《汽车数据出境安全指引（2025版）》是由工业和信息化部牵头，联合中央网信办、国家发改委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等共八部门于2025年6月13日联合起草并公开征求意见的规范性文件。其内容体现出我国在智能网联汽车（885736）快速发展背景下，对数据跨境流动实施系统化、场景化、分类分级管理的明确思路。

一

适用范围与主体

适用对象：所有“汽车数据处理者”，包括：

汽车制造商；

零部件与软件供应商；

自动驾驶服务商；

车联网平台运营商；

经销商、维修机构、出行服务平台等。

数据范围：

涵盖汽车设计、生产、销售、使用、运维全生命周期（883436）中产生的个人信息和重要数据。

二

什么是“数据出境”？三种情形均被纳入监管

将境内收集和产生的汽车数据传输至境外；

数据虽存储在境内，但境外机构/个人可查询、调取、下载或导出；

在境外对境内自然人的个人信息等进行处理活动（如模型训练、分析等）。

这意味着“物理不出境但逻辑出境”也被视为数据出境，堵住了以往“境内存储、境外访问”的合规漏洞。

三

必须申报“数据出境安全评估”的五类情形

符合以下任一条件，须向主管部门申报安全评估：

向境外提供重要数据；

当年累计向境外提供100万人以上的非敏感个人信息；

当年累计向境外提供1万人以上的敏感个人信息；

关键信息基础设施运营者（CIIO）向境外提供任何个人信息；

国家另有规定的其他情形。

四

“重要数据”的典型场景与类型（需重点识别）

特别

强调

5000万公里以上道路影像、含军事敏感区域的数据、32像素以上的人脸图像等，均被划入重要或敏感范畴。

五

合规路径：三类出境方式

根据数据类型与规模，企业可选择以下路径：

六

9类“免签”豁免情形（可直接出境）

境外产生、境内处理后返传，且未引入境内个人信息或重要数据；

为履行跨境购车、支付、寄递等合同所必需；

跨境人力资源管理（如外派员工）；

紧急救援（如事故医疗数据传输）；

非CIIO且年出境<10万人非敏感个人信息；

自贸区企业向境外提供负面清单外的数据；

已按规上报的安全漏洞数据；

已报备的安全事件响应数据；

已向市监总局备案的召回相关OTA源代码。

注：自贸区“负面清单”尚未完全公布，企业需动态跟踪。

七

技术与管理要求

加密与传输：

必须使用国家认证的加密算法和安全协议；

日志留存：

所有出境记录需保存至少3年；

流量备份：

原始数据流量每周全量备份，抽查时需能提供最近一个月完整记录；

数据分类分级：

企业应建立“数据三围档案”（分类、分级、分场景）；

风险预警：

建议部署跨境数据流动监测与预警系统。

八

行业影响与趋势

合规成为核心竞争力：

如比亚迪等早布局数据治理体系的企业将获得“国际通行证”；

倒逼中小车企升级：

手工台账、模糊分类将难以应对监管抽查；

推动本地化研发协作：

海外研发中心需重构数据调取流程；

政策落地挑战：

各地对“重要数据”认定标准尚不统一，亟需后续细则。

总结

指引的核心逻辑

“分类管理、场景识别、底线守住、通道畅通”

《汽车数据出境安全指引（2025版）》并非一味限制数据流动，而是在国家安全底线与产业全球化需求之间寻求平衡。它通过“签证分类制度”（公务舱/经济舱/免签）实现精准治理，既防范风险，又支持创新——例如国家重大科技项目中的敏感数据可“特事特办”。

对企业而言，现在最紧迫的任务是：

对照指引中的26类数据项开展全面盘点；

建立数据分类分级台账；

审查现有跨境数据流（包括境外访问权限）；

规划合规路径（评估/合同/认证/豁免）；

升级技术防护与日志审计能力。

任子行分类分级服务通过数安智鉴 —— 数据安全（885942）分类分级系统精准识别敏感数据、确定保护优先级、驱动差异化安全策略执行、支持安全审计与合规证明，为组织满足《汽车数据出境安全指引》的要求提供了坚实的技术和管理基础。