為貫徹落實黨中央、國務院決策部署，推動建立高效便利安全的汽車數據跨境流動機制，提升汽車數據出境便利化水平，推動構建汽車產業高質量發展和高水平安全良性互動格局，工業和信息化部、國家網信辦、國家發展改革委、國家數據局、公安部、自然資源部、交通運輸部、市場監管總局等八部門近日聯合印發《汽車數據出境安全指引（2026版）》（以下簡稱《安全指引》）。

　　《安全指引》規定了汽車數據出境活動管理方式和適用條件，提出九類豁免情形，面向研發設計、生產制造、駕駛自動化、軟件升級、聯網運行等業務場景細化重要數據判定規則，明確開展數據出境安全評估、訂立個人信息出境標準合同或者通過個人信息出境認證的工作要求，并從管理制度、技術防護、日志管理、應急處置等方面提出保護要求，指導企業規范開展數據出境活動，提升汽車數據安全保護水平。

關于印發《汽車數據出境安全指引（2026版）》的通知

工信部聯網安〔2026〕27號

各省、自治區、直轄市通信管理局，各省、自治區、直轄市及計劃單列市、新疆生產建設兵團工業和信息化主管部門、網信辦、發展改革委、數據管理部門、公安廳（局）、自然資源主管部門、交通運輸廳（局、委）、市場監管局（廳、委），有關企業：
　　為貫徹落實《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規，推進數據高效便利安全跨境流動，在國家數據安全工作協調機制統籌指導下，工業和信息化部、國家互聯網信息辦公室、國家發展改革委、國家數據局、公安部、自然資源部、交通運輸部、市場監管總局制定了《汽車數據出境安全指引（2026版）》。現印發給你們，請認真遵照執行。

工業和信息化部 

國家互聯網信息辦公室 

國家發展和改革委員會 

國家數據局 

公安部 

自然資源部 

交通運輸部 

國家市場監督管理總局 

2026年1月30日

汽車數據出境安全指引（2026版）

　　為貫徹落實《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規，引導規范汽車數據處理者高效便利安全開展數據出境活動，提升汽車數據出境便利化水平，制定本指引。
　　一、總則
　　（一）適用范圍
　　汽車數據處理者按照本指引開展數據出境活動。本指引所稱汽車數據是指汽車設計、生產、銷售、使用、運維等過程中涉及的個人信息和重要數據。汽車數據處理者是指開展汽車數據處理活動中自主決定處理目的和處理方式的組織、個人，包括汽車制造商、零部件和軟件供應商、電信運營企業、自動駕駛服務商、平臺運營企業、經銷商、維修機構以及出行服務企業等。
　　（二）數據出境行為
　　汽車數據處理者向中華人民共和國境外1提供汽車數據，符合以下情形之一的屬于數據出境行為：
　　1.汽車數據處理者將在中華人民共和國境內2運營中收集和產生的汽車數據傳輸至境外；
　　2.汽車數據處理者收集和產生的汽車數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；
　　3.符合《個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動。
　　（三）數據出境活動管理方式
　　1.汽車數據處理者向境外提供汽車數據，符合以下情形之一的，應當申報數據出境安全評估：
　　（1）向境外提供重要數據3；
　　（2）自當年1月1日起累計向境外提供100萬人以上?個人信息（不含敏感個人信息）；
　　（3）自當年1月1日起累計向境外提供1萬人以上敏感個人信息；
　　（4）關鍵信息基礎設施運營者向境外提供個人信息；
　　（5）國家有關規定明確的其他需要申報數據出境安全評估的情形。   
　　2.汽車數據處理者（關鍵信息基礎設施運營者除外）向境外提供個人信息，符合以下情形之一的，可在訂立個人信息出境標準合同、通過個人信息出境認證兩種方式中任選其一：
　　（1）自當年1月1日起，累計向境外提供10萬人以上、不滿?100萬人個人信息（不含敏感個人信息）的；
　　（2）自當年1月1日起，累計向境外提供不滿1萬人敏感個人信息的。
　　3.有下列情形之一的，汽車數據處理者免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息出境認證：
　　（1）在境外收集和產生的汽車數據傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的；
　　（2）為訂立、履行個人作為一方當事人的合同，如跨境購車、跨境寄遞、跨境支付、跨境注冊賬戶等，確需向境外提供個人信息的；
　　（3）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；
　　（4）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；
　　（5）關鍵信息基礎設施運營者以外的汽車數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的；
　　（6）自由貿易試驗區內登記注冊的汽車數據處理者符合自由貿易試驗區有關要求，向境外提供負面清單外的數據的；
　　（7）因修補安全漏洞需要，汽車數據處理者按照《網絡產品安全漏洞管理規定》有關要求，已向工業和信息化部報告的安全漏洞數據；
　　（8）因處置安全事件需要，汽車數據處理者按照行業網絡安全、數據安全事件相關應急預案?，已向工業和信息化部及相關行業監管部門報告的汽車產品、車聯網平臺及相關系統的安全事件數據；
　　（9）因消除汽車產品缺陷、實施召回需要，汽車數據處理者按照《缺陷汽車產品召回管理條例》已向國家市場監督管理總局備案的OTA升級軟件包對應的源代碼。
　　前款所稱向境外提供的個人信息，不包括重要數據。
　　二、重要數據判定
　　（一）研發設計場景
　　1.產品研發
　　汽車數據處理者在整合全球研發資源、產品協同設計開發過程中，收集和產生的物料清單、研發設計文檔、開發源代碼數據。

