上海市車聯網協會&盈科：2024汽車出海全產業數據安全合規發展白皮書（118頁）.pdf

《上海市車聯網協會&盈科：2024汽車出海全產業數據安全合規發展白皮書（118頁）.pdf》由會員分享，可在線閱讀，更多相關《上海市車聯網協會&盈科：2024汽車出海全產業數據安全合規發展白皮書（118頁）.pdf（118頁珍藏版）》請在三個皮匠報告上搜索。

1、汽車出海全產業數據安全汽車出海全產業數據安全合規發展白皮書合規發展白皮書202406汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書聯合發布單位聯合發布單位上海市車聯網協會、盈科全球數據合規服務中心、同濟大學上海國際知識產權學院、談思實驗室、阿維塔汽車、極氪汽車、上海汽檢、上研智聯、上海工創中心、中汽研上海、上海農商銀行、上海銀基、梆梆安全、潤成安全、TV 南德意志集團、知行科技編委成員編委成員郭衛紅、阮大治、徐明、李文龍、姜斯勇、陳慧、張芷源、李景欣、尹小姣、葛若蕓、周一瓊、李宣瑤、謝冰姿、蘇牧辰、黃勇、朱志博、朱文勇、韓建偉、常利、馮駿、高小峰、滕添益、趙梓健、宋文

2、霄、趙劍、都大衛、張舒航、郭春辰、戴志成、楊偉利、潘政偉、宋曉航、汪敏智、鄭忠斌、凌穎、李海斌、郭潤卿、孫權、路寬、周均暉、吳雨欣、王圓圓、王澤含、李峰、何旺君、楊青、盧佐華、敖巧圓、張效藩、杜穎杰、張廷、傅瑛雪、李爽、嚴超、方華、張書源、韓疏桐、宋煒瑾媒體支持媒體支持談思汽車、網數法合規圈汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書汽車出海全產業汽車出海全產業數據安全合規發展白皮書數據安全合規發展白皮書目錄目錄前言.1第一部分 汽車行業發展狀況.2第一章 汽車出海市場規模.2一、我國汽車出海發展歷程.2二、我國汽車出海區域分布.3第二章 汽車出海模式.5一、模式一

3、：產品出海.5二、模式二：品牌出海.5三、模式三：供應鏈出海.7第三章 汽車出海的產業鏈概況.8一、概況.8二、部分產業鏈場景解析.9第四章 汽車出海趨勢.18一、趨勢一：加快全球化市場布局+供應鏈優化.18二、趨勢二：能源技術革新+卡位產業升級.19三、趨勢三：因地制宜策略+屬地化發展.19四、趨勢四：國際化人才戰略+本地團隊建設.20五、趨勢五：后市場體系能力+本土化服務.20六、趨勢六：海外合規風險加劇+可持續發展.20第二部分 汽車出海網絡安全及數據安全.22第一章 汽車出海中的網絡安全.22一、汽車網絡安全測試.22二、主機廠的安全體系.25三、汽車軟件供應鏈安全.28汽車出海全產業

4、數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書四、汽車芯片信息安全.30五、可信計算在車聯網安全的應用.31第二章 汽車出海中的數據安全.35一、自動駕駛安全監管.35二、汽車數據安全部署與建設.38第三部分 汽車出海數據合規全球法律政策與合規義務.42第一章 汽車行業出海合規義務概述.42一、產品準入認證.42二、外資準入限制.42三、貿易壁壘.42四、知識產權.43五、企業實體設立.43六、數字營銷.43七、能源和環境保護.43八、數據合規.43第二章 汽車全產業主要數據合規義務.45一、汽車全產業主要數據合規義務概覽.45二、汽車產業出海中的中國數據出境合規.46三、出海目標

5、國數據合規義務解析.50第四部分 汽車行業出海展望與建議.90第一章 汽車出海市場前景.90一、中國政策利好汽車產業鏈出海.90二、歐美對中國新能源汽車產業鏈進口的限制政策.90三、東南亞各國出臺政策扶持新能源汽車產業發展.94第二章 汽車出海的合規建議.95一、開展出海前的合規體檢.95二、內部合規文化建設與合規意識提高.95三、外部與數據監管機構保持良好溝通.95第三章 汽車出海的挑戰.96汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書一、不斷變化的政策.96二、市場準入與數據合規要求.97三、品牌認知度和信任度.98四、技術本地化與知識產權風險.99五、文化和管

6、理差異帶來的經營挑戰.99六、國際競爭帶來的壓力挑戰.99七、境外投資合規風險.100八、境外運營合規風險.100第四章 汽車出海的策略與建議.101一、加大汽車出海政策支持力度.101二、提高國際專利制定的參與力度.101三、推動國內與國際標準之間的互認.101四、加強企業海外建廠的能力.101五、促進汽車相關產業鏈企業協同出海發展.102聯合發布單位簡介.103汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 1 頁 共 113 頁前言前言隨著汽車產業數字化轉型帶來的巨大機遇，數據隱私保護面臨著前所未有的挑戰。2022 年 12 月，工業和信息化部印發工業和信息化

7、領域數據安全管理辦法（試行），以規范工業和信息化領域數據處理活動；2024 年 3 月，上海市通信管理局啟動“鑄盾車聯”行動，從 6 大方面進行部署推進。數據隱私保護不僅關乎企業的法律責任，更關乎企業的品牌形象、消費者信任以及社會的整體福祉。汽車產業作為數據密集型行業，無論是整車廠還是零部件供應商，想要開拓海外市場，就意味著需要面臨因各法域法律差異而產生的合規壓力。近年來，隨著各國立法日益完善、執法案例逐漸增多，如何在遵守法律法規的前提下抓住處于關鍵發展期的全球汽車市場，成為車企出海前必須面對的課題。我們持續關注國內外相關法律法規和監管動態，根據對全球汽車市場發展現狀的觀察，撰寫并發布本汽車出

8、海全產業數據安全合規發展白皮書。在這份白皮書中，我們將詳細介紹歐洲、美洲、中東、東南亞等諸多車企出海熱門地的數據保護、數據安全有關法律法規，并結合細分場景，對整車廠、零部件供應商、系統供應商等產業鏈相關主體的數據安全合規義務進行分析，以期幫助中國車企在全球市場中實現數據安全和隱私保護的合規目標，助力身處時代風口的中國車企開拓廣闊的全球市場。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 2 頁 共 113 頁第一部分第一部分 汽車行業發展狀況汽車行業發展狀況第一章第一章 汽車出海市場規模汽車出海市場規模一、一、我國汽車出海發展歷程我國汽車出海發展歷程在全球經濟一體化

9、的趨勢下，中國汽車行業的出海戰略已成為推動產業持續發展的重要動力。歷經數十年的積累與發展，中國汽車產業已從初期的模仿與跟隨，逐步轉變為自主創新與全球布局。如今，隨著新能源汽車技術的不斷突破和市場需求的日益增長，我國汽車行業正迎來前所未有的出海機遇。（一）政策推動與市場響應自 2019 年起，我國汽車行業出海進程顯著加速，這一趨勢得益于國家層面出臺的一系列鼓勵并推動汽車出口貿易的政策。2019 年 12 月，商務部發布了 中國汽車貿易高質量發展報告，其中首次明確指出新能源汽車有望成為未來拉動汽車出口的新興動力。2023 年 12 月，商務部聯合其他八個部門進一步出臺了 關于支持新能源汽車貿易合作

10、健康發展的意見。該政策從六個不同方面為新能源汽車的國際貿易合作提供了全面且多層次的支持與保障措施。進入 2024 年，二手車出口也迎來了新的機遇。商務部等五部門在 2024 年 2月發布了關于二手車出口有關事項的公告，宣布從同年 3 月 1 日起全面開放二手車出口，以期推動二手車出口的健康和有序發展。（二）市場開拓與銷量雙增長回顧歷史，我國汽車的出海之路始于 2011 年，當時比亞迪首次以純電動客車的身份參展比利時客車展，這一舉動可以被視為中國汽車出海的重要起點。在過去的十余年中，尤其是近三年，中國汽車品牌的出口銷量占比持續攀升。數據顯示，2021 年中國汽車出口量達 201.5 萬輛，成為全

11、球第三大汽車出口國；2022年，中國汽車出口量達 340 萬輛，超過德國，成為僅次于日本的全球第二大汽車出口國；2023 年，中國出口汽車 522 萬輛，同比增長 56%。中國汽車出口量首次超過日本成為世界第一大汽車出口國，且中國自主品牌在出口銷量中的占比已經達到了 33.9%。2023 年全球汽車銷量排行榜排名前二十的品牌中，中國汽車品牌占據了 25%，比亞迪、吉利、奇瑞、長安、上汽等均位列其中。據相關數據，汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 3 頁 共 113 頁預計到 2027 年，中國汽車出海市場規?？蛇_ 1631.8 億美元，汽車出口量可達到7

12、00.1 萬輛。在市場初期階段（2011 年至 2017 年），中國汽車主要銷售市場集中在亞非等欠發達國家和地區，主打車型的價格也大多在 1 萬美元左右。然而，隨著技術的進步和市場的拓展，情況發生了顯著變化。2018 年，上汽名爵和上汽 MAXUS 開始向海外市場銷售新能源汽車，標志著中國汽車出口結構開始轉型升級。而真正的快速增長則始于 2021 年，當時全球疫情嚴重沖擊了海外汽車供應鏈，但中國新能源汽車的海外銷售卻呈現出勢不可擋的態勢。在隨后的三年里，中國每年出口的新車數量增長均超過 100 萬輛。海關總署數據顯示，2023 年中國向歐洲出口了 64 萬輛純電動汽車，占總出口量的 41.27

13、%；向東南亞出口 31 萬輛純電動汽車，占比 20.09%。（三）新舊能源并存，供應鏈優勢凸顯盡管新能源汽車的出口在近年來呈現出強勁的增長勢頭，但燃油車仍然是中國汽車出口的主要產品。2023 年的數據顯示，燃油車占總出口量的 75.5%。然而，電動車的出口也在穩步提升，去年約出口了 120.3 萬輛，其中特斯拉、比亞迪和上汽名爵成為出口量最多的品牌。在新能源汽車領域，中國不僅展現出強大的整車制造能力，其供應鏈優勢也同樣明顯。動力電池作為新能源車的核心部件，成本占比超過四成。令人驕傲的是，全球 65%的動力電池由中國公司生產，而在全球銷量前五名的動力電池企業中，有三家來自中國。自 2022 年以

14、來，特斯拉和眾多中國車企開始轉向使用性價比更高的磷酸鐵鋰電池，而這種電池的生產技術目前主要掌握在中國企業手中，如寧德時代和比亞迪等。去年，僅寧德時代一家的動力電池供應量就占據了全球的 37%。二、我國汽車出海區域分布二、我國汽車出海區域分布隨著國內汽車市場的日趨飽和，我國車企紛紛將目光投向海外市場，以尋求更廣闊的發展空間。目前，我國車企的出海范圍已相當廣泛，覆蓋了歐洲、美洲、東南亞和中東等多個重要區域。歐洲市場：歐洲已成為中國汽車最大的出口目的地。據不完全統計，目前在歐洲汽車市場銷售的中國品牌約有 30 多個，2023 年總共出口了 82.3 萬輛汽車，汽車出海全產業數據安全合規發展白皮書汽車

15、出海全產業數據安全合規發展白皮書第 4 頁 共 113 頁其中比亞迪、吉利等品牌銷量領先。預計 2024 年，中國品牌汽車將占歐洲汽車總銷量的四分之一。然而，歐洲加強了貿易保護、低碳管理政策，對我國新能源汽車在歐洲的發展產生了一定影響。美洲市場：在美洲，尤其是北美洲和中南美洲，汽車產量規模龐大，約占全球汽車產量的 20-25%。美國市場對中國汽車的進口量本就相對較少，且近期美國政府宣布對源自中國的智能汽車展開調查，并對中國電動汽車加征關稅，這無疑增加了中國車企進入美國市場的難度。盡管如此，墨西哥市場仍是中國汽車產業出海的主要目的地之一，2023 年中國向墨西哥出口了 41.5 萬輛汽車，而且墨

16、西哥也是車企建廠的目的地之一。俄羅斯市場：2023 年，中國向俄羅斯出口了 90.9 萬輛汽車，同比增長高達468.1%，使俄羅斯成為中國汽車出口的最大單一市場。然而，由于國際形勢的影響，俄羅斯的出口量存在不確定性與不穩定性。中東市場：中東地區汽車銷量逐年增加，尤其是沙特、阿聯酋等國消費者對中國汽車的接受度越來越高。隨著一帶一路倡議的推進和新能源汽車的興起，中東市場正成為中國汽車品牌走出去的有力支撐點。東南亞市場：東南亞市場在中國汽車出口中的地位日益凸顯。東盟國家和中國簽署了 RCEP 自由貿易協定，有助于促進我國和東盟國家在電動汽車領域的合作。泰國等東南亞國家出臺了一系列優惠政策吸引外資投資

17、建廠，多家中國車企已在東南亞建立生產基地。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 5 頁 共 113 頁第二章第二章 汽車出海模式汽車出海模式目前我國汽車出海模式有以下三種。一、模式一一、模式一：產品出海產品出海產品出海即整車或零部件直接出口，在國內完全組裝好的車輛或零部件產品直接銷售海外市場，是最直接的出海方式。產品出海的第一代以燃油車為主，靠價格優勢贏得海外市場，2021 年以前主要出口到發展中國家和地區，如中東、非洲和拉美等地，這些地區對價格敏感，且對汽車的需求量較大?，F在則是燃油車與新能源車并行的局面，且新能源車普遍銷售均價較高，這主要得益于中國新能

18、源車在電池技術、智能駕駛等方面的領先優勢，使得產品具有較高的附加值。2022 年開始出口新能源乘用車以純電動為主，新能源滲透率約為 27%，與國內新能源滲透率基本相當。二、模式二二、模式二：品牌出海品牌出海品牌出海又可細分為兩種方式：一種是在海外建廠，品牌直營。本地建廠主要分為散件組裝（CKD）或半散件組裝（SKD），散件組裝模式將涉及出口車輛的所有零部件運送至海外市場，在當地工廠進行組裝；而半散件組裝則出口部分組裝好的部件。這兩種組裝方式均適用于有當地政府及政策支持的國家，以及海外市場份額較大的車企，不僅能降低關稅、跨境運輸的風險，還能幫助企業加速提高當地的品牌影響力。劣勢則是投資成本高，建

19、設周期長。目前奇瑞汽車、長城汽車、上汽集團等在俄羅斯、泰國等地建立的工廠都采用了這類模式。另一種則是通過投資或收購海外汽車品牌。更適合資金相對充裕的車企，伴隨的財務風險也相對較高。近年來，越來越多的車企開始選擇在海外投資建廠，以打通供應鏈關鍵環節，并實現基于規?；碌慕当驹鲂?。中國車企從產品輸出到在本土化生產，是一個重要的分水嶺，標志著中國車企從“出口”真正進入“出?！彪A段，而在海外建廠，亦是更好解決中國車企“出?！睍r面臨的貿易政策保護問題。但是品牌出海除了工廠制造外，更重要的是前端的銷售模式，一些主機廠選擇在目標市場直接建立銷售網絡和售后服務體系，以加強品牌控制力和市場響應汽車出海全產業

20、數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 6 頁 共 113 頁速度，其他大部分則通過與海外企業的合作共同開發市場，如與當地經銷商或制造商的合作，以及參與國際汽車巨頭的供應鏈體系。例如奇瑞等自主整車品牌建設海外本土化的商務管控中心，全面監督當地提升銷售服務網點的體系能力，自主品牌在當地市場的口碑越來越好。上汽集團泰國上汽集團與泰國正大集團合資，2021 年投產印度名爵印度工廠，2019 年 4 月投產印尼上汽通用五菱 2017 年投產巴基斯坦等KD 組裝廠長城汽車俄羅斯圖拉工廠 2019 年投產泰國羅勇工廠 2021 年投產伊朗、保加利亞，馬來西亞，突尼斯，厄瓜多爾等KD

21、組裝廠吉利汽車馬來西亞寶騰 KD 組裝廠俄羅斯、印度尼西亞KD 組裝廠長安汽車巴基斯坦等KD 組裝廠奇瑞汽車巴西總裝、焊裝、涂裝三大產線比亞迪泰國2024 年建成烏茲別克斯坦2024 年投產匈牙利2025 年建成表【1】：部分車企海外建廠布局（數據來源：公開信息、太平洋汽車網、國泰君安）對于中國車企而言，全球化戰略的價值遠超過單一的產品輸出，它是一個多維度的進化過程，包括產品、設計理念、發展戰略、市場定位以及品牌形象的全面升級與國際化。在這一過程中，中國車企不僅需要將高質量的產品推向全球市場，更需要在國際舞臺上塑造出具有辨識度和吸引力的品牌形象。汽車出海全產業數據安全合規發展白皮書汽車出海全產

22、業數據安全合規發展白皮書第 7 頁 共 113 頁三、模式三三、模式三：供應鏈出海供應鏈出海供應鏈出海即整車企業與零部件供應商抱團出海，整車帶動零部件企業以實現就近配套。被選擇的零部件企業需要具備技術能力強、是核心零部件或是核心供應體系、綜合成本低于本土供應商等優勢。供應鏈出海不僅降低整車的生產成本，還能提高生產效率，助力整車企業與零部件供應商共同提升品牌影響力。根據中國海關總署的數據，2023 年中國汽車配件出口產品主要包括以下幾類：動力傳動系統部件、底盤系統部件、車身部件、電氣系統部件，以及輪胎、潤滑油、冷卻液、濾芯等其他配件。其中動力傳動系統部件是我國汽車配件出口的主要產品類別，出口額占

23、總出口額的 30%。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 8 頁 共 113 頁第三章第三章 汽車出海的產業鏈概況汽車出海的產業鏈概況一、一、概況概況12023 至 2024 年間中國汽車出海的產業鏈概況，大致可從“汽車產品出海概況”“產能出海概況”“產業鏈出海概況”三個方面進行分析。（一）汽車產品出海概況1、新能源汽車（氫燃料電池和動力電池）產品：2023 年，中國新能源汽車出口表現強勁，出口量達到 120.3 萬輛，同比增長 77.6%。2、燃油車產品：中國燃油車出口量大幅度提升，2023 年出口量達到 334 萬輛，同比增長 51%。3、二手車（新能

24、源和燃油車）產品：2023 年，中國二手車出口規模由 2019年的 3000 多輛增長到 2022 年的近 7 萬輛。出口的二手車中，新能源車約占 70。4、零部件廠商產品：隨著中國汽車產業的整體大步向前，汽車零部件企業在國際市場上也取得了顯著的成績，如寧德時代、比亞迪、孚能科技、遠景動力和億緯鋰能等動力電池企業紛紛邁出了國際化的步伐，在海外市場投資建廠。（二）產能出海概況1、新能源汽車（氫燃料電池和動力電池）海外建廠：在海外市場投資建廠已逐漸成為中國車企國際化發展戰略布局的“常規操作”之一。如億緯鋰能子公司億緯匈牙利宣布，擬在匈牙利德布勒森建設 45 萬平方米的生產基地，用于投1參考文獻：1

25、.比亞迪官方公告及新聞報道2.小鵬汽車公司新聞及市場報告3.蔚來公司年度報告及市場調研4.長城汽車出口數據及第三方市場分析5.上汽集團出口數據及新聞發布6.廣州汽車集團二手車出口計劃7.華域汽車系統股份有限公司國際業務發展報告8.寧德時代歐洲市場布局數據及公司公告9.華為新能源汽車相關研發和生產數據10.吉利汽車在俄羅斯市場的擴展計劃汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 9 頁 共 113 頁建大型圓柱乘用車鋰離子動力電池產能。此外，億緯鋰能還在馬來西亞、泰國等地規劃建廠。國軒高科在德國、印度、越南等地布局了海外生產基地。2、燃油車產品海外建廠：中國汽車品

26、牌在海外市場的布局不僅限于出口整車，還包括在海外建立生產基地。例如，長城汽車選擇在俄羅斯的俄圖拉市建廠；吉利汽車選擇在白俄羅斯的明斯克地區建廠。（三）產業鏈出海概況1、新能源汽車（氫燃料電池和動力電池）產品配套的零部件供應商海外建廠：中國汽車零部件企業也在加速全球化業務布局，跟隨整車企業的出海步伐，在海外建立生產基地或與當地企業合作，以提供更好的本地化支持。例如，和大工業（Hota Industrial Mfg）已經著手準備在美國建立第一家工廠。2、燃油車產品配套的零部件供應商海外建廠：為了更好地服務海外市場，一些燃油車產品配套的零部件供應商也選擇在海外建廠。例如，均勝電子在波蘭和羅馬尼亞等地

27、建立了汽車電子生產基地，為歐洲的汽車制造商提供配套服務。3、汽車出海市場本土化售后服務：為了提高客戶滿意度和品牌形象，一些車企在海外市場建立了本土化的售后服務體系。例如，奇瑞汽車在俄羅斯建立了多家售后服務中心，提供維修、保養、零部件提供等服務。4、汽車出海銷售模式直營和經銷并存：中國車企在海外市場的銷售模式也日益多樣化，既有直營模式，也有經銷模式。例如，領克汽車在歐洲市場采用了直營模式，通過自己的品牌展廳和電商平臺銷售汽車；而奇瑞汽車則在俄羅斯市場采用了經銷模式，與當地的經銷商合作，共同開拓市場?？傮w而言，近兩年中國汽車產業鏈出海在產品出口、產能建設和產業鏈配套方面取得了顯著進展，不僅是新能源

28、汽車和零部件出口增長迅速，海外建廠布局加速，同時配套供應鏈、本土化售后服務和多樣化銷售模式的全球化布局也日益完善。二、二、部分產業鏈場景解析部分產業鏈場景解析（一）產品設備：汽車 APP1、汽車、汽車 APP 的發展與應用的發展與應用汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 10 頁 共 113 頁隨著智能網聯汽車技術的快速發展，汽車制造商和供應商正積極的提供大量的車輛配套 APP 或者第三方 APP 來為用戶提供各種遠程服務。這使得用戶可以方便的使用其智能設備控制車輛的關鍵功能，如通過 APP 跟蹤車輛位置、打開車門、啟動發動機、打開輔助設備等。通?？梢詫⑵?/p>

29、車 APP 分為車載 APP 和移動 APP 兩大類。（1）車載 APP車載 APP 是指安裝在汽車內部信息娛樂系統中的應用程序。根據車載信息娛樂系統使用的操作系統，車載 APP 主要可分為 Android APP、QNX APP、LinuxAPP。通過車輛的觸摸屏控制，車載 APP 能夠提供導航、音樂播放、電話等服務。（2）移動 APP移動 APP 是指安裝在移動智能設備上的應用程序，通過無線連接（如藍牙、Wi-Fi、4G/5G）與汽車進行通信。根據智能設備使用的操作系統，移動 APP 主要可分為 Android APP、iOS APP、鴻蒙 APP 等。這類 APP 可以遠程控制汽車的門鎖

30、、啟動引擎、查詢車輛狀態等。此外，還有一種移動 APP 是小程序，它是一種無需下載安裝即可使用的輕量級應用，通常運行在微信等超級 APP 中，可以提供簡單的車輛控制、服務預約、信息查詢等功能。2、汽車、汽車 APP 面臨的主要風險面臨的主要風險汽車 APP 及其提供的豐富的遠程服務雖然為用戶提供了便捷的用車體驗，但也為攻擊者對汽車實施攻擊提供了方便。2024 年 1 月，OWASP 組織發布了針對 APP 的如下 10 大網絡安全風險：憑證使用不當、供應鏈安全保護不當、不安全的認證和授權、無效的輸入輸出驗證、不安全的通信、隱私控制不足、代碼保護不足、錯誤的安全配置、不安全的數據存儲、加密不足。

