汽车数据跨境的挑战及合规分析 2024.pdf

引言

汽车生产与销售属于典型的全球性产业，依赖于全球供应链协作及跨国市场体系。汽车智能化发展加速了数据

在汽车生产与销售中的角色，并成为基础性要素之一。汽车产业链全球运作过程中，必然带来数据的交互与融

合，且成为汽车产业发展不可或缺的部分。无论是中国汽车企业出海，还是跨国企业运营中国市场，都面临数

据跨境流动的需求。同时，地缘政治因素又叠加了数据博弈的冲突，对汽车企业经营主要国家和地区的市场带

来挑战（详见前期文章：美国即将对中国网联汽车采取禁止交易措施）。

汽车行业作为典型的标准化行业，需要跨场景、跨平台、跨企业的统一标准，以实现协作的有效性。而从数据

要素本身来看，汽车行业的数字化转型程度仍有较大空间，如何发挥数据要素能力，提升新质生产力，是诸多

汽车企业面临的主要问题之一。数字化转型需要转变数据治理思维，确定如何收集和使用数据，发挥要素价

值，这恰恰是数据合规的任务。

从企业级数据治理体系出发，数据跨境合规并非孤立的事项，它与数据合规高度关联，对于汽车这样的全球行

业来说，甚至应该是数据合规的一部分，必须有数据的合规，才有数据跨境的合规。通过本文的梳理，我们希

望能够为汽车数据跨境合规梳理清晰底层逻辑、关键要点，提供经济、有效的合规应对思路。

一、汽车数据监管法律体系

数据合规所依据的是我国的数据法律体系，数据跨境合规又依据于我国的数据跨境法律体系。两个体系既相互

关联又自成系统，涉及法律、行政法规、部门规章、规范性文件、标准、指引以及具体行业通用实践。概括而

言，我们可以用两个“3+1”来快速掌握法律体系的轮廓。在这两个体系之下，我国也于2021年专门出台了

《汽车数据安全管理若干规定（试行）》，亦是汽车数据合规的重要法规。

1.数据治理“3+1”

数据治理法律体系包括3部法律：《网络安全法》《数据安全法》《个人信息保护法》，以及1部行政法规：

《网络数据安全管理条例》。

《网络安全法》于2016年出台，2017年起实施，主要从网络运营安全的视角进行管理，其中第三十七条涉及数

据管理，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在

境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全

评估；法律、行政法规另有规定，依照其规定。”《网络安全法》把关键信息基础设施运营者的个人信息和重

要数据跨境作为切入点，确定了管理思路及模式，形成了我国数据治理及跨境数据监管的雏形。

《数据安全法》于2021年出台和实施，在《网络安全法》的基础上，把数据作为一个独立的对象进行治理，不

再局限于关键信息基础设施运营者的数据，而是规范一般意义的数据处理者，确定了数据安全义务。同时，

《数据安全法》亦坚持和延展了《网络安全法》第三十七条的规定，“关键信息基础设施的运营者在中华人民

共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他

数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国

务院有关部门制定。”这就重申了《网络安全法》对关键信息基础设施运营者的管理，同时把其他数据处理者

纳入管理范围，并将个人信息的部分交给《个人信息保护法》规范。

《个人信息保护法》于2021年出台和实施，其中对个人信息跨境专门用了一章来规定。《个人信息保护法》以

个人信息为对象，确立了出境的三种方式：安全评估、保护认证和标准合同，同时也坚持了《网络安全法》第

三十七条的跨境管理制度（见《个人信息保护法》第四十条）。

《网络数据安全管理条例》于2024年9月出台，并将于2025年1月1日起实施。这部《条例》是国务院的行政法

规，定位于《网络安全法》《数据安全法》《个人信息保护法》的配套法规，在数据治理体系中无疑具有非常

重要的地位。《条例》也用了专门一章对数据跨境进行规定，其中对重要数据识别的实践问题首次作出了明确

的回应。

2.数据跨境“3+1”

《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》从整体上构建并明确了我国

数据治理的体系，其中正如前文所述，亦搭建完成我国的跨境数据管理体系。从数据类型上来说，涉及重要数

据和个人信息；从出境方式上来说，涉及安全评估、保护认证和标准合同，以及增加的豁免情形。据此，我国

通过部门规章和规范性文件的形式，确定了数据跨境“3+1”体系，包括《数据出境安全评估办法》《个人信息

出境标准合同办法》《关于实施个人信息保护认证的公告》和《促进和规范数据跨境流动规定》。

《数据出境安全评估办法》于2022年出台和实施，并