近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长，特别是随着我国整车出口蓬勃发展，汽车企业跨境数据转移不可避免。2022年，中国车企出口突破300万辆，达到311.1万辆，同比增长54.4%，有效拉动行业整体增长。新能源汽车成为了当之无愧的增长引擎，2022年全年新能源乘用车出口量为67.9万辆，同比增长1.2倍。[1]同时，由于不同国家和地区法律制度、保护水平参差不齐，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发，对数据跨境安全管理作了制度探索。国家网信办发布并于2022年9月1日生效的《数据出境安全评估办法》(“评估办法”)就是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措。

本文意在解析与智能网联汽车企业(“车企”)数据出境相关的法律法规、标准的相关规定，分析该等法律法规、标准对车企数据出境的要求，并为车企建立数据出境合规流程提出初步建议，供业内同行参考。

根据《数据安全法》之规定，关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定[2]。鉴于车企不属于关键信息基础设施运营者[3]，因此，关于车企在中国境内运营中收集和产生的重要数据的出境安全管理办法，不适用关键信息基础设施运营者的相关规定，而应参照国家网信部门会同国务院有关部门制定的相关规定执行。

根据《个人信息保护法》的规定，个人信息处理者因业务等需要，确需向中国境外提供个人信息的，应当具备下列条件之一：(1)通过国家网信部门组织的安全评估；(2)进行个人信息保护认证；(3)按照国家网信部门制定的标准合同与境外接收方订立合同；(4)法律、行政法规或者国家网信部门规定的其他条件。[4]另外，根据该法第五十五条，在向境外提供个人信息之前，企业还应开展个人信息保护影响评估。

国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合公布了《汽车数据安全管理若干规定(试行)》(“若干规定”)，作为规范汽车数据出境的专项规定。根据若干规定，汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据(包括涉及个人信息主体超过10万人的个人信息)。据此，汽车数据的出境包括个人信息数据和重要数据的出境。若干规定对数据的出境的规定为：重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。[5]

国家互联网信息办公室发布的《数据出境安全评估办法》(“评估办法”)对数据出境的安全评估的条件做出了相应规定。车企向境外提供数据(对车企而言，此处的数据包括汽车数据和非汽车数据)，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：(1)向境外提供重要数据；(2)其累积已处理100万人以上个人信息；(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息；(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。[6]为保证车企数据的完整性，在分析评估办法对车企数据出境的规制时应统筹考虑汽车数据和非汽车数据。

2022年6月30日，国家网信办发布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)并附上了《个人信息出境标准合同》样本(“标准合同”)。标准合同规定对于个人信息处理者的权利义务、境外接收方的权利义务、境外接收方当地个人信息保护政策法规对于标准合同规定的影响、个人信息主体的权利、救济、违约责任及适用法律与争议解决均作出了详细的规定。虽然标准合同规定尚未正式发布生效，但其内容已较为完整，车企在进行数据出境活动时可以参考适用。

全国信息安全标准化技术委员会( “信安标委”) 于2022年6月发布《网络安全标准实践指南--个人信息跨境处理活动安全认证规范(v1.0-202206)(“《认证规范v1.0》”)，成为首个探索个人信息跨境处理活动认证制度，并且为《个人信息保护法》第三十八条项下的“个人信息保护认证制度”提供了落地支撑。

 (一)个人信息出境的前置程序

对于个人信息数据，无论是否达成法律法规规定的数据出境的安全评估条件及是否需要启动数据出境安全评估，在进行个人信息出境活动前，车企均应首先满足以下三点基本要求：

1．车企应当告知个人信息主体下述信息：

(1)个人信息处理者(车企)的名称或者姓名和联系方式；个人信息的处理目的、处理方式、处理的个人信息种类、保存期限；以及个人信息主体可向个人信息处理者行使《个人信息保护法》规定权利的方式和程序；[7]

(2)境外接收方的名称或者姓名、联系方式；处理目的、处理方式、处理的个人信息种类；以及个人信息主体向境外接收方行使《个人信息保护法》下规定权利的方式和程序。[8]

2．就向境外提供个人信息取得个人信息主体的单独同意[9]。

3．在向境外提供个人信息前进行个人信息保护影响评估(PIPIA)。《个人信息保护法》明确规定，在向境外提供个人信息之前，企业应开展个人信息保护影响评估。[10]个人信息保护影响评估的内容应当包括：(1)处理目的、处理方式是否合法、正当、必要；(2)对个人权益的影响及风险程度；以及(3)所采取的安全保护措施是否合法、有效并与风险程度相适应这三方面。同时，个人信息保护影响评估报告和处理记录应当至少保存三年。[11]