31、這些風險在汽車 APP中也是普遍存在的問題。2017 年 2 月，研究人員發現在現代汽車 Blue Link 移動應用存在敏感信息泄露漏洞，該漏洞可導致用戶的賬號、密碼、PIN 碼、車輛位置等敏感信息泄露。攻擊者可利用該漏洞獲得用戶車輛的詳細信息，不僅可以定位車輛位置，甚至還可以遠程控制其車輛。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 11 頁 共 113 頁2022 年 7 月，某機構發布的一份公告中警告 MiCODUS MV720 車載定位跟蹤器中存在多個安全漏洞。攻擊者可以利用 APP 中硬編碼的服務訪問憑證冒充用戶直接向 MV720 跟蹤器發送命令，通

32、過該漏洞攻擊者可以實時跟蹤車輛位置，切斷車輛燃料并解除汽車警報。2023 年 11 月，TOP10VPN 發布了一份關于中國出口電動車數據隱私問題的調查報告，通過對 10 個中國電動汽車出海品牌的車輛和移動 APP 的數據隱私風險進行分析，該報告指出了多個隱私相關問題，包括：隱私政策不符合標準，超范圍收集隱私數據，APP 申請多個風險權限等。綜上，汽車 APP 安全風險的來源主要還是 APP 的設計、編碼和配置過程。比如設計不當就可能導致憑證使用不當、不安全的認證和授權、不安全的數據存儲等風險問題。而編碼錯誤也可能導致憑證使用不當、代碼保護不足、加密不足等風險問題。企業只有針對這些風險問題的根

33、源進行解決，才能有效的防止此類問題的發生。3、汽車、汽車 APP 的安全保護方案的安全保護方案為了全面保障汽車 APP 的安全，應該在其生命周期的每個階段（包括需求、設計、開發、測試、發布和運維）都采取恰當的安全控制措施，具體而言：（1）需求階段企業應明確汽車 APP 的網絡安全需求。這些需求通常主要來源于監管法規要求和應對 APP 安全風險的要求（如 OWASP MASVS）。企業可以建立專屬的網絡安全需求庫，在具體項目開發時，從中選擇匹配的需求，以抵御汽車 APP 可能面臨的安全風險。（2）設計階段企業需要基于網絡安全需求、APP 的業務功能和運行環境，制定詳細的網絡安全設計方案?？梢酝ㄟ^

34、威脅建模分析各業務功能可能面臨的威脅，并制定針對性的安全設計方案。還應該組織專家對設計方案進行評審，以完全確保設計方案的安全性。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 12 頁 共 113 頁（3）開發階段開發人員需遵守企業制定的安全編碼規范，使用安全的第三方組件（如加密組件）來保障 APP 安全。對開發完成的代碼進行 SAST（靜態應用安全測試）和SCA（軟件成分分析），以提前發現潛在的漏洞。（4）測試階段需要進行多種網絡安全測試，通過不同的測試方法，從多個維度發現 APP中可能存在的安全問題，最大限度的確保其安全性。主要測試方法包括網絡安全需求測試、SA

35、ST（靜態應用安全測試）、DAST（動態應用安全測試）、滲透測試、模糊測試和隱私合規評估等。（5）發布階段需確保前述階段已完成相應的安全控制措施。在正式發布前，需要對 APP包進行加固處理，以確保其可以抵御攻擊者的各種分析和攻擊，確保 APP 運行時的安全。（6）運維階段需對 APP 的運行情況進行持續監控，以便能及時檢測和發現可能的攻擊和異常行為。若 APP 進行功能更新或發生較大安全事件時，還需要重新進行隱私合規評估和滲透測試，確保其能持續符合隱私合規要求，并能保持安全的運行。（二）金融場景：跨境金融外匯業務合規及結算方式建議1.經常項目外匯業務辦理注意點經常項目外匯業務辦理注意點經常項目

36、，是指在國際收支中經常發生的交易項目，主要包括貨物貿易收支、服務貿易收支等。（1）收支企業名錄登記：目前國內主要采取“貿易外匯收支企業名錄”登記管理制度（年收匯或付匯累計金額低于等值 20 萬美元（不含）的，可免于辦理）。開展貨物貿易外匯收支業務的企業需在辦理首筆收支前，通過線上或線下方式向境內銀行提交貿易外匯收支企業名錄申請表進行登記，后續可通過“數字外管”平臺互聯網端查詢名錄登記辦理結果。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 13 頁 共 113 頁（2）貨物貿易外匯業務：企業應按照“誰出口誰收匯、誰進口誰付匯”的原則辦理貨物貿易外匯收支業務。企業辦理

37、離岸轉手買賣外匯收支業務，原則上應在同一家銀行，采用同一種幣種辦理收支結算。辦理貨物貿易外匯收支申報時，企業需向銀行提交：合同（協議）、發票、進出口報關單、進出境備案清單、運輸單據、保稅核注清單等有效憑證和商業單據。（3）服務貿易外匯業務：目前，企業針對單筆等值 5 萬美元以上的服務貿易需進行稅務申報及備案，取得稅務備案表后方可對外付匯。單筆等值 5 萬美元以下（含）的服務貿易外匯收支業務可免于進行交易單證的審核。稅務備案注意事項：a)對同一筆合同需要多次對外支付的，僅需在首次付匯前辦理稅務備案；b)外國投資者以境內直接投資合法所得在境內再投資等部分情況目前免備案；c)三種獲得和填報服務貿易等

38、項目對外支付稅務備案表的方式：通過電子稅務局等在線方式、稅務局官方網站下載并填報、主管稅務機關辦稅服務廳領取并填報；服務貿易外匯業務需提交的單據：a)包含交易標的、主體、金額等要素的合同（協議）；b)發票（支付通知）或列明交易標的、主體、金額等要素的結算清單（支付清單）；c)其他能證明交易真實合法的單證。（4）跨境貿易風險控制：在實踐中，企業可以通過選擇合適的結算方式、金融產品來控制國際貿易風險。結算方式結算方式匯款匯款托收托收信用證信用證定義進口方通過銀行，主動將款項出口方為向國外進口方收取銷售貨款或勞銀行依照進口方的要求和指示，對出口方發出的，授汽車出海全產業數據安全合規發展白皮書汽車出海

39、全產業數據安全合規發展白皮書第 14 頁 共 113 頁匯付給收款方的結算方式。務價款，開出匯票委托當地銀行代向進口方收款的結算方式。權出口方簽發以銀行或進口方為付款人的匯票，以保證在將來符合信用證條款規定的匯票和單據時，必定承兌和付款的保證文件。作用資金周轉速度快無需墊付資金資金融通方便，付款有保障特點基礎結算方式手續簡便費用低廉手續簡便費用適中銀行代之寄單獨立存在單證相符前提下，銀行承擔第一付款責任區別商業信用風險大客戶自行寄單商業信用風險次之銀行寄單，但不審單銀行信用風險最小銀行寄單，銀行審單表【2】：三大國際結算方式對比在國際貿易實操中，基于貨物流與資金流在時效上的差異，建議選用合適的

40、結算方式，以最大程度降低貿易風險：結算方式出口方進口方利弊利弊匯款-預付貨款先收款-貨物風險大匯款-賒銷-收款風險大先收貨-跟單托收-買方商業風險貨到付款-跟單信用證銀行付款承諾，收款有保障-遠期信用證延長賬期單據和貨物不對稱風險表【3】：國際貿易實操結算方式對比貿易融資方案：由于貨物流和資金流時效性的差異，在國際貿易實操中，企業可以通過合適的貿易融資產品以保障企業自身現金流的持續穩定。以下為常見的貿易融資產品，汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 15 頁 共 113 頁具體企業可以根據自身實際情況向結算銀行進行咨詢了解：交易環節貿易融資產品賣方出口生產

41、打包貸款、出口訂單融資出口銷售出口發票融資、出口信用證押匯、出口代付、信用證福費廷、短期出口信用保險項下貿易融資買方進口到貨提貨擔保、進口代收保付進口付款預付款融資、國際信用證開證、進口 T/T 押匯、進口代收押匯、進口信用證押匯、進口代付通用保函融資性保函、非融資性保函表【4】：貿易融資產品2、資本項目外匯業務登記注意點：、資本項目外匯業務登記注意點：企業應先到所在地銀行或外匯局辦理相關資本項目外匯登記手續。其中，境內機構直接投資外匯業務（即 ODI）、外債、跨境擔保和國內外匯貸款業務等境內企業較常涉及的資本項目經營內容，可向銀行申請辦理。辦理完成后，領取業務登記憑證（加蓋銀行業務專用章或外

42、匯局行政許可專用章），作為合規辦理資本項目下賬戶開立和資金匯兌等后續業務的依據。目前較常見涉及的業務種類及主要材料情況如下：業務內容登記申報材料境內機構境外直接投資前期費用登記、匯出前期費用登記：前期費用登記：1）境外直接投資外匯登記業務申請表；2）營業執照；3）資金來源證明、資金使用計劃和企業有關權力機構關于境外投資相關決議等真實性證明材料前期費用匯出：前期費用匯出：1）業務登記憑證2）資本項目信息系統銀行端打印的境外投資前期費用額度控制信息表；3）資金來源證明、資金使用計劃和企業有關權力機構關于境外投汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 16 頁 共

43、113 頁資的相關決議以及合同等真實性證明材料境內機構境外直接投資登記及變更、注銷登記境內機構境外直接投資外匯登記：境內機構境外直接投資外匯登記：1）書面申請，并附境外直接投資外匯登記業務申請表2）營業執照或注冊登記證明（多個境內機構共同實施一項境外直接投資的，應提交各境內機構的營業執照或注冊登記證明）。3）該筆境外投資相關主管部門對境外投資事項的批準、備案文件或無異議材料等。4）境外投資資金來源證明、資金使用計劃、企業有關權力機構關于境外投資相關決議等真實性證明材料境內機構境外直接投資外匯變更登記：境內機構境外直接投資外匯變更登記：1）書面申請，并附境外直接投資外匯登記業務申請表和業務登記憑

44、證2）該筆境外投資相關主管部門對境外投資變更事項的批準、備案文件或無異議材料等（按規定無需提供的除外）3）視具體變更事項，提供境外投資資金來源證明、資金使用計劃、企業有關權力機構關于境外投資的相關決議等真實性證明材料4）如新增境內投資者，應提供該境內投資者加蓋單位公章的營業執照或注冊登記證明境內機構境外直接投資外匯注銷登記：境內機構境外直接投資外匯注銷登記：1）書面申請，并附境外直接投資外匯登記業務申請表和業務登記憑證2）該筆境外投資相關主管部門對注銷事項的批準、備案文件或無異議材料等3）清算審計報告（境內機構未實際對外出資、境外投資企業沒有實際經營且無清算所得的無需提供）境內機構境外直接投資

45、資金匯出與利境內機構境外直接投資資金匯出：境內機構境外直接投資資金匯出：1）業務登記憑證2）資本項目信息系統銀行端打印的對外義務出資額度控制信息表3）境外投資資金來源證明、資金使用計劃和企業有關權力機構關于汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 17 頁 共 113 頁潤匯回境外投資的相關決議以及合同等真實性證明材料境外直接投資企業利潤匯回：境外直接投資企業利潤匯回：1）業務登記憑證2）境內投資主體依法獲得境外企業利潤的相關真實性證明材料表【5】：資本項目外匯業務登記所需材料汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 18 頁

46、 共 113 頁第四章第四章 汽車出海趨勢汽車出海趨勢產品出海對于汽車行業而言，不僅是市場擴張的機會，更是一次全方位的實力展示。相較于國內業務的發展，產品出海是該行業在全球范圍內的景氣度、企業的生產制造實力（包括產能規模和效率水平）、海外團隊的運營管理能力，以及對全球多樣化需求的快速響應能力等諸多能力的綜合展現。因此，產品出海無疑是對企業全面素質的一次大考。然而，需要明確的是，僅僅將產品銷往海外并不等同于在海外建立了穩固的業務布局。在海外設立生產基地或開展深入業務，所涉及的因素遠比單純的產品出口要復雜得多。這其中包括對當地政策的深入理解、稅收制度的適應、營商環境的評估，以及人才的招募與培養等。

47、這些前期的基礎準備工作，其復雜程度和所需投入的資源往往超出了許多企業的預期，因此，真正實現業務“出?！辈⒎且资?。從目前的市場動態和行業趨勢來看，未來 3-5 年的汽車行業出海趨勢，將主要體現在以下幾個方面：一、趨勢一：加快全球化市場布局一、趨勢一：加快全球化市場布局+供應鏈優化供應鏈優化2024 年 5 月，美國政府宣布對中國電動汽車等產品加征關稅提升至 100%。2024 年 6 月 12 日，歐盟委員會披露了對從中國進口的電池電動汽車（BEV）征收的臨時關稅水平，歐盟委員會對三家抽樣中國汽車生產商征收的關稅分別為：比亞迪 17.4%；吉利 20%；上汽集團 38.1%；中國其他參與調查但尚

48、未抽樣的電池電動汽車生產商將被征收 21%的加權平均稅，包括愛馳、江淮、寶馬、奇瑞、一汽、長安、東風、長城、零跑、蔚來、特斯拉和小鵬。從關稅征收的背景可以看到，美國和歐盟通過加征關稅，試圖保護本國的電動汽車產業免受中國產品的沖擊。這也從側面反映出中國電動汽車在國際市場上的影響力。未來中國汽車的出海之路必須降低對特定出口市場的依賴，從技術創新、海外生產制造、品牌服務提升以及全球供應鏈構建等多個維度進行全面布局。特別是在技術創新方面，中國汽車品牌需持續加大在電池技術、自動駕駛、智能網聯等領域的研發投入，力求保持技術領先優勢。同時，也需積極尋求與全球供汽車出海全產業數據安全合規發展白皮書汽車出海全產

49、業數據安全合規發展白皮書第 19 頁 共 113 頁應商和合作伙伴的深入合作，以優化供應鏈管理，降低生產成本，提升國際競爭力。二、趨勢二：能源技術革新二、趨勢二：能源技術革新+卡位產業升級卡位產業升級表觀上看，電動智能化驅動汽車制造成本的結構發生變化，電車時代，動力總成的硬件成本占比由燃油車的 25%增至新能源車的 50%，而智能車時代，整車價值或由 90%的硬件+10%的軟件轉向 40%的硬件+60%的軟件。往更深層上看，電動智能化驅動汽車的生產模式和商業模式發生了本質變化。新能源車時代，車企的核心技術由發動機和變速箱向三電系統轉移，同時三電系統簡化了傳統動力總成的制造難度和技術門檻，也驅動

50、車企的競爭要素由制造端向產品力轉移，大量碎片化的整車交付場景及服務化升級都是全新的挑戰，要求車企以需定產、加快車型迭代周期、縮短與消費者距離；而智能車時代有望強化汽車的消費品屬性，車企的核心競爭要素或將從硬件轉向軟件，同時未來的企業出海對物流的系統多接口對接能力及數據交互能力也有著極高要求，進而帶動全球汽車競爭格局和供應鏈格局發生巨變。我們看好電動智能化演繹下，卡位產業升級的電子信息、先進控制、人工智能等技術成為下一全球汽車產業重心的潛力。隨著生產代工、全球研發、人才共享等模式不斷涌現，把握市場機遇的車企或成為新一代全球龍頭車企。三、趨勢三：因地制宜策略三、趨勢三：因地制宜策略+屬地化發展屬地

51、化發展海外汽車貿易保護政策一般由限額、加征關稅到提高本地化生產的層層遞進。為降低成本并規避貿易摩擦，越來越多的中國車企選擇海外建廠模式助力出海。而合資建廠或是最快介入當地經營的方式。在決定海外工廠的選址時，地方政府的政策支持力度、交通物流的便利性，以及當地的人力成本，都是中國車企需要綜合考慮的關鍵因素。20 世紀的豐田集團利用石油危機和憑借低耗油經濟車成功打入美國市場，受到美國消費者青睞；然后利用日本政府 ODA 政策紅利打通東南亞銷售渠道，擴大市場份額；80-90 年代利用本土建廠突破歐洲車企保護政策，躍居歐洲市場日系車第一，這為中國車企提供了寶貴的經驗和借鑒。在塑造品牌形象和提供服務方面，

52、深入了解并適應不同國家和地區的消費者習慣變得尤為重要。隨著智能網聯汽車的興起，車輛的網聯功能和軟件服務在消費者購車決策中占據了越來越重要的位置。從歐洲到東南亞再到中東，從音樂、汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 20 頁 共 113 頁地圖，到語音等的使用上，不同的國家和地區的車主往往有不同的習慣。中國車企需要針對目標市場的特定需求進行定制化開發，同時不斷優化軟件服務以提升用戶體驗。然而，如何在控制成本和提供優質用戶體驗之間找到最佳平衡點，將是中國車企在出海過程中必須面對和解決的重大挑戰。四、趨勢四：國際化人才戰略四、趨勢四：國際化人才戰略+本地團隊建設

53、本地團隊建設為構建全球一體化的研發和銷售體系，中國車企正積極招募和培養具備國際視野和專業技能的人才。在管理團隊方面，中國負責人和外籍業務主管的搭配綜合表現最強，尤其是在與中國總部溝通協調、既有產品業務開拓、產品及服務本地化以及與當地合作伙伴及政府合作方面表現尤為突出。對于商務/市場等一線崗位，企業傾向于招聘本地雇員，以便業務順利開展。此外，為了促進本地就業、提升本地員工的技能和知識水平，以及加強企業與當地社會的融合，很多國家對外資企業的外派員工和本地員工的比例有明確政策要求，同時為了鼓勵外資企業增加本地員工的比例，一些國家可能會提供稅收減免、補貼或其他激勵措施。這對中國車企的國際化團隊建設管理

54、也是不小的考驗。五、趨勢五：后市場體系能力五、趨勢五：后市場體系能力+本土化服務本土化服務新能源汽車后市場服務指汽車售出后，圍繞汽車使用過程中的全部服務，包括維修、補能、保險、金融等眾多方面。隨著中國汽車在海外市場的保有量持續增長，對后市場服務的需求也日益增加。然而，當前中國汽車品牌在海外市場的后市場服務仍存在諸多不足。主要原因之一是對海外當地的政策、市場實際情況以及消費者真實需求不熟悉。另一方面，由于我國新能源汽車后市場同樣不成熟，進而導致新能源車企在后市場方面經驗不足。為提升后市場本土化服務能力，中國車企需要深入了解海外市場的消費者需求，建立完善的后市場服務體系，并持續提升服務質量。六、趨

55、勢六：海外合規風險加劇六、趨勢六：海外合規風險加劇+可持續發展可持續發展在中國汽車出海規模迅速擴大的同時，伴隨著的是各種法律合規風險的增加。這些風險涉及數據隱私保護、環境保護與可持續發展要求、反補貼政策、自動駕汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 21 頁 共 113 頁駛技術的法律監管以及廣告營銷法規等。此外，還需要密切關注國際法規的動態變化，確保企業運營始終符合最新的法律要求。（1）數據隱私合規風險，包括數據安全與隱私保護風險。由燃油車向智能網聯汽車/自動駕駛汽車的轉變過程中，汽車已成為繼手機之后的最大移動智能終端，因此將涉及大量的數據收集與處理工作，

56、數據隱私合規風險便成為智能網聯汽車的核心合規風險。2023 年 11 月 15 日，美國國會議員小組向百度、AutoX、Deeproute.ai、滴滴出行等 10 家在美國進行自動駕駛汽車測試的中國公司發出質詢，內容包含 13 個問題，其中包括在美國車輛測試期間收集數據的情況、在第三國處理上述數據的情況、向中國政府共享上述數據的情況、中國政府訪問上述數據的情況、公司內部設立黨委的情況等?；谝陨蠁栴}可以發現，美國監管意圖主要關注國家安全，而非隱私保護。（2）環境保護與可持續發展合規風險。隨著全球環保呼聲的增多，對于電池、碳排放等問題的重視程度正逐步提升。歐盟出臺的新電池法，就對中國企業現有的成

57、本增加、碳足跡管理基礎薄弱等問題發起了挑戰。為應對這些挑戰，車企需深化碳足跡研究，加快動力電池回收利用技術研發等。（3）反補貼合規風險。2023 年 10 月 4 日，歐盟委員會在沒有歐盟產業申請的情況下，自行對中國電動汽車發起反補貼調查。自動駕駛監管合規風險，本部分與數據隱私合規密切相關，盡管當前實務中相關執法工作規模與處罰數量并不顯著，但隨著自動駕駛級別的提升與各國監管模式的調整（由于自動駕駛尚處于發展階段，當前各國監管仍以產業促進為主），其在未來將會成為車企出海關鍵合規點之一。（4）廣告營銷風險。當前，線上營銷占比逐步提升，且更側重于采取個性化營銷方式，因此將引發個人信息保護、數據隱私處

58、理等數據合規問題，汽車電池流轉過程或將引發個人數據、商業秘密及國家安全數據等合規風險。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 22 頁 共 113 頁第二部分第二部分 汽車出海網絡安全及數據安全汽車出海網絡安全及數據安全第一章第一章 汽車出海中的網絡安全汽車出海中的網絡安全一、一、汽車網絡安全測試汽車網絡安全測試（一）汽車網絡安全測試的需求和必要性隨著智能網聯汽車搭載電子設備和智能系統的增加，將會提供更多的網聯訪問方式，致使智能網聯汽車的可攻擊面顯著變多。汽車制造商和零部件供應商在其產品開發過程中實施網絡安全測試，盡早發現和修復安全漏洞問題是降低其被攻擊可能

59、性的重要方法。除此之外，汽車網絡安全測試也是滿足汽車出海相關法律法規要求的重要措施。（二）汽車網絡安全測試對象汽車網絡安全測試的范圍涵蓋廣泛，主要包括整車、零部件、APP 和云服務這四大方面。其中整車測試是汽車網絡安全測試的核心部分，通常涉及車載通信、車輛外部連接接口、車輛軟件升級、車輛數據和代碼，以及車輛軟硬件漏洞等方面的測試。具有智能化和網聯化功能的零部件、汽車 APP 和云服務作為汽車網聯化和智能化的重要組成部分，其安全性也直接影響到汽車整體的安全水平。（三）汽車網絡安全測試關鍵技術汽車網絡安全測試技術主要涵蓋硬件、固件、通信協議、操作系統、應用軟件、數據和云端服務等多個方面。針對這些方

60、面進行安全測試時，需要重點關注相關的關鍵測試點，并使用可靠的測試工具進行安全測試。1、硬件安全測試、硬件安全測試硬件測試主要針對車輛的電子控制單元、通信模塊和其他電子設備。主要檢查設備 PCB 板是否有調試接口、敏感絲印信息、側信道分析等。常用測試工具包括示波器、邏輯分析儀、側信道分析儀等。2、固件安全測試、固件安全測試固件是硬件的操作指令集，對固件的安全測試主要包括安全啟動、漏洞掃描、靜態分析和動態調試等。通過對固件進行逆向工程，可以發現其中的安全漏洞和汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 23 頁 共 113 頁后門。常用工具包括 Binwalk、FA

61、CT、Ghidra 和 IDA Pro 等。3、通信協議測試、通信協議測試汽車通信依賴于各種協議，如 CAN、UDS、Ethernet、BLE、Wi-Fi 等。對通信協議的安全測試主要包括流量分析、漏洞掃描、模糊測試等。常用的通信協議測試工具包括 PCAN-USB、CANoe、Ubertooth One、Aircrack-ng 等。4 4、操作系統安全測試、操作系統安全測試車載操作系統是整個車載系統的核心，操作系統安全測試包括漏洞掃描、安全啟動、安全配置、系統更新和隔離等。通過對操作系統進行全面評估，可確保其穩定運行和防范外部攻擊。常用測試工具包括 Nmap、Metasploit 和 Open

