2026年2月,工业和信息化部等八部门联合印发《汽车数据出境安全指引(2026版)》(以下简称《指引》),作为我国汽车行业首个专门的数据出境安全规范性文件,其以“安全与便利并重”为核心,将上位法要求转化为行业可落地的操作细则。
文|高李敏
● 明确商用车数据出境的适用边界与判定标准
《指引》的适用范围覆盖所有汽车数据处理者,其中商用车领域主要包括商用车整车厂、零部件供应商、车联网平台、跨境物流运营商、维修运维企业等,涵盖商用车设计、生产、销售、使用、运维全流程数据,这与商用车产业链长、数据场景集中的特点高度契合。
结合商用车行业场景,需重点关注三类数据出境行为的判定,这直接关系到企业合规边界:
一是境内收集的商用车数据(如车队运行轨迹、生产控制数据)传输至境外;
二是境内存储的商用车数据(如物流调度数据、车辆故障数据)被境外机构查询、调取、下载;
三是境外处理境内与商用车相关的个人信息(如货车司机身份信息、驾驶行为数据)。
这三类场景几乎覆盖了商用车企业跨境业务的全部数据流动形式,尤其针对跨境运营的物流车队、海外设厂的整车企业、联合研发的零部件企业,需重点排查合规风险。
● 商用车重点数据出境的分级管理要求
《指引》的核心是对数据出境实行分级分类管理,结合商用车数据以B端运营数据、研发生产数据为主的特点,重点聚焦“重要数据”和“个人信息”两类数据的出境管控,其中重要数据的管控是商用车行业的核心重点。
(一)重要数据:商用车行业的管控核心,明确划定出境红线
《指引》面向汽车行业典型业务场景,细化了重要数据判定规则,结合商用车行业特性,以下四类重要数据需重点关注,其出境必须申报数据出境安全评估,这是不可突破的合规红线:
1.研发设计与生产制造数据:包括商用车物料清单、研发设计文档、生产控制程序源代码等。商用车整车厂、核心零部件供应商(如发动机、变速箱企业)在跨境联合研发、海外代工生产过程中,此类数据出境最为频繁,需严格履行安全评估程序,避免核心技术数据泄露。
2.联网运行数据:这是商用车数据出境的高频场景,包括商用车车辆识别码、车辆密钥、控制指令,以及车路感知数据(如货车运行轨迹、车外实景影像、位置轨迹)、车联网平台运营数据(如充电运行数据、安全保障数据)。当前商用车车联网渗透率已达32.1%,重卡渗透率更是高达45.6%,此类数据直接关系到物流安全与产业安全,出境管控最为严格。
3.驾驶自动化相关数据:随着高等级自动驾驶商用车商业化试点推进,商用车自动驾驶算法、训练数据、特征数据已被纳入重要数据,此类数据出境需申报安全评估,倒逼企业建立“境内训练+境外部署”的研发模式。
4. 软件升级数据:商用车安全驾驶、电池管理功能的软件包对应的源代码,此类数据出境虽有豁免情形(如消除产品缺陷、实施召回),但需提前备案,未经备案不得擅自出境。
(二)个人信息:聚焦商用车场景特色,实行分级管控
商用车领域的个人信息主要集中在货车司机、客车驾乘人员相关数据,《指引》根据个人信息数量和敏感程度,实行分级管控,适配商用车行业场景的重点如下:
1.需申报安全评估的情形:累计向境外提供100万人以上商用车相关个人信息(如货车司机基本信息),或1万人以上敏感个人信息(如司机生物特征、医疗急救信息),需申报数据出境安全评估。
2.可自主选择合规方式的情形:累计向境外提供10-100万人个人信息,或不满1万人敏感个人信息,可选择订立个人信息出境标准合同或通过个人信息出境认证。
3.豁免情形:累计向境外提供不满10万人个人信息(不含敏感个人信息),可免予各类申报和认证,这一豁免条款利好中小物流企业、区域商用车经销商,降低其合规成本。
● 商用车企业可享受的豁免情形与合规路径
《指引》在强化管控的同时,明确了九类免予申报安全评估、订立标准合同或通过认证的情形,其中四类与商用车行业高度相关,是企业降低合规成本、提升出境便利化的关键,需重点把握:
1.境外收集产生的数据出境:在境外收集的商用车数据(如海外市场车辆运行数据),传输至境内处理后再出境,且未引入境内个人信息或重要数据的,可免于各类申报,利好跨境运营的商用车企业。
2.跨境业务合同相关数据出境:为订立、履行跨境商用车购车、跨境物流运输等合同,确需向境外提供个人信息(如司机身份信息)的,可免于申报,适配商用车出口、国际物流调度等核心场景。
3.安全相关数据出境:因修补车辆安全漏洞、处置安全事件,已向工信部报告的漏洞数据、安全事件数据,可免于申报,保障商用车运维服务的连续性。
4.产品召回相关数据出境:因消除商用车产品缺陷、实施召回,已向市场监管总局备案的OTA升级软件包源代码,可免于申报,兼顾合规与产品安全。
此外,商用车企业开展数据出境活动,需建立全流程安全保护体系,重点落实四项要求:建立数据资产台账(明确数据来源、用途、出境路径)、部署加密、脱敏等技术防护措施、留存不少于三年的操作日志、制定数据安全应急预案,这是企业合规的基础前提。
● 倒逼商用车行业合规转型,护航出海高质量发展
《指引》的落地对行业的影响集中在三个方面,既带来短期合规压力,也孕育长期发展机遇:
一是短期倒逼企业合规转型,优化成本结构。
商用车企业需全面盘点数据资产,完成重要数据识别与备案,投入资金完善技术防护设施,短期合规成本有所上升。但对于头部企业而言,合规能力将成为核心竞争力,助力其在跨境合作中抢占先机;中小企业需依托合规服务商,降低合规门槛,避免合规风险。
二是规范跨境业务,护航商用车出海。
当前我国商用车出口规模持续增长,《指引》明确了数据出境的合规路径,破解了企业“不敢出境、不知如何合规出境”的痛点,尤其利好商用车整车出口、跨境物流运营、海外设厂等业务,同时推动我国商用车数据治理与国际规则对接,提升行业国际话语权。
三是推动产业升级,强化数据安全能力。
《指引》的落地将加速商用车行业数据治理水平提升,推动企业加强本地数据中心、边缘计算等基础设施建设,促进数据脱敏、隐私计算等技术的应用,同时推动整车厂从“硬件制造商”向“数据合规运营商”转型,释放车联网数据的商业价值,助力行业从“政策驱动”向“市场驱动”转型。
● 编后语
对于商用车企业而言,当前最核心的动作的是:全面排查自身跨境数据流动场景,梳理重要数据与个人信息的出境情况,对照《指引》要求完成合规自查与整改;重点规范研发生产、车联网运行等高频数据出境场景的流程,落实安全评估与备案要求;依托合规服务商与技术手段,平衡数据出境便利化与安全性,实现合规与发展双赢。
