MALLESONS(2025版)》(征求意見稿)的準確理解與適用引言：背景及規范概覽2025年6月13日，工業和信息化部(以下簡稱“工信部”)、國家互聯網信息辦公室(以下簡稱“國家網信辦”)、國家發展改革委、國家數據局、公安全指引(2025版)(征求意見稿)》(“《指引》”)正式向社會發布，議決定指出“建立高效便利安全的數據跨境流動機制”,國家網信辦同年出臺的《促進和規范數據跨境流動規定》(以下簡稱“《322新規》”),為2025年4月9日，國家網信辦發布“數據出境安全管理政策問答(2025年4月)”,明確指出數據出境涉及眾多行業領域，國家網信辦會同相關行業主1國家網信辦，/2025-04/09/c_2在此背景下，金融、汽車等強監管行業陸續制定了類似規則。2024年底，在世界互聯網大會烏鎮峰會上，中國人民銀行科技司司長李偉披露，國家將出臺關于金融業數據跨境流動的合規指南。2025年4月17日，中國人民銀行、金融監管總局、中國證監會、國家外匯局、國家網信辦、國家數據局聯合印發《促進和規范金融業數據跨境流動合規指南》,為金融行業的數據跨境流動提供了明確的合規指引。3汽車行業作為數據安全管理的重點行業部門，其數據跨境流動的規模和復雜性不斷增加，迫切需要統一的規則指引，以加強汽車數據的保護和出境管理。日前，正是基于此種背景，《指引》公開發布并面向社會征詢意見。從整體結構上看，《指引》分為“總則”“重要數據出境”“數據出境實施流程”和“汽車數據出境安全保護要求”四個部分，而在位階上屬于行政規范性文件，用于支撐《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等上位法中關于重要數據保護和數據出境的相關具體要求并提供實踐指引。《指引》整合了我國境內數據出境相關管理要求，并延續風險分級管理思路，主要對重要數據的出境活動進行了細化，包括各個場景下的重要數據范圍、重要數據識別和備案、數據出境安全評估申報流程，以及汽車數據出境安全保護要求。從規范角度來看，《指引》的實操意義比較強，需要屬于適用范圍內的相關企業予以特別關注。從適用范圍上看，相比于《汽車數據安全管理若干規定(試行)》(“《規定》”),除了已有的“汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業”以外，《指引》中通過注意性規定增加了“電信運營企業、自動駕駛服務商、平臺運營企業”這三類主體類別，且仍然保留了“等”非窮盡描述的措辭。事實上，針對適用主體類型的規定，核心的判斷標準仍應當在于所處理的數據類型。在當前的智能網聯汽車和無人駕駛等領域，包括電信運營商、自動駕駛技術提供方和服務平臺等均是參與行業實踐和標準建設的常見市場主體，而在相關市場領域中處于汽車數據處理上下游的這些組織機構，也需要符合相關的安全管理規定，這一點毋庸置疑。由此，我們建議企業在判斷《指引》的適用范圍和條件時，以自身所處理的“數據類型是否屬于汽車數據”或“是否屬于汽車數據處理者”的實質性判斷，替代規范中明確列舉的主體類型等機械形式判斷，避免合規義務的遺漏風險。此外，根據我們的觀察以及項目經驗，盡管目前僅是征求意見稿，《指引》一定程度上回應了過去近3年數據出境實操中遇到的問題，反映了監管部門對各類汽車數據的認定標準，體現出相關監管經驗和參考價值。與此同時，《指引》經征求意見并通過后，也將成為汽車數據安全管理的有效參考規范之一，一定程度上代表了安全監管要求趨勢。因此，對于從事研發設計、道路測試等業務的汽車數據處理者而言，在開展重要數據識別基礎上做好數據出境安全合規管理顯得尤為關鍵。就個人信息而言，《指引》總體上仍然遵循了《322新規》下的框架，并未提出額外的要求或豁免。不過，《指引》整合了各出境路徑下的適用條件，方便汽車數據處理者參照適用，并且明確“跨境購車、跨境寄遞、跨境注冊賬戶”等情形屬于“為訂立、履行個人作為一方當事人的合同確需出境”的情形。