62、VAS等。5 5、應用軟件安全測試、應用軟件安全測試應用軟件的安全測試包括數據報文分析、靜態代碼分析和動態調試等。常用的應用軟件測試工具包括 Burp Suite、JADX、IDA Pro 等。6 6、數據安全測試、數據安全測試數據安全測試主要關注數據采集、存儲、傳輸和銷毀等過程中的安全性和合規性。常用測試工具包括 Burp Suite、Wireshark 等。7 7、云端服務安全測試、云端服務安全測試云端服務的安全測試包括服務器配置、API 接口、漏洞掃描、身份認證和訪問控制等。主要的測試工具包括 Burp Suite、OWASP ZAP 等。（四）汽車網絡安全測試實施汽車制造商在開展 VT

63、A 網絡安全測試時，通常按照如下過程實施網絡安全測試：1 1、測試準備、測試準備開始進行網絡安全測試前需要進行測試準備，包括制定測試方案、準備測試環境等。2 2、符合性測試、符合性測試汽車制造商在進行車型開發時需要對其進行 TARA 分析，識別所有可能存在汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 24 頁 共 113 頁的風險，基于識別的風險確定網絡安全目標。而到測試階段，就需要對網絡安全需求的符合性進行測試驗證，檢查車型開發時的網絡安全需求是否都已實現。3 3、滲透測試、滲透測試符合性測試完成后就可以對汽車進行滲透測試，它是模擬真實場景對汽車進行攻擊測試，檢

64、查是否還有可被利用的漏洞。滲透測試通?？赡軙婕暗娇偩€安全測試、接口安全測試、云端安全測試等。4 4、目擊測試、目擊測試汽車制造商在完成符合性測試和滲透測試后，提交相關測試報告文檔到認證機構，審核通過后認證機構就會篩選測試項進行目擊測試，即由認證機構人員現場目擊汽車制造商根據篩選的測試項對車輛進行網絡安全測試。5 5、現場測試、現場測試目擊測試完成后，部分認證機構還需進行現場測試，即認證機構測試人員親自檢測車輛是否存在安全問題。如果汽車制造商在目擊測試或現場測試時存在問題，則可能需要重新測試，這個周期可能較長，有可能會影響車型的上市時間，所以汽車制造商對此需要有充分的準備。如果所有測試都通過，

65、則汽車就能獲得出海的 VTA 認證了。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 25 頁 共 113 頁二、二、主機廠的安全體系主機廠的安全體系（一）體系建設法規依據為符合汽車出海的網絡和數據安全合規要求，主機廠需要確保在建立企業信息安全體系時同時參考與盡量滿足國內及國際以下標準：1 1、國內標準、國內標準（1）GB/T 22080-2016：信息安全技術信息安全管理體系要求（2）GB/T 22081-2016：信息安全技術信息安全控制實踐指南（3）工業和信息化領域數據安全管理辦法（試行）2 2、國際標準、國際標準（1）ISO/SAE 21434：道路車輛信息

66、安全工程標準（2）ISO 27001：信息安全管理體系標準（3）ISO 27002：信息安全控制實踐指南（4）ISO 27701：隱私信息安全管理體系（二）體系框架概述1 1、產品生命周期管理、產品生命周期管理ISO/SAE 21434 標準是一套用于道路車輛網絡安全的方法論，其目的是為汽車行業供應鏈中的各方提供一套統一的專業領域描述體系，包括專業詞匯及定義、目標、要求及指導等，以方便相關方的相互理解。ISO/SAE 21434 將汽車系統的全生命周期分為“概念階段”“開發階段”及“開發后階段”等若干階段，在每個階段中都需要執行相關的網絡安全管理活動，以保障全生命周期的網絡安全目標被滿足。（1

67、）概念階段這一階段的主要任務是進一步定義技術層面和操作層面的網絡安全控制措施，以滿足網絡安全目標。此外，還需要描述更為具體的網絡安全需求，包括訪問控制、數據保護、系統恢復等各個方面的詳細要求。所有這些分析結果的完整性、正確性及一致性同樣需要得到驗證和確認。此階段的輸出將作為后續安全設計和實施的基礎。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 26 頁 共 113 頁（2）產品開發階段該階段核心流程主要包含設計、產品集成與驗證以及網絡安全確認等幾個重要環節。在產品設計階段，重點任務是確保產品的網絡安全性能，并識別和分析系統中可能存在的缺陷；在產品集成及驗證階段，主

68、要工作是對設計進行集成并驗證其性能是否符合網絡安全規范；在網絡安全確認階段，需要通過嚴格審查確保目標系統符合預期的網絡安全要求。（3）后開發階段在完成了開發階段后，產品即進入了后開發階段，其主要包括生產、運行及維護以及退出等三個子階段。生產階段的主要目標為確保后開發階段的網絡安全需求被滿足，且在生產過程中，新的網絡安全風險不被引入；運營及維護階段的主要工作為創建用于網絡安全事件響應的計劃，并在整個過程中執行該計劃。（4）退出階段全生命周期的最后一個階段為退出階段，該階段的主要目的是與相關方溝通結束網絡安全支持相關的事宜，并最終正式結束支持。另外，在退出階段中仍需要滿足與該階段相關的網絡安全需求

69、，以保證產品的網絡安全水平不在生命周期的最后階段被破壞。2 2、組織安全管理、組織安全管理組織網絡安全管理規定了公司/組織層面網絡安全管理的要求，是組織內部最高層面的安全方針。主要包括以下 4 個方面：（1）網絡安全治理網絡安全治理是最宏觀層面的安全治理方針，可總結為領導層重視、流程保證、職責劃分、資源保證、與其他現有流程的結合等幾個方面。同時，還應考慮網絡安全體系與功能安全、隱私保護等其他安全領域的交互和融合。（2）網絡安全文化為建立良好的網絡安全文化，需要保證人員足夠的網絡安全能力和意識，并在網絡安全工程的所有活動中保持對各方面事務的持續改進。汽車出海全產業數據安全合規發展白皮書汽車出海全

70、產業數據安全合規發展白皮書第 27 頁 共 113 頁（3）信息共享信息共享要求組織必須考慮組織內外部哪些數據共享是必須的、允許的，哪些是被禁止的，并根據這個準則去管理與第三方共享的數據。在具體實施層面，通常會對信息進行分級、制定相關的信息共享流程、使用專門的信息傳輸工具、與第三方確定漏洞披露原則等。（4）信息安全管理相關的工作產品應該由一個信息安全管理系統來管理。對于已經建立完善的信息安全管理體系的組織來說，將網絡安全的工作產品依照現有的信息安全管理流程進行管理即可。（三）體系建設路線1 1、差距分析、差距分析差距分析是建設網絡安全管理體系的第一步，在這一階段，需要了解現有網絡安全狀況、確定

71、參照標準與行業標準，并對比現有狀況與目標標準，分析存在的差距和問題，并確定優先級。2 2、建設實施、建設實施建設實施階段是根據差距分析的結果進行網絡安全管理體系的建設。主要工作包括制定網絡安全策略、構建安全管理體系框架、技術防護系統建設、安全培訓與意識提升、應急響應機制建設等。3 3、運行評估、運行評估運行評估是檢測體系建設質量的一個重要階段。在體系建設完成之后，要定期評估體系運行狀況，包括策略執行、技術防護效果等。4 4、改進優化、改進優化根據運行評估的結果，對網絡安全管理體系進行持續改進和優化。包括完善安全管理制度和流程、提升安全技術水平、加強人員培訓等方面。這個階段需要持續關注新技術和新

72、威脅的發展動態，確保網絡安全管理體系的持續有效性和適應性。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 28 頁 共 113 頁三、三、汽車軟件供應鏈安全汽車軟件供應鏈安全（一）軟件供應鏈概述軟件供應鏈是指在軟件開發和發布過程中，從初始需求到最終交付涉及的所有環節和參與方的集合。在汽車行業，軟件供應鏈的復雜性和重要性不斷增加，尤其是在智能網聯汽車中，軟件在控制、通信和信息處理等方面扮演著至關重要的角色。智能網聯汽車的軟件供應鏈包括以下幾個關鍵環節和參與方：1 1、關鍵環節、關鍵環節（1）需求分析即從整車廠或一級供應商開始，明確車輛需要哪些軟件功能，對需求進行定義。

73、例如，自動駕駛功能、娛樂系統、車載通信等，應明確定義安全相關的需求。安全需求應詳細、具體，并與功能需求相互關聯。（2）需求管理在需求管理過程中，應設立安全需求的優先級。跟蹤需求變化時，任何涉及安全性、隱私保護的需求變更都應該經過安全審查，確保變更不會對系統的安全性產生負面影響。在需求滿足后，需要對安全需求進行驗證和確認。這可以包括安全性測試、漏洞掃描、安全評估等方法。在整個需求管理過程中，需要確保對需求的版本控制，包括對安全需求的跟蹤和記錄。版本控制可以幫助追蹤需求的變更歷史，方便審計和回溯。（3）軟件設計軟件設計時，首先明確系統的總體架構，并定義模塊之間的接口規范，確保模塊之間的通信安全可靠

74、。最后設計安全可靠的通信協議，包括數據加密傳輸、身份認證和報文完整性校驗等，防止數據被竊取或篡改。（4）軟件開發首先要開發人員應根據設計文檔中規定的功能和安全要求，編寫安全性強的代碼。另外，版本控制系統（如 Git）可以幫助開發團隊管理代碼版本、跟蹤代碼變更和解決沖突，保證代碼的穩定性和可維護性。在版本控制過程中，應定期進行安全審查，審查代碼變更是否符合安全標準和最佳實踐。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 29 頁 共 113 頁（5）測試和驗證既要對各個軟件模塊進行獨立測試，也要將各個軟件模塊集成后進行測試。最后在實際硬件上測試整個系統，驗證其整體功

75、能和性能。為確保軟件的安全性，漏洞掃描、滲透測試等安全測試總是必要的。（6）軟件發布在將軟件打包并分發給整車廠或其他供應商時，可以采用加密和數字簽名等機制來驗證軟件的真實性，防止在傳輸過程中被篡改或感染惡意軟件。同時，及時更新軟件版本，修復已知漏洞和強化安全性，以保護整車系統免受潛在威脅。（7）維護和更新建立健全的漏洞修復機制和持續的安全審計流程，確保軟件系統能夠及時更新和維護，這對保障整車系統的安全性至關重要。2 2、主要參與方、主要參與方（1）整車廠角色：主導軟件需求分析和架構設計，最終集成和驗證整個系統。責任：確保所有軟件組件滿足需求，并且與車輛硬件和其他軟件系統兼容。（2）一級供應商角

76、色：負責開發特定的子系統或模塊（如動力系統、信息娛樂系統等），并與整車廠進行接口對接。責任：確保其提供的軟件模塊功能正確、性能穩定，并符合整車廠的需求。（3）二級及以下供應商角色：提供更小粒度的軟件組件或服務（如傳感器數據處理、通信協議棧等）。責任：確保其提供的組件可靠、安全，并與一級供應商的系統兼容。此外，智能網聯汽車的軟件供應鏈還包括外部開發者、測試和驗證機構等參與方。（二）代碼審計和安全測試汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 30 頁 共 113 頁針對代碼的安全測試是必要的。既可以使用靜態代碼分析工具自動檢查代碼中的潛在安全問題，也可以使用動態應

77、用安全測試工具模擬攻擊，檢測運行中的應用程序的安全漏洞。另外還可以定期委托第三方安全公司進行滲透測試，以發現軟件中潛在的安全漏洞和弱點。代碼審計既包括定期由安全專家和開發團隊共同審查代碼，也包括在設計階段進行代碼安全評審，識別潛在的安全風險并設計相應的防護措施。（三）漏洞管理和響應為及時發現潛在的安全漏洞，要持續監控軟件運行狀態。對發現的漏洞進行及時修復，并在必要時發布補丁和更新。在修復漏洞后進行回歸測試，確保修復措施不會引入新的問題。出于公關考慮，企業應與供應商和相關方協調漏洞披露計劃，確保在公開披露前修復漏洞。四、四、汽車芯片信息安全汽車芯片信息安全車規芯片的設計應從“硬件安全”“軟件安全

78、”兩方面分別確保芯片的安全性。（一）硬件安全1 1、硬件防護、硬件防護硬件防護需要做好防篡改設計、防逆向設計。校驗也十分重要，芯片應在硬件設計中加入校驗和冗余邏輯，檢測和糾正故障。芯片應在硬件設計中采用電磁屏蔽和隔離技術，并加入故障注入檢測電路，檢測和響應惡意攻擊者探測注入故障的行為。2 2、硬件加密模塊、硬件加密模塊芯片應包含硬件加密模塊，旨在保護存儲在芯片內部的關鍵數據，以防止未經授權的訪問或篡改，還可以對存儲器中數據進行加密保護，以及使用硬件加密算法來加密通信信道。3 3、安全性能預留、安全性能預留芯片預留與劃分專用于支持例如安全啟動 ROM、啟動認證引導程序等安全性能的分區，分區空間需

79、足夠支持安全進程的穩定性與可靠性。（二）軟件安全汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 31 頁 共 113 頁1 1、算法安全、算法安全加密算法應使用安全的算法，例如 AES、RSA、ECC、SHA-256，安全性應符合國際ISO/SAE 21434標準及 GB/T 37092 二級及以上標準。2 2、驅動安全、驅動安全為保證驅動安全，應為硬件驅動程序添加數字簽名，該數字簽名應使用信任的數字證書機構進行簽名，并定期更新證書以確保安全性和可靠性。3 3、系統安全、系統安全系統安全包括啟動安全、安全存儲、訪問控制等三個方面。在設置訪問控制時，可以實施分層授權策

80、略，根據程序的重要性和安全性需求，將權限分為不同層次，只有滿足特定條件的程序才能獲得更高層次的權限。同時根據實時的系統狀態和安全態勢，動態調整程序的權限，例如在檢測到安全威脅時，臨時限制某些程序的權限。五、五、可信計算在車聯網安全的應用可信計算在車聯網安全的應用（一）應用范圍1 1、整車制造、整車制造在車輛生產過程中應嵌入可信計算模塊，將可信計算模塊嵌入車輛的電子控制單元，確保底層硬件具備安全防護能力。2 2、車聯網平臺、車聯網平臺汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 32 頁 共 113 頁在車聯網云平臺與車輛之間的交互引入身份可信驗證機制，確保車端與云

81、端均具備對上行下行數據來源合法性與完整性的校驗能力。企業需建立公鑰基礎設施，通過公鑰基礎設施簽發派生的證書、密鑰，用于標識服務端或客戶端的合法身份，及支持認證、驗簽等可信計算流程。（二）應用鑒權所有應用安裝應經過數字簽名，并在安裝時進行驗簽操作確保應用未被篡改且來源可信。以下是藍牙連接和 WiFi 連接兩種場景下，鑒權和驗證合法身份的方式：場景場景鑒權鑒權驗證合法身份驗證合法身份藍牙連接藍牙配對過程中，盡量確保用戶需輸入配對碼或確認配對請求實現鑒權；阻止未經授權的藍牙設備隨意連接。通過藍牙設備的名稱、地址等標識信息來初步判斷其合法性。同時，可以利用藍牙協議中的安全機制，如加密和認證過程，來確保

82、連接的藍牙設備身份可信。WiFi連接當車載信息娛樂系統連接 Wi-Fi網絡時，需用戶號輸入正確的網絡密碼進行鑒權。確保接入特定的 Wi-Fi 網絡已經授權用戶確認。系統應通過檢查Wi-Fi網絡的名稱、信號強度、加密方式特征來驗證其是否是預期的、合法的網絡。表【6】：不同場景下應用鑒權方式（三）應用場景1 1、車載系統及應用安全啟動、車載系統及應用安全啟動車載操作系統啟動時應進行固件驗證、引導程序驗證、操作系統驗證，保證系統的初始可信狀態。2 2、車輛與外部設備通信認證、車輛與外部設備通信認證用于驗證車輛與充電樁、移動設備等外部設備交互時的可信性。3 3、車內關鍵數據保護、車內關鍵數據保護保障車

83、輛行駛數據、用戶隱私數據等關鍵信息的安全存儲和訪問控制。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 33 頁 共 113 頁4 4、遠程升級安全、遠程升級安全在車輛軟件遠程升級過程中，應確保升級包來自官方且未被篡改。5 5、車輛身份認證、車輛身份認證防止未經授權的車輛接入車聯網。6 6、遠程車控（數字鑰匙）、遠程車控（數字鑰匙）對外部車控指令進入車身與控制需要鑒別指令的真實性、完整性，確保指令合法。（四）技術要求1 1、可信平臺模塊、可信平臺模塊需支持為硬件即電子控制單元提供信任根和加密支持，可對傳輸的數據進行高強度加密，確保敏感數據在復雜的網絡環境中不被竊取或

84、篡改，滿足數據傳輸的保密性和完整性要求。2 2、可信執行環境、可信執行環境確保關鍵代碼和數據可安全運行不受外界干擾。即使車輛的其他部分受到攻擊或出現故障，可信執行環境中的安全執行區域依然能保持獨立和安全，保障支撐車輛關鍵功能的正常運作。3 3、密碼技術、密碼技術如加密、數字簽名等用于數據保護和認證。4 4、信任鏈構建技術、信任鏈構建技術確保整個系統信任可傳遞和延續，即所有驗證計算均需支持從最底層的硬件開始，通過逐級驗證和授權，逐步建立起整個系統的信任鏈條。5 5、遠程證明技術、遠程證明技術當車輛需要進入特定的區域或享受特定的服務時，通過遠程證明技術向服務提供方證明車輛的可信狀態，比如車輛的安全

85、系統是否正常運行等，滿足服務提供方對車輛安全性評估的要求。（五）技術架構在各業務（車與云、車與樁、數字鑰匙等）根之上，建議主機廠采用集中式信任體系，以滿足各業務獨立互信的需求。所有子 CA 都在同一個根 CA 下管理，形成完整的信任體系。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 34 頁 共 113 頁圖【1】：智能網聯汽車身份可信平臺業務架構汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 35 頁 共 113 頁第二章第二章 汽車出海中的數據安全汽車出海中的數據安全一、一、自動駕駛安全監管自動駕駛安全監管（一）自動駕駛分級標準國際

86、上對于自動駕駛分級標準的詳細闡述主要基于國際自動機工程師學會制定的分級標準 SAE J3016。這一標準被廣泛接受和應用，并將自動駕駛系統分為六個等級，從 0 級到 5 級，每個等級對應不同的自動化程度和駕駛員參與程度，國際上其他國家和組織也制定了自動駕駛分級標準，其中影響力比較大的標準還有美國高速公路安全管理局分級標準、德國聯邦公路研究所分級標準等。圖【2】：SAE 自動駕駛分級標準另外，歐盟委員會和歐盟新車安全評鑒協會（The European New CarAssessment Programme，以下簡稱“NCAPNCAP”）在交通安全和車輛評估中也考慮了自動駕駛的不同級別。歐盟在法規

87、和安全評估方面有特定的要求，目的是確保自動駕駛技術的安全性和可靠性。例如，NCAP 的新車評價計劃中對車輛的自動駕駛能力進行評估，并結合安全標準給予評分。2021 年 8 月 20 日，中國汽車工程學會結合中國的道路和法律環境，制定了類似于 SAE J3016 標準的自動駕駛汽車分級標準汽車駕駛自動化分級（GB/T 40429-2021）國家標準，將駕駛自動化功能分為了 0-5 級共 6 個級別，即 0-2 級的駕駛輔助與 3-5 級的自動駕駛，標準在自動駕駛系統的測試和監管方面有不同的要求，并對本地化應用進行了調整。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第

88、36 頁 共 113 頁（二）我國國家層面的自動駕駛監管要求自動駕駛汽車運行涉及的眾多主體，包括車輛、道路基礎設施、云服務商、網絡服務商、地圖服務商以及其他外圍服務商等，進行網絡通信、收集并處理數據的過程中，均應遵守網絡安全與數據保護相關規定。國家對自動駕駛汽車的網絡和數據安全監管有著嚴格且全面的要求，以確保自動駕駛技術在安全和可靠的環境下發展。首先，在網絡安全方面，自動駕駛汽車須具備完備的網絡安全防護措施，包括防火墻、入侵檢測系統、加密技術、網絡安全測試和漏洞掃描等。其次，在數據安全方面，自動駕駛汽車在運行過程中會產生大量數據，包括車輛狀態、位置信息和用戶數據等，這些數據必須依法得到妥善保護

89、，確保其合法性和透明度?；谝陨?，國家層面相繼發布了網絡和數據安全相關法律法規和規章制度。2017 年 6 月 1 日起，網絡安全法正式實施，作為我國第一部全面規范網絡安全管理的基礎性法律，明確要求網絡運營者（包括整車企業及車輛運營商等）應“依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件”等。自動駕駛在設計與應用時同樣應符合相關要求。2021 年 9 月 1 日起，數據安全法正式施行，旨在促進包括自動駕駛數據在內的開發利用，保護個人、組織的合法權益。2021 年 11 月 1 日起，個人信息保護法正式施行，意味著自動駕駛

90、軟硬件在處理個人信息時必須遵循合法、正當、必要原則，采取必要的措施保障個人信息安全，防止信息泄露、篡改、丟失。網絡安全法數據安全法和個人信息保護法的先后發布實施，初步構建起網絡安全和數據安全保障領域的法律體系框架。國務院、工業和信息化部、交通運輸部、科學技術部、國家發展改革委、公安部等部委相繼出臺一系列頂層規劃及政策文件，舉例來說：2021 年 8 月，國家網信辦、國家發展改革委等多部門聯合發布了中國首部汽車數據安全領域的行政規章汽車數據安全管理若干規定（試行）。2021 年 9 月，工業和信息化部發布關于加強車聯網網絡安全和數據安全工作的通知，要求加強車聯網網絡安全和數據安全工作。汽車出海全

91、產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 37 頁 共 113 頁2023 年，工業和信息化部等四部門發布了關于開展智能網聯汽車準入和上路通行試點工作的通知，在開展智能網聯汽車準入和上路通行試點工作的同時提出了網絡安全和數據安全能力要求。2024 年，工業和信息化部等五部門發布了關于開展智能網聯汽車“車路云一體化”應用試點工作的通知，旨在通過車路協同和云計算技術的應用，提高自動駕駛汽車的安全性和可靠性。（三）地方層面的法規、政策和標準要求在地方層面，各地政府積極應對自動駕駛汽車的網絡安全問題，采取了一系列措施。北京、上海和廣州在自動駕駛汽車網絡安全方面進行了積極探索和實

92、踐。1 1、北京、北京2023 年 5 月，北京市高級別自動駕駛示范區工作辦公室發布了北京市智能網聯汽車政策先行區數據安全管理辦法（試行），在管理辦法中明確了企業在自動駕駛技術研發和應用中應承擔的數據安全主體責任，并要求企業在數據收集、存儲、處理和使用過程中，采取必要的安全措施，確保用戶隱私和數據安全，防范數據泄露和濫用風險。2 2、上海、上海2022 年，上海市交通委員會等部門聯合發布了上海市智能網聯汽車示范運營實施細則，該細則規范智能網聯汽車的示范運營活動，并對網絡安全防護、數據加密和訪問控制等方面提出了具體規定。2023 年初上海啟動施行上海市浦東新區促進無駕駛人智能網聯汽車創新應用規定