需要注意的是，非个人信息数据出境不适用本部分所述的前置程序。

(二)数据出境风险自评估

有下列情形之一的，车企应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：(1)向境外提供重要数据；(2)其累积已处理100万人以上个人信息；(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息；(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。根据评估办法的规定，车企应当在申报数据出境安全评估前开展数据出境风险自评估，重点评估以下事项：(1)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；(2)出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；(3)境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；(4)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；(5)与境外接收方拟订立的数据出境相关合同(应为“标准合同”)或者其他具有法律效力的文件等(统称“法律文件”)是否充分约定了数据安全保护责任义务；(6)其他可能影响数据出境安全的事项。

此项评估由企业自行启动和进行，是车企数据出境安全评估的一项前置程序。对于有数据出境的车企而言，数据出境风险自评估的重要性不言而喻，是数据安全评估工作必不可少的重要环节，尤其是网信部门在进行数据出境安全评估时，囿于评估工作量巨大，可能难以做到对提起安全评估申请的每一家企业均进行现场调查，而高质量的数据出境风险自评估报告将有助于车企在可控的时间内顺利通过网信部门的数据出境安全评估。

国家互联网信息办公室于2022年8月31日发布的《数据出境安全评估申报指南(第一版)》(“申报指南”) 对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。车企可参照申报指南的《数据出境风险自评估报告(模板)》从如下几个方面完成自评估报告：(1)自评估工作简述：介绍车企自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容；(2)出境活动整体情况，包括但不限于：a)车企基本情况、b)数据出境涉及业务和信息系统情况、c)拟出境数据情况、d)车企数据安全保障能力情况、e)境外接收方情况、f)法律文件约定数据安全保护责任义务的情况和g)车企认为需要说明的其他情况；(3)拟出境活动的风险评估情况；(4)出境活动风险自评估结论。

需要注意的是，申报指南特别要求企业承诺自评估工作为申报之日前3个月内完成，且至申报之日未发生重大变化。基于此，申报数据出境安全评估的车企应注意自评估完成的时限并及时启动安全评估申报，以避免二者时间脱节而影响后续的安全评估。

(三)数据出境安全评估

在完成数据出境风险自评估且自评估结果满足出境风险评估要求的情况下，车企可通过所在地省级网信部门向国家网信部门申报数据出境安全评估，并提交如下材料：(1)申报书；(2)数据出境风险自评估报告；(3)数据处理者与境外接收方拟订立的法律文件；(4)安全评估工作需要的其他材料。[12]省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回车企并一次性告知需要补充的材料。国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估；[13]自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间[14]。

数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。[15]

评估结果有效期届满或者在有效期内出现评估办法中规定重新评估情形的，数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，在收到国家网信部门书面通知后，车企应终止数据出境活动。车企需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。[16]

(四)其他数据出境的流程

上述“数据出境风险自评估”和“数据出境安全评估”所述流程为符合下述条件之一的数据出境的必经流程：(1)向境外提供重要数据；(2)其累积已处理100万人以上个人信息；(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息；(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。

根据标准合同规定，如果个人信息处理者(车企)同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：(1)非关键信息基础设施运营者；(2)处理个人信息不满100万人的；(3)自上年1月1日起累计向境外提供未达到10万人个人信息的；(4)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。[17]即使如此，在向境外提供个人信息前，车企应当事前开展个人信息保护影响评估。[18]

对于那些既不是重要数据也不是个人信息数据的数据出境，由于没有前置程序和审批程序要求，车企因业务需要将该等数据向境外提供的，无需进行数据出境安全评估和签署标准合同。即使如此，如果车企满足其他条件需进行出境安全评估，为谨慎起见，建议车企在提交申请时把不是重要数据和个人数据的此类数据一并提交进行评估。另外，对于此类非重要数据和个人数据的跨境转移，数据提供方和接收方通常会签署一份商务合同，以规定双方在数据跨境转移交易中的权利义务关系。建议车企在制作这份与数据跨境转移有关的合同时参照标准合同的相关内容或者基于标准合同制造这份数据跨境数据转移合同，以便该数据跨境转移合同的内容与标准合同相同或相近，且能够提早为应对监管部门可能实施从严监管做好准备。