對比現有的各行業指引，我們觀察到各主管部門根據其行業特性以及過去3年的監管實踐，所發布的數據出境指引在規則設置上各有側重，采取的方式也有所不同。例如，《促進和規范金融業數據跨境流動合規指南》側重于對不同豁免情形明確具體的必要個人信息范圍，并針對無法免于數據跨境相關合規義務但基于實際情況又確需向境外傳輸數據的情況，給出了常見金融業務場景的必要個人信息數據項示例。另一方面，此次公布的《指引》更多的是以重要數據識別和認定為視角，規范汽車數據出境活動，但并未提供滿足豁免情形的數據項示例或個人信息出境必要范圍。工信部日后是否會進一步出臺關于滿足豁免情形的個人信息數據項示例或個人信息出境必要范圍指引，也有待觀察。值得注意的是，根據國家網信辦發布的“數據出境安全管理政策問答(2025年5月)”4,數據處理者被告知掌握重要數據或者掌握的數據被公開發布為重要數據后，如需繼續開展相關數據出境活動的，應當在被告知或者公開發布后2個月內，通過所在地省級網信部門向國家網信辦申報數據出境安全評估。“數據出境安全管理政策問答(2025年5月)”在一定程度上體現了相應主管部門就企業履行申報重要數據出境安全評估義務有所期待。參考國家網信辦的公告，預計《指引》正式發布后，符合條件的汽車數據處理者需及時履行數據出境安全評估申報手續，因此需盡早著手相關工作的考慮和布局。此外，如果《指引》在11月前通過征求意見和審批流程并正式發布，也有可能對2025年各省市汽車數據安全管理情況報告中重要數據報送工作產生影響，不排除將以《指引》中的重要數據識別和認定條件為重要參照，并基于此要求汽車數據處理者提供相關風險評估材料。《網絡數據安全管理條例》第52條提出了重要數據風險評估、重要數據出境安全評估應當加強銜接，避免重復評估的要求。因此，屆時已經申報數據出境安全評估的汽車數據處理者在提交汽車數據安全管理年報時是否可能無需重復提交相關材料，還有待觀察。1.汽車數據出境路徑的選擇除明確部分情形屬于為訂立、履行個人作為一方當事人的合同確需出境的情況，以及明確關鍵信息基礎設施運營者同樣可以適用《322新規》下的豁免情形外，《指引》擬針對汽車行業“新增”三種特殊豁免場景。在滿足以下情形時，汽車數據處理者可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證(以下簡稱“數據出境監管流程”):·因修補安全漏洞需要，汽車數據處理者按照《網絡產品安全漏洞管理規定》有關要求，已向工信部報告的安全漏洞數據；·因處置安全事件需要，汽車數據處理者按照行業網絡安全、數據安全事件相關應急預案，已向工信部及相關行業監管部門報告的汽車產品、車聯網平臺及相關系統的安全事件數據；·因消除汽車產品缺陷、實施召回需要，汽車數據處理者按照《缺陷汽車產品召回管理條例》已向國家市場監督管理總局備案的OTA升級軟件包對應的源代碼。(以上豁免情形簡稱“汽車新增豁免”)4國家網信辦，/2025-05/30/c_1750315283汽車新增豁免均屬于汽車行業常見實踐情形且具有廣泛的實踐基礎，主要涉及的安全漏洞數據、安全事件數據、OTA升級軟件包源代碼中包含個人信息的可能性較低，因此，我們理解此類豁免情形主要針對的是汽車數據處理者的數據出境安全評估義務。實際上，在數據出境管理領域，類似的豁免情形并非首次出現。2024年8月30日發布的《中國(北京)自由貿易試驗區數據出境管理清單(負面清單)(2024版)》在汽車行業負面清單中，將車輛控制等在線升級數據列為自貿區范圍內的重要數據，但也明確了例外情形，即“已在工信部備案，并通過相關安全技術措施處理，可確保升級包數據不被篡改的情形除外”。我們理解，此類汽車新增豁免體現更多的是法規層面的銜接意義，或者說，已經履行過相應的備案或報告程序的相關汽車數據處理者即無需因相關數據出境再重復申報，以同時節約主管部門的行政執法成本和企業的合規成本。