93、，這是我國首部針對無駕駛人智能網聯汽車創新應用的地方性法規。其中規定，無人駕駛汽車在測試和應用過程中產生的數據必須依法合規地收集、處理和存儲。企業需采取必要的技術措施保障數據安全，防止數據泄露和濫用。3 3、廣州、廣州廣州市工業和信息化局等部門發布了 廣州市智能網聯汽車道路測試與示范應用管理辦法，規范智能網聯汽車的道路測試和示范應用活動。（四）其他國家或地區對自動駕駛的監管要求自動駕駛汽車不僅涉及傳統的機械和電子系統，還依賴大量的數據傳輸和處理，為了確保安全，各國政府和監管機構都在積極制定相關的法律法規和標準。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 38 頁

94、 共 113 頁1 1、美國美國美國自動駕駛汽車的安全監管方面具有較為靈活和分散的特點，聯邦和州政府共同參與監管。聯邦層面，國家公路交通安全管理局負責制定自動駕駛汽車的安全標準和指導原則。其發布的自動駕駛系統安全指南為自動駕駛汽車制造商提供自愿性指導，鼓勵其在開發和測試過程中遵循安全最佳實踐。同時，各州政府制定具體的法規和政策，允許和管理自動駕駛汽車的測試和部署。例如，加利福尼亞州要求公司在公共道路上測試自動駕駛汽車前，必須獲得測試許可證，并提交事故報告。亞利桑那州則采取了相對寬松的政策，吸引了許多自動駕駛汽車公司進行測試和運營。2 2、歐盟歐盟歐盟對自動駕駛汽車的監管采取統一和協調的方式，并

95、制定一系列政策和法規，以支持自動駕駛技術的發展，同時確保安全性和數據保護。2018 年，歐盟委員會發布了自動駕駛的安全與責任框架。同時，歐盟還對自動駕駛汽車的安全性能進行評估，制定嚴格的測試標準和評分體系，各成員國也在國內立法中融入了這些統一標準，例如德國在 2017 年通過了道路交通法修訂案，明確了自動駕駛汽車的法律地位和責任界定。3 3、日本、日本日本政府對自動駕駛汽車的測試和部署實施嚴格管理，公司需獲得特定許可才能在公共道路上進行測試，且必須遵循嚴格的安全標準和數據報告要求。4 4、新加坡、新加坡新加坡在自動駕駛技術的監管和推廣方面走在前列，2017 年，新加坡發布了自動駕駛車輛監管框架

96、，詳細規定了自動駕駛汽車的測試、注冊和運營要求。新加坡政府還設立了專門的測試區，為自動駕駛技術的研發和測試提供了安全環境。測試車輛必須通過嚴格的審查和批準程序，并且測試過程中需要提供實時數據報告，以確保安全。二、汽車數據安全部署與建設二、汽車數據安全部署與建設（一）汽車數據安全重要性在智能網聯汽車時代，汽車數據涵蓋了車輛運行狀態、駕駛行為、位置信息等敏感數據，其中許多數據不僅需要在車內進行實時處理，還需要傳輸到云端進汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 39 頁 共 113 頁行存儲和分析。這些數據不僅對車輛的正常運行和用戶體驗至關重要，還涉及用戶隱私和企

97、業機密，一旦發生數據泄露或被惡意篡改，將對用戶造成嚴重影響，導致企業的重大損失，甚至引發國家安全問題。（二）汽車網絡和數據安全的安全性分析和防護部署汽車數據安全威脅涵蓋在云端、管端、車端、移動端、企業內部以及供應鏈的各個環節，為了應對這些復雜的威脅，企業必須精確識別安全風險，并制定全面的安全防護策略，以提高整體防護能力。1 1、云端安全、云端安全云端作為自動駕駛和智能網聯汽車的關鍵環節，包括汽車遠程服務提供和在線升級服務平臺。這些平臺提供遠程車控和固件在線升級等服務，必須確保數據的完整性和保密性。為此，在部署了基本的防火墻和網站應用防護系統之后，企業還可以部署更多層次的安全防護技術：（1）云端

98、態勢感知系統：實時監控云環境中的活動，識別和響應潛在的安全威脅。（2）數據庫加密和數據脫敏：確保存儲的數據即使在被非法訪問的情況下也無法被輕易解讀，保護敏感信息。（3）安全滲透測試：定期模擬攻擊，發現并修復系統漏洞。（4）安全監控：持續監控云平臺，及時檢測和處理安全事件。2 2、管端安全、管端安全管端的安全威脅主要來源于攻擊者通過身份偽造、中間人攻擊等手段，非法獲取智能網聯汽車的外部通信信息。這些攻擊可能導致信息泄露、數據篡改等嚴重后果。為確保管端的安全性，目前行業內普遍采用的防護措施包括：車云雙向認證、異常流量監測、加密通信和入侵檢測系統等。3 3、移動端安全、移動端安全移動端 App 為車

99、主提供便捷的遠程控制和數字鑰匙功能，但也成為攻擊者的潛在目標。惡意攻擊者可能通過反編譯 App、進行二次打包和植入惡意代碼，獲得用戶的汽車遠程控制權。此外，第三方 SDK 違規收集用戶隱私也是一大威脅。為了解決這些問題，除持續安全監控外，企業可以采取以下措施：汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 40 頁 共 113 頁（1）App 安全加固：包括代碼混淆、加密等技術，增加反編譯和逆向工程的難度。（2）安全滲透測試：定期對 App 進行安全測試，發現并修復漏洞。（3）合規測試：確保 App 的開發和運營符合相關法律法規和行業標準。4 4、車端安全、車端安全

100、隨著車端智能化和網聯化的發展，汽車已經成為匯集大量數據的移動終端，面臨多方覬覦的安全威脅和挑戰。車端安全防護需要采用多層次的策略：（1）威脅分析與風險評估：識別和評估潛在威脅，制定相應的防護措施。（2）公鑰基礎設施：提供強有力的身份驗證和數據加密手段。（3）整車縱深防御：通過多層次的防御措施，保護車輛的各個系統和組件。（4）用戶授權和權限管控：確保只有授權用戶才能訪問和操作車輛系統。（5）安全監控和主動防御：實時監控車端系統，及時發現和響應安全威脅。5 5、企業內部安全、企業內部安全企業內部的安全威脅包括黑客釣魚攻擊、代碼泄露和用戶信息泄露等。為解決這些問題，企業宜建立全面的安全管理體系。該體

101、系可基于 ISO27001 的安全管理體系建立，根據組織內部的具體情況進行調整。此外，持續的安全監控和安全意識培訓都對于保障企業內部安全有所助力。（三）汽車數據安全合規檢測汽車數據安全合規檢測，通常是指對汽車數據處理活動進行的安全性評估，以確保其符合相關法規和標準。根據我國相關法律法規的要求，出海車企必須進行汽車數據安全合規檢測。這項評估工作涵蓋多個方面，包括：數據處理的目的、方式、范圍的合法性和必要性；數據安全管理制度和流程的落實情況；數據安全技術防護能力等。對此車企可以引入第三方機構進行汽車數據全生命周期安全管理評估、審核和認證，第三方安全認證機構可以根據不同國家及行業的相關數據安全要求，

102、開展汽車數據處理活動安全管理評估，確保其符合國際標準和當地法律法規的要求。另外，企業還可以進行商用密碼應用的安全性評估，在車車、車路、車云、車人通信過程中采用商用密碼技術、產品和服務集成建設的網絡與信息系統，對汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 41 頁 共 113 頁其密碼應用的合規性、正確性、有效性等進行評估。密碼的應用必須符合國際密碼算法標準，并且遵循當地的密碼法律法規。密碼系統應當能夠在實際使用中達到預期的安全效果，保護車輛通信過程中的信息安全和隱私保護?？梢酝ㄟ^模擬真實場景下的密碼攻擊和漏洞利用等方式，檢驗密碼系統的抵御能力和應對能力，確保其在

103、面對各種威脅時仍然有效可靠。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 42 頁 共 113 頁第三部分第三部分 汽車出海數據合規全球法律政策汽車出海數據合規全球法律政策與合規義務與合規義務第一章第一章 汽車行業出海合規義務概述汽車行業出海合規義務概述對于企業而言，數據治理已經成為企業治理的一部分。汽車產業應緊緊抓住數據這一生產要素的時代風口，充分釋放數據價值潛力，利用數據要素為企業創收。在第三部分，我們將從宏觀層面介紹汽車行業出?？赡苊媾R的主要風險點及合規業務。隨后我們將從不同國家、不同產業鏈雙重緯度出發，聚焦于汽車全產業數據合規模塊的主要義務，介紹各國目前汽

104、車數據隱私法律監管體系、明確車企不同產業鏈出海需遵守的數據合規義務。一、一、產品準入產品準入認證認證風險源：汽車出海需要滿足目的國的技術和質量認證標準。不同國家間的進口汽車準入認證制度存在差異，部分國家強制要求進口汽車滿足一定的技術和質量認證。例如美國的 DOT 和 EPA 認證、巴西 LCVM 和 CAT 認證、阿根廷 LCM認證、澳大利亞的 ADR 認證等。合規義務：了解目的國汽車準入相關法律規范、梳理其技術和質量認證標準，建立目的國相關法律規范跟蹤機制，避免因汽車技術和質量不合規導致車輛無法出口等情況的發生。二、二、外資準入限制外資準入限制風險源：汽車及其零部件生產可能落入外資準入的限制

105、名單。例如在越南，汽車生產方式為代工工廠、汽車的售后服務環節均屬于限制清單，需經過審批獲得外商經營許可證。合規義務：預先調研目的國外資準入清單，如相關產業屬于限制清單，則應評估獲取外商經營許可證的可行性、投入成本、市場布局等，綜合決策是否出海。三、三、貿易壁壘貿易壁壘風險源：汽車行業出海常面臨由出海目的國政府發起的貿易壁壘，如反傾銷與反補貼風險，而車企往往難以自身力量抗衡。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 43 頁 共 113 頁合規義務：充分調研目的國或地區針對不公平競爭的相關法律法規、政策規范，事先做好風險評估。四、四、知識產權知識產權風險源：提前

106、布局目的國知識產權是決定出海成功與否的關鍵命題。如車企未提前做好知識產權管理，可能會出現被出海目的國企業搶注商標或國內商標在海外侵權等情況。合規義務：提前做好商標、專利、版權、商業秘密等知識產權的管理。五、五、企業實體設立企業實體設立風險源：在目的國的實體設立事項上，全球范圍內有著差異化的規定，例如部分國家可能要求出海企業在當地設有分支機構或辦事處；再如要求在企業的架構中需設置數據保護官等特殊職位。合規義務：企業實體設立事項、模式選擇、架構設計、投資安排等事項都應遵守出海目的國法律規范。六、六、數字營銷數字營銷風險源：隱私保護在數字營銷領域已成為各國重點關注內容，并提出了嚴格化的合規要求，如企

107、業違規營銷，將引發個人信息和隱私保護等合規風險。合規義務：車企應預先開展數字營銷合規工作，關注目的國對營銷方式、時間、頻次等方面的合規要求，滿足目的國的隱私政策合規要求等。七、七、能源和環境保護能源和環境保護風險源：隨著全球氣候變暖、環境資源的破壞，各國在能源環保領域立法頻頻，例如對汽車排放標準等做出了嚴格限制、歐盟新電池法對電池環保的高度要求等。合規義務：車企應當關注出海目的國環境、資源政策情況，重點了解電池、碳排放等政策。八、八、數據合規數據合規風險源：注重數據安全已是大勢所趨，自歐盟出臺 GDPR 以來，各國紛紛加快立法進程，以提升數據安全治理能力。汽車行業也正由燃油車向智能網聯汽車轉變

108、中，業務中的數據處理場景多樣化、數據規模大、涉及敏感個人信息等問汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 44 頁 共 113 頁題是汽車行業出海無法繞開的合規話題，本白皮書將在下文第二部分中重點展開數據合規領域的出海合規項。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 45 頁 共 113 頁第二章第二章 汽車全產業主要數據合規義務汽車全產業主要數據合規義務一、汽車全產業主要數據合規義務概覽一、汽車全產業主要數據合規義務概覽伴隨著汽車產業的快速發展，汽車智能化、網聯化已成為汽車產業目前的主要發展方向。與此同時，汽車數據安全事件如

109、雨后春筍般涌現。汽車數據安全和保護已成為企業刻不容緩的合規方向和內容，下文將從數據處理的重要環節和基礎數據保護制度出發，對汽車行業出海的主要數據合規義務進行總結。（一）數據收集：保障數據來源和數據內容的合規性數據收集是數據全生命周期的起點，在收集環節，車企應當特別注意數據授權收集、敏感數據和重要數據的識別、數據溯源等安全風險。1、數據溯源：確保數據來源合法合規，不存在不良違法信息等。2、合法性：車企在進行數據處理時可以采取“同意”等符合法律規定的方式進行數據收集工作。3、監督審計：應對收集的數據進行審計，過濾掉不真實、違法違規的數據。（二）數據存儲：本地化及存儲期限的要求部分國家或地區的數據立

110、法可能會禁止特定類型數據的出境，并要求其本地化存儲；或滿足本地化存儲等要求后才能進行跨境傳輸。同時全球普遍國家對數據存儲都有存儲必要事件要求。因此，出海車企應當關注法律對數據本地化存儲和保存期限的要求并采取安全保障措施。（三）數據分類分級：數據合規管理制度及配套技術措施汽車數據涵蓋范圍廣泛且敏感程度高，涉及設計、生產、銷售、使用、運維等過程中的各種數據，如敏感個人信息、地理位置數據、實時交通數據等。因此，做好數據分類分級制度是車企進行數據合規管理的堅實基礎。（四）數據合規風險評估：車企數據合規日常合規活動數據合規風險評估是車企應盡的日常合規活動。車企應當定期開展風險評估工作，明確風險評估工作辦

111、法，并按照風險評估結果進行持續整改和跟蹤。除了定期風險評估，車企在處理敏感個人信息、自動化決策、數據跨境傳輸等場景下，也應按照法律規范的要求進行風險評估工作。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 46 頁 共 113 頁（五）數據安全事件處置：建立應急預案、注重人員培訓車企面臨的數據安全事件時有發生，組建能在第一時間高效響應的應急小組、定制化的安全事件應急預案、規范化的數據安全事件處置流程、常態化的安全風險培訓等均是有效預防和應對安全威脅的合規要義。（六）數據合規專職機構：組建數據合規部門或合規人員車企應當明確企業內部的數據合規機構與人員，落實數據合規義務

112、。企業內部可以設置數據保護專職機構作為公司的最高數據合規管理機構，落實各國立法對設立數據保護或個人信息保護責任人的要求。二、二、汽車產業出海中的中國數據出境合規汽車產業出海中的中國數據出境合規（一）個人信息處理義務按照中華人民共和國個人信息保護法的定義（以下簡稱“個人信息保護法”），汽車產業的個人數據（信息），通常是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種數據，不包括匿名化處理后的數據。就汽車產業中的個人數據而言，根據個人信息保護法第三十八條，我國關于個人數據出境，有三大合規機制：數據出境安全評估（以下簡稱“安全評估”）、個人信息保護認證（以下簡

113、稱“個保認證”）、個人信息出境標準合同（以下簡稱“標準合同”）。三種出境機制都要求作為個人信息處理者的車企在出境前就開展數據盤點、行為自評估、法律文件簽署等工作。此外，于 2024 年 3 月 22 日發布的促進和規范數據跨境流動規定（以下簡稱“跨境新規”）對觸發數據出境安全評估申報義務、訂立個人信息出境標準合同及備案或通過個人信息保護認證的觸發數量門檻又做出了新一輪的調整。上述三種數據合規路徑的具體義務如下：1、安全評估模式、安全評估模式（1）申報義務根據跨境新規第七條，如符合下述情形之一：關鍵信息基礎設施運營者（以下簡稱“CIIO”）向境外提供個人信息或者重要數據；關鍵信息基礎設汽車出海全

114、產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 47 頁 共 113 頁施運營者以外的數據處理者向境外提供重要數據，或者自當年 1 月 1 日起累計向境外提供 100 萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信息的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估，豁免情形除外。（2）材料提供義務申請出境安全評估，還應當提交申報書、數據出境風險自評估報告、數據處理者與境外接收方擬訂立的法律文件（其中應當明確數據安全保護責任義務）以及安全評估工作需要的其他材料。（3）風險自評估義務此外，根據數據出境安全評估辦法第五條，在申報出境安全評估前，還應

115、當事先開展數據出境風險自評估。2、個人信息保護個人信息保護認證模式認證模式在個人信息出境活動未達到上述安全評估的適用標準時，符合一定條件的企業可以選擇個保認證作為個人信息出境的合規路徑之一。根據 信息安全技術 個人信息安全規范（GB/T 35273）、個人信息保護認證規范（TC260-PG-20222A）、信息安全技術 個人信息跨境傳輸認證要求（征求意見稿）規定，個人信息處理者有如下義務：（1）權益保障義務：簽訂具有法律約束力的文件，確保個人信息主體權益得到充分的保障。（2）組織管理義務：指定個人信息保護負責人、設立個人信息保護機構。（3）制定規則義務：制定并共同遵守統一信息跨境處理規則。（4

116、）影響評估義務：應開展個人信息保護影響評估，并形成評估報告。（5）承擔保障個人信息主體權利的義務3、標準合同模式、標準合同模式根據跨境新規第八條的要求，關鍵信息基礎設施運營者以外的數據處理者自當年 1 月 1 日起累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）或者不滿 1 萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 48 頁 共 113 頁（1）標準合同訂立義務：嚴格按照個人信息出境標準合同辦法附件訂立標準合同，注意網信部門可能對附件做出調整，企業需保持關注。（2）

117、影響評估義務：按照個人信息出境標準合同辦法第五條開展個人信息保護影響評估，并形成評估報告。（3）備案義務：個人信息處理者應當在標準合同生效之日起 10 個工作日內向所在地省級網信部門備案，提交上述標準合同和評估報告，應當對所備案材料的真實性負責。（二）重要數據處理義務1、重要數據的范圍、重要數據的范圍根據汽車數據安全管理若干規定（試行）的定義，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，具體包括：(1)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；(2)車輛流量、物流等反映

118、經濟運行情況的數據；(3)汽車充電網的運行數據；(4)包含人臉信息、車牌信息等的車外視頻、圖像數據；(5)涉及個人信息主體超過 10 萬人的個人信息；(6)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。2、重要數據本地化存儲的具體義務、重要數據本地化存儲的具體義務根據汽車數據安全管理若干規定（試行）第 11 條，重要數據應當依法在境內存儲。雖然上述規定未提及核心數據，但基于“舉輕以明重”的法律解釋方法，核心數據亦應遵守數據本地化要求，存儲在中國境內。3、重要數據出境合規路徑中的具體義務、重要數據出境合規路徑

119、中的具體義務（1）申報義務根據數據出境安全評估辦法第四條，數據處理者在向境外提供重要數據之前，必須通過所在地省級網信部門向國家網信部門申報數據出境安全評估。值汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 49 頁 共 113 頁得關注的是，此前企業對于自身是否擁有重要數據往往感到困惑，而今重要數據有據可循，跨境新規第二條明確指出，若企業未被相關部門、地區通知需處理重要數據，或相關部門、地區未公開發布的重要數據目錄和清單，則企業無需將某類數據作為重要數據申報數據出境安全評估，不僅減輕了企業的合規壓力，也加速推進了相關部門、地區對數據分級制度和重要數據目錄和清單的工作

120、。（2）材料提供義務根據數據出境安全評估辦法第六條，申報重要數據出境安全評估時應當提交材料，具體包括申報書、數據出境風險自評估報告、與境外接收方擬訂的法律文件等。（3）風險自評估義務根據數據出境安全評估辦法第五條和第八條，重要數據處理者需在申報前開展數據出境風險自評估，重點評估數據出境的目的、范圍、方式的合法性、正當性和必要性；需評估出境數據的規模、范圍、種類、敏感程度及其可能對國家安全、公共利益、個人或組織合法權益帶來的風險；要考慮境外接收方的責任、義務以及其保障數據安全的管理和技術措施。（4）制定合法文件義務根據數據出境安全評估辦法第八條，重要數據處理者與境外接收方應擬訂具有法律效力的文件

121、，明確約定數據安全保護的責任義務。（5）確認接收方數據保護水平的義務根據數據出境安全評估辦法第八條，重要數據處理者需確認境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求。（6）持續監督與應急處置義務根據數據出境安全評估辦法第八條，重要數據出境后，境外接收方應在數據安全出現問題時采取必要的安全措施，確保數據安全并妥善處理突發狀況。（三）國家核心數據的處理根據數據安全法第 21 條規定，國家核心數據是指關系國家安全、國民汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 50 頁 共 113 頁經濟命脈、重要民生、重大公共利益等，需要

122、實行更加嚴格管理制度的數據。雖然數據安全法提出了國家核心數據概念的定義，但現階段國家核心數據的邊界尚不清晰，也無相關立法明確汽車領域的國家核心數據的目錄、類型以及具體認定辦法，亦未形成就國家核心數據的統一管理。當前，各地已陸續開始出臺數據出境有關細化規定。上海臨港發布的臨港新片區數據跨境流動分類分級管理辦法（試行）中，明確規定核心數據禁止跨境。臨港新片區管委會正圍繞智能網聯汽車、國際貿易、生物醫藥、文化出海等重點領域的具體場景編制一般數據清單和重要數據目錄，尚未嘗試明確核心數據的具體清單或認定辦法。但可以明確的是，對于國家核心數據，建議數據處理者參照臨港新區的禁止跨境規則，遵循數據本地化的原則

123、，將其維持在境內處理和存儲，嚴格限制任何形式的出境。至于國家核心數據的識別，建議車企積極關注相關部門規范性文件及政策性文件的制定動態。在相關數據目錄出臺前，車企可按照個人、車輛企業、汽車行業、充電網和交通路網的場景分類，對各場景下數據出境的影響對象及影響程度加以評估，進而判斷其構成國家核心數據的可能性。例如，在個人數據場景下，當所處理的個人敏感及非敏感信息規模過大，可能對公共利益造成影響。若影響程度特別嚴重，或構成國家核心數據；而其中僅影響個人權益、組織權益或行業發展的部分數據，則可按照個人數據或重要數據的義務要求采取相應合規措施。此外，企業還可以鄰近領域的國家核心數據認定方法作為數據分級分類

124、的參考。例如，電信領域重要數據和核心數據識別指南第六章將電信領域核心數據分為四類，包括網絡規劃運維數據域（主要包括網絡規劃建設、網絡運營維護等數據）、安全保障數據域（主要包括網絡與數據安全保障、物理保障、應急通信保障等數據）、經濟運行與業務發展數據域（主要包括關系國家、國民經濟命脈和重大公共利益的非公開統計數據）、關鍵技術成果數據域（涉及電信領域出口管制物項相關數據，特別重大科技成果、國家科技計劃等活動中產生的先進技術數據）等。尤其對于智能網聯汽車企業，除以此為參考外，若存在相關電信領域數據的處理活動，應當對如上核心數據采取限制出境的合規措施。三、三、出海目標國數據合規義務解析出海目標國數據合

125、規義務解析以數據為核心驅動力的新型貿易正在不斷發展壯大，以數據流動性為核心牽汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 51 頁 共 113 頁引力的數字經濟正蓬勃發展，如何保障數據安全和加強隱私保護已成為各國數據監管的重要目標，中國車企出海應當注重了解各國數據隱私保護法律監督體系，明確出海國目前的數據保護法律法規體系及監管機構，以廓清未來數據合規工作的架構。下文，我們將針對歐洲、美洲、中東、中南亞及大洋洲五個區域的中國車企出海熱門目的國的數據合規義務進行詳細解析。（一）歐洲區域汽車全產業出海數據合規的法律規定與義務現狀歐盟向來以對于數據隱私保護的嚴格態度而聞名

