在全球汽车智能化转型的浪潮中，智能汽车正在重塑出行生态格局。依托完善的产业链优势和持续的技术创新动能，中国智能汽车企业正以前所未有的速度开拓国际市场。随着国际化战略的深入推进和跨国商务合作的日益密切，汽车数据的跨境传输活动成为一种十分常见的数据跨境传输场景。从产品研发、道路测试到商业运营，智能汽车的全产业链条中均可能涉及数据跨境传输活动。

近年来，中国数据保护相关法律法规构建了一套全面而严密的数据跨境传输合规监管机制。特别是，相关法律法规对于个人信息与重要数据的出境明确了特殊的监管要求。行业内对于个人信息的识别与认定已形成较多共识；而在重要数据的识别和认定方面，受限于法规所提供的识别标准较为模糊、重要数据目录不完备等原因，相关行业对于重要数据的具体范畴仍难以明确界定，这一现状给企业的数据跨境传输合规工作带来一定的不确定性。

基于此，本文聚焦智能汽车行业的重要数据出境问题，系统梳理车企的重要数据识别框架与出境合规义务，并为企业提供合规工作建议，旨在为我国汽车企业出海或跨境商务合作等场景下的数据出境合规工作提供有益参考。

一、重要数据的基本含义及出境合规要求

根据我国《数据安全法》及其配套规定和国家标准，重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据，其一旦被泄露、篡改或损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

根据《数据安全法》《数据出境安全评估办法》《促进和规范数据跨境流动规定》等法律法规的要求，企业如需将重要数据传输到中国境外，应当事先通过国家网信部门组织的数据出境安全评估。基于此，智能汽车企业在开展数据出境合规工作时，应当特别关注重要数据的识别与认定，在明确重要数据的基础上有的放矢地按照法规要求履行相关合规程序。

在重要数据的识别方面，《数据安全法》第21条明确建立了重要数据目录管理制度，要求国家、地方和行业主管部门应公布重要数据目录。然而，从实践情况来看，尽管各地方和行业部门已陆续启动目录编制工作，但整体进展相对滞后，目前尚未形成系统完备、可操作性强的目录体系供企业参考执行。

2024年10月1日，推荐性国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式施行，该标准的附录G-重要数据识别指南对重要数据的识别考虑因素进行了说明，但其识别要素的表述仍然较为笼统，缺乏细化的判定标准，未能提供具体场景下的字段级示例。

基于上述背景，对于汽车行业企业，特别是智能汽车企业而言，依赖一般性的数据法律法规或国家标准，不足以对行业内具体场景下所涉及的重要数据进行有针对性的评估和判断。为精准有效地开展汽车数据出境合规工作，相关企业应当更加关注行业级别的法规与规范性文件中所提供的重要数据识别依据。

二、汽车行业的重要数据识别框架

1. 部门规章

在汽车行业领域，2021年由国家网信办等部门联合发布的《汽车数据安全管理若干规定（试行）》首次以部门规章形式对汽车重要数据范围进行了界定（见下表1）。作为我国首个专门规范汽车数据安全的强制性法律文件，其第3条采用“列举+兜底”的立法技术，对车辆流量、充电网络运行等典型场景的重要数据做出了具体规定，对于汽车行业企业的重要数据识别工作提供了一定的借鉴意义。然而，该文件作为部门规章，立法层级相对较高，不同于重要数据的专门识别目录，其列举的汽车行业重要数据范围较为有限，所覆盖的汽车数据处理场景也较为单一，实践中通常并不将其作为汽车行业重要数据全面性目录使用。

表1：《汽车数据安全管理若干规定（试行）》中的重要数据

2. 自贸区清单

近年来，我国开始逐步探索各地自贸区的数据出境合规机制。例如，天津、北京、上海、海南和浙江等自贸试验区相继出台数据出境负面清单，将部分行业中的特定数据明确认定为重要数据，规定此类数据出境需要通过数据出境安全评估，其中就包括对于汽车行业的重要数据识别和认定标准的详细列举。在国家层面和相关行业产业层面尚且缺乏统一重要数据目录的背景下，这些自贸区的实践探索实际上为业界提供了一套值得参考的重要数据识别体系。企业应以系统性视角理解各地自贸区数据出境负面清单的示范意义，即便某些数据出境行为发生在非自贸区，或发生在其他自贸区，但如果相关数据特征符合任一自贸区负面清单中重要数据的认定标准，应注意监管部门可能会参考适用其他地区的负面清单来框定重要数据的范畴。企业应当在相关数据出境活动中提早部署合规工作。

对于汽车行业而言，北京自贸区2024年8月发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）对汽车行业的重要数据范围进行了细化，明确具有以下七类数据应纳入重要数据的出境管理范畴：

（1）涉及军事管理区、国防科工单位以及县级以上党政机关等重要敏感区城的地理信息、人员流量、车辆流量等数据；在向政府机关、军工企业及其他敏感重要机构提供车联网信息服务过程中产生的不宜公开信息。（2）车辆流量、物流等反映经济运行情况的数据。（3）能够反映一定区域内汽车充电网运行情况的数据。（4）包含人脸信息、车牌信息、路牌信息等的车外视频、图像数据。（5）包含车辆远程操控、车辆工况等的关键车联网信息服务数据。（6）包含车辆控制等在线升级数据；包含电控单元等售后数据。（7）可能被利用实施对车联网关键设备、系统组件供应链的破坏，以发起高持续威胁等网络攻击相关的数据；可一定程度反映交通、运输等行业性关键信息基础设施网络安全保护情况，可被利用从而对车联网关键信息基础设施实施网络攻击的数据；涉及车联网信息服务的关键信息基础设施相关数据。