當然此種場景充分考慮并限于汽車行業相對常見/通行的實踐(如安全事件數據全球上報、召回等)。目前，《指引》中并未體現《網絡數據安全管理條例》第35條規定的履行法定職責或者法定義務確需出境的豁免(以下簡稱“法定義務豁免”)。汽車新增豁免均以前置性行政程序(包括報告、備案)作為前提，因此可能會被解讀為法定義務豁免的具體情形。但值得注意的是，《網絡數據安全管理條例》第35條的豁免條件的適用范圍僅限于個人信息，因此其并非汽車新增豁免的恰當上位法依據。相比之下，《數據安全法》第31條或許更適合作為汽車新增豁免情形的依據。根據第31條要求，不屬于關鍵信息基礎設施運營者的數據處理者的重要數據出境安全管理辦法，由國家網信辦會同國務院有關部門制定。第31條并未對重要數據出境安全管理辦法提出法律層級的要求，也符合《指引》作為規范性文件的定位。盡管如此，從行文角度來看，汽車新增豁免情形似乎并未排除關鍵信息基礎設施運營者適用的可能，而《網絡安全法》第37條將關鍵信息基礎設施運營者需要開展數據出境安全評估的例外情形限制在“法律、行政法規”的范圍內，因此關鍵信息基礎設施運營者是否可以適用此類豁免仍然存在討論的空間。5從趨勢上看，縱觀《網絡安全法》《數據安全法》《個人信息保護法》的相關條款，對于規定數據出境例外情形的法規層級也在逐步降低，從“法律、行政法規”到“國家網信辦規定”。我們認為這事實上符合實際需求，監管部門需要根據行業發展、國際形勢等因素動態監管數據出境。如果將例外情形限定在法律、行政法規層面，則會導致相關機構無法及時做出調整，增加企業額外的合規成本。立法者在修訂《網絡安全法》時或許可以考慮參照《個人信息保護法》的措辭，將關鍵信息基礎設施運營者開展數據出境安全評估的例外情形拓展至“國家網信辦會同國務院有關部門明確可以不進行安全評估的，從其規定”。就目前而言，如果《指引》起草者確實認為關鍵信息基礎設施運營者在滿足汽車新增豁免情形時無需開展數據出境安全評估，或許可以將其作為重要數據的例外情形，而非數據出境安全評估的例外情形。這樣可以從規范設立技術角度規避與《網絡安全法》第37條規定的沖突，但由此解釋也可能會帶來新的問題，即滿足要求的安全漏洞數據、安全事件數據、OTA升級軟件包源代碼數據，在不涉及出境的處理活動中，如果符合重要數據的法律定義或屬性，那么將導致此類數據在其他處理活動中無法受到相對應更為充分的保護。為解決上述限制，工信部、國家網信辦或許可以考慮在數據出境安全評估流程中針對關鍵信息基礎設施運營者設立“綠色通道”。當汽車數據處理者確需出境安全漏洞數據、安全事件數據、OTA升級軟件包源代碼，并且已經提供已滿足前置法定義務的證明材料時，通過“綠色通道”讓其在較短的時間內通過數據出境安全評估。我們理解這種方式也可以在一定程度上起到適當監督豁免情形的作用，并且對醫藥等其他強監管行業也可以起到借鑒作用。5關鍵信息基礎設施運營者對于個人信息的豁免可以依據《個人信息保護法》第40條，“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定”。5最后，雖然并非《指引》中明確的情形，但我們注意到將于2026年1月生效的強制性國標GB44495-2024《汽車整車信息安全技術要求》第7.4.7條明確，車輛不應直接向境外傳輸數據，但用戶使用瀏覽器訪問境外網站、使用通信軟件向境外傳遞消息、自主安裝可能導致數據出境的第三方應用等用戶自主行為不受該條款限制。因此，汽車數據處理者需要關注的范圍主要是在其掌控范圍內的數據出境活動。2.重要數據識別原則提煉與認定規則細化《指引》充分結合汽車行業客觀實際，提出了覆蓋汽車數據全生命周期和主要實踐場景下的識別細則。此前，境內汽車數據處理者主要依據《規定》中明確的“重要數據”類型，初步劃分和研判自身處理重要數據的基礎情形。