126、，中國車企如果想打開歐洲市場并站穩腳跟，通過傳統出口模式也許會越來越難，但通過新型的出海模式，即在滿足歐盟當地合規監管框架下，實現歐洲本土化生產，中國車企或將獲得更為廣闊的發展空間。中國車企欲要拓展歐洲市場，就離不開對于重點國家數據隱私保護法律體系的清晰把握。1、歐盟歐盟（1）歐盟汽車數據隱私保護法律法規體系歐盟數據隱私保護法律框架目前在全球范圍內，歐盟擁有最豐富的數據隱私保護立法。相較于各國的立法，歐盟的數據隱私立法呈現更復雜的層級結構。由于立法眾多，在此僅對部分重要立法做出列舉。a）數據隱私保護核心立法2018 年 5 月 25 日生效的通用數據保護條例（，以下簡稱“GDPR”）適用范圍廣

127、，如對于設立在境外的控制者和處理者對歐盟內數據主體的個人數據進行處理也適用 GDPR，包括向歐盟數據主體提供商品或服務、對數據主體發生在歐盟境內的行為進行監控。GDPR 強調了企業對其處理的數據的嚴格保護義務。b）汽車行業數據隱私保護立法目前歐盟可適用于汽車行業的數據隱私保護立法，既有專門性立法，還有一部分體現在歐盟數據隱私保護的普遍性立法中。專門性立法有車聯網個人數據汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 52 頁 共 113 頁保護指南（），聚焦聯網車輛和出行相關應用背景下的個人數據處理，揭示了此場景下的隱私和數據保護風險。在普遍性的立法中，GDPR 規

128、定人臉識別技術商業應用的必要前提條件是“數據主體已明確表示同意”；預計將于 2025 年初生效 人工智能法案（,以下簡稱“AI Act”）將人臉識別等遠距離生物識別系統認定為“高風險”級別；隱私和電子通信指令（,以下簡稱“ePD”）中規定，如要存儲或訪問存儲于終端設備中的用戶數據，該等存儲或訪問行為原則上均需要獲得用戶的同意，除非是基于通訊傳輸或提供信息社會服務所必需，且該等服務是由用戶明確地自主選擇。歐盟數據隱私保護監管機構現狀整體來看，歐盟的主要數據監管機構分為兩個層級：歐盟和歐洲各國。歐盟設立了歐洲數據保護委員會（European Data Protection Board，以下簡稱“E

129、DPB”）是歐盟數據保護的總領性監管機構，由歐洲數據保護監管局（EuropeanData Protection Supervisor，以下簡稱“EDPS”）和歐盟各國數據監管機構、數據保護機構（Data Protection Authorities，以下簡稱“DPAs”）組成。EDPB 依據 GDPR 的規定成立，主要負責與立法釋法相關的工作。旨在確保在整個歐盟范圍內有效且一致地應用數據保護的系列規則；EDPS 是歐盟層面的數據保護監管機構，負責監督歐洲各機構、組織、辦事處和機關對個人數據的處理。根據 GDPR，每個歐盟成員國都應當設立一個數據監管機構，對本國數據保護問題提供專家建議，并處理針

130、對違反數據保護法（包括 GDPR 和相關國家法律）的投訴。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 53 頁 共 113 頁圖【3】：歐盟及成員國數據監管機構示意圖（2）歐盟汽車全產業出海數據合規義務解析通用數據合規義務a)數據跨境傳輸合規要點將個人數據轉移到歐盟以外的國家或地區有三種法律路徑來實現（以下簡稱“歐盟數據跨境傳輸三大路徑”或“數據跨境傳輸三大路徑”），其中第一路徑是“充分性認定”，但由于中國不在獲得充分性認定的“白名單”中，因此適用中國車企的主要是另外兩條路徑：常規路徑：提供適當的保障措施即為數據主體提供“適當的保障措施”。適當的保障措施有：公共

131、當局之間有法律約束力和可執行性的文書；有約束力的公司規則；歐委會通過或批準的標準合同條款；經批準的行為準則；經批準的認證機制。備選路徑：特定情形下的豁免該路徑只能在特定情形下使用，因此應當作為前兩個路徑均不可用時的備選項。GDPR 下的豁免情形包括：數據主體的明確同意、履行合同所必需、為公共利益目的等。德國對于個人數據跨境傳輸的規定主要體現在新聯邦數據保護法汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 54 頁 共 113 頁（,以下簡稱“BDSG”）中。BDSG 對于個人數據的跨境轉移規制與 GDPR 的三種情形基本相同。此外，由于歐盟成員國具有統一的數據保護水

132、平，受 BDSG 管轄的公司有權按照與德國數據要求相同的規則向歐盟其他成員國傳輸個人數據。法國對于個人數據的跨境轉移規制與 GDPR 基本相同，在此不再贅述。對于總部位于中國的車企或屬于汽車供應鏈上下游的企業而言，由于中國不屬于白名單國家，需要數據跨境傳輸，建議企業簽訂歐盟標準合同條款和進行數據傳輸影響評估（Transfer lmpact Assessments，以下簡稱“TIA”），并根據 TIA的結果實施技術、組織、合同等補充措施，以確保數據傳輸符合歐盟 GDPR 數據跨境傳輸體系。b)數據保護官（Data Protection Officer，以下簡稱“DPO”）制度DPO 的主要職責是

133、監督數據保護法規的遵守情況，并作為數據保護問題的聯系人。GDPR 強制要求歐盟所有系統性地監控大規模數據主體或處理大規模特殊類別數據的私營組織，必須任命 DPO 以確保數據合規。德國 BDSG 對于強制任命 DPO 的標準更嚴格。若公司長期雇傭至少 10 名員工進行自動化數據處理，或公司進行的數據處理需要經過數據保護影響評估等，則公司都必須任命 DPO。法國鼓勵所有企業任命 DPO，雖然并非強制要求，但事實上企業是否任命了 DPO 已成為該企業是否滿足合規監管要求的重要標準之一。c)歐盟 Europrivacy 認證歐盟 Europrivacy 認證是一項基于 GDPR 設計的官方認證機制，也

134、是目前所有歐盟成員國唯一正式認可的 GDPR 認證機制，旨在評估和認證組織在處理個人數據時的合規性。Europrivacy 由位于盧森堡的歐盟認證和隱私中心（European Centre forCertification and Privacy，以下簡稱“ECCP”）維護。ECCP，旨在支持數據保護和認證領域的創新技術和解決方案。ECCP 自身不作為認證機構頒發證書，而是負責管理 Europrivacy 認證方案和許可流程。保護個人數據的合格認證機構、咨詢公司可向 ECCP 申請成為 Europrivacy 的認證機構、咨詢機構，但認證機構必須位于歐盟區域內。汽車出海全產業數據安全合規發展白

135、皮書汽車出海全產業數據安全合規發展白皮書第 55 頁 共 113 頁Europrivacy 的申請資格GDPR 定義下的數據控制者和數據處理者都有資格向認證機構就有數據活動的技術、組織和環境（Technology,Organization,Environment）申請 Europrivacy認證。評估范圍Europrivacy 可以在任何地方用于評估對 GDPR 的遵守情況，其開發和設計易于擴展到補充性國家數據保護法規，包括非歐盟法規，以及特定領域和技術法規。然而，Europrivacy 認證證書的交付并不適用于沒有為數據主體的權利和自由提供充分保障的司法管轄區。評估方式Europrivacy

136、 的評估適用于幾乎所有的數據處理活動，包括人工智能、區塊鏈、電子醫療和物聯網等創新技術，也當然包括汽車行業各類相關的場景和技術。但也有許多特定的排除項，例如生物醫學數據。根據 GDPR 第 42 條第 6 款，只有數據處理活動才能獲得認證。因此，對于歐盟司法管轄區內的實體，不可能根據 GDPR 一次性對整個公司甚至公司的整個管理系統進行認證。對于汽車行業的出海企業，可以優先選擇涉及較多個人信息的數據處理活動開始認證，如車載娛樂主機內的各項系統，再逐步擴展到汽車全程生命周期下其他數據處理活動。認證要求和標準認證要求：與產品、流程和服務相關的數據處理，應符合 ISO/IEC 17605 標準的要求

137、；與數據保護管理系統有關的數據處理，應符合 ISO/IEC 17021-1 的全部或部分要求，或符合 ISO/IEC 17605 的延伸要求。認證標準：Europrivacy 認證方案定義了一整套基于事實的詳細標準，以最大限度地降低評估符合性時的主觀性風險。這些標準全面涵蓋 GDPR 以及成員國，和汽車行業領域的補充要求。具體包括：識別所有會處理的個人信息；遵守向數據主體提供數據處理信息的要求；處理個人信息的合法性，遵守“事先知情同意”要求；遵守有關未成年人年齡的要求等。認證價值汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 56 頁 共 113 頁通過 Europ

138、rivacy 的評估，不僅可以幫助有需要出海汽車行業建立更加健全的數據保護體系，還能夠通過對企業內部法律和金融風險的系統差距分析來確定并減少潛在的風險。同時，除了歐盟司法領域外，Europrivacy 還可以將合規評估擴展到非歐盟司法領域，并加入一個致力于數據保護的商業生態體系。從企業宣傳角度來講，獲得 Europrivacy 是目標歐洲市場的出海企業對自身 GDPR 合規性的強力證明。在歐盟嚴峻的數據保護法律法規和不斷累加的貿易壁壘的挑戰面前，Europrivacy 可以提供給出海企業不僅是一種符合歐盟數據保護法律法規要求的權威標志，更是一種有效管理、保護個人信息安全及隱私權利、提升出海企業

139、品牌形象與市場競爭力等多方面效益集于一身的綜合性認證標識。產業鏈劃分下的合規義務合規階段合規階段整車廠整車廠零部件零部件軟件系統軟件系統國家國家歐歐盟盟德國德國法國法國歐盟歐盟德國德國歐盟歐盟法國法國數據收集數據收集1、告知并授權同意2、特殊提示語音交互系統告知并授權同意數據處理數據處理1、最小處理原則2、本地處理原則3、敏感信息的處理4、數據保護影響評估5、數據處理協議6、員工信息保護7、兒童信息處理車載監控系統的信息處理必要性數據存儲數據存儲1、保障個人實現信息權2、報告義務3、記錄義務4、數據存儲期限汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 57 頁 共

140、 113 頁數據共享數據共享1、告知并取得同意2、特殊信息強制共享數據保護數據保護安全保障措施車輛制造商的安全保障措施TISAX 認證表【7】：歐盟產業鏈劃分下的車企合規義務a）數據收集環節告知并取得同意告知并取得同意：歐盟、德國、法國在具體的告知事項和告知標準上存在少量差異。例如，法國對于“同意”的要求更為苛刻，往往要求取得書面同意；歐盟規定在以下場景下，采集或處理信息必須告知并獲得明確同意：使用電子郵件、短信、傳真、電話等方式進行商業營銷；哨兵模式下，車機攝像頭進行錄制；投保 UBI 保險2等。另外，歐盟建議車載語音交互系統應當在開啟前展示隱私政策全文，并在獲得用戶同意后再開啟相應功能。特

141、殊提示特殊提示：歐盟、德國、法國均對數據采集場景下對用戶的提示方式做出了具體要求。例如，歐盟要求車企應通過標準化圖標的形式提供與處理相關的隱私保護提示。b）數據存儲環節個人信息權的實現個人信息權的實現：歐盟、德國和法國均要求數據處理者和數據控制者應采取各種途徑幫助用戶有效實現其個人信息權。例如，便利用戶更改其隱私設置，或方便用戶刪除存儲在汽車儀表盤上的個人數據。報告義務：報告義務：車企應及時向國家監管部門報告數據安全漏洞。記錄義務記錄義務：OTA 汽車遠程升級3時，主機廠應內部建檔，記錄和存儲對應車2UBI 模式車險（Usage Based Insurance）：基于車主駕駛行為以及使用車輛相

142、關數據相結合的可量化的保險。3OTA（Over the Air）技術，幫助原始設備制造商（OEM）直接遠程連接聯網車輛，推動軟件更新至待升級的車輛的技術。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 58 頁 共 113 頁型的 OTA 升級信息，包括：升級的目的、升級可能影響的車輛系統或功能、升級過程中的安全保障措施等。員工規模達到 250 人及以上的車企，應當對其數據處理操作制作登記冊加以記錄。記錄內容至少包括：控制者及控制者的代表、DPO 等的姓名及聯系方式；對數據主體類型及個人數據類型的描述等。數據存儲期限數據存儲期限：歐盟規定，商業交易數據的法定時效期限

143、結束時，此類數據應當被刪除或匿名化；使用數據中的原始數據應盡可能不做處理；建議保留匯總數據。法國國家信息和自由委員會（Commission nationale de linformatique et desliberts Abbreviation,以下簡稱“CNILCNIL”）建議在使用 cookie 和跟蹤設備時，需6 個月更新 cookie 的同意或者拒絕，或者不需用戶同意的受眾測量跟蹤設備的生命周期不應超過 13 個月。c）數據處理環節最小處理原則最小處理原則：委托第三方處理數據時，數據處理協議必須明確，企業應當僅處理相關且限于處理目的所必需的個人數據。該原則在數據采集環節也有應用。任何

144、情況下對個人信息的采集，都必須保證該采集是必要合法的。例如，企業應當明確哨兵模式下開啟車外視頻的錄制的必要性。法國要求車載視頻監控系統保證數據采集的必要性。本地處理原則：本地處理原則：在無法數據本地處理的場景下，應選擇“混合處理”。例如，對于 UBI 保險而言，有關駕駛行為的個人數據（如踩在制動踏板上的力度、行駛里程等）可以在車機本地處理，也可以由遠程信息處理服務提供商（數據處理者）代表保險公司（數據控制者）處理，以生成分值，并在規定的基礎上（如每月一次）傳送給保險公司。敏感信息的處理敏感信息的處理：歐盟、德國、法國等對于敏感信息的范圍以及豁免情形有不同規定。例如，法國對于豁免情形的規定更細化

145、，出于預防醫學、醫學診斷、護理或治療管理或衛生服務管理的目的而必須進行的處理等均可作為豁免事由。數據保護影響評估數據保護影響評估：對于特別使用新科技處理數據，且該處理可能導致自然人之權利及自由的高度風險的場景，車企應于處理前開展數據保護影響評估（，以下簡稱“DPIA”）。例如車聯網場景下車企處理個人數據前；企業進行道路測繪活動之前等。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 59 頁 共 113 頁數據處理協議數據處理協議：委托第三方處理數據的，應與處理者簽署數據處理協議，明確數據處理范圍、期限、第三方的保密義務、數據處理安全措施等條款。員工信息保護員工信息保

146、護：德國對員工信息保護的要求更為嚴格。德國規定，員工同意數據處理必須通過書面形式。而 GDPR 則未對具體形式進行強制性規定，僅要求有明確的同意即可。兒童信息處理兒童信息處理：歐盟、德國、法國都對兒童信息予以特別保護。GDPR 將針對未成年人個人信息處理進行特別告知和同意的年齡定在 16 周歲，而法國將該年齡定為 15 周歲。限縮處理主體范圍限縮處理主體范圍：可以處理信息的主體范圍應當是有限的。法國對此有更具體的規定，要求數據處理操作的訪問應由具有唯一標識符和密碼的個人執行，該標識符和密碼應定期更新，或通過保證相同安全級別的任何其他識別方式進行。d）數據共享環節告知并取得同意告知并取得同意：如

147、涉及向銀行、融資租賃公司等金融機構提供消費者數據的，汽車銷售商應通過隱私政策等方式向涉及的數據主體告知數據接收方名稱或類型，并具備相應的合法性基礎，如數據主體的同意。特殊信息的強制共享特殊信息的強制共享：網聯汽車制造商應向零部件制造商、零部件經銷商和技術信息提供商等獨立運營商提供車輛維修與保養信息或相關軟件工具，從而保障消費者自由選擇維修商的權利，避免壟斷和不正當競爭。e）數據保護環節安全保障措施安全保障措施：EDPB 建議，行業參與者應采取算法加密通信信道、加密密鑰管理、哈希、認證技術等方式增強對個人數據的保護。對于車輛制造商而言，應當區分關鍵功能與依賴通信的功能（如信息娛樂）、實施技術措施

148、使其能夠在車輛全生命周期內快速修補安全漏洞、車輛系統受攻擊時設置報警系統并可能在降級模式下運行等。德國德國 TISAX 認證認證4：TISAX 目前是德國汽車行業的一項信息安全強制要求。德國汽車主機廠和一級供應商會提供內部數據資料給外部供應商或合作伙伴，因此前者要求后者在安全可控的物理和網絡環境下使用這些數據，確保數據得到切4TISAX(Trusted Information Security Assessment Exchange)：信息安全的評估和交換機制，可以實現汽車行業信息安全評估的相互認可，并提供通用的評估和交換機制。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展

149、白皮書第 60 頁 共 113 頁實保護。TISAX 審計的對象，主要是面向傳統的汽車零部件供應商，在當前環境下也會包括提供技術研發和配套服務的供應商。只要和德系主機廠或德系一級供應商有業務關系，存在相互之間的數據交換，就必須通過 TISAX 審計。2、德國德國（1）德國汽車數據隱私保護法律監管體系德國數據隱私保護法律框架a）德國立法與 GDPR 的適用方式作為歐盟成員國，德國主要的數據治理法規為 GDPR。另外，德國修訂了其原有的數據保護法律以符合 GDPR，并在合理范圍內為數據治理進行補充規定。德國 BDSG 與 GDPR 大致相同。根據 BDSG 規定，當 GDPR 直接適用時，本法的相

150、關規定不適用。因此，BDSG 中的特殊規定是出口德國的中國車企應當重點關注的。例如 BDSG 對企業員工的信息保護的規定。b）汽車行業針對目標出口德國的車企，德國做出的專門性數據隱私保護規定較少。中國車企應著重關注 BDSG。德國數據隱私保護監管機構現狀德國的數據隱私保護監管機構是德國聯邦數據保護和信息自由專員機構（Bundesbeauftragter fr den Datenschutz und die Informationsfreiheit，以下簡稱“BfDI”）。BfDI 的主要任務為執行 GDPR 和 BDSG 以及與數據保護法相關的其他法律條款，做出行政處罰，并與歐洲其他數據監管機

151、構合作。（2）德國汽車全產業出海數據合規義務解析此部分請參見本白皮書 1.1.2“歐盟汽車全產業出海數據合規義務解析”。3、法國、法國汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 61 頁 共 113 頁（1）法國汽車數據隱私保護法律監管體系法國數據隱私保護法律框架a）數據隱私保護核心立法2018 年法國修訂了數據保護法（，以下簡稱“FDPA”），對域外應用程序的定義、加強對敏感數據的控制力度、監管個人行使數據權利的行為方面進行了調整。CNIL 也會定期在其網站上發布遵守GDPR 的指南與建議，如個人數據安全使用指南關于數據保護官的建議數據保護影響評估指南等。b）

152、汽車行業2017 年 CNIL 與汽車供應鏈、制造商、保險公司、公共當局和電信運營商合作，完成了網聯車的一攬子合規方案。該方案為公司收集和利用從車輛的使用中獲得的個人數據提出了指導。不過，CNIL 和法國的立法并沒有涵蓋所有涉及車輛和個人數據的事項，例如在車輛中使用視頻監控系統，既不禁止，也不完全合法。法國數據隱私保護監管機構現狀法國的數據保護監管機構是 CNIL。其主要任務是監督對數據保護立法的遵守情況并實施制裁。（2）法國汽車全產業出海數據合規義務解析此部分請參見本白皮書 1.1.2“歐盟汽車全產業出海數據合規義務解析”。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白

153、皮書第 62 頁 共 113 頁（二）美洲區域汽車全產業出海數據合規的法律規定與義務現狀在美洲范圍內，美國一直是全球最主要的汽車市場之一，但愈發嚴重的貿易壁壘為中國車企出口美國造成了一定困擾；巴西和阿根廷近年都積極推動綠色能源產業發展，兩國處于早期發展階段的新能源汽車市場為中國汽車品牌提供了巨大的發展空間。但巴西與阿根廷不斷向歐盟看齊的數據隱私保護制度為中國車企的進入增加了難度。想要拓展美洲市場，中國車企必須深刻洞察前述各國的數據隱私保護法律法規。1、美國、美國（1）美國汽車數據隱私保護法律監管體系美國數據隱私保護法律框架美國傾向于個人數據的流動和利用，數據保護的法律規定較為寬松，至今仍沒有全

154、面的聯邦數據隱私法。因此，美國隱私法律體系像一個復雜的拼圖，各級立法機構更傾向于針對不同領域的不同事項，頒布專門的數據隱私安全法律。a）數據隱私保護立法的雙層架構美國的立法分為聯邦層面與州層面。想要進入美國某州的中國車企，首先應當關注該州的法律；通常只有州法律與聯邦法律沖突時，需適用聯邦法律。另外，如果中國車企欲進行跨州的商業活動，通常亦歸聯邦法律管轄。就聯邦層面的立法而言，中國車企要關注的有消費者保護領域的聯邦貿易委員會法、收集兒童數據時可能涉及兒童在線隱私保護法等。州層面的立法更為紛繁復雜，典型的如，以“美國最嚴格隱私立法”而聞名的加州消費者隱私法案（，以下簡稱“CCPA”）。該法案的“長

155、臂管轄”原則，意味著即使中國企業在美國沒有公司實體，也可能要遵守其規定。除此之外，弗吉尼亞也規定了消費者數據的保護、華盛頓州規定了生物識別時的隱私事項等。中國車企應根據自身的市場布局規劃，選擇重點關注的法律。b）汽車行業目前美國聯邦和各州都缺乏針對汽車產業的數據隱私立法，特別適用于汽車產業的數據隱私保護規范散落在前述諸多針對數據隱私保護的立法中。但目前包汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 63 頁 共 113 頁括加州在內的許多州計劃加強對于汽車數據隱私保護的監管力度。例如，加州監管機構將審查汽車制造商的數據保護政策。因此針對汽車行業的數據隱私保護法律法

156、規或許會在不遠的未來到來。美國數據隱私保護監管機構現狀監管機構受到監管法規體系的影響，也體現為對不同領域的針對性監管。例如，就聯邦層面而言，車載軟件供應商如語音交互系統應關注聯邦通信委員會（Federal Communications Commission，以下簡稱“FCC”）其負責監管電話、衛星等多種形式的通信運營商。而各州政府通常根據自己的州隱私法（如加州的CCPA）提起訴訟。不同州的執法內容往往因州立法的不同而各異。另外，對于制定和參與不同行業自律的公司，他們可以采用和執行自己的一套隱私或安全標準。不合規的公司可能會被提交給 FTC 或其他監管機構。（2）美國汽車全產業出海數據合規義務解

157、析通用數據合規義務2024 年初，美國政府發布了一項保護美國公民個人敏感數據免遭“受關注國家”利用的行政命令。這份命令的出臺意味著美國主體與中國企業之間的涉及大規模敏感個人數據或政府相關數據的受管轄數據交易會被限制甚至禁止。中國車企對此應高度重視。例如，個人敏感信息往往被禁止或限制流動；對于不同數據的審查嚴格程度不同，關涉政府的敏感數據可能一概受到無差別審查。產業鏈劃分下的合規義務合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據收集1、告知并授權同意2、生物識別信息的采集/數據存儲必要存儲期限/數據處理1、敏感信息的限制使用2、目的限制原則/汽車出海全產業數據安全合規發展白

