汽车行业数据处理常见实务问答（一）

随着智能网联汽车、自动驾驶、车联网平台等技术的发展，汽车已经成为持续采集、传输和处理数据的智能终端。汽车行业处理和传输的数据的范围也不断拓展，涵盖车辆运行数据、车内外个人信息、测绘地理信息、算法训练数据、智驾方案代码、车辆安全数据和车联网平台运行数据等，这类数据的重要性和敏感程度也更高。

正因如此，汽车行业的数据安全监管也一直走在前列。国家网信办等部门早在2021年就率先发布了《汽车数据安全管理若干规定（试行）》（以下简称“《试行规定》”），以细化汽车数据处理的合规要求，并初步明确汽车行业的重要数据范围；工业和信息化部和国家网信办等部门在今年1月30日发布了《汽车数据出境安全指引（2026版）》（以下简称“《安全指引》”），进一步明确了汽车数据出境相关的合规要求，这也是最早发布的关于数据出境的行业性安全指引。

本文结合相关法律法规，梳理汽车行业数据处理相关的常见实务问题，以供读者参考。

1. 如何判定汽车行业重要数据？

《数据安全法》第21.3条指出，“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”即重要数据应由各地区或行业的政府部门确定，而非由数据处理者自行确定。

根据公开渠道查询，截至目前，相关政府部门已发布以下涉及汽车行业的重要数据认定依据：

汽车行业企业应根据上述重要数据认定依据，识别其处理的数据是否构成重要数据。如构成，企业应当完成重要数据目录备案工作（见下方第2点），并按照相关法律法规的要求采取措施保护该等重要数据及履行相应的合规手续（见下方第3点）。

2. 如何备案重要数据目录？

汽车行业企业应按照上述重要数据认定依据开展重要数据识别工作，并形成本企业重要数据目录，之后按照《工业和信息化领域数据安全管理办法（试行）》（以下简称“《数据安全办法》”）的规定向所在地的行业监管部门（即工信部门）进行备案。

根据《数据安全办法》的要求，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，但不包括数据内容本身。此外，若备案内容发生重大变化的（数据条目数量或者存储总量等变化30％以上，或者其他重大变化），企业应当在发生变化的三个月内履行备案变更手续。

根据检索，笔者暂未发现工业和信息化部就重要数据目录备案发布统一的办理指引，相关企业可电话咨询当地工信部门以寻求指导。需要注意的是，部分省市已经就汽车领域重要数据目录备案工作发布通知（比如，上海市通信管理局发布《关于开展“铸盾车联”2026年车联网网络和数据安全专项行动的通知[1]》，要求各车联网企业在7月31日前完成备案），相关企业应按照通知要求及时办理备案。

3. 汽车行业企业有哪些重要数据相关的合规义务？

《数据安全法》《网络数据安全管理条例》及《试行规定》等法律法规对汽车行业的重要数据处理者施加了更高的合规义务，主要包括以下几点：

(1) 数据安全负责人和管理机构：重要数据处理者应当明确数据安全负责人和管理机构；

(2) 提供、委托处理重要数据：网络数据处理者向其他网络数据处理者提供、委托处理重要数据的，应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等，并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理重要数据的处理情况记录，应当至少保存3年；

(3) 风险评估：重要数据的处理者提供、委托处理、共同处理重要数据前，应当进行风险评估，但是属于履行法定职责或者法定义务的除外；

(4) 合并、分立、解散、破产等情形的处理：重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的，应当采取措施保障网络数据安全，并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等；主管部门不明确的，应当向省级以上数据安全工作协调机制报告；

(5) 风险评估及报告报送：汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告；

(6) 年度汽车数据安全管理情况报送：汽车数据处理者开展重要数据处理活动，应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况；以及

(7) 数据出境安全评估：重要数据原则上应在境内存储，确需出境的，应通过数据出境安全评估。

4. 智能网联汽车收集的数据是否构成测绘数据？需要取得何种测绘资质？

测绘数据处理合规是汽车行业数据合规工作的重要组成部分，对于智能网联汽车行业尤为重要。智能网联汽车在测试、运行和服务过程中，可能采集车辆及周边道路设施的坐标、影像、点云等地理信息。这些数据与自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等密切相关，就可能相应触发测绘数据合规要求。

自然资源部在2022年发布的《关于促进智能网联汽车发展维护测绘地理信息安全的通知》（以下简称“《2022年通知》”）中首次指出，智能网联汽车安装或集成了卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后，在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的行为，属于测绘活动。

2024年发布的《关于加强智能网联汽车有关测绘地理信息安全管理的通知》（以下简称“《2024年通知》”）进一步明确，智能网联汽车在运行、服务和测试过程中，对车辆及周边道路设施的空间坐标、实景影像（视频和影像等环境感知数据）、点云及其属性信息等地理信息数据（含道路拓扑数据）进行采集、存储、传输和处理的行为，属于测绘活动；对智能网联汽车回传的地理信息数据进行收集、存储、传输、处理以及地图制作等活动应由具有导航电子地图制作等测绘资质的单位承担。

尽管《2024年通知》的措辞为“导航电子地图制作等测绘资质”，根据笔者与部分省市监管部门的电话咨询，实践中一般会要求处理该等测绘数据的主体应至少具备“导航电子地图制作”测绘资质，而非仅持有其他类型的测绘资质。