此外，結合國家標準GB/T43697-2024《數據安全技術數據分類分級規則》(“《數據分類分級規則》”)第6.5b)條及其附錄G“(規范性)重要數據識別指南”中規定的重要數據識別因素予以綜合考慮。設立于特定自由貿易試驗區(如北京、天津等)內的汽車數據處理者，還可以依據《中國(北京)自由貿易試驗區數據出境管理清單(負面清單)(2024版)》或者《中國(天津)自由貿易試驗區數據出境管理清單(負面清單)(2024年版)》中就“汽車行業”“智能汽車”“交通”等類別的劃分參考識別認定具體的汽車重要數據。根據相關地區監管實踐，也有部分主管部門通過向企業提供目錄識別指引等方式開展重要數據備案實踐，但整體而言缺少統一和全面的汽車重要數據識別規范。而此次《指引》將汽車重要數據按照“研發設計”“生產制造”“駕駛自動化”“軟件升級(包括OTA)”“聯網運行”等場景予以進一步細分和列舉，針對智能駕駛企業而言，諸如“物料清單”“駕駛自動化算法和訓練數據”“車輛數據(車輛識別號、數字證書等)”在符合相應判斷規則的前提下均需按照“重要數據”予以管理和保護。對于企業而言無疑提出全面覆蓋了智能駕駛技術研發、設計、測試、訓練、應用，以及智能網聯汽車生產、制造、銷售、使用、運維的全過程數據安全要求。《規定》中明確，國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門有權確定其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。除了《規定》中已明確的五類重要數據類型以外，有必要針對此次《指引》識別“汽車重要數據”的原則性條件和評判維度進行概括提煉，我們嘗試在下表中進行初步梳理和列舉，以把握其中的核心思路并且更好地掌握解釋和適用的相應方法論。(內容、含義、特征或意義)涉密、敏感屬性6涉及、或經匯聚、分析后能推算出軍事管理區/敏感區域的涉密、敏感地理信息果、關涉國際競爭力)附錄G第f)條6涉密屬性構成重要數據的判斷維度之一，但根據《網絡數據安全管理條例》第63條第3款，并不因此排除數據本身構成保密信息應遵循包括但不限于《保守國家秘密法》等在內的相關法定義務。6原則性條件判定維度數據本身的屬性(內出口管制屬性網平臺操作系統、數據庫、應用等核心資產的錄方式數據”的定義；則》附錄G第h)條；由貿易試驗區數據出境管理清單(負數據自當年1月1日起累計向境外提供100萬人以上的跨境流動規定》第7條累計時長于等于30天且涉及道路的真實車輛流量、人員情況的數據《規定》第3條；《數據安全法》數據”的定義；覆蓋至少單個完整路口，時間跨度大于1個月的交通流指標數據車外真實人臉邊界框最小邊長為32像素以上、車外真實汽車號牌邊界框最小邊長為16像素以上的車外實景影像、雷達數據等場景數據、訓練數據、特征數據(圖像和點云)《規定》第3條；《數據安全法》《網絡數據安全管理條例》對“重要數據”的定義服務，境內運行車輛數量達50萬臺以上，升級內容涉及汽車動力系統、底盤系統、安全駕駛功能中的一種或多種的車聯網平臺的網絡規劃數據涉及采集真實環境中5000萬公里以上或2000小時以上的原始圖片或原始影像的；涉及1000萬張以上原始圖片的；涉及100萬個以上原始影像的算法訓練數據理條例》對“重要數據”的定義身屬性”和“數據精度或規模”多重因素綜合評判的“重要數據”類型，例如聯網運行場景下“涉及在境內運行的10萬臺以上車輛的安全啟動、診斷、更新、通信過程中的密鑰”類型數據，同時兼具了“安全屬性”和“車輛數據”等判斷條件。由此可見，即便《指引》充分細化和豐富了多場景下的重要數據識別和認定規則，但并不代表著汽車行業重要數據的認定僅局限于《指引》中已列舉的數據類型和字段。換句話說，汽車行業重要數據的認定仍然是動態且依場景而變化的，需要綜合多種客觀因素和條件予以認定。