(一)对数据接收方的组织管理要求

1.规定

根据《个人信息保护法》的规定，作为跨境数据转移的数据接收方，其应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门[19]。即《个人信息保护法》对境外数据接收方设立专门机构和指定代表没有数量门槛限制，只要开展个人信息处理活动，符合条件申请出境认证的，境外的个人信息数据接收方就应当在中国境内指定个人信息保护负责人并设立个人信息保护的专门机构，不论涉及处理个人信息的主体数量多少。

另一方面，《个人信息保护法》仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”，这里的个人信息处理者应为跨境个人信息数据转移活动中的国内数据提供方，但国家网信部门并未规定具体的数量标准。根据国家市监总局和国家标委会发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)( “《个人信息安全规范》”)，满足以下标准之一的，即应设立个人信息保护负责人和个人信息保护工作机构负责个人信息安全工作：(1)主要业务涉及个人信息处理，且从业人员规模大于200人；(2)处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；(3)处理超过10万人的个人敏感信息的。

《认证规范v1.0》规定，开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人和设立个人信息保护机构，履行个人信息保护义务。

2. 问题

值得注意的是，按照《个人信息安全规范》的要求，在满足相应的标准的情况下才需要设立个人信息保护负责人和个人信息保护工作机构，而根据《认证规范v1.0》的规定，只要开展跨境个人信息处理活动，开展个人信息跨境处理活动的个人信息处理者和境外接收方就应指定个人信息保护负责人和设立个人信息保护机构，履行个人信息保护义务，不论涉及处理个人信息的主体数量多少。

3. 建议

车企在向境外提供个人数据时应关注上述法律法规及标准关于指定个人信息保护负责人和设立个人信息保护机构的条件差异，为谨慎起见，一旦涉及向境外提供个人数据，除满足本文所述的流程外，车企可根据《认证规范v1.0》的规定指定个人信息保护负责人和设立个人信息保护机构，履行个人信息保护义务。另外，在与境外数据接收方签署的数据跨境转移合同或者标准合同中规定境外接收方应指定个人信息保护负责人和设立个人信息保护机构，以履行个人信息保护义务，并把包含上述约定的合同文本作为向国家网信部门申报数据出境安全评估(如适用)的附件。

(二)关于跨国公司的跨境数据转移

《认证规范v1.0》规定，该文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求，适用于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证，并承担法律责任。《个人信息保护法》第三条第二款规定的境外个人信息处理者，可以由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。[20]

根据上述规定，国内车企或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证，并承担法律责任。这种安排一方面可以减轻集团各企业跨境数据转移的合规工作负担，但另一方面也有可能加重境内一方申请认证的法律责任。在申请数据跨境转移认证时，车企境内外各实体应彼此支持，加强合力，以避免申请认证一方承担由申请认证导致的法律责任。

(三)“非典型性”数据出境行为

1.规定

根据《数据出境安全评估申报指南(第一版)》，以下情形属于数据出境行为：(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外；(2)数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；(3)国家网信办规定的其他数据出境行为。

2. 问题

常规理解的数据跨境转移为“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”，该种场景下境内数据的提供方和境外的接收方相对确定，跨境转移的路径和方式可以预设或预判，而“数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”场景下的数据跨境转移发生的时间、转移的路径和方式较难预设或预判，存在一定的偶发性，相比前一类出境出境而言是一种“非典型性”数据出境。假定一家大型的国内整车企业的主要业务集中在国内，按其业务体量和已经处理的个人信息数据、个人敏感信息数据的数量，该车企应完成数据出境安全评估才可进行数据跨境转移。由于其境外业务尚处于起步阶段，该车企尚未进行数据出境安全评估，如果其员工在境外商务旅行/休假期间通过该车企内网链接查询、调取、下载、导出重要数据和/或个人信息，是否违反若干规定第十一条的规定(重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估)？

3. 建议

类似上述车企员工境外商务旅行/休假期间远程查询、调取、下载、导出重要数据/个人信息的问题比较极端，但不在少数，如果一律要求车企严格遵照法律法规的规定执行对车企可能并不公平，实操上也做不到。我们建议车企一方面在建立自己的数据合规体系时尽量预判所有“非典型性”场景，设置合适的流程规制可能出现的不合规事件；另一方面在出现或可能出现某些无法预判、实操上也很难做到的需要完成前置审批流程的“非典型性”数据出境场景时，车企应主动及时与主管部门进行沟通，寻求主管部门对该等“非典型性”数据出境事件的处理方案的权威解读。

