1、汽车数据出境安全指引(2026版)你问我答2026 年 3 月 25 日中国信息通信研究院国家工业信息安全发展研究中心中汽智能科技(天津)有限公司车联网安全集智联盟中国汽车工业协会欧洲汽车工业协会中国电池工业协会工业信息安全产业发展联盟中国智能网联汽车产业创新联盟中国通信标准化协会中国互联网协会-1-2026为引导汽车数据处理者高效便利安全开展汽车数据出境活动,履行数据安全责任义务,提升数据安全保护水平,依据汽车数据出境安全指引(2026 版)(以下简称安全指引),聚焦汽车数据出境场景下高频热点问题,采用问答的形式,制定本文件。一、基础定义类1.汽车数据处理者的范围是什么?答:安全指引适用于开
2、展汽车数据处理活动中自主决定处理目的和处理方式的组织、个人,包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构、出行服务企业、地图平台企业、动力电池制造企业等。其他类型企业如满足自主决定汽车数据处理目的、处理方式,也应按照安全指引要求履行相关义务。2.汽车数据中的个人信息范围是什么?按照安全指引,个人信息达到多少量级需要申报数据出境安全评估?答:汽车数据中的“个人信息”包括车主、乘客以及车外摄像头采集的视频、图像中涉及的个人信息。安全指引第一部分“总则”明确,非关键信息基础设施运营者向境外提供个人信息(不含敏感个人信息)需申报数据出境安全评估的量级
3、为自当年 1 月 1 日起累计100 万及以上,敏感个人信息量级为自当年 1 月 1 日起累计 1 万及以上。关键信息基础设施运营者向境外提供个人信息的,应当依法依规申报数据出境安全评估。3.如果企业 A 只负责数据的收集和使用,数据的存储、处理等均由另一个企业 B(与 A 为不同法人主体)完成,企业 A 是否被定义为汽车数据处理者?如果申报数据出境,应当由企业 A 还是企业 B进行申报?-2-答:安全指引第一部分“总则”明确,“汽车数据处理者是指开展汽车数据处理活动中自主决定处理目的、处理方式的组织、个人”。企业 A 自主决定数据的收集和使用,企业 B 自主决定数据的存储、处理,因此,A 和
4、 B 均为汽车数据处理者。无论企业 A 或者企业 B,只要存在汽车数据出境情况,均应当依法依规申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息出境认证。4.汽车数据处理者如何报告安全漏洞数据?答:汽车数据处理者应按照网络安全产品漏洞管理规定,登录工业和信息化部网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库(NVDB-CAVD)平台(https:/),进入主界面后点击“漏洞报送”,按照平台相关说明进行漏洞信息填报。5.低中等级漏洞是否也需要先向工业和信息化部报备才可以免予申报数据出境安全评估?答:安全指引第二部分“重要数据判定”明确,涉及高危及以上安全漏洞的未公开的车辆及车联
5、网平台安全漏洞信息以及相关系统名称、系统域名、IP 地址、端口、风险 URL 为重要数据。低中等级漏洞,按照安全指引,不属于重要数据。6.NVDB-CAVD 漏洞库下发的安全漏洞也需要先报备么?答:对于 NVDB-CAVD 漏洞库下发的安全漏洞,汽车数据处理者也需要登录工业和信息化部网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库(NVDB-CAVD)平台(https:/),进入主界面后点击“通用漏洞出境报告”或“待处置漏洞”,按照平台相关说明进行漏洞信息填报。7.如果向工业和信息化部报备的企业主体和实际开展出境业务的企业主体不是同一个,涉及安全漏洞数据,是否需要重新报备才可以免于申报数
6、据出境安全评估?答:向工业和信息化部进行安全漏洞报备的企业主体和实际开展出境业务的企业主体不同的情况下,实际开展出境业务的企业仍需完-3-成漏洞报备后,才可以免予申报数据出境安全评估。8.汽车数据处理者如何报告安全事件数据?答:按照公共互联网网络安全突发事件应急预案,汽车数据处理者应当对本单位网络和系统的运行状况进行密切监测,一旦发生网络安全突发事件,应当立即向工业和信息化部网络安全应急办公室和相关省(自治区、直辖市)通信管理局报告;按照工业和信息化领域数据安全事件应急预案(试行),汽车数据处理者认为可能发生较大及以上数据安全事件的,应当立即向地方行业监管部门报告。9.安全事件数据是否可以在国