下述我們將根據《指引》區分場景對特定類型的重要數據予以解讀。8(1)產品研發測試與生產制造相關數據《指引》規定，符合特殊情形的研發設計信息屬于重要數據，例如物料清單、研發設計文檔以及開發源代碼等等。《指引》明確針對“被列入國家重大專項、國家重點研發計劃的”,相關數據不僅是企業內部的行業秘密，同時也是關涉國家安全和社會公共利益的重要數據，需要按照重要數據標準管理和出境。參照《科技部財政部關于印發<國家重點研發計劃管理暫行辦法的通知(國科發資〔2024〕28號)》《財政部、科技部關于印發<國家重點研發計劃資金管理辦法>的通知(財教〔2025〕2號)》,國家重大專項需國務院級審批，重點研發計劃項目隸屬科技部管理的專項。通常而言，企業判斷是否落入前述具備重大科創屬性的簡單方式，可以通過科技部官網或信息系統核實項目是否列入年度申報指南或立項公告，或者通過核實相關項目開展基金來源和途徑等方式予以結合判斷。《指引》為自動駕駛道路測試相關數據是否符合重要數據屬性或特征提供了技術化判斷標準：一方面，如果涉及標注場景數據、仿真場景數據和測試場景數據等可以滿足經匯聚、分析后能推算出《規定》第3條中規定的“重要數據”類型的條件，或者達到相應規格/精度的車外人臉、車牌信息，則應當作為重要數據予以管理，此“注意性規定”使得在相應場景下的重要數據判斷更加有跡可循；另一方面，《指引》對于當前場景下還可能涉及重要數據的情形(包括參照《測繪地理信息管理工作國家秘密范圍的規定》識別的涉密、敏感的地理信息數據，以及涉及社會公共安全行政執法活動的)予以明確。考慮到《指引》對于開展自動駕駛道路測試所需的車外音視頻圖像數據提出了更多的安全性要求，因此可以看到相關企業進一步采取技術措施、落實汽車數據車內脫敏的安全原則屬于不可規避的發展趨勢。因此，建議企業結合GB/T44464-2024《汽車數據通用要求》5.6.2匿名化要求及相關資料性附件，對人臉和車牌匿名化的實現技術方式、效果等予以認定和檢驗。此外，在生產環境中，由于《指引》對于生產控制程序源代碼作為重要數據的條件予以了關注和強調，因此對于OEM等車企而言需要考慮與《中國禁止出口限制出口技術目錄》中相關技術控制要點，以平衡出口管制和數據出境安全管理的雙重合規要求。(2)輔助駕駛或駕駛自動化相關數據針對輔助駕駛或駕駛自動化相關數據，《指引》總體上區分了“算法類數據”“訓練類數據”和“特征類數據”等三類進行重要數據識別規則的規定。首先，由于算法類數據更關乎于技術創新能力和企業、行業和國家的競爭實力，因此在識別規則的設定上更加強調高科技屬性對于汽車數據的要求，以“省部級獎勵”等作為判斷條件。《指引》為《重要數據識別指南》中所謂“對國家科技安全、行業競爭力有影響”相關數據的判斷標準，例如“涉及車聯網網絡與數據安全、駕駛自動化功能相關成果獲得省部級及以上獎勵的”。這對于當前正在開拓海外市場、希望將境內已經訓練完成或者處于研發成熟階段的自動駕駛服務商而言需要關注，僅確保自動駕駛訓練數據在境內存儲、將算法模型(含參數)等部署在境外的實踐做法可能存在合規挑戰，建議相關企業參照《指引》規定予以特別留意并做好內部梳理，對于屬于此類獎勵范圍內的自動駕駛算法文件(原理或流程)、源代碼和參數等，根據《指引》均屬于重要數據判定條件，為順利推進海外市場項目執行落地，需在出境前提前開展相應的申報準備。其次，針對訓練數據集的重要數據特征，相應地更多體現在相關精度和規模的要求上。除《規定》中規定的判斷條件以外，《指引》突出強調汽車重要數據中“數據規模”要素的意義，并且從“時間”“空間”和“數量”等維度解析和規定具體的“數據規模”認定門檻，例如“累計時間大于等于30天”“10萬臺以上車輛收集”“采集真實環境中5000萬公里以上或2000小時以上的原始圖片或原始影像的”“涉及1000萬張以上原始圖片的”“涉及100萬個以上原始影像的”。