我国自动驾驶企业出海步伐加快，汽车数据出境问题引发关注。近日，工业和信息化部等八部门起草的《汽车数据出境安全指引（2025版）（征求意见稿）》发布，并面向社会公开征求意见。《指引》提出必须申报数据出境安全评估的多种情形，驾驶自动化场景正是情形之一。针对具体场景，《指引》进一步明确需申报数据出境安全评估的重要数据类型与判定标准。

业内人士表示，自动驾驶企业的重要数据包括三大类：车辆运行状态数据，道路环境和人员数据，车内人员隐私数据。除了通过政策标准约束，企业还须建立数据安全管理制度，并可通过技术手段进行全链条管控，如建立数据跨境流动风险预警系统，及时识别、评估风险。

重要汽车数据出境应申报安全评估

根据《指引》，汽车数据处理者是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。汽车数据处理者将在境内运营中收集和产生的汽车数据传输至境外，或收集和产生的汽车数据存储在境内，境外的机构、组织或个人查询、调取、下载、导出，均属于数据出境行为。

《指引》提出，汽车数据处理者如向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息），累计向境外提供1万人以上敏感个人信息，应当申报数据出境安全评估。

重要数据包括研发设计场景中的产品研发、产品测试数据，生产制造场景中的物料清单、生产控制程序源代码，驾驶自动化场景中的算法、算法训练数据、算法特征数据，此外还有软件升级服务场景、联网运行场景中的相关数据。

例如，《指引》拟规定，驾驶自动化算法训练数据，包括训练影像及消息集，即用于训练、验证组合驾驶辅助或自动驾驶算法模型的初始数据集，包括文本、视频、图像、音频等；驾驶员决策数据集，即用于训练、验证组合驾驶辅助或自动驾驶算法模型的驾驶员决策数据集，包括档位信息、加速踏板开度、刹车踏板开度、方向盘转向角等；还包括组合驾驶辅助或自动驾驶系统决策或预测规划数据集、运行数据集等。

智驾数据安全风险大

今年以来，我国自动驾驶企业出海动作频频。5月，百度创始人李彦宏宣布，旗下智能辅助驾驶企业萝卜快跑已覆盖全球15座城市，部署超1000辆无人车，并在迪拜进行开放道路验证测试。小鹏汽车董事长何小鹏称，将加快步伐，把自动驾驶技术引入香港。Momenta、文远知行分别宣布与Uber达成合作，部署智能辅助驾驶业务。

智能网联汽车运营过程中的数据安全问题一直备受关注。因为这类汽车在行驶和运营过程中涉及大量数据，一旦管理不当遭遇泄露、被恶意调用或被黑客入侵获取，都将带来安全风险。

根据研究机构Upstream发布的《2023年全球汽车行业网络安全报告》，全球汽车行业在此前5年中因网络攻击遭受的损失超过5000亿美元，近70%的汽车安全威胁来自远程网络攻击行为。2021年至2023年，全球公开发布的汽车网络安全事件超过1300起。

记者了解到，一辆新能源智能网联汽车所需的各类传感器有200多个，这些感知设备让汽车“更聪明”，更个性化，但也加剧了数据安全隐患。相关研究机构估算，一辆自动驾驶测试车辆每天产生的数据量最高可达10TB，是传统燃油汽车的5-10倍。根据预测，到2025年，具备L2级辅助驾驶功能的乘用车渗透率将超过70%，每年上传云端的数据将超过7万PB，高级别自动驾驶车辆的数据规模将更加庞大。

德勤中国科技与转型网络安全合伙人肖腾飞告诉记者，智能网联汽车的重要数据包括三大类：车辆运行状态数据，道路环境和人员数据，车内人员隐私数据。这些数据一旦被泄露、窃取，则会对企业的声誉造成影响，损害消费者权益。

一位了解出境数据安全的律师对记者表示，采用纯视觉方案的自动驾驶汽车所收集到的大量环境信息数据，必须以极高等级进行安全管理，一般企业都遵从运营数据本地化存储的要求；此外，智能辅助驾驶企业也会收集到车主以及乘客的信息数据，应做好消除隐私处理，再用于模型优化或技术分析。

盛邦安全董事长权小文告诉记者，智能辅助驾驶领域比较敏感的数据包括摄像头数据和激光数据、GPS数据、交通环境流量数据、高精地图数据、车机运行数据等。相关公司须建立完善的数据安全管理制度，加强数据安全治理。

加强风险预警监测

针对自动驾驶领域的数据安全风险，不少从事数据安全、网络安全业务的专业人士建议，要进一步完善政策标准，同时增强技术监测手段。

绿盟科技集团首席创新官刘文懋向记者表示，建议出台与整车信息安全技术要求相关的强制性国家标准，督促相关企业落实安全要求。此外，建议研发部署车辆内部的安全监测产品，既能及时发现被攻击的隐患，也能满足监管方需求。

权小文表示，防范跨境数据安全风险，除了通过政策标准约束以外，必须同时通过技术手段进行全链条管控，目前隐私计算、联邦学习是数据脱敏的主要技术手段。

中国政法大学教授郑飞表示，各国都对跨境数据安全做了相关规定，了解和遵守这些规定是自动驾驶企业出海的第一步。同时，自动驾驶企业确实可以通过创新技术手段来解决跨境数据安全问题。例如，对在不同国家产生的数据采取本地化存储，采用数据脱敏与匿名化处理措施、降低数据泄露风险，采用更具安全性的密码技术进一步提升数据传输与存储的机密性，实施数据全生命周期管理措施、建立完善的数据全生命周期管理制度等，确保数据在收集、存储、使用、传输和销毁等生命周期各环节的安全性。此外，还可以建立数据跨境流动风险预警系统，通过数据分析和模型预测来识别、评估风险等级，并发出预警信号。

文远知行创始人兼CEO韩旭此前在接受记者采访时表示，随着全球化业务推进，公司已经花了很多时间和资源投入在数据安全合规上，之后可能还会再继续加强。