　　2.產品測試
　　汽車數據處理者開展產品仿真、場地和實際道路測試過程中，收集和產生的標注場景、仿真場景、測試場景數據。

　　（二）生產制造場景
　　汽車數據處理者在汽車產品生產制造過程中，收集和產生的物料清單、生產控制程序源代碼。

　　（三）駕駛自動化場景
　　汽車數據處理者在組合駕駛輔助或自動駕駛功能開發、部署、應用等過程中，收集和產生的算法、訓練數據、特征數據。

　　（四）軟件升級服務場景
　　汽車數據處理者升級汽車安全駕駛、電池管理功能的軟件包對應的源代碼。

　　（五）聯網運行場景
　　1.車輛數據
　　汽車數據處理者在車輛聯網運行過程中，收集和產生的車輛識別碼、車聯網卡標識碼、車輛密鑰、車輛數字證書、控制指令。

　　2.車路感知
　　汽車數據處理者在車輛及路側設備聯網運行過程中，收集和產生的車外實景影像、雷達、位置軌跡、慣性導航、自動駕駛地圖、構圖類數據?。

　　3.車路分析
　　汽車數據處理者在開展車路協同分析、構建車路協同系統過程中，收集和產生的融合計算數據。

　　4.車聯網平臺運營
　　汽車數據處理者在開展車聯網平臺建設、運行、維護過程中收集和產生的網絡規劃、充電運行、安全保障數據。

　　（六）其他情形
　　符合以下情形之一的汽車數據：
　　1.其他出境業務場景中符合上述判定規則的；
　　2.汽車數據處理者按照國家有關規定和行業標準規范識別、申報重要數據，工業和信息化部、國家互聯網信息辦公室等相關部門公開或告知屬于重要數據的。
　　三、數據出境流程
　　數據出境流程如下： 