最后，針對包括圖像數據和點云特征數據的算法特征數據，可以認為《指引》在設定規則時兼具糅合了“算法類數據”和“訓練集數據”的判斷標準。底層邏輯上不難理解，由于算法特征數據與算法和訓練數據密不可分，且樣態豐富多樣、可推演可回溯，對于自動駕駛算法數據標注、模型訓練而言均具備重要價值，此類重要數據的識別客觀上即需要同時結合數據屬性和規模等條件予以完9(3)軟件升級相關數據同時滿足三個因素才予以認定，具體包括：1)升級對象需為境內運行車輛；2)僅限于遠程控制功能(近場通信方式不在此列);3) 備案的通知》,不久前《工業和信息化部市場監管總局關于進一步加強智能網聯汽車產品準入、召回及軟件在線升級管理的通知 (4)車聯網相關數據數據類別整體上遵循個人信息出境管理要求，數量門檻維持為當年度內100萬人。遵循汽車重要數據判斷規則，數量門檻為“10門開關、車輛啟動、轉向、加速、制動、和電池管理、遠程泊車的相關指令”車路感知協同與跡數據、慣性導航數據、自動駕駛地圖判斷規則基本同“輔助駕駛或自動駕駛相關數據”。結合時間計時間大于等于30天”,或者交通流指標數完整路口，時間跨度大于1個月”等。車聯網平臺運營網絡規劃數據設施的此類數據即構成重要數據),衡量判斷的因素主要是汽車數量(影響規模大小),即支撐運營車輛數量(100萬臺車);若涉及在線升級，則數量門檻降低至50萬及軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域)、在境內運行的10萬臺以上車輛收集的車輛充電狀態監測數據，以及當年度100萬人以上的充電消費數據。對于充電樁企業而言，《指引》設定規則更加明確，有利于解決個人信息與充電網運行數據相關認定上的交叉問題。3.申報實施細節問題《指引》對數據出境的實施過程提供了進一步的指引，涵蓋了數據識別、路徑判斷以及實施數據出境監管流程的細節。盡管大部分內容與此前國家網信辦發布的《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》保持一致，但仍有以下幾點值得汽車數據處理者關注。(1)重要數據目錄備案首先，《指引》要求汽車數據處理者在“在重要數據目錄備案基礎上”,參考《指引》的規定識別需要開展不同數據出境監管流程的重要數據和個人信息。這意味著，在申報數據出境安全評估之前，汽車數據處理者應當根據《工業和信息化領域數據安全管理辦法(試行)》的相關規定，完成重要數據的備案工作。結合此前網信部門在數據出境申報項目中要求個人信息處理者說明滿足申報條件的實踐要求，我們不排除后續網信部門在接受重要數據的數據出境安全評估前，要求汽車數據處理者提供已完成重要數據備案的證明材料的可能性。因此，汽車數據處理者在規劃重要數據出境時，應將重要數據備案所需的時間納入考量范圍。參考《工業和信息化領域數據安全管理辦法(試行)》第4條和第12條的規定，如果汽車數據處理者需要開展重要數據目錄備案，則其應當向其所在省、自治區、直轄市的通信管理局(以下簡稱“地方通管局”)進行備案。備案內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況。地方通管局應當在提交備案申請的20個工作日內完成審核工作，備案內容符合要求的，予以備案，同時將備案情況報工信部。如存在不予備案的情形，地方通管局應當及時反饋汽車數據處理者并說明理由，汽車數據處理者應當在收到反饋情況后的15個工作日內再次提交備案申請。(2)境外汽車數據處理者申報方式《指引》首次明確了位于境外的汽車數據處理者可以由其在境內的分支機構代為申報數據出境安全評估，這在一定程度上回應了實踐中關于境外直采數據出境合規的困惑，也體現了對當前實踐的總結。值得注意的是，必須由境外汽車數據處理者在境內的分支機構進行申報，而不能指定外部機構。