相较于此前法规中所覆盖的较单一的范围，这一自贸区负面清单中所列举的规则更详细、覆盖的汽车行业典型场景也更全面，对于智能汽车企业具有较高的参考意义。

3. 部门规范性文件

在此基础上，工业和信息化部等八部门于2025年6月13日发布了规范性文件《汽车数据出境安全指引（2025版）（征求意见稿）》，面向社会公开征求意见。这份文件中涵盖了更为详细的研发设计场景、生产制造场景、驾驶自动化场景、软件升级服务场景、联网运行场景等汽车行业典型场景下涉及的重要数据类别，大致类别包括以下：

（1）研发设计场景：包括（a）产品研发：产品研发汽车数据处理者在整合全球研发资源、产品协同设计开发过程中，收集和产生的物料清单、研发设计文档、产品技术开发源代码数据。（b）产品测试：汽车数据处理者开展汽车产品仿真、场地和实际道路测试过程中，收集和产生的标注场景数据、仿真场景数据、测试场景数据。

（2）生产制造场景：汽车数据处理者在汽车产品生产制造过程中，收集和产生的物料清单、生产控制程序源代码。

（3）驾驶自动化场景：汽车数据处理者在组合驾驶辅助或自动驾驶功能开发、部署、应用等过程中，收集和产生的算法、训练数据、特征数据。

（4）软件升级服务场景：汽车数据处理者升级汽车动力系统、底盘系统、安全驾驶功能的软件包对应的源代码。

（5）联网运行场景：包括（a）车辆数据：汽车数据处理者在车辆联网运行过程中，收集和产生的车辆识别码、车联网卡识别码、车辆密钥、车辆数字证书、控制指令。（b）车路感知：汽车数据处理者在车辆及路侧设备联网运行过程中，收集和产生的车外实景影像、雷达数据、位置轨迹数据、惯性导航数据、自动驾驶地图数据、构图类数据。（c）车路分析：汽车数据处理者在开展车路协同分析、构建车路协同系统过程中，收集和产生的融合计算数据。（d）车辆网平台运营：汽车数据处理者在开展车联网平台建设、运行、维护过程中，收集和产生的网络规划数据、充电运行数据。

除了上述数据类别描述，《汽车数据出境安全指引（2025版）（征求意见稿）》还提供了每一场景和类别下的重要数据的具体数据项和判定规则，属于一份较为详细的汽车行业的重要数据目录。相较于此前的法规和自贸区清单，此文件对于智能汽车企业的指导意义和参考价值更高。因此，尽管此文件目前仍在征求意见的阶段，仍值得汽车行业企业持续关注，并按此筛查自身所掌握的数据资产、部署重要数据保护的相关工作。

三、汽车行业的重要数据出境合规工作建议

中国数据保护法律法规对于重要数据的保护提出了一系列合规要求。如前所述，在重要数据出境方面，企业应当事先履行数据出境安全评估等合规流程，方可合法合规地开展数据传输工作。特别是，《数据安全法》等法律法规对于违法传输重要数据的情形也提出了较为严厉的惩处制度。基于此，企业应当更加关注重要数据相关的合规工作，包括重要数据出境的合规要求。

就此，我们为相关企业提出的合规建议包括如下方面：

1. 汽车企业应建立常态化的重要数据识别机制，定期对所掌握的数据情况进行筛查和分类分级。为此，企业不仅需关注国家层面（如法律法规、国家标准）对于有关重要数据识别的统一规定，以及行业层面的法规、规章和规范性文件等，也有必要关注本文前述各地自贸区负面清单中的汽车行业重要数据，全盘比照重要数据示例，综合筛查自身掌握的数据情况。就此，企业可以建立内部的重要数据识别流程，结合数据场景、数据规模、数据时效性、数据类型和数据时间精度维度等判定要素确立内部的重要数据清单。

2. 在识别和认定重要数据的基础上，就重要数据的存储与跨境传输，汽车企业应特别关注如下两方面的合规要求：（1）在数据存储方面，被认定为关键信息基础设施运营者（以下简称“CIIO”）的汽车企业应注意将我国境内运营中收集和产生的重要数据存储在境内，落实数据存储的本地化要求；进一步地，在各国数据保护法律法规趋于严格的背景下，我们也建议各类汽车企业提前有意识地部署数据本地化存储的工作（而不仅仅只是对重要数据进行本地化存储）。（2）在数据出境方面，无论企业是否被认定为CIIO，只要向境外提供重要数据，均应通过所在地省级网信部门向国家网信部门申报数据出境安全评估，在获得批准的前提下合法合规地传输重要数据。

3. 为落实上述义务，我们建议企业可将数据出境合规审查机制嵌入内部管理流程，确保当有关业务部门触发数据主动出境或被动出境时，能够及时拉通法务部门启动数据出境内部自评估。如自评估工作中发现出境数据可能涵盖重要数据，各部门应协同配合，一方面梳理出境数据清单，另一方面基于梳理结果及时向网信部门等监管机关开展咨询。在明确存在重要数据出境的场景下，企业应当在向网信部门完成数据出境安全评估申报的基础上再开展相关重要数据的出境活动。

4. 最后，同样需要提醒汽车企业关注的是，根据《网络安全法》《数据安全法》以及《网络数据安全管理条例》的规定，如企业收集和处理重要数据的，还应当履行重要数据处理者的一系列合规义务，包括主动向行业主管部门报送重要数据、设置网络数据安全相关负责人与管理机构、每年进行风险评估并向监管部门报送评估报告等。

综合上述，我们建议汽车企业在出海业务进程中，将数据合规工作纳入企业的战略规划之中，通过构建全方位、多层次的重要数据合规体系，筑牢安全屏障，有效防范法律风险，为国际化发展奠定坚实基础，实现全球业务的稳健发展。