158、皮書汽車出海全產業數據安全合規發展白皮書第 64 頁 共 113 頁3、數據保護評估（DPAs）數據安全保護個人信息自決/表【8】：美國產業鏈劃分下的車企合規義務a）數據采集環節告知并告知并授權授權同意同意：美國多個州都要求企業在收集和處理用戶個人信息時，必須告知并獲得用戶的明確同意，但具體規定稍有不同。例如，加州要求租車服務的公司應在租賃柜臺提供其收集通知，但如果車輛中有其他公司收集個人信息，則這些公司應在車輛中放置一個貼紙，可作為收集通知。再如，加州、弗吉尼亞州、科羅拉多州均區分了“敏感數據”和“個人數據”，但范圍稍有不同，只有科羅拉多州不將精確地理位置數據視為“敏感數據”。生物識別信息的

159、采集生物識別信息的采集：目前部分州有專門針對保護消費者生物識別信息的法律。伊利諾伊州規定了有關個人生物識別標識符或生物信息的保留、收集、披露和銷毀的要求，這可能會應用于輔助駕駛注意力和防撞的汽車技術。b）數據存儲環節必要存儲期限必要存儲期限：根據加州的規定，車企不得保留消費者的個人信息超出為其收集目的所合理必需的時間。c）數據處理環節敏感信息的限制使用敏感信息的限制使用：許多州都為消費者提供了限制企業使用敏感個人信息的權利。以加州為例，其規定企業可使用敏感個人信息的范圍僅限于提供商品或服務時所必需的范圍。敏感個人信息包括消費者的駕照號碼或護照號碼、賬戶憑證、精確地理位置、種族或民族起源等。目的

160、限制原則目的限制原則：部分州如加州規定，企業不能將最初為某一目的收集的消費者個人信息用于不同的、無關的目的。數據保護評估數據保護評估：弗吉尼亞州要求進行 DPAs 的場景比 GDPR 更廣個人數據的銷售、敏感個人數據的處理、個人數據用于定向廣告的處理、個人數據用于特定分析目的的處理等。數據分享限制數據分享限制：加州關注個人信息的出售，如要求網絡運營者要在網站顯眼汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 65 頁 共 113 頁位置放置“不要出售我的信息”按鍵。加利福尼亞州要求不僅數據出售，數據分享也需要給予消費者拒絕權利。d）數據安全保護環節多州都賦予了消費者

161、對其個人數據的處理權利，如訪問權、刪除權、復制權，以及選擇退出權。此外，康涅狄格州還進一步規定，企業必須提供便捷的撤銷同意的機制，如企業收到前述撤銷同意的通知則必須在 15 天之內停止處理數據。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 66 頁 共 113 頁2、巴西、巴西（1）巴西汽車數據隱私保護法律監管體系巴西數據隱私保護法律框架經過多年的發展，數據保護現已成為巴西聯邦憲法中的一項基本權利。為落實數據隱私保護，巴西出臺了通用個人數據保護法（，以下簡稱“LGPD”），其絕大部分借鑒了歐盟 GDPR 的規定。中國企業可以關注的點包括，LGPD 明確了自然人對其

162、個人數據享有所有權等。目前巴西在汽車行業的數據隱私保護方面的立法是空白的。對于車企的數據合規要求主要還是來自 LGPD。巴西數據隱私保護監管機構現狀巴西的國家數據保護局（The Brazilian National Data Protection Authority，以下簡稱“ANPD”）是負責實施、監督 LGPD 執行的行政機關，擁有行政處罰權。（2）巴西汽車全產業出海數據合規義務解析通用數據合規義務a）數據跨境傳輸巴西的數據跨境傳輸要求與歐盟 GDPR 相類似，可參見“數據跨境傳輸三大路徑”。就巴西而言，數據跨境傳輸的主要的參考因素包括：傳輸國國內的法律法規、被傳輸數據的性質、傳輸國數據保

163、護的一般性原則、是否采取了安全措施等。b）任命數據保護專員（DPO）數據控制者必須任命一名 DPO，微型企業、小型企業、創業公司除外。DPO的職責包括受理數據當事人的投訴、接收來自 ANPD 的通知等。產業鏈劃分下的合規義務由于巴西 LGPD 與 GDPR 十分相似，此處不再單獨說明。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 67 頁 共 113 頁3、阿根廷、阿根廷（1）阿根廷汽車數據隱私保護法律監管體系阿根廷數據隱私保護法律框架a）數據隱私保護核心立法阿根廷針對數據隱私保護的立法較為單薄，在聯邦憲法中通過規定個人信息訪問的訴訟權等一系列個人信息權利，為保護

164、隱私權提供了基本框架。巴西目前的個人數據保護法（，以下簡稱“PDPA”）與歐盟 GDPR 在結構與內容上都十分相似。違反 PDPA 的數據控制者和處理者可能被強制關閉甚至取消數據庫，以及面臨罰款。b）汽車行業目前阿根廷尚未出臺針對汽車行業的數據隱私保護的專門立法。根據阿根廷高度重視數據隱私保護的態度，預計阿根廷會逐步推出更多的相關法律法規，需要中國車企持續關注。例如，2023 年底，阿根廷剛剛通過了通過人工智能透明度和個人數據保護計劃。就目前而言，PDPA 將是中國車企出口阿根廷時最值得關注的法律。阿根廷數據隱私保護監管機構現狀國 家 主 管 監 督 機 構 為 公 共 信 息 獲 取 機 構

165、（，以下簡稱“AAIP”），APPI 負責對 PDPA 的強制執行，可以適時發布行政禁令。（2）阿根廷汽車全產業出海數據合規義務解析通用數據合規義務a）數據跨境傳輸阿根廷對于數據跨境傳輸的要求與歐盟類似，可參見“數據跨境傳輸三大路徑”。b）數據安全漏洞通報機制在發生涉及個人數據的安全事件時，數據控制者必須在意識到該事件的 48汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 68 頁 共 113 頁小時內通知 DPA。c）未成年人數據處理如果未成年人未滿 13 歲，只有在父母或法定監護人同意的情況下，同意才是有效的。產業鏈劃分下的合規義務目前，在阿根廷適用于汽車行業的

166、數據隱私保護法律法規中，具有獨特性的較少，更多還是對于數據隱私保護一般規則的重述與細化。因此在此不再贅述。（三）中東區域汽車全產業出海數據合規的法律規定與義務現狀沙特、阿聯酋、以色列等中東地區的經濟強國是我國汽車出口量突出表現的市場。車企出海想要在中東地區打開廣闊市場，不可不察中東地區的車企數據合規項。1、沙特沙特（1）沙特汽車數據隱私保護法律監管體系沙特數據隱私保護法律法規體系沙特數據領域立法主要包括個人數據保護暫行條例（，以下簡稱“PDPIR”）、個人數據保護法（，以下簡稱“PDPL”）個人數據保護法實施條例（，以下簡稱“PDPLIR”）以及個人數據跨境傳輸條例（，以下簡稱“PDTR”）。

167、總的來說，PDPL 是沙特全國性層面的法律，適用于各行各業，僅有少部分例外情況。這些例外情況是指沙特全國性層面的法律和監管框架中的特殊部分，例如沙特中央銀行、國家網絡安全局或通信、空間和技術委員會的法律和監管框架領域。a）數據立法變遷：從數據治理到專門保護立法PDPL 頒布前，由 PDPIR“掌管”沙特的數據安全保護工作，但并非針對數據安全的專門性立法，而是國家數據治理條例的一部分。為了更好開展數據安汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 69 頁 共 113 頁全保護工作，PDPL 應運而生。PDPL 是數據保護領域的專門性立法，規定了個人數據收集、處理、

168、傳輸和保護等方面的基本原則和要求。根據 2023 年的修訂，出海沙特的中國車企作為受 PDPL 管轄的企業，必須在 2024 年 9 月 14 日之前調整其運營狀態，以確保符合 PDPL 的相關規定。目前，PDPL 與 PDPIR 共同構成沙特數據安全領域的核心法律。PDPLIR 與 PDTR 則為 PDPL 的配套法規，細化了個人數據保護的相關規則，也為我國出海車企明示了具體合規義務。b）沙特數據立法演進圖圖【4】：沙特數據立法演進圖c）汽車行業就汽車行業而言，沙特日前并未針對數據安全領域進行專門立法，但發布了物聯網監管框架 信息通信技術服務用戶權利保護和信息通信技術服務提供條款規定個人融資

169、租賃機動車輛綜合保險規則等監管框架和監管指南，其中部分條款涉及對汽車數據進行規范。我國車企出海沙特除了關注數據隱私保護的專門立法外，對散見于各類監管文件、指南中的汽車數據保護條款也需保持敏銳度。沙特數據隱私保護監管機構現狀沙特數據隱私保護監管機構為數據與人工智能管理局（Saudi Data and汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 70 頁 共 113 頁Artificial Intelligence Authority，以下簡稱“SDAIA”）、國家數據治理辦公室（theNational Data Management Office，以下簡稱“NDMO

170、”）。SDAIA 由沙特首相直接領導，負責制定和實施沙特數據與人工智能行業的政策和戰略計劃，并監督數據管理活動，就 PDPL 進行調查執法。SDAIA 領導國家信息中心、國家人工智能中心與國家數據管理辦公室。NDMO 負責管理和監督數據管理政策和標準，與 SDAIA 共同致力于數據的有效管理和利用。另外，沙特中央銀行、空間和技術委員會保留了其監管領域內的管轄權，承擔數據隱私保護監管職能。圖【5】：沙特數據與人工智能管理局架構（2）沙特汽車全產業出海數據合規義務解析通用數據合規義務任何選擇出海沙特的中國車企都應當遵循沙特數據保護一般規則進行合規工作，其內容包括但不限于告知義務與合法性基礎、數據本

171、地存儲、簽署數據跨境傳輸合同、數據權利保護等。PDPL 中還引入了數據控制者向數據和人工智能管理局進行注冊的要求，收集個人數據并確定其使用目的和處理方法的組織（數據控制者）必須在電子門戶汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 71 頁 共 113 頁注冊，并形成國家數據控制者注冊表。另外，如果數據控制者是提供涉及大規模處理個人數據服務的公共實體、主要活動需要定期和持續大規模監控個人數據的處理操作、核心活動包括了處理敏感個人數據的，需要任命數據保護官。a)數據跨境傳輸合規要點沙特的數據跨境傳輸采用三層平行架構。第一層：白名單國家，即沙特政府數據保護認證標準的國

172、家名單。第二層，適當措施，即約束力的公司規則或標準合同條款或者符合 PDPL 等的認證或行為準則等。第三層，特定豁免條件，即為履行合同所必需、為保障數據主體的重大利益所必需（如為保護數據主體的生命或重大利益或為檢查疾病等極端必要的情況）、為維護國家安全或公共利益所必需（控制者需為公共機構）、為開展刑事偵查等所必需（控制者需為公共機構）等。但目前中國尚不屬于第一層沙特數據保護認證標準國家名單之中，因此出海沙特的中國車企若存在數據跨境的需求，則需要滿足第二層或第三層的合規要求通過第二層或第三層途徑進行數據跨境傳輸。其中，第二層，是指已采取“適當措施”，即約束力的公司規則或標準合同條款或者符合 PD

173、PL 等的認證或行為準則等；第三層，是指符合“特定豁免條件”，如為履行合同所必需、為保障數據主體的重大利益所必需等。b)特別風險提示按照沙特通信、空間和技術委員會要求，在沙特境內提供聯網服務的車輛必須確保符合以下規定并且需要向沙特通信、空間和技術委員會提交相應的 PIA報告：電信、信息技術和郵政部門保護個人數據的一般原則；基于用戶個人數據推出服務或產品或共享個人數據的程序；網絡安全監管框架。產業鏈劃分下的合規義務合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統/車聯網服務提供商車聯網服務提供商數據存儲保險數據不得保存/本地化存儲數據共享告知同意/汽車出海全產業數據安全合規發展白

174、皮書汽車出海全產業數據安全合規發展白皮書第 72 頁 共 113 頁數據安全保護/安全存儲和運維措施表【9】：沙特產業鏈劃分下的車企合規義務a）保險數據不得保存車企無權持有、存儲汽車保險個人數據。b）本地化存儲車聯網服務提供商應當將提供車聯網服務的所有服務器設置在沙特阿拉伯境內并將數據存儲在沙特阿拉伯境內。c）告知同意向銀行、融資租賃、保險公司等金融機構提供消費者數據的，車企應當通過隱私通知告知相關個人信息主體共享數據的類型、數量、目的等對外提供個人數據情況，并獲取消費者的同意。d）安全存儲和運維措施提供車聯網服務的企業應當具備數據保存和維護的技術措施，并達到后續能對數據進行審查的水平。2、阿

175、聯酋阿聯酋（1）阿聯酋汽車數據隱私保護法律監管體系為了維護數字經濟持續發展，阿聯酋分別在聯邦層面和自由貿易區層面都各自出臺了數據保護法律法規。除了立法動作，阿聯酋政府通過發布網絡安全的RZAM 應用程序5、開通在線報告網絡犯罪 eCrimes 平臺，以加強底牌的數字安全標準。阿聯酋數據隱私保護法律法規體系a）聯邦層面阿聯酋于 2022 年公布了國家第一部關于全面保護個人數據的專門性法律阿聯酋個人數據保護法（，以下簡稱“PPD”）。在處理敏感個人數據方面，5汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 73 頁 共 113 頁PPD 與 GDPR 不同，并未對敏感個

176、人數據的處理施加更嚴格的控制。然而，如果控制者或處理者所進行的處理包括對敏感個人數據進行系統全面評估，包括畫像和自動化處理，或者處理大量敏感個人數據，則必須指定一名 DPO。除此之外，關于現代技術貿易 2023 年第 14 號聯邦法令（以下簡稱現代技術貿易法）、關于電子交易和信托服務的 2021 年第 46 號法律的聯邦法令（以下簡稱電子交易和信托服務法）、關于信用信息的 2010 年第 6號聯邦法律（以下簡稱信用信息法）等立法中有關于數據保護相關規定。b）自由貿易區層面阿聯酋自由貿易區有權發布其區域內適用的數據保護法律法規，并豁免于PPD。目前，迪拜國際金融中心（Dubai Internat

177、ional Financial Centre，以下簡稱“DIFC”）、阿布扎比國際金融中心（Abu Dhabi Global Market，以下簡稱“ADGM”）都分別頒布了各自區域內的數據保護條例。DIFC 在 2020 年 7 月 1 日通過數據保護法和數據保護規定。這些法規適用于在 DIFC 內成立的數據控制者或處理者對個人數據的處理，無論這些處理行為是否在 DIFC 內進行。數據保護法強調了數據控制者和處理者的問責制。此外，該法規還適用于在迪拜國際金融中心內將處理個人數據作為其穩定安排的一部分的數據控制者或處理者，不論其成立地在哪里。c）汽車行業阿聯酋雖就數據安全領域進行了專門立法，但

178、在汽車領域尚未出臺專門的立法。因此，以阿聯酋為出海目的國的中國車企，應當明確出海的具體區域，如出海阿聯酋貿易區時應遵守自由貿易區數據保護相關立法，如若出海非自由貿易區域時應遵守聯邦數據保護相關立法，依法構建企業數據合規體系。阿聯酋數據隱私保護監管機構現狀阿聯酋數據隱私保護監管分為聯邦和自由貿易區兩個層面，分別設有監管部門負責各自區域的數據隱私保護工作。聯邦層面：在頒布 PPD 的同時，阿聯酋政府宣布成立阿聯酋數據辦公室作為專門的數據保護監管機構，主要職責為制定和實施數據保護相關政策和立法、數據相關指導方針和說明，并監督數據管理活動等。在網絡安全領域，阿聯酋更汽車出海全產業數據安全合規發展白皮書

179、汽車出海全產業數據安全合規發展白皮書第 74 頁 共 113 頁組建了專門阿聯酋網絡安全委員會、計算機應急響應小組，負責該領域內的數據安全事件工作事宜。自由貿易區層面：ADGM 在新出臺2021 年數據保護條例框定下，成立了數據保護辦公室，并設立數據保護專員領導辦公室工作。無獨有偶，DIFC 根據其區域內的數據保護法設立了數據專員，負責和監督該區域內數據管理。圖【6】：阿聯酋數據保護立法架構及監管方式（2）阿聯酋汽車全產業出海數據安全風險及合規要點通用數據合規義務PPD 具有域外效力，不論是在阿聯酋設立分支機構的中國車企，還是向阿聯酋公民提供服務的中國境內車企都受到阿聯酋個人數據保護法的約束。

180、總體而言，在阿聯酋落地的車企，不論是整車廠或只是硬件零件、系統提供商等，都應當遵循個人數據處理規范、保護個人數據權利的義務、個人數據泄漏處理規范、任命數據保護官、個人數據保護影響評估等合規義務。a)數據跨境傳輸合規要點在阿聯酋的通用數據合規義務框架下，尤其值得關注阿聯酋對汽車數據跨境傳輸的特殊要求，即迪拜和阿布扎爾國際金融中心的數據跨境傳輸規則優先適用，并且兩個區域在企業具體執行層面均已公布充分性認定國家或地區清單和標準合同模板。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 75 頁 共 113 頁物聯網管理領域，物聯網管理條例要求政府的“秘密”“敏感”和“機密”

181、數據只能保留在阿聯酋境內。個人和企業的“秘密”“敏感”和“機密”數據應主要存儲在阿聯酋境內。GPS 定位領域，阿聯酋的全球定位系統供應商是進口、提供和銷售電信設備活動的唯一授權方。所有服務器和 GPS 相關系統必須位于阿聯酋，不得將任何類型的信息導出到阿聯酋以外。b)特別風險提示車企在阿聯酋開展業務過程中，數據合規層面需特別關于其有關 Lot 監管的法規及符合性，按照阿聯酋監管部門的理解，網聯汽車具備 Lot 屬性，需要向主管機關提交 Lot service registration。該注冊需要當地公司完成，可以由主機廠屬地分公司或者當地經銷商代為提交，注冊申請內容需要完整闡述公司 Secur

182、ityand Privacy 方面的安排，對此在業務展業準備過程中需要予以關注。產業鏈劃分下的合規義務合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據處理數據保護影響評估/數據共享信用信息/數據保護隱私政策/電子識別系統安全性和信任級別表【10】：阿聯酋產業鏈劃分下的車企合規義務a）數據保護影響評估車聯網場景下處理個人數據，特別是采取自動化處理方式、在車外處理個人數據等場景，車企需進行數據保護影響評估。b）信用信息車企在銷售環節可能收集到顧客的個人信用信息，包括個人收入、資產、銀行交易記錄等以評估消費者購買能力。原則上車企不得披露或向任何第三方披露所擁有的任何信用信息。同時

183、，存儲、定期更新所有與信用信息有關的數據。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 76 頁 共 113 頁c）隱私政策車企提供的汽車電商平臺，如一站式跨境電商平臺，必須制定符合 PPD 或自由貿易區相關法律規定的隱私政策。隱私政策應明確說明平臺數據收集的目的、存儲時間、第三方服務提供商的使用等。d）電子識別系統汽車電子識別系統應制定區分安全和信任水平的技術條件和標準，提供符合安全級別的技術規格、標準及程序。如電子車牌識別系統符合高水平的安全性和信任度，則要為車牌提供高度信任和可接受性的識別“身份”，并消除任何風險和防止濫用或操縱“該身份”的技術、標準和程序。

184、3、以色列、以色列（1）以色列汽車數據隱私保護法律監管體系以色列數據隱私保護法律法規體系a）以色列核心數據隱私保護法律法規2022 年，以色列修訂了隱私保護法，加強了政府當局對隱私保護的監管。圍繞隱私保護法這個核心，以色列出臺了隱私保護條例（數據安全）通信法及修正案、行政犯罪條例（行政罰款和保護隱私）隱私保護條例（向國外數據庫傳輸信息）4/2012 安全使用和監控攝像頭以及記錄圖像庫等法律法規。b）其他領域的數據隱私保護法律以色列注重網絡安全監管工作，其網絡安全治理水平處于全球領先地位。2021年，以色列發布了 INCD網絡安全法案（，以下簡稱“INCD”），明確限制隱私信息的訪問。加強了隱私

185、信息的保護。c）汽車行業以色列雖就數據安全領域進行了專門立法，但在汽車領域尚未出臺專門的立法。因此，以以色列為出海目的國的中國車企，應遵守以色列數據保護相關立法，依法構建企業數據合規體系。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 77 頁 共 113 頁以色列數據隱私保護監管機構現狀以色列目前數據隱私保護監管機構為隱私保護局（The Privacy ProtectionAuthority，簡稱“PPA”）。作為專門從事數據保護的獨立機構，PPA 擁有以下廣泛職權：根據隱私保護法對任何實體進行檢查和審計、監管隱私保護法的執行、通過發布指南對隱私保護法進行解釋、保

186、護數據庫中的個人信息。（2）以色列汽車全產業出海數據安全風險及合規要點通用數據合規義務任何選擇出海以色列的中國車企都應當遵循以色列數據保護一般規則進行合規工作，同時應當注意以下較為特殊的合規要點：a）數據庫的建立和規范根據隱私保護法數據庫所有者必須在滿足法定條件的情況下注冊其數據庫。6同時，隱私保護條例（數據安全）將數據庫分為四個等級，并分別對應不同的安全要求。因此，出海以色列的中國車企在滿足條件的情況下應注冊其數據庫，并按照條例的規定識別數據庫等級，以滿足不同級別的合規要求。使用、持有或管理需要注冊的未注冊數據庫將面臨 2000 新謝克爾（約合 578 歐元）的行政罰款。b）數據庫合規義務在

187、中等或高安全級別的數據庫系統中，強制要求具備自動記錄機制，以監控對數據庫系統的訪問。同時，包含敏感數據的數據庫必須向 PPA 登記，并且必須對這種數據庫實施更高級別的安全。產業鏈劃分下的合規義務合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統6法定條件為下述之一：（1）該數據庫包含 10000 個以上數據主體的數據;（2）數據庫包含敏感數據;（3）數據庫包括有關個人的數據，這些數據不是由他們、代表他們或經他們同意提供的;（4）數據庫屬于公共實體;（5）該數據庫用于直郵服務。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 78 頁 共 113 頁數據保

188、護市場準入攝影系統/表【11】：以色列產業鏈劃分下的車企合規義務a）市場準入以色列對進口汽車實施市場準入管理體制，出口以色列的汽車必需同時滿足歐盟、美國、加拿大汽車和以色列自身技術法規的要求。b）攝影系統4/2012 安全使用和監控攝像頭以及記錄圖像庫 對采用如車牌車輛識別技術的攝影系統的企業提出了額外的數據合規要求，如明確告知攝影系統的存在、對系統進行事先的技術和設備檢查等。（四）東南亞及大洋洲區域汽車全產業出海數據合規的法律規定與義務現狀東南亞地區具備支撐汽車產業長期增長的宏觀環境，成為我國車企出海的另一大重要區域，重點國家包括泰國、新加坡、越南等。這些國家數據隱私保護法律監管體系日趨完善

189、、各有特色，汽車數據合規實務問題成為重要命題。1、泰國泰國（1）泰國汽車數據隱私保護法律監管體系泰國數據隱私保護法律法規體系a）數據頂層立法：核心法律層次在數據保護領域，泰國政府采取統一立法模式，于 2022 年通過了泰國個人數據保護法（，以下簡稱“PDPA”），旨在全面性保護數據安全、對齊歐盟等國家數據治理水平。其核心原則在很大程度上受到了歐盟 GDPR 的影響。PDPA 的適用范圍廣泛，不僅適用于在泰國境內收集、使用或披露個人數據的組織，也適用于涉及泰國居民數據的組織，無論這些組織是否在泰國注冊成立，或是否在泰國有業務存在。此外，2019 年通過的網絡安全法對關鍵信息基礎設施運營者和其他網