此外，參考申報材料要求及我們的項目經驗，申報主體通常需要具備法人資格。因此，境外汽車數據處理者在境內設立的常駐代表機構或其境內分公司均無法作為數據出境安全評估的申報主體。值得注意的是，《指引》僅在“實施數據出境安全評估”部分提及了可以由境內分支機構代為申報的可能性。由于《個人信息出境標準合同》的體例限制，《指引》并未在“訂立個人信息出境標準合同”部分為境外直采場景提供合規路徑。盡管目前實踐中存在由境內分支機構代為開展備案的情況，但此類做法更多是基于當前的實踐需求導致的過渡性安排。我們期待監管部門能夠提供更明確的指引，以便有合規意愿的企業能夠盡快滿足我國數據出境的監管要求。4.出境安全管理要求《指引》從組織管理、防護技術措施、日志記錄和應急處置等角度，向汽車數據處理者提出了進一步的汽車數據出境安全管理要求。我們不排除后續網信部門或工信部可能會要求汽車數據處理者在《數據出境風險自評估報告》或《個人信息保護影響評估報告》的對應章節中，詳細描述企業落實此類汽車數據出境安全管理要求的情況，因此建議汽車數據處理者盡早進行相關規劃。(1)組織管理《指引》從部門、人員、制度以及審批等角度，對汽車數據處理者提出了更為詳細的管理要求。總體而言，汽車數據處理者需要明確汽車數據出境安全負責人、汽車數據出境管理部門，從制度層面明確汽車數據出境安全管理要求，并建立企業內部審批登記流程。目前，汽車數據處理者通常已經按照汽車數據安全管理年報的要求，任命了“汽車數據安全負責人”。《規定》暫未明確汽車數據出境安全負責人是否可以兼任，但在實踐中，汽車數據處理者或許可以通過讓汽車數據安全負責人兼任該職位，以滿足相關要求。就內部審批登記流程而言，汽車數據處理者可以參照現有的個人信息保護影響評估流程基礎上，增加重要數據識別、備案、申報、風險評估流程。結合自身業務特點與數據出境場景，企業應制定詳細且可操作的內部管理制度，明確審批流程中各部門的職責與審核要點，并對所有記錄進行存檔。雖然《規定》暫未明確具體的存檔期限，但參考《網絡數據安全管理條例》第12條的規定，我們理解汽車數據處理者應當保存相關記錄至少3年。整體而言，由于《規定》要求汽車數據處理者在制度層面針對汽車數據出境安全提供針對性要求，盡管目前尚不明確“針對性”所要求的具體顆粒度，但建議汽車數據處理者制定專門的汽車數據出境管理制度或標準操作程序(SOP),并確保其中至少涵蓋《指引》中規定的各類安全保護要求。(2)防護技術措施《指引》從數據出境傳輸安全、數據出境安全監測，以及檢查支持提出了詳細的要求，具體要求如下表所述。據的保密性和完整性。實性。數據出境安全監測應當對汽車數據出境傳輸行為進行安全監測，形成安全日志并留存。防篡改和內容解析。(1)全量留存。按照起止時間對數據出境流量進行全量留存，留存時間1周。(2)抽樣留存。支持按照起止時間、IP地址范圍對數據出境流量進行抽樣留存，留存時間不少于1個月。(3)日志記錄除上述數據出境安全監測部分要求的安全日志外，《規定》還要求汽車數據處理者留存網絡流量日志和操作行為日志，具體要求如下表所示。網絡流量日志IP、設備信息等根據《規定》,安全日志、網絡流量日志、操作行為日志均需采用防篡改技術措施保護，并且至少留存3年。汽車數據處理者同時需要對前述日志進行審計，當發現存在非法操作等安全風險隱患時，及時響應處置。(4)應急處置要求《規定》進一步規定，汽車數據處理者應當建立汽車數據違規出境的處置能力，發現異常行為時應及時處置，并按有關要求向本地區行業監管部門報告。我們理解，此處并非創設新的報告義務，而是對現有報告機制的進一步明確和細化。當汽車數據違規出境行為構成網絡安全事件或數據安全事件時，汽車數據處理者應當依據《公共互聯網網絡安全突發事件應急預案》和《工業和信息化領域數據安全事件應急預案(試行)》的相關要求，履行相應的報告義務。1.對汽車數據安全及出境管理的影響《指引》的發