　　（一）數據識別
　　汽車數據處理者在重要數據目錄備案基礎上，按照本指引識別需申報出境安全評估、訂立個人信息出境標準合同、通過個人信息出境認證的汽車數據。
　　（二）實施數據出境安全評估
　　汽車數據處理者應當通過境內法人主體申報數據出境安全評估。境內無法人主體的，應由境內分支機構申報。境內多家子公司如同屬一家集團公司（母公司）且數據出境業務場景相似，可由集團公司（母公司）作為申報主體合并申報。不得采取數量拆分等方式，將應當通過安全評估的數據通過訂立標準合同等方式向境外提供。
　　汽車數據處理者按照《數據出境安全評估辦法》《促進和規范數據跨境流動規定》《數據出境安全評估申報指南（第三版）》，開展數據出境風險自評估并整改風險問題，向網信部門提交申報材料。通過數據出境安全評估的，汽車數據處理者開展數據出境活動；出現影響出境數據安全情形的，應當重新申報評估。
　　（三）訂立個人信息出境標準合同
　　汽車數據處理者按照《個人信息出境標準合同辦法》《個人信息出境標準合同備案指南（第二版）》，開展個人信息保護影響評估并整改風險問題，與境外接收方簽訂個人信息出境標準合同，合同生效后方可開展個人信息出境活動。
　　汽車數據處理者向網信部門提交備案材料，符合相關要求的將獲得備案編號；出現可能影響個人信息權益情形的，應當重新開展個人信息保護影響評估、訂立標準合同并備案。
　　（四）通過個人信息出境認證
　　汽車數據處理者按照《個人信息出境認證辦法》，開展個人信息保護影響評估并整改風險問題，向具備資質的專業認證機構申請認證，配合完成認證工作。通過認證后，汽車數據處理者方可開展個人信息出境活動。
　　個人信息出境情況不再符合認證要求的，汽車數據處理者應當重新開展個人信息保護影響評估并申請認證。
　　四、汽車數據出境安全保護要求
　　（一）管理要求
　　1.部門要求
　　汽車數據處理者應當明確汽車數據出境管理部門，統籌協調推進數據出境安全管理，監督檢查數據出境相關管理要求的落實情況。
　　2.人員要求
　　汽車數據處理者應當明確汽車數據出境安全負責人，對數據出境活動以及采取的保護措施進行監督，對數據出境活動的安全負責。
　　3.制度要求
　　汽車數據處理者應當明確網絡安全、數據安全、個人信息保護等方面的制度要求，針對性明確汽車數據出境安全管理要求。
　　4.審批要求
　　汽車數據處理者應當建立汽車數據出境內部登記審批機制，設定審批權限和審批流程，對審批材料進行整理存檔。
　　（二）防護技術要求
　　1.數據出境傳輸安全
　　汽車數據處理者應當采取以下保護措施：
　　（1）采用校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施，保證數據出境傳輸過程中汽車數據的保密性和完整性。
　　（2）汽車數據出境相關系統應當具備對境外數據接收方進行身份鑒權的能力，確保境外數據接收方身份真實性。
　　2.數據出境安全監測
　　汽車數據處理者應當對汽車數據出境傳輸網絡通信、主機或系統操作行為進行安全監測，形成安全告警日志并留存。
　　3.檢查支持
　　汽車數據直接出境傳輸的平臺或系統應當具備數據出境安全檢查技術支持能力，對數據出境網絡通信流量進行留存，支持數據防篡改和內容解析。
　　（1）全量留存。按照起止時間對數據出境網絡通信流量進行全量留存，留存時間1周。
　　（2）抽樣留存。支持按照起止時間、IP地址范圍對數據出境網絡通信流量進行抽樣留存，留存時間不少于1個月。
　　（三）日志要求
　　1.日志記錄
　　（1）網絡流量日志
　　汽車數據處理者應當對汽車數據出境的網絡通信行為進行記錄，至少包括日期、時間、源IP地址、目的IP地址、源端口、目的端口、傳輸層協議、應用層協議、數據量大小等，形成網絡流量日志并留存。
　　（2）操作行為日志
　　汽車數據處理者應當對直接向境外傳輸汽車數據的主機的操作行為進行記錄，包括用戶信息、操作時間、操作對象、操作類型、登錄IP、設備信息、操作結果、數據訪問權限變更等，形成操作行為日志并留存。
　　2.日志留存
　　汽車數據處理者應對網絡流量日志、操作行為日志、安全告警日志進行防篡改留存，留存時間不少于3年。
　　3.日志審計
　　汽車數據處理者應當對網絡流量日志、操作行為日志、安全告警日志進行審計，當發現存在非法操作等安全風險隱患時，及時響應處置。
　　（四）應急處置要求
　　汽車數據處理者應當建立汽車數據違規出境的處置能力，發現異常行為時應及時處置，并按有關要求向本地區行業監管部門報告。

　　注1：以下簡稱境外。
　　注2：以下簡稱境內。
　　注3：包含空間坐標、影像、點云及其屬性信息等測繪地理信息數據的，應當在申報數據出境安全評估前依法履行對外提供審批或地圖審核程序。
　　注4：按自然人（去重）統計數量，所指“以上”均包含本數。
　　注5：所指“不滿”均不包含本數。
　　注6：網絡安全事件依據《公共互聯網網絡安全突發事件應急預案》，數據安全事件依據《工業和信息化領域數據安全事件應急預案（試行）》。
　　注7：按照《測繪地理信息管理工作國家秘密范圍的規定》《公開地圖內容表示規范》等識別涉密、敏感地理信息數據。
　　注8：近場通信是指使用電感耦合設備以13.56MHz中心頻率連接計算機外圍設備的近場通訊接口和協議1（NFCIP-1）的通訊模式（ISO/IEC 18092:2023）。
　　注9：位置軌跡數據、自動駕駛地圖數據、構圖類數據等含有空間位置坐標的地理信息數據均應為采用國家認定的地理信息保密處理技術完成處理后的數據。