问题:随着智能网联汽车加速普及,车辆研发、测试、生产、运营和服务中持续产生并处理海量数据,跨境研发协同、全球化售后支持、漏洞响应与软件远程升级等需求明显增加。另外,数据出境涉及国家安全、公共利益和个人权益保护,企业在“哪些数据可以出、如何合规出、出境后如何管”诸上仍存边界不清、流程不明、成本较高等现实难题,影响产业全球化效率与安全要求的统筹。 原因:一上,汽车产业正从“机械产品”向“软件定义产品”转型,数据成为关键生产要素。尤其驾驶自动化算法迭代、缺陷追溯、网络安全处置等环节,跨境协同往往时效要求高、链条长、参与方多。另一上,国内数据安全、个人信息保护等制度持续完善,监管需要用更细化、更可操作的规则对接产业实践,在确保安全可控的前提下提升数据流动效率,为企业参与国际竞争提供更稳定的合规预期。 影响:此次《安全指引》由工业和信息化部等八部门于2月3日联合发布,围绕汽车数据跨境流动形成更具操作性的“规则清单”。指引聚焦三类典型出境行为:其一,汽车数据处理者将在境内运营中收集、生成的数据传输至境外;其二,数据虽存储在境内,但境外机构、组织或个人能够查询、调取、下载、导出涉及的数据;其三,在符合个人信息保护相关法律规定的前提下,于境外处理境内自然人个人信息的其他活动。通过对场景与行为的归类,企业可据此对照业务流程开展合规梳理,减少“泛化申报”和“过度谨慎”带来的额外成本。 尤为关键的是,指引提出九类豁免情形,明确在特定条件下可免于申报数据出境安全评估。其中,与安全漏洞修补、安全事件处置以及OTA升级软件包源代码相关的重要数据,在符合规定前提下可采用更便捷的合规路径。有关部门负责人表示,此举旨在为企业提供更高效的通道,确保漏洞、事件和隐患能够及时修补处置,降低车辆运行风险,保障境内外消费者生命财产安全。指引同时明确两项执行要点:企业需证明出境目的确系漏洞修补、事件处置、消除产品缺陷或实施召回等必要需求;并按要求事先向工业和信息化部、国家市场监督管理总局等部门报告或备案。若不满足条件,相关重要数据仍应依法申报安全评估,体现便利与安全并重的导向。 对策:针对“重要数据如何判定”的难点,指引首次给出更系统的识别规则,列明涵盖开发源代码、驾驶自动化算法数据、软件升级等在内的27类51项重要数据及相应判定标准,便于企业在研发、测试、运营、售后等全链条建立可复用的分类分级方法。业内专家认为,这有助于形成“边界清晰—规范申报—持续监管”的闭环,推动企业完善出境影响评估、安全防护、权限管理与审计追踪等治理体系,也为我国参与数据治理国际讨论提供更具体的规则支撑。 在落地安排上,有关部门表示将组织宣贯解读,指导汽车数据处理者准确理解要求;持续推进重要数据识别与备案,及时反馈备案结果并明确安全保护目标;支持企业结合业务场景补齐制度、规范和技术能力短板,强化数据全生命周期保护;在此基础上深化国际合作,与有关国家和地区探索建立平等互惠、协同高效的跨境流动规则,提升国际合规环境的可预期性。 前景:汽车产业全球化与数字化加速融合,数据跨境流动治理将从“单点合规”走向“体系化运营”。下一步,企业需在组织、流程与技术上同步推进:夯实数据资产梳理与分级分类,完善出境必要性论证与最小化传输,强化加密脱敏、访问控制与应急响应机制,并持续跟踪境外合规要求变化,形成可动态调整的合规能力。随着规则深入细化、监管协同更加顺畅,兼顾安全与效率的制度环境有望更好支撑我国汽车产业全球化布局与高质量发展。
汽车数据跨境流动既是产业发展的现实需求,也是全球化背景下的必然选择。此次指引的出台,为安全与发展提供了更清晰的路径:一方面明确底线要求——另一方面提升合规操作性——减少不必要成本。随着规则体系持续完善、监管协同不断加强,我国汽车产业有望在全球竞争中获得更稳定的制度支撑,为高质量发展注入动力。