190、絡運營者提出了網絡領域的數據安全要求。由此，泰國形成了以個人數據保護汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 79 頁 共 113 頁法與網絡安全法為核心法律的頂層設計。b）數據二級立法：相關配套規定為了保障 個人數據保護法 的實施，泰國政府相繼頒布了一系列實施細則，例如個人數據控制者安全措施 個人數據處理者個人數據處理活動記錄的準備和保存標準和方法 等。其中，泰國政府于 2023 年出臺了 第 28 規定第 29 條規定，細化補充了 PDPA 數據跨境規則。c）汽車數據立法：空白尚未填補泰國暫未就汽車領域頒布專門的數據隱私保護法律。因此，中國車企應當根據數據

191、頂層立法和二級立法設計數據合規框架?？傮w而言，泰國數據保護標準較為寬松，且汽車領域數據合規行政處罰較少。泰國數據隱私保護監管機構現狀a）泰國個人數據保護委員會（The Personal Data Protection Committee，以下簡稱“PDPC”）PDPC 為個人數據保護法的執法部門，主要職責包括制定支持和保護個人數據的總體計劃、確定保護個人數據的措施或程序、發布數據相關的法規等。b）PDPC 辦公室和監督委員會PDPC 下設辦公室、監督委員會和委員會。委員會中的專家委員會解決與個人數據有關的爭議，進行調查和審議投訴。審查和認證數據跨境傳輸標準由PDPC 辦公室負責。（2）泰國汽車

192、全產業出海數據安全風險及其合規要點通用數據合規義務泰國立法將車內數據劃分為兩部分，個人數據與非個人數據，并且針對個人數據做出了特定的要求，包括但不限于數據處理合規義務、設立數據保護官等。a）數據跨境傳輸泰國政府目前尚未公布“充分保護國家”白名單，因此中國車企只能通過個人汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 80 頁 共 113 頁數據保護委員會、適當保護措施兩條途徑進行數據跨境傳輸活動。產業鏈下的不同合規義務合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據處理/服務提供數據跨境傳輸/豁免情形數據保護聯合國 IWVTA 認證+TISI 排

193、放認證網絡數據安全表【12】：泰國產業鏈劃分下的車企合規義務a)服務提供無論數據主體是否同意服務提供者收集或處理其個人數據，其不得拒絕為數據主體提供相關服務。b)豁免情形作為數據中轉站的中介機構發送或傳輸個人數據、在計算機系統或數據存儲介質之間發送或傳輸個人數據，這兩種情況不屬于“個人數據跨境傳輸”。車聯網云、自動駕駛云等為汽車產品提供云服務器等企業可能落入履行數據跨境傳輸合規義務的豁免情形。c)聯合國 IWVTA 認證+TISI 排放認證7聯合國歐洲經濟委員會發布的汽車技術法規和標準對汽車的網絡安全、軟件更新、數據保護提出了具體要求。整車廠應該根據法規指引進行汽車產品的數據合規工作。d)網絡

194、數據安全泰國網絡安全法將能源企業識別為關鍵信息基礎設施運營者，提出了更多的網絡數據安全保障義務，例如需進行風險評估。2、越南越南7泰國整車認證管控涉及轎車、輕型載貨車、重型載貨車、客車、掛車及摩托車等。其認證模式是整車型式批準認證，采取國際認證+本國認證結合的雙認證制度（即聯合國 WVTA 認證+TISI 排放認證），汽車產品需依據 UN ECE（聯合國歐洲經濟委員會）法規來進行檢測及認證并獲得聯合國 WVTA 證書，再按照 TISI 標準在泰國當地進行排放測試，汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 81 頁 共 113 頁（1）越南汽車數據隱私保護法律監

195、管體系越南數據隱私保護法律法規體系a）數據保護相關立法越南政府于 2023 年通過了個人數據保護法（，以下簡稱“PDPD”），該部法律是越南首部對數據進行綜合性、全面性保護的法律。此外，越南政府出臺了網絡安全法網絡信息安全法等法律旨在對網絡信息安全領域進行規范。b）汽車領域相關立法越南并未就汽車領域專門進行數據安全立法。因此，中國車企應當根據數據保護相關立法設計數據合規框架?？傮w而言，越南數據保護標準較為寬松，且汽車領域數據合規行政處罰較少。圖【7】：越南數據保護立法歷程越南數據隱私保護監管機構現狀公安部是越南數據保護最主要的監管機構，負責指導和實施個人數據保護工作、出臺相關數據保護標準，并依

196、法開展數據監管工作。公安部下屬的數據保護委員會作為獨立的政府機構，負責審查企業隱私政策的適當性以及審批個人數據的跨境轉移活動的合規性。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 82 頁 共 113 頁（2）越南汽車全產業出海數據安全風險及合規要點通用數據合規義務PDPD 適用于在越南境內進行的個人數據處理活動，同樣具有域外效力。中國出海越南的車企即使在越南沒有實體機構，只要在越南境內進行了數據處理活動，即應受 PDPD 的約束。PDPD 合規內容與大多數國家保持一致，即知情同意、數據處理規范、數據泄露安全事件處置等，但應注意以下合規要點：a)數據收集：更高的告

197、知同意合規義務相較于我國個人信息保護法，PDPD 設定了更為細致的告知同意規則。第一，數據主體的同意有較為嚴格的要求。關于同意的形式，數據主體的同意必須是以能夠打印或書面形式復制的，包括電子格式的形式表達。關于同意的方式，數據主體的默示不構成同意。關于同意的范圍，數據主體可以進行部分、附條件的授權同意。第二，車企負責舉證義務。如車企與數據主體發生爭議，車企作為個人數據控制者或處理者需證明獲得數據主體的有效同意，否則將承擔不利后果。b)數據處理：額外的人員報備要求如果車企涉及敏感個人信息處理活動，則需要指定專門的部門和人員負責人員保護工作。該部門和人員的基本信息，中國車企應當上報至公安部。c)處

198、理記錄留存機制車企所有的數據處理活動均需留存，記錄在一份檔案中。該檔案需提供越南公安部進行檢查和評估，并根據公安部的要求進行更新。該檔案的原件需要按照規定的形式發送給公安部、網絡安全和高科技犯罪預防部。因此，車企應建立嚴格的記錄留存機制，將數據處理過程產生的各類記錄妥善留存歸檔，確保數據處理活動的合規與記錄的完善。產業鏈劃分下的合規要點合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據存儲/本地化存儲數據保護VR 認證惡意軟件過濾系統汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 83 頁 共 113 頁表【13】：越南產業鏈劃分下的車企合規義務a

199、)本地化存儲在越南提供例如車載無線通信技術服務的企業，應當將用戶的個人信息、用戶生成數據在越南本地至少存儲 24 個月，相關系統日志則需保存至少 12 個月。b)VR 認證越南強制要求所有在越南組裝或進口的汽車整車、零部件和設備，均需通過越南交通部制定的型式認證才能進入越南市場，即“VR 認證”。VR 認證中如若涉及數據保護規定，則汽車產品應當滿足相關規定。c)惡意軟件過濾系統車內軟件系統在發送、接收、存儲數據過程中必須安裝惡意軟件過濾系統。如通過攝像頭、指紋傳感器、麥克風等傳感器傳輸、存儲座艙數據過程，又如通過攝像頭、雷達等采集車外環境道路、建設等車外數據。3、新加坡新加坡（1）新加坡汽車數

200、據隱私保護法律監管體系新加坡數據隱私保護法律法規體系a）上層立法：數據保護核心法律對于數據保護的立法新加坡政府走在世界前列，早在 2012 年即發布了個人數據保護法（，以下簡稱“PDPA”），并于 2020 年頒布了個人數據保護法修正案。2018 年出臺的網絡安全法，詳細規定了網絡領域數據安全合規義務，為網絡服務提供者等指明了合規方向。由此，新加坡形成了以2012 年個人數據保護法2020 個人數據保護法修正案為基線標準、以網絡安全法為輔的數據安全保護法律體系。b）具體落實：配套條例和通知相關條例包括：2013 年個人數據保護（謝絕來電登記）條例、2021 年個人數據保護條例、2021 年個人

201、數據保護（違法構成）條例、2021 年個人數據保護（數據泄露通知）條例。相關通知包括：2020 年個人數據保護（指定執法機構）通知等，指明汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 84 頁 共 113 頁數據監管執法機構。c）汽車領域相關立法新加坡目前并未就汽車領域專門進行數據安全立法，汽車數據規范條款散見于其它各類規范指南中，如 自動駕駛汽車技術參考 68 號（，以下簡稱“TR68”）、關于在人工智能推薦和決策系統中使用個人數據的咨詢指南（以下簡稱人工智能咨詢指南）、物聯網網絡安全指南。因此，中國車企應當根據數據保護相關立法以及汽車領域相關的數據規范條款設計

202、數據合規框架。新加坡數據隱私保護監管機構現狀新加坡數據保護監管機構以新加坡通信信息部為主要監管部門，下設機構個人數據保護委員會專門針對 PDPA 進行監管工作，輔之網絡安全局作為目前的數據安全監管機構。（2）新加坡汽車全產業出海數據安全風險及合規要點通用數據合規義務落地新加坡的企業數據合規義務應當特別注意以下要點：a）個人數據范圍更為狹窄商務聯系信息（例如，姓名、職位、工作電話）不屬于個人數據范疇，不受個人數據保護法保護。b）強制設立數據保護官不區分企業類型、規模和人員，所有在新加坡的企業和組織均應任命 DPO，DPO 的形式則不受限，團隊與個人均可。產業鏈劃分下的合規要點合規階段合規階段整車

203、廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據保護商業改進目的/數據處理自動駕駛的車載數據/數據中介汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 85 頁 共 113 頁數據安全自動駕駛的網絡數據安全網絡數據安全1.AI 部署數據安全2.物聯網數據安全表【14】：新加坡產業鏈劃分下的車企合規義務a）商業改進目的根據 PDPA 附錄 1、附錄 2，出海新加坡的車企如滿足“商業改進目的”及“其他條件”8，則收集、使用、披露個人數據時可以豁免當事人同意，車企的合規義務減輕。b）自動駕駛的車載數據TR689第四部分規定，在車載數據方面，為保障有效通信，汽車在收集數據時，

204、其信號捕捉頻率、分辨率、數據格式應當滿足一定要求。c）數據中介為整車廠提供開發定制的或完全可定制的 AI 系統過程中處理個人數據，如系統集成商提供駕駛員監測技術，處理駕駛員的面部信息、生理指標、眼部動態等數據，屬于 PDPA 中的數據中介，需遵守保護義務和保留義務。d）自動駕駛的網絡數據安全TR68 第三部分要求建立包括設計、開發、運營和退役在內的整個自動駕駛生命周期管理數據安全，并設計獨立網絡安全評估框架。e）網絡數據安全網絡安全法認定包括能源、信息通信在內的企業為關鍵信息基礎設施運營者。新能源電池相關的企業應當履行每兩年進行一次網絡安全審查、每一年進行風險評估、構建網絡威脅監測機制等合規義

205、務。f）AI 部署數據安全智能網聯汽車可能涉及的人工智能交互界面技術、自動駕駛中通過人工智能分析路況環境做出駕駛策略等的應用，在部署這些 AI 系統時應當符合人工智8商業改進目的是指：（1）為改善、提高或開發商品、服務、組織的運營方式、流程；（2）學習和了解個人或其他個人對組織的商品或行為偏好；（3）為個人主體或其他個人提供定制化商品或服務。9TR68 是新加坡標準主體機構發布的指導方針，旨在指導自動駕駛技術開發人員設定明確的目標，有效降低圍繞該技術測試應用的風險。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 86 頁 共 113 頁能咨詢智能相關規定，如同意和通

206、知義務、使 AI 系統保持透明的問責義務等。g）物聯網數據安全采用物聯網技術的車企需根據 2020 年發布的物聯網網絡安全指南的要求，采取安全傳輸協議、加密、訪問控制、審計跟蹤、威脅建模、建立 Root-of-Trust等安全措施。4、澳大利亞澳大利亞（1）澳大利亞汽車數據隱私保護法律監管體系澳大利亞數據隱私保護法律法規體系a）個人隱私和數據保護核心法律在個人隱私方面，澳大利亞基于 1988 年發布的 澳大利亞隱私法，于 2013年修訂形成了隱私法條例。在數據權利方面，為保障消費者數據共享與數據保護，澳大利亞政府出臺了澳大利亞消費者數據權利法（，以下簡稱“CDR”）。隱私法條例和 CDR 在各

207、自領域保護著數據安全，共同構成澳大利亞的數據安全核心法律。b）核心法律的實施細則為落實 CDR，政府出臺一系列法規作為具體實施細則，如澳大利亞競爭與消費者規則 2020消費者數據權利隱私保護指南處理 CDR 數據處理者關于準備和應對設計 CDR 數據的網絡事件指南等。針對不同主體配有 CDR 隱私保護指南、數據持有者隱私保護指南、CDR 政策發展指南。1010參見，訪問地址：https:/www.cdr.gov.au/for-providers/cdr-information-map.汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 87 頁 共 113 頁圖【8】：

208、澳大利亞數據隱私保護法律體系c）汽車領域澳大利亞尚未就汽車領域專門出臺汽車數據安全保護法律法規。但在消費者權利保護領域出臺了針對企業和消費者的規則和建議與機動車信息方案，如機動車信息計劃（，以下簡稱“MVIS”），其中部分規則涉及數據保護。車輛標準法（，以下簡稱“RVSA”）、2018 年道路車輛標準法（Road Vehicle Standards Act 2018，下稱“RVSA”）、2019 年道路車輛標準規則（Road Vehicle Standards Rules 2019，下稱“RVSR”）等法規條例其中的部分條款涉及對汽車數據進行規范。我國車企應遵守 CDR 與澳大利亞隱私法等數據

209、安全保護法律法規，以及散見于各法規條例之中的汽車數據保護條款，在宏觀層面搭建數據安全合規義務制度體系和組織架構以應對澳大利亞數據監管工作。澳大利亞數據隱私保護監管機構現狀澳大利亞數據隱私保護監管機構為澳大利亞信息委員會辦公室（Office ofthe Australian Information Commission，以下簡稱“OAIC”）與澳大利亞競爭和消費委員會（Australian Competition and Consumer Commission，以下簡稱“ACCC”）。OAIC 總領數據安全工作，執行隱私保護措施和消費者數據權隱私規則，并調查個人消費者和中小企業對消費者數據權利參

210、與者處理消費者數據權利數據的投訴。在適當情況下，OAIC 將投訴轉交給外部爭議解決機構或 ACCC。ACCC 確保供應商遵守相關數據權利保護規則，并在必要時采取執法行動。（2）澳大利亞汽車全產業出海數據安全風險及合規要點通用數據合規義務車企在澳大利亞落地遵守的數據合規義務與眾多國家保持一致，包括授權同意、隱私合規、消費者數據權利政策、數據規范處理等。產業鏈劃分下的合規要點合規階段合規階段整車廠整車廠硬件零部件硬件零部件軟件系統軟件系統數據處理直接營銷合規義務能源合規指南人工智能汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 88 頁 共 113 頁數據保護RAV、A

211、DR信息通信技術設備數據共享汽車維修部分數據禁止共享/數據提供維修數據公平提供/表【15】：澳大利亞產業鏈劃分下的車企合規義務a）直接營銷合規義務所有營業額超過 300 萬美元的企業和非營利組織以及一些企業受 澳大利亞隱私原則 7關于直接營銷的約束。圖【9】：澳大利亞車企直接營銷合規義務b）能源合規指南為車企提供能源，如新能源電池企業，可以根據該合規指南識別自己為初始能源零售商、大型能源零售商、獲得認證的小型能源零售商和自愿參與合規的小型能源零售商等，并按照合規指南的指引滿足 CDR 數據保護合規義務。c）RAV11、ADR12進入澳大利亞的汽車產品及其零部件應當獲得 RAV、ADR 車輛類型

212、批準。中國汽車整車及零部件應滿足 RVSA、RVSR、ADR 等規定指引的隱私保護的合11在汽車首次在澳大利亞提供給他人在公路上使用之前，為了確保汽車具備安全、環保和防盜等性能，須依據 RVSA、RVSR 將其登記于核準車輛登記?。≧egister of Approved Vehicles，簡稱“RAV”）。12澳大利亞聯邦政府對道路車輛安全、排放、節能、防盜制定設計和性能要求制定了澳大利亞汽車設計規則（，簡稱“ADR”），并在澳大利亞聯邦各州、地區強制執行。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 89 頁 共 113 頁規義務要求。d）汽車維修部分數據禁止

213、共享車企將用于診斷維修的方案信息和安全信息共享給汽車維修方時，不應當共享遠程信息處理數據、駕駛員位置數據以及與計劃車輛自動駕駛系統有關的信息。e）維修數據公平提供根據 MVIS，車企數據提供商，如機動車制造商，必須以不超過公平市場價值的價格向所有澳大利亞機動車維修商（維修商）和注冊培訓組織提供進行診斷、服務或維修活動相關數據。f）信息通信技術設備（Information and Communications Technology，以下簡稱“ICT”）汽車 ICT 設備通過無線通信技術，對信息網絡平臺中的所有車輛動態信息進行處理，包括車外數據、座艙數據、運行數據、位置軌跡數據。其中涉及敏感或機密

214、數據，如車主、駕駛人的生物識別特征數據等重要數據。應當保障汽車 ICT設備的數據安全保護能力，如在 ICT 設備上應用保護性標記、要求 ICT 設備根據數據的敏感性或分類顯示、處理、存儲或通信敏感或分類數據。g）人工智能應對人工智能的數據安全保護能力進行評估，包括有關潛在不安全功能和故障模式的信息。其中數據處理日志為敏感數據，遵循敏感數據處理規則，并應保護其機密性、完整性和可用性。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 90 頁 共 113 頁第四部分第四部分 汽車行業出海展望與建議汽車行業出海展望與建議第一章第一章 汽車出海市場前景汽車出海市場前景在過去四

215、十多年的快速經濟增長中，中國經濟依靠投資、消費和出口三駕馬車共同拉動，實現了令人矚目的發展成就。在出口領域，近幾年來，中國汽車出口表現尤為突出，尤其是新能源汽車，已成為拉動中國出口增長的重要力量。隨著汽車新四化（電動化、智能化、網聯化、共享化）的推進，中國在若干汽車技術領域已達世界先進水平，汽車動力電池表現尤為突出，在技術研發和生產規模上均處于全球領先地位。此外，中國的汽車市場規模龐大，為企業提供了廣闊的市場空間和豐富的實踐經驗。這不僅提升了中國企業在汽車領域的技術水平和市場反應能力，也為其進軍國際市場奠定了堅實的基礎。隨著各級政府出臺一系列政策，中國汽車出口展現了廣闊的市場前景，已從產品出海

216、過渡到產能出海、產業鏈出海，但同時也將面對來自多方面的挑戰。一、中國政策利好汽車產業鏈出海一、中國政策利好汽車產業鏈出海我國出臺的一系列的支持政策為中國車企提供了強大的動力和支持，能夠為中國車企出海提供堅實的基礎。首先，目前的支持政策優化出口程序和降低貿易成本。例如，商務部等九部門聯合發布的政策措施中提到，將優化出口程序并鼓勵海外建廠，這將大大降低企業的運營成本，提高其在國際市場上的競爭力。此外，政策還支持企業通過靈活多樣的出海模式增強端到端海外本土化能力，持續優化全產業鏈出海生態。其次，政策利好能夠促進中國車企的技術進步和市場拓展。技術驅動是中國新能源汽車出海的三大驅動力之一，而政策的支持使

217、得企業在技術研發和創新方面有了更多的投入和發展空間。再次，政策還推動了中國車企在全球市場的布局，尤其是在東南亞、歐洲等地區，這些市場的吸引力和政策利好為中國車企提供了廣闊的市場前景。二、歐美對中國新能源汽車產業鏈進口的限制政策二、歐美對中國新能源汽車產業鏈進口的限制政策與我國出臺的利好政策相反，近年來歐美國家分別從貿易保護、貿易壁壘、低碳管理等方面發布限制措施，阻礙我國新能源汽車產業鏈進入歐美市場，從而汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 91 頁 共 113 頁打壓中國新能源汽車產業鏈海外發展。1、美國、美國舉例來說，美國在新能源汽車補貼方面，通脹削減法

218、案規定了自 2024年起新能源汽車的關鍵礦物材料或其他電池組件若由中國等地區企業生產，則美國購車人就無法享受 3750 美元至 7500 美元的稅收抵免。致使短期內中國汽車產業鏈企業加速出海墨西哥，通過迂回進口的方式進入美國市場。長期來看該法案或將對在美國投資新能源汽車的相關中國企業產生負面影響。關稅方面，美國對華的新能源車關稅 27.5%（含 25%對華進口限制關稅），未來關稅可能提高至100%以上，直接增加中國汽車在美國市場的成本，可能導致價格上漲和銷量下滑。表【16】：USTR 對華加征 301 關稅的四年期2、歐盟、歐盟歐盟也不例外，2024 年 6 月 12 日歐盟委員會發布了對華電

219、動汽車反補貼調查初裁結果，反補貼調查包括：中國生產電動汽車并向歐盟出口電動汽車的企業是否獲得中國政府的補貼；中國電動汽車是否可能對在歐盟生產電動汽車的生產商的經濟健康造成損害。歐盟擬對從中國進口的電動汽車征收 17.4%到38.1%不等的臨時反補貼稅。根據歐盟委員會發布的公告顯示，如無法與中方達汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 92 頁 共 113 頁成解決方案，加征關稅將于 7 月 4 日左右開始實施。此外，公告還指出，在實施臨時措施日期前 90 天（2024 年 4 月 5 日起）登記的進口商品，可能會被追溯征收進口關稅。企業企業基礎關稅基礎關稅反

220、補貼稅反補貼稅總稅率總稅率上汽集團10%38.1%48.1%吉利汽車20%30%比亞迪17.4%27.4%愛馳、江淮、寶馬、奇瑞、一汽、長安、東風、長城、零跑、南京金龍、蔚來、特斯拉、小鵬21%31%其它車企38.1%48.1%表【17】：歐盟反補貼關稅征收清單圖【10】：吉利控股集團關于歐盟委員會披露臨時反補貼稅率的聲明汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 93 頁 共 113 頁圖【11】：上汽集團關于歐盟委員會反補貼稅決定的公開聲明商務部新聞發言人就歐盟發布關于對華電動汽車反補貼調查初裁披露答記者問，表達了中方的立場：將密切關注歐方后續進展，并將堅決

221、采取一切必要措施，堅定捍衛中國企業的合法權益。盡管面臨上述挑戰，長期來看，歐美國家電動化轉型的總體方向不會改變。全球向電動化、智能化轉型的趨勢是不可逆轉的，這為中國新能源汽車產業提供了持續發展的廣闊空間。中國若能在新能源汽車領域持續保持技術及產品的領先汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 94 頁 共 113 頁地位，將有望在國際市場中占據重要地位。三、東南亞各國出臺政策扶持新能源汽車產業發展三、東南亞各國出臺政策扶持新能源汽車產業發展2023 年，泰國、馬來西亞、印度尼西亞等東南亞國家陸續出臺電動化轉型相關規劃，并配套一系列促進新能源汽車發展的激勵政策，

