2月3日，《汽车数据出境安全指引（2026版）》（以下简称“指引”）正式发布。该指引由工业和信息化部、国家互联网信息办公室、国家发展和改革委员会、国家数据局、公安部、自然资源部、交通运输部、国家市场监督管理总局八部门联合印发，是为贯彻党中央、国务院关于“建立高效便利安全的数据跨境流动机制”“推进数据高效便利安全跨境流动”的决策部署，落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》《汽车数据安全管理若干规定（试行）》关于数据出境管理的有关要求，并在此基础上聚焦汽车行业特性，细化汽车重要数据判定规则，新增汽车数据出境豁免场景，规范汽车数据出境活动管理方式，强化汽车数据出境安全保护要求。

　　从法律文件效力上看，《指引》属于部门规范性文件，自公布之日起生效。其发布为促进和规范汽车数据跨境流动的安全合规提供了更为完善的实施指引，亦标志着国家对汽车数据的进一步精细化监管。

　　《指引》明确“汽车数据处理者”的定义为“开展汽车数据处理活动的组织”，包括“汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等”。相较于《汽车数据安全管理若干规定（试行）》（以下简称“若干规定”），增加了电信运营企业、自动驾驶服务商、平台运营企业，与驾驶自动化场景、联网运行场景、车联网平台运营场景所涉及的重要数据类别相对应。

　　企业需根据上述定义判断是否属于汽车数据处理者，按照《指引》要求规范涉及的汽车数据跨境行为。

　　按照《指引》要求，汽车数据处理者应先开展重要数据目录备案，在此基础上进行数据识别，并进行汽车数据出境活动管理方式的选择。相较于《若干规定》，《指引》细化了汽车重要数据判定规则，将重要数据划分为六大场景，包括研发设计、生产制造、驾驶自动化、软件升级服务、联网运行以及其他情形，各场景对应数据项可参考下表。

　　2.汽车数据处理者按照国家有关规定和行业标准规范识别、申报重要数据，工业和信息化部、国家互联网信息办公室等相关部门公开或告知属于重要数据的。

　　需要注意的是，在重要数据判定中，关于“10万”这一阈值，《若干规定》将“超过10万人的个人信息”定义为重要数据，而《指引》则将“10万台车”收集的数据定义为重要数据，且包括产品研发、测试、上线（智驾、联网运行）各个环节所涉及的车辆数。统计维度从“个人信息主体人数”到“车辆台数”的转变，并涵盖产品全生命周期管理所涉及的车辆，更贴合汽车行业特性，使得重要数据判定规则更加合理明确、实操性更强。

　　风险评估报告。《指引》发布后，由于重要数据的认定规则发生了变化，企业需依据《指引》所明确的重要数据判断规则重新开展重要数据识别，若识别结果有变化，需更新已备案的重要数据目录，按照新的重要数据条目开展重要数据安全风险评估。已知在2025年的汽车年报报送工作中，已有监管部门要求相关企业按照《汽车数据出境安全指引（2025版）（征求意见稿）》进行重要数据识别，并更新目录备案。

　　同时，企业在编制汽车数据安全管理年报及风险评估报告时，需关注涉及重要数据部分的情况变化。数据安全管理报告中涉及重要数据的内容包括重要数据处理情况、安全事件及用户投诉处置情况及向境外提供重要数据和个人信息情况；汽车数据处理情况表中涉及重要数据的内容包括

　　。具体影响填写的部分参考如下。数据安全管理报告的相关部分：汽车数据处理情况表的相关部分：三、调整汽车数据出境豁免情形《指引》对《促进和规范数据跨境流动规定》（以下简称“跨境新规”）中已明确的六类豁免出境合规程序情形，进行了相应的扩充和调整：1、明确“跨境购车”情形亦属于“为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息”予以豁免；2、

　　已向工信部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；3)

　　已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。此外，同《跨境新规》的规定，《指引》亦明确“自由贸易试验区内登记注册的汽车数据处理者符合自由贸易试验区有关要求，向境外提供负面清单外的数据的”为豁免情形。

　　《指引》发布后各自贸区负面清单是否进行调整尚未可知，但基于该描述，可知自贸区负面清单适用优先于《指引》。自贸区内的汽车数据处理者进行识别重要数据或数据出境合规路径选择时，可一并评估《指引》及本自贸区负面清单的规定。

　　四、梳理汽车数据出境管理方式若出境数据不属于前述豁免情形，汽车数据处理者需结合自身企业属性，出境数据性质、数量及频率等，判断适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证中的哪种合规路径。企业可参考以下步骤实施数据出境合规程序：

　　1.判断企业属性是否属于《指引》所定义的汽车数据处理者，自身是否为关键信息基础设施运营者（CIIO，若无收到主管部门认定为CIIO的通知，则不是）。

　　2. 开展数据识别工作汽车数据处理者需开展重要数据目录备案，在此基础上，识别并统计出境数据的个人信息类型（是否包括敏感个人信息）及数量。不同的数据性质、数量以及主体性质将对应不同的汽车数据出境管理方式，判断步骤可参考下图：

　　辨明出境合规路径后，企业按照《数据出境安全评估申报指南（第三版）》《个人信息出境标准合同备案指南（第二版）》《个人信息出境认证办法》要求实施合规程序。需注意，《指引》明确汽车数据处理者应当通过境内法人主体申报数据出境安全评估。境内无法人主体的，由境内分支机构申报。境内多家子公司如同属一家集团公司（母公司）且数据出境业务场景相似，可由集团公司（母公司）作为申报主体合并申报。同时，

　　强调“不得采取数量拆分等方式，将应当通过安全评估的数据通过订立标准合同等方式向境外提供”。

　　《指引》同时强调了数据安全技术合规的重要性，对数据安全保护提出了管理要求、防护技术要求、日志要求、应急处置要求。其中防护技术要求包括传输安全、安全监测、检查支持

　　日志记录、日志留存、日志审计。相较于《网络安全法》要求的“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

　　向境外传输汽车数据的主机的操作行为产生的操作行为日志的类型、字段、留存时间进行了细化，要求汽车数据处理者应对

　　网络流量日志、操作行为日志、安全日志进行防篡改留存，留存时间不少于3年。表2 数据出境原始流量管理要求

　　赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。