根据《测绘资质管理办法》及其附件2《专业标准》的规定，导航电子地图制作测绘资质分为甲级和乙级——乙级资质不得在相关政府部门划定的自动驾驶区域外从事导航电子地图制作，而甲级资质则没有地域限制。因此，导航电子地图制作甲级资质含金量远高于乙级资质，同时也更稀缺，目前仅十余家单位持有甲级资质。

5. 整车厂与供应商之间如何划分数据合规责任？

整车厂与软硬件/服务供应商之间的数据合规责任划分，核心在于判断双方在具体数据处理活动中的角色关系。

以个人信息处理为例，往往个人信息处理者承担个人信息相关的合规责任。根据《个人信息保护法》第73条，“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。《安全指引》中的“汽车数据处理者”也采用了相同的定义逻辑。也就是说，在整车厂和供应商之间，决定数据处理目的和方式的一方往往承担主要的合规责任。

对于整车厂和供应商而言，两者之间主要有以下几种角色关系（以个人信息处理为例）：

(1) 委托处理：如果整车厂自行从消费者处获取个人信息授权，供应商仅按照整车厂指令处理个人信息，例如提供云存储、数据标注、软件开发、远程运维、客服系统、测试服务等，双方之间构成委托处理关系（即整车厂委托供应商处理个人信息）。此时，整车厂自主决定个人信息处理的目的和方式，构成个人信息处理者。按照《个人信息保护法》第21条的要求，整车厂应与供应商约定处理目的、期限、处理方式、个人信息种类、保护措施以及双方权利义务，并对供应商的处理活动进行监督；供应商不得超出约定目的和方式处理个人信息，未经同意不得转委托。

(2) 共同处理：如果整车厂与供应商共同决定个人信息处理目的和处理方式，例如联合运营车联网服务、共同建设数据平台，则构成共同处理。《个人信息保护法》第20条要求共同处理者约定各自权利义务，但该约定不影响个人向任一处理者行使权利；共同处理侵害个人信息权益造成损害的，应对依法承担连带责任。

(3) 各自独立处理：如果整车厂向供应商提供个人信息，供应商基于自身目的独立处理，例如用于独立产品优化、算法训练、商业分析或自有服务运营，此时双方均为独立的个人信息处理者。此时，个人信息提供行为是两个个人信息处理者之间的对外提供行为。《个人信息保护法》第23条要求，此类场景下个人信息处理者（提供方）应向个人告知接收方名称或姓名、联系方式、处理目的、处理方式和个人信息种类，并取得个人单独同意；接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。

从实务角度，如整车厂与供应商之间的合作涉及数据处理，一般应结合数据流情况厘清双方的角色身份，并进一步在合作协议中清晰约定各自的数据处理角色、数据范围、处理目的、处理期限、处理方式、存储地点、访问权限、合规责任等事项。

6. 向境外传输汽车数据有哪些合规路径？

根据《安全指引》中的定义，“汽车数据”是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。相应地，向境外传输个人信息需要关注个人信息和重要数据出境相关的合规要求。

判断汽车数据出境合规路径前，应先判断是否构成数据出境。《安全指引》指出，以下任一情形均构成数据出境行为：

(1) 汽车数据处理者将在境内运营中收集和产生的汽车数据传输至境外；

(2) 汽车数据处理者收集和产生的汽车数据存储在境内，但境外机构、组织或个人可以查询、调取、下载、导出；或者

(3) 符合《个人信息保护法》第三条第二款情形的，在境外处理境内自然人个人信息等其他数据处理活动。

该界定方式与此前发布的《数据出境安全评估申报指南（第二/三版）》保持一致，整体上采取的是比较宽的界定方式。

根据《促进和规范数据跨境流动规定》（以下简称“《跨境流动规定》”）及《安全指引》，笔者在下方表格简要梳理个人信息和重要数据出境的对应合规路径：

此外，《安全指引》在《跨境流动规定》的基础上新增了几个适用于汽车行业的豁免场景：

(1) 因修补安全漏洞需要，汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求，已向工业和信息化部报告的安全漏洞数据；

(2) 因处置安全事件需要，汽车数据处理者按照行业网络安全、数据安全事件相关应急预案，已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；以及

(3) 因消除汽车产品缺陷、实施召回需要，汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的 OTA 升级软件包对应的源代码。

上述新增的豁免场景主要是为企业提供方便快捷的数据出境渠道，确保相关漏洞、事件、隐患能够被及时修补或处置，保障车辆运行安全，维护相关境内外汽车消费者生命财产安全[2]。汽车行业企业在使用上述豁免场景时，必须事先向工业和信息化部、国家市场监督管理总局等部门报告或备案。

豁免并不等于“无合规义务”。即使免予申报数据出境安全评估、订立标准合同或通过出境认证，企业仍需履行个人信息保护、数据安全保护、合同管理、最小必要、访问控制、日志留存、安全事件处置等基础义务。

需要特别注意的是，若涉及出境的数据涉及测绘地理信息、禁止或限制出口技术或者受出口管制的物项，汽车数据处理者还应相应履行对外提供审批、地图审核程序、技术出口许可或出口管制相关手续。

文章附录

1 https://shca.miit.gov.cn/zwgk/zcwj/wjfb/art/2026/art_d74597e4e6bb4b16b53d6ff01dcc0b9e.html

2 《汽车数据出境安全指引（2026版）》答记者问