注：自贸区“负面清单”尚未完全公布，企业需动态跟踪。

　　七

　　技术与管理要求

　　加密与传输：

　　必须使用国家认证的加密算法和安全协议；

　　日志留存：

　　所有出境记录需保存至少3年；

　　流量备份：

　　原始数据流量每周全量备份，抽查时需能提供最近一个月完整记录；

　　数据分类分级：

　　企业应建立“数据三围档案”（分类、分级、分场景）；

　　风险预警：

　　建议部署跨境数据流动监测与预警系统。

　　八

　　行业影响与趋势

　　合规成为核心竞争力：

　　如比亚迪等早布局数据治理体系的企业将获得“国际通行证”；

　　倒逼中小车企升级：

　　手工台账、模糊分类将难以应对监管抽查；

　　推动本地化研发协作：

　　海外研发中心需重构数据调取流程；

　　政策落地挑战：

　　各地对“重要数据”认定标准尚不统一，亟需后续细则。

　　总结

　　指引的核心逻辑

　　“分类管理、场景识别、底线守住、通道畅通”

　　《汽车数据出境安全指引（2025版）》并非一味限制数据流动，而是在国家安全底线与产业全球化需求之间寻求平衡。它通过“签证分类制度”（公务舱/经济舱/免签）实现精准治理，既防范风险，又支持创新——例如国家重大科技项目中的敏感数据可“特事特办”。

　　对企业而言，现在最紧迫的任务是：

　　对照指引中的26类数据项开展全面盘点；

　　建立数据分类分级台账；

　　审查现有跨境数据流（包括境外访问权限）；

　　规划合规路径（评估/合同/认证/豁免）；

　　升级技术防护与日志审计能力。

　　任子行分类分级服务通过数安智鉴 —— 数据安全分类分级系统精准识别敏感数据、确定保护优先级、驱动差异化安全策略执行、支持安全审计与合规证明，为组织满足《汽车数据出境安全指引》的要求提供了坚实的技术和管理基础。