(四)汽车重要数据处理活动的年度报告义务

除了本文所述的个人信息保护影响评估、数据出境风险自评估、数据出境安全评估和其他流程要求外，车企还需关注年度报告义务。

根据若干规定，汽车数据处理者开展重要数据处理活动，应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况[21]，其中如涉及到向境外提供重要数据，还应当补充报告如下情况：(1)接收者的基本情况；(2)出境汽车数据的种类、规模、目的和必要性；(3)汽车数据在境外的保存地点、期限、范围和方式；(4)涉及向境外提供汽车数据的用户投诉和处理情况；(5)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。[22]

当下，中国汽车产业的全球化布局已呈现出高速增长态势。2022年，中国车企出口突破300万辆，达到311.1万辆，同比增长54.4%，有效拉动行业整体增长。新能源汽车成为了当之无愧的增长引擎，2022年全年新能源乘用车出口量为67.9万辆，同比增长1.2倍。[23]经过十几年的深耕，中国车企自主品牌出海的方式已经从单纯的出口贸易模式逐渐进化为海外建厂、当地采购零部件、生产并销售的“因地制宜”模式，中国汽车由此从“低质低价”更新为高品质、高技术、高智能的代言，并带动中国制造国际形象进一步跃升。[24]

重要数据和个人信息的出境一直以来都是数据合规中的一大难题，对于车企而言更是重中之重。国内主流车企的年度销量上百万辆和几十万辆级的不在少数，主流的新能源造车新势力的年度销量也已超过十万辆级。该等主流车企的客户和潜客数量几十万、几百万甚至超过千万不足为奇，其处理和积累的个人信息数据堪称海量。该等车企的业务基本上全球布局，其处理的数据量极易触发数据出境安全评估流程。建议车企梳理其已布点业务的国家和地区，如果对该等国家和地区提供的数据量已触发但尚未完成安全评估流程，则应尽快启动并完成数据出境安全评估流程，以保证数据出境的合规。

随着《网络安全法》《数据安全法》《个人信息保护法》的相继发布生效，与之配套的行政规章、行业标准等文件相继出台，各地网信办也陆续公开了咨询通道，为车企的实践给予指导。现在的数据出境监管路径相较前些年已更为清晰，但由此导致监管部门对车企数据出境提出了更高的监管要求。车企应随时关注数据出境最新立法和监管动向，及时更新和调整其应对措施，以保证其数据跨境活动的合规性，防范和化解可能的法律风险。

[1] 财联社1月12日讯(记者 刘阳)，“2022车市盘点之海外篇：2022年整车出口大涨54.4%、居全球第二 中国智造“加大电门”向前冲”， https://new.qq.com/rain/a/20230112A04GKJ00。

[2] 《数据安全法》第三十一条。

[3] 《关键信息基础设施安全保护条例》第二条 本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[4] 《个人信息保护法》第三十八条。

[5] 《汽车数据安全管理若干规定(试行)》第十一条。

[6] 《数据出境安全评估办法》第四条。

[7] 《个人信息保护法》第十七条。

[8] 《个人信息保护法》第三十九条。

[9] 《个人信息保护法》第三十九条。

[10] 《个人信息保护法》第五十五条。

[11] 《个人信息保护法》第五十六条。

[12] 《数据出境安全评估办法》第六条。

[13] 《数据出境安全评估办法》第七条。

[14] 《数据出境安全评估办法》第十二条。

[15] 《数据出境安全评估办法》第八条。

[16] 《数据出境安全评估办法》第十七条。

[17] 《个人信息出境标准合同规定(征求意见稿)》第四条。

[18] 《个人信息出境标准合同规定(征求意见稿)》第五条。

[19] 《个人信息保护法》第五十三条。

[20] 《网络安全标准实践指南--个人信息跨境处理活动安全认证规范》1.适用情形；2.认证主体。

[21] 《汽车数据安全管理若干规定(试行)》第十三条。

[22] 《汽车数据安全管理若干规定(试行)》第十四条。

[23] 财联社1月12日讯(记者 刘阳)，“2022车市盘点之海外篇：2022年整车出口大涨54.4%、居全球第二 中国智造“加大电门”向前冲”， https://new.qq.com/rain/a/20230112A04GKJ00。

[24] 《中国车企全球化战略持续提速》，来源：《经济参考报》，载于https://auto.youth.cn/xw/202202/t20220218_13458988.htm。