智能汽车数据出境之重要数据识别及出境合规要点
作者丨李瑞 李梦涵 蒲昱含
一、重要数据的基本含义及出境合规要求
根据我国《数据安全法》及其配套规定和国家标准,重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据,其一旦被泄露、篡改或损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
1. 部门规章
表1:《汽车数据安全管理若干规定(试行)》中的重要数据
2. 自贸区清单
对于汽车行业而言,北京自贸区2024年8月发布的《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)对汽车行业的重要数据范围进行了细化,明确具有以下七类数据应纳入重要数据的出境管理范畴:
(1)涉及军事管理区、国防科工单位以及县级以上党政机关等重要敏感区城的地理信息、人员流量、车辆流量等数据;在向政府机关、军工企业及其他敏感重要机构提供车联网信息服务过程中产生的不宜公开信息。(2)车辆流量、物流等反映经济运行情况的数据。(3)能够反映一定区域内汽车充电网运行情况的数据。(4)包含人脸信息、车牌信息、路牌信息等的车外视频、图像数据。(5)包含车辆远程操控、车辆工况等的关键车联网信息服务数据。(6)包含车辆控制等在线升级数据;包含电控单元等售后数据。(7)可能被利用实施对车联网关键设备、系统组件供应链的破坏,以发起高持续威胁等网络攻击相关的数据;可一定程度反映交通、运输等行业性关键信息基础设施网络安全保护情况,可被利用从而对车联网关键信息基础设施实施网络攻击的数据;涉及车联网信息服务的关键信息基础设施相关数据。
相较于此前法规中所覆盖的较单一的范围,这一自贸区负面清单中所列举的规则更详细、覆盖的汽车行业典型场景也更全面,对于智能汽车企业具有较高的参考意义。
3. 部门规范性文件
在此基础上,工业和信息化部等八部门于2025年6月13日发布了规范性文件《汽车数据出境安全指引(2025版)(征求意见稿)》,面向社会公开征求意见。这份文件中涵盖了更为详细的研发设计场景、生产制造场景、驾驶自动化场景、软件升级服务场景、联网运行场景等汽车行业典型场景下涉及的重要数据类别,大致类别包括以下:
(1)研发设计场景:包括(a)产品研发:产品研发汽车数据处理者在整合全球研发资源、产品协同设计开发过程中,收集和产生的物料清单、研发设计文档、产品技术开发源代码数据。(b)产品测试:汽车数据处理者开展汽车产品仿真、场地和实际道路测试过程中,收集和产生的标注场景数据、仿真场景数据、测试场景数据。
(2)生产制造场景:汽车数据处理者在汽车产品生产制造过程中,收集和产生的物料清单、生产控制程序源代码。
(3)驾驶自动化场景:汽车数据处理者在组合驾驶辅助或自动驾驶功能开发、部署、应用等过程中,收集和产生的算法、训练数据、特征数据。
(4)软件升级服务场景:汽车数据处理者升级汽车动力系统、底盘系统、安全驾驶功能的软件包对应的源代码。
除了上述数据类别描述,《汽车数据出境安全指引(2025版)(征求意见稿)》还提供了每一场景和类别下的重要数据的具体数据项和判定规则,属于一份较为详细的汽车行业的重要数据目录。相较于此前的法规和自贸区清单,此文件对于智能汽车企业的指导意义和参考价值更高。因此,尽管此文件目前仍在征求意见的阶段,仍值得汽车行业企业持续关注,并按此筛查自身所掌握的数据资产、部署重要数据保护的相关工作。
三、汽车行业的重要数据出境合规工作建议
中国数据保护法律法规对于重要数据的保护提出了一系列合规要求。如前所述,在重要数据出境方面,企业应当事先履行数据出境安全评估等合规流程,方可合法合规地开展数据传输工作。特别是,《数据安全法》等法律法规对于违法传输重要数据的情形也提出了较为严厉的惩处制度。基于此,企业应当更加关注重要数据相关的合规工作,包括重要数据出境的合规要求。
就此,我们为相关企业提出的合规建议包括如下方面:
3. 为落实上述义务,我们建议企业可将数据出境合规审查机制嵌入内部管理流程,确保当有关业务部门触发数据主动出境或被动出境时,能够及时拉通法务部门启动数据出境内部自评估。如自评估工作中发现出境数据可能涵盖重要数据,各部门应协同配合,一方面梳理出境数据清单,另一方面基于梳理结果及时向网信部门等监管机关开展咨询。在明确存在重要数据出境的场景下,企业应当在向网信部门完成数据出境安全评估申报的基础上再开展相关重要数据的出境活动。
4. 最后,同样需要提醒汽车企业关注的是,根据《网络安全法》《数据安全法》以及《网络数据安全管理条例》的规定,如企业收集和处理重要数据的,还应当履行重要数据处理者的一系列合规义务,包括主动向行业主管部门报送重要数据、设置网络数据安全相关负责人与管理机构、每年进行风险评估并向监管部门报送评估报告等。
综合上述,我们建议汽车企业在出海业务进程中,将数据合规工作纳入企业的战略规划之中,通过构建全方位、多层次的重要数据合规体系,筑牢安全屏障,有效防范法律风险,为国际化发展奠定坚实基础,实现全球业务的稳健发展。
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购,反垄断和竞争法,网络安全和数据保护
行业领域:教育培训,电信和互联网,信息和智能技术
李梦涵 律师
北京办公室 合规与政府监管部
蒲昱含
北京办公室 公司业务部
特别声明