> **来源:[研报客](https://pc.yanbaoke.cn)** ```markdown # 《汽车数据出境安全指引(2026版)》总结 ## 一、核心内容概述 《汽车数据出境安全指引(2026版)》是由中国信息通信研究院等多家机构联合编制的政策文件,旨在指导汽车数据处理者在数据出境过程中履行安全责任,确保数据出境活动合法、合规、安全地进行。文件通过“你问我答”的形式,对汽车数据出境相关的定义、重要数据判定、申报流程及安全保护要求进行了系统性说明。 ## 二、主要观点与关键信息 ### 1. 汽车数据处理者定义与责任 - **处理者范围**:包括汽车制造商、零部件供应商、软件供应商、平台运营企业、经销商、维修机构等,只要其自主决定数据处理目的和方式。 - **责任义务**:无论是否为关键信息基础设施运营者,均需履行数据出境安全评估、标准合同或认证等义务。 ### 2. 个人信息与重要数据的判定标准 - **个人信息范围**:包括车主、乘客及车外摄像头采集的视频、图像中涉及的个人信息。 - **申报量级**: - 非关键信息基础设施运营者:累计100万条个人信息需申报安全评估。 - 关键信息基础设施运营者:无论数量,均需申报安全评估。 - 敏感个人信息:累计1万条以上需申报。 - **重要数据判定**: - 涉及高危及以上安全漏洞的未公开数据、与敏感地理信息关联的数据、10万台以上车辆收集的数据、2000小时以上原始影像、1000万张以上原始图片等均属于重要数据。 - 即使数据已脱敏,仍需进行重要数据判定。 ### 3. 数据出境流程与申报方式 - **重要数据目录备案**: - 定期梳理数据,形成目录并备案至通信管理局。 - 备案内容发生重大变化需在3个月内更新。 - **数据出境安全评估申报**: - 申报主体应为境内法人,特殊情况可由分支机构或母公司合并申报。 - 申报材料包括企业基本情况、数据出境情况、境外接收方信息、合同与评估报告等。 - 评估结果有异议可在15个工作日内申请复评。 - 出现特定情形需重新申报评估。 - **个人信息出境标准合同**: - 需按照《个人信息出境标准合同办法》订立合同并备案。 - 备案材料需在10个工作日内补充完善,否则备案终止。 - 合同变更或有效期届满需重新评估与备案。 - **个人信息出境认证**: - 通过专业认证机构进行认证,取得有效期为3年的认证证书。 - 证书到期前6个月需重新申请。 ### 4. 数据出境安全保护措施 - **管理要求**:建立数据安全制度体系,明确责任人与审批流程,确保数据出境活动留痕可追溯。 - **防护技术要求**:采用密码技术、安全传输协议、流量监测等手段,防止数据在传输过程中被篡改或非法访问。 - **日志要求**:对通信、操作、安全告警日志进行记录、留存和审计,留存时间不少于3年。 - **应急处置要求**:建立数据违规出境处置机制,及时中断异常操作并报告相关主管部门。 ### 5. 其他重要说明 - **安全事件与漏洞披露**:已向工信部报告的重大安全事件数据可免于申报,但“最佳实践披露”仍需申报。 - **eSIM配置文件与IMSI**:预置于境外车辆的IMSI,若未引入境内个人信息或重要数据,不纳入重要数据判定。 - **结构化数据与点云数据**:即使点云数据已识别为重要数据,结构化数据仍需单独进行重要数据判定。 - **非远程控制指令**:如近场蓝牙控制产生的指令,不属于重要数据范围。 - **一般数据出境**:不适用于《安全指引》,应依据其他法律法规进行全生命周期保护。 ## 三、总结 《安全指引》为汽车数据出境提供了全面的指导,涵盖数据处理者定义、重要数据判定、申报流程、安全保护措施等多个方面。其核心在于强调数据出境的合法性、安全性和合规性,确保企业在数据出境过程中不损害国家安全、公共利益和个人信息权益。同时,文件也体现了灵活性,为新兴技术与业务场景预留了“其他情形”的适用空间,便于实际操作与政策适应。企业应根据自身情况,依法依规履行数据出境安全义务,确保数据流通的安全可控。 ```