解读《汽车数据出境安全指引（2026版）》 九类豁免情形与安全评价业务新规

国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等八部门联合印发了《汽车数据出境安全指引（2026版）》（以下简称《指引》），旨在规范汽车数据处理活动，保障汽车数据依法有序出境，促进汽车产业健康发展与数据安全流动的平衡。该《指引》不仅细化了安全评估要求，还创新性地提出了九类豁免情形，并进一步明确了安全评价业务的具体规范，为行业实践提供了清晰的操作框架。

《指引》的核心亮点之一是系统性地列出了九类可以豁免数据出境安全评估的情形。这九类豁免主要针对数据量较小、风险较低或具有特定公益、业务必要性的场景，具体包括：1）为履行合同所必需且不涉及重要数据或大量个人信息的出境；2）跨境运输车辆在途中产生的必要运行数据，且不涉及境内地理信息、车辆轨迹等敏感内容；3）用于国际科研合作、且经主管部门认可的匿名化数据；4）已公开的非敏感汽车相关数据；5）集团内部管理所需的、经过脱敏处理的汇总统计数据；6）应对紧急事件（如跨境救援、安全事故调查）所必需的数据共享；7）依据国际条约、协定必须提供的非敏感数据；8）经用户单独同意且数据量极少的个性化设置同步；9）法律、行政法规规定的其他豁免情形。这些豁免条款体现了监管的精细化与灵活性，有助于降低企业合规成本，提升数据处理效率，同时守住安全底线。

另一方面，《指引》对汽车数据出境的安全评价业务提出了更为明确和严格的要求。安全评价是指由具备资质的第三方机构，对汽车数据处理者出境数据的类型、范围、目的、方式及接收方保护能力等进行专业评估，并出具评价报告的活动。《指引》规定，除豁免情形外，汽车重要数据及达到规定数量的个人信息出境前，原则上应通过国家网信部门的安全评估；而在评估过程中或日常合规中，鼓励数据处理者委托专业机构开展安全评价，作为支撑安全评估或自我合规的重要参考。

对于安全评价业务本身，《指引》强调了评价机构的资质要求、独立性原则和技术能力。评价内容需覆盖数据出境的合法性、正当性、必要性，数据分类分级准确性，境外接收方的数据保护政策与实控能力，出境后的风险监测与应急机制，以及合同协议条款的完备性等。评价报告需客观、公正，并留存备查。此举旨在培育专业、可信的第三方服务市场，通过市场化机制提升整体行业的合规水平与风险防控能力。

《汽车数据出境安全指引（2026版）》的出台，标志着我国汽车数据治理进入了一个更加成熟、注重分类施策的新阶段。九类豁免情形为企业划定了明确的“安全港”，有助于激发数据要素在研发、制造、服务等环节的跨境流动价值；而规范化的安全评价业务，则为数据出境构建了一道专业化的“防火墙”，推动形成政府监管、企业负责、社会监督的协同治理格局。随着智能网联汽车的快速发展，该《指引》的实施效果，将对全球汽车产业的数据合规实践产生重要的示范意义。企业需结合自身业务场景，准确理解适用条款，建立健全内部数据出境管理制度，并适时借助专业评价服务，确保在创新发展的筑牢数据安全屏障。