222、在新能源車購置、使用和生產環節進行激勵。尤其在生產環節上，各國均提出本土化生產目標，從擴大內需、完善配套、增大稅收減免或財政補貼等方面，吸引以中國新能源汽車相關企業為代表的外資企業在當地建廠，以推動當地電動汽車產業鏈及市場培育。1、泰國、泰國泰國于 2020 年成立了國家電動汽車政策委員會。2021 年 3 月該委員會發布總體規劃，計劃到 2025 年每年新增 10 萬至 30 萬輛電動汽車，并在 2026 年將這一數字增加到 40 萬至 75 萬輛。在充電樁建設方面，泰國計劃到 2030 年建成 1.2萬個直流充電樁，到 2035 年為 3.65 萬個，并對相關企業免征 5 年關稅。2、馬來

223、西亞馬來西亞馬來西亞在 2023 年 7 月發布了國家能源轉型路線圖，規劃到 2050 年達到80%的電動汽車采用率，實現 90%的本地電動汽車制造率，并且提高內燃機燃油效率。在消費稅和整車及關鍵零部件關稅減免方面均提供政策支持。在充電樁建設方面，馬來西亞計劃到 2025 年建成 1.5 萬個充電站。3、印度尼西亞印度尼西亞印度尼西亞電動汽車發展路線規劃到 2025 年將電動車的市場占有率提高到20%，為保障實現該計劃，政府將提供多種鼓勵措施，包括消費稅減免、銷售稅減免、整車關稅減免、關鍵零部件關稅減免、企業所得稅減免等。在充電樁建設方面，計劃到 2030 年建成 3.1 萬個充電樁。其他東南

224、亞國家，如新加坡、越南、菲律賓，也在積極準備開展汽車電動化轉型，已出臺或將出臺國家層面的發展規劃及相關激勵政策，為中國汽車出海提供良好機遇和有利條件。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 95 頁 共 113 頁第二章第二章 汽車出海的合規建議汽車出海的合規建議作為世界新能源汽車技術的領先國家，從“產品出?！钡健爱a能出?！薄爱a業鏈出?！薄凹夹g出?！?，中國車企在海外市場上表現搶眼。伴隨出海進程的進階提速，在各國相繼出臺合規監管政策的當下，中國新能源車企出海合規工作同樣刻不容緩。一、一、開展出海前的合規體檢開展出海前的合規體檢中國車企應當建立健全企業內部的產品

225、質量標準。在出海之前開展嚴格的“合規體檢”，從準入資質、質量水平、數據合規、人員培訓管理等各方面入手，必要時聘請專業團隊協助自查。二、二、內部合規文化建設與合規意識提高內部合規文化建設與合規意識提高車企應將數據合規文化作為企業文化建設的重要環節，踐行數據合規價值觀，不斷增強企業員工的數據合規意識。數據合規價值觀包括但不限于合法、正當、最小目的、誠信原則等。企業全體員工應當深入了解和學習有關數據保護法律法規，熟知并遵守數據處理規范流程。三、三、外部與數據監管機構保持良好溝通外部與數據監管機構保持良好溝通中國車企應當高度重視政府當局出臺的法律法規、標準指南以及政策規定。車企應當加強與數據監管機構的

226、溝通，及時了解和掌握立法動態，積極參與監管部門舉辦的各項活動，與數據監管機構形成良好互動。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 96 頁 共 113 頁第三章第三章 汽車出海的挑戰汽車出海的挑戰近年來，伴隨著中國汽車產業的快速崛起，我國汽車出口取得了顯著的成績，已發展成為中國外貿出口的新動能代表。通過技術創新和品牌國際化戰略，中國汽車正逐步展現出從“中國制造”向“中國智造”轉變的新形象。但與此同時，不同國家和地區的準入障礙、文化差異、技術與產品的本地化、品牌的認知度與信任度等成為需要中國車企拿出“精力和智慧”去面對、去解決的新挑戰。一、不斷變化的政策一、不

227、斷變化的政策在中國車企出海的過程中，各國政策的不斷變化是其面臨的重要挑戰，尤其是“環保法規”“貿易政策”“補貼政策”等方面的調整，成為車企出海時高度關注的議題。（一）環保法規隨著全球環保意識的提升，各國對汽車排放標準的要求越來越嚴格。例如2023 年歐洲出臺了更加嚴苛的歐 7 排放標準，要求汽車制造商降低車輛的二氧化碳排放和其他污染物排放。這對中國車企在歐洲市場的拓展帶來了新的挑戰，迫使其加大研發投入，以提升車輛的環保性能，確保符合新的排放標準。（二）貿易政策全球貿易政策的不確定性增加，特別是中美貿易關系的波動對中國車企在海外市場的運營產生了影響。如前所述，美國與歐盟紛紛出臺關稅限制措施，巴西

228、將從 2024 年 1 月起恢復征收針對新能源汽車的進口關稅；今年 6 月，土耳其貿易部宣布，將對從中國進口的汽車征收 40%的額外關稅等。為應對潛在的關稅壁壘，中國電動車企紛紛謀求在當地投資實現本地化生產，如今年 1 月，比亞迪與匈牙利塞格德市政府正式簽署比亞迪匈牙利乘用車工廠的土地預購協議；同月，哪吒汽車與馬來西亞合作伙伴簽署了一項合作協議，將在馬來西亞建立全球第三個海外工廠；奇瑞汽車于今年 4 月與西班牙車企埃布羅簽署協議，成立合資企業在西班牙生產汽車，以此來減少關稅帶來的成本壓力。（三）補貼政策不同國家和地區對新能源汽車的補貼政策的不斷變化也是中國車企出海不汽車出海全產業數據安全合規發

229、展白皮書汽車出海全產業數據安全合規發展白皮書第 97 頁 共 113 頁得不應對的一大挑戰。2024 年初，歐洲一些國家宣布逐步減少對電動車的補貼，以促進市場的自我調節。這一政策變化對中國電動車制造商，如比亞迪和小鵬汽車在歐洲的銷售策略產生了重大影響。為了應對這一變化，這些企業開始加大市場推廣力度，并推出更具競爭力的產品和服務，以吸引消費者。二、市場準入與數據合規要求二、市場準入與數據合規要求各國對汽車進口有嚴格的法規和標準，包括安全、排放和技術規范等。中國車企在出口目標國家時，應遵守當地的法律法規、適應市場需求、建立本地化生產和服務網絡等。（一）認證和標準各國對汽車的安全、排放和技術標準各不

230、相同，中國車企必須通過當地的認證和標準測試，才能進入市場。以技術準入為例，2023 年，吉利計劃在美國推出新款 SUV，為滿足美國市場準入要求，吉利必須通過美國國家公路交通安全管理局的嚴格碰撞測試和環保署的排放標準認證。為此，吉利投入了大量資源，以改進車輛設計和安全配置，最終成功通過測試，獲得市場準入資格。（二）本地化生產目前，許多國家要求外國車企在本地生產一定比例的車輛，以促進當地就業和經濟發展。以巴西為例，為應對巴西政府的本地化生產要求，比亞迪今年年初在巴西設立了電動汽車生產基地。通過與當地企業合作，在滿足巴西市場準入要求的同時，還降低了生產成本，提高了供應鏈效率，增強了市場競爭力。（三）

231、數據隱私與網絡安全隨著汽車智能化和網聯化的發展，汽車在數據安全和網絡安全方面受到的威脅場景日益復雜，各國由此對汽車數據隱私和網絡安全的要求日益嚴格，車企必須確保車輛和后臺系統的數據處理符合當地法律法規方能獲得市場準入，而各國不同的法律法規和政策更是增加了該挑戰的復雜性。除了數據安全帶來的挑戰，智能汽車出海過程中，由于配備了先進的自動駕駛系統和車聯網功能，可能面臨的網絡風險也不容小覷。車企需要建立強大的網絡安全防護措施，防止潛在的網絡攻擊，以確保車輛和系統的安全。例如，蔚來在德國市場推出智能電動車時，為了確保其車輛和系統的安全，在車載系統中實汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據

232、安全合規發展白皮書第 98 頁 共 113 頁施了高級數據加密技術和定期安全更新機制的同時，采用了入侵檢測系統，以實時監控和響應潛在的網絡攻擊，確保車輛的網絡安全。（四）合作與伙伴關系在新市場，建立與當地企業及政府的合作關系至關重要。通過與熟悉當地市場環境的政企單位的合作，有助于中國車企更好更快地把握當地市場需求。例如，2023 年長城汽車與泰國政府簽署合作協議，在泰國建立電動車生產基地，順利進入泰國市場。泰國政府為此提供了稅收優惠和政策支持，以促進本地電動車產業的發展，長城汽車也實現了產銷兩旺。三、品牌認知度和信任度三、品牌認知度和信任度近年來，盡管中國汽車品牌在技術和質量方面取得了顯著進步

233、，但在向國際市場開疆拓土時，仍需克服“品牌知名度較低”“消費者信任度不足”以及“市場競爭激烈”等問題。（一）品牌認知度以近兩年的熱門出海目的地東南亞及美洲為例。在中國車企布局東南亞市場之前，一眾國際知名汽車品牌，如日本的豐田、本田和日產，以及韓國的現代和起亞，就已在該市場深耕多年，擁有較高的知名度和品牌忠誠度。對于較晚進入東南亞市場的中國汽車品牌，要在競爭激烈的市場環境中，迅速打開知名度，著實是個不小的挑戰。美洲市場也面臨同樣的問題，在日系、德系、美系等老牌車企的長期主導下，“初來乍到”的中國車企想要搶占市場份額，需要通過長期投入和策略性規劃，包括品牌定位、品牌故事的傳播和消費者體驗的打造，以

234、打破當地消費者對新品牌的謹慎觀望態度。對此，有中國車企選擇在巴西開展大規模的廣告宣傳活動，包括電視廣告、線上營銷和線下活動，還贊助當地的體育賽事和文化活動，增加品牌曝光率和影響力。（二）品牌信任度消費者對新進入市場的品牌往往持謹慎態度，尤其是在涉及高價值購買的汽車領域。中國汽車品牌需要通過提供高質量的產品和優質的售后服務，逐步贏得消費者的信任。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 99 頁 共 113 頁四、技術本地化與知識產權風險四、技術本地化與知識產權風險在不同市場，除了標準法規的差異會對中國車企提出要求，消費者需求和偏好的不同、氣候及地理條件的不同等

235、帶來的挑戰，也驅動著中國車企對出口產品進行本地化設計和調整。舉例來說，長城汽車在俄羅斯市場推出的哈弗車型，系經過多次調研和測試，針對當地的氣候條件和道路狀況進行了適應性改造，最終在該市場取得了良好的銷售業績；蔚來在美國市場推出了符合美國聯邦和州級排放標準的電動車，并通過增加先進的駕駛輔助系統和高科技內飾來吸引美國消費者；吉利在馬來西亞推出符合當地市場需求的高性價比車型的同時，還加強了車輛的防水和散熱性能，以應對熱帶氣候。另外，在國際市場上，知識產權保護也是中國車企必須面對的重要風險。知識產權糾紛可能導致企業在當地的業務受阻，甚至面臨巨額賠償。因此，加強知識產權保護，確保技術和品牌的合法性，是企

236、業成功出海的重要保障。五、文化和管理差異帶來的經營挑戰五、文化和管理差異帶來的經營挑戰文化和管理差異方面的挑戰涉及語言差異、跨文化溝通、管理模式差異、員工多樣性等，中國車企在跨國經營時，需要克服文化差異和管理沖突等挑戰，以提升其在國際市場的運營效率和競爭力。舉例來說，吉利在泰國市場經營時，采用了雙軌管理模式，即在保留公司核心管理理念的同時，適應當地的管理習慣。長城汽車為了更好地理解和適應澳大利亞市場，在當地建立了運營和管理團隊，聘用了大量本地人才，包括市場營銷、銷售和售后服務等關鍵崗位。這些本地員工不僅熟悉當地的市場環境和消費者需求，還能在文化和語言方面提供重要支持。極氪則在歐洲雇用了大量本地

237、員工，建立了本地化管理團隊，公司定期組織跨文化培訓和團隊建設活動，提高中歐員工之間的文化理解和溝通能力，促進團隊的協作和創新。六、國際競爭帶來的壓力挑戰六、國際競爭帶來的壓力挑戰在出海市場上，中國車企要面臨來自當地和國際各大車企的激烈競爭，包括市場份額、技術創新和價格戰、品牌認可度等方面的競爭。如比亞迪在進入歐洲市場時，就面臨著來自特斯拉、雷諾、大眾等知名汽車制造商的激烈競爭。這些品牌在歐洲市場已經建立了強大的品牌忠誠度以及成熟的生產和供應鏈網絡，中汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 100 頁 共 113 頁國車企需要克服這些障礙，以保證其產品仍然具有

238、足夠的競爭力。七、境外投資合規風險七、境外投資合規風險境外投資合規風險，主要涉及市場準入、區域貿易管制及國際制裁、國家安全審查、行業監管、外匯管理、反壟斷、反洗錢、反恐怖融資等方面。八、八、境外運營合規風險境外運營合規風險企業開展境外日常經營全流程合規，主要涉及勞工權利保護、環境保護、數據保護、知識產權保護、反腐敗、反賄賂、反壟斷、反洗錢、反恐怖融資、財務稅收、第三方合規等方面。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 101 頁 共 113 頁第四章第四章 汽車出海的策略與建議汽車出海的策略與建議一、加大汽車出海政策支持力度一、加大汽車出海政策支持力度建議要

239、加大對汽車出口地區的汽車產業政策、貿易保護政策、貿易關稅政策等方面開展研究，一方面，可以就當前的政治態勢以及貿易關系，給予企業及時的指導，提高企業的應對能力。另一方面，還能出臺一些產業支撐政策以及指導性文件，并支持企業加速通關以及在企業接受調查或限制措施時給予有效的幫助與指導，為國內汽車出口海外市場提供政策支持。二、提高國際專利制定的參與力度二、提高國際專利制定的參與力度建議加強相關單位與世界知識產權相關組織、歐洲專利局等國際組織與機構、國際車企的交流合作，積極參與國際專利的制定與修改，進一步影響國際專利的制定，爭取更多的話語權。同時，加大對新能源汽車以及智能網聯車企在海外專利布局方面的政策引

240、導和支持力度，積極推動知識產權公共服務平臺的建設，指導企業加速海外相關專利的申請以及糾紛保護，提高海外專利申請的質量和效率，支撐我國汽車出海業務。三、推動國內與國際標準之間的互認三、推動國內與國際標準之間的互認建議加大國內汽車標準制定相關單位的支持力度，助力相關單位與國際機構的對接，如美國汽車工程師學會、歐洲經濟委員會、國際標準組織等機構開展交流，加快推動國內汽車在汽車安全、環保、性能等相關標準與國際標準的互認互通，從而降低企業在研發、測試、認證方面的成本，提高國際市場準入效率，加快國內汽車產品的跨國流通。同時，建議還要逐步參與到國際標準的制定，降低國際貿易限制，進一步支持汽車產品出海。四、加

241、強企業海外建廠的能力四、加強企業海外建廠的能力建議出臺一系列的支持手段，面對汽車行業的供應鏈重構，鼓勵國內車企在海外建立工廠。一方面，通過屬地化生產的方式幫助企業開展海外業務，消減貿易沖突，助力中國汽車產品出海。另一方面，海外建廠有助于企業建立全球的生產與采購網絡，更好的調配各地區的資源，加速海外零部件供應，進一步提高產品服務水平和加強產品競爭力。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 102 頁 共 113 頁五、促進汽車相關產業鏈企業協同出海發展五、促進汽車相關產業鏈企業協同出海發展建議整車企業帶動汽車相關產業鏈企業，包括市場營銷、汽車銷售、零部件、汽車

242、海運、汽車金融、汽車售后等領域企業共同出海，不僅能建設從市場、銷售、運輸、售后等一系列完善的服務體系，還能通過企業之間的協同發展，構建完善的海外產業鏈，進一步促進中國汽車零部件企業的出口，形成中國企業海外協同合力發展，提升中國汽車在海外的綜合競爭力。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 103 頁 共 113 頁聯合發布單位簡介聯合發布單位簡介上海市車聯網協會簡介上海市車聯網協會簡介：上海市車聯網協會是在上海市通信管理局、上海市經濟和信息化委員會、上海市民政局的指導下，于 2022 年 8 月成立的非營利性社團組織。協會旨在建立上海車聯網發展所需的政策法規

243、、標準規范、技術創新、測試應用、國際合作等工作的堅實基礎，有效開展 5G 和車聯網關鍵技術、標準和產業研究，加快成果應用推廣，促進政、產、學、研、資、用等各方資源的深度融合，共同探索上海市車聯網產業發展的新模式和新機制。編委人員：編委人員：阮大治、陳慧、張芷源盈科簡介：盈科簡介：盈科律師事務所 YINGKE 是一家全球化法律服務機構，在海內外擁有 160 多家直營機構，網絡覆蓋 97 個國家的 167 個國際城市，擁有 16000多名律師，在 2023Global 200 排名中，盈科全球律師人數蟬聯世界第一。盈科全球數據合規服務中心，由郭衛紅主任領銜，是國內最早專注于數據合規服務領域的團隊之

244、一，中心成員擁有豐富的從業經驗與國際化背景，持有CIPP/CIPM/CCRCDSO 等專業資質，已累計為全球超百家智能制造、車聯網、新型儲能、消費電子、通信、盲盒電商、金融醫療等數字經濟領域的公司提供全球數據合規、網絡安全、平臺合規、商業模式合規、爬蟲與開源合規治理、涉網汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 104 頁 共 113 頁數訴訟、常年合規顧問等綜合解決方案。此外，中心具備快速調配信息安全技術、第三方認證、專家學者等戰略合作伙伴的能力，為中資企業走出去、外資企業引進來提供優質高效的全球一站式服務，助力客戶在全球數字化發展浪潮中勇立潮頭。編委人員編

245、委人員：郭衛紅、姜斯勇、葛若蕓、周一瓊、李宣瑤、謝冰姿同濟大學上海國際知識產權學院簡介同濟大學上海國際知識產權學院簡介：同濟大學知識產權學院成立于 2003 年 3月，依托同濟大學已經形成的理工科優勢和對德（歐）交往特色，以培養社會所需的復合型知識產權法律和管理碩士、博士、博士后等高層次人才為己任。近年來，學院教師主持了國家社科基金重大重點項目 4 項，其他國家級課題 10 余項，獲得上海市教學成果一等獎，在中國法學等核心期刊發表論文 100 多篇，并為國家和上海市有關部門在相關的決策提供了10余篇政策建議，為中共中央、國務院相關文件的起草提供了 3 篇專家建議稿。編委人員：編委人員：徐明汽車

246、出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 105 頁 共 113 頁談思實驗室簡介談思實驗室簡介：談思實驗室構建專屬汽車網絡數據安全行業的專家智庫平臺及行業交流社區，通過線上云論壇、AutoSec 中國汽車網絡安全周大會、汽車安全技術專題培訓、線下攻防體驗沙龍、車企網絡安全日活動等進行一手干貨內容輸出，加強行業上下游供需對接及技術創新，促進智能網聯汽車信息安全生態圈發展，培育汽車安全文化。編委人員編委人員：李景欣、李文龍阿維塔簡介阿維塔簡介：阿維塔科技成立于 2018 年，致力于探索面向未來的人性化出行科技，為用戶創造情感智能出行體驗。阿維塔，意為“化身”，旨在為

247、每一位用戶打造在智慧平行世界里的另一個自己，成為“懂你的智慧化身”。作為智能電動汽車（SEV）新賽道的探索者，阿維塔科技致力于打造國際化高端 SEV 品牌。得益于長安汽車、華為、寧德時代，分別在整車研發智造、智能汽車解決方案和智慧能源生態領域為阿維塔科技賦能，三方共同開創領先的全新一代智能電動汽車技術平臺 CHN，具備“新架構、強計算、高壓充電”三大特征?；谌碌暮献髂Ｊ?，阿維塔科技將 SEV 產業的核心能力真正掌握在了中國人自己手中。公司總部位于中國重慶，并在上海及德國慕尼黑設有分部。編委編委人員：人員：蘇牧辰、黃勇、朱志博、朱文勇、韓建偉、常利汽車出海全產業數據安全合規發展白皮書汽車出海

248、全產業數據安全合規發展白皮書第 106 頁 共 113 頁極氪簡介：極氪簡介：浙江極氪智能科技有限公司（下文簡稱“極氪”）于 2021 年 3 月成立，同年 4 月發布極氪品牌及首款產品豪華獵裝轎跑極氪 001，2022 年11 月 1 日，極氪發布第二款產品原生純電豪華 MPV 極氪 009。2023 年12 月 27 日，極氪發布旗下首款純電智能轎車極氪 007。極氪是一家以智能化、數字化、數據驅動的智慧出行科技公司，秉承用戶型企業理念，聚焦智能電動出行前瞻技術的研發，構建科技生態圈與用戶生態圈，以“共創極致體驗的出行生活”為使命，從產品創新、用戶體驗創新到商業模式創新，致力于為用戶帶來極

249、致出行體驗。編委人員：編委人員：馮駿、高小峰上海汽檢簡介：上海汽檢簡介：上海機動車檢測認證技術研究中心有限公司（簡稱：上海汽檢）坐落于上海安亭國際汽車城，由上海機動車檢測中心于 2016 年改制轉企而來，是國內外知名的第三方國家級機動車產品檢測機構。作為具有全品類機動車檢測資質的國檢中心之一，上海汽檢同時也是國家新能源機動車產品質量檢驗檢測中心，國家內燃機質量檢驗檢測中心，國家智能網聯汽車產業計量測試中心，國內汽車專用器具計量檢定站，國家市場監管總局缺陷汽車產品召回鑒定檢測機構和國家進口汽車檢驗機構，上海市強制性計量檢定機構，上海市氫燃料電池汽車產業計量測試中心（籌）及首批“自動化作業”行業研

250、發中心。汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 107 頁 共 113 頁編委人員：編委人員：滕添益、趙梓健、宋文霄、趙劍、都大衛、張舒航、郭春辰、戴志成上研簡介上研簡介：上研智聯智能出行科技（上海）有限公司（簡稱“上研智聯”），是在臨港新片區管委會的指導下由臨港集團牽頭，上海機動車檢測認證技術研究中心有限公司、工業互聯網創新中心（上海）有限公司、上海臨港科技創新城經濟發展有限公司合資組建，旨在實現傳統技術與通信技術的跨界融合，為智能網聯汽車產業技術創新提供技術支撐。作為國內領先的智能網聯汽車第三方專業機構，上研智聯專注于自動駕駛、車聯網、智慧交通領域的技術

251、研究、檢測認證、產品開發和咨詢規劃。依托實驗室、臨港智能網聯汽車綜合測試示范區，積極開展相關領域技術服務和技術創新，支撐臨港測試示范區獲得工信部交通部聯合認定、國家交通部自動化作業技術行業研發中心等多項資質。截至 2024 年 4 月底，為 17 家企業提供了技術服務，獲得了 263 張道路測試牌照，累計開放道路測試里程 868.9 萬公里，牽頭及參與制定技術標準 43 項。編委人員：編委人員：楊偉利、潘政偉、宋曉航、汪敏智汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 108 頁 共 113 頁上海工創中心簡介上海工創中心簡介：中國信通院上海工創中心（以下簡稱“上

252、海工創中心”）是中國領先的數字化戰略專家。作為工信部直屬科研事業單位中國信通院的全資子公司，上海工創中心是中國信通院全球數字化戰略的重要組成部分，承擔推動和踐行工業互聯網國家戰略的責任。公司目前下設檢測認證、數字工業、數字健康、數字安全和硬件創新籌備中心五大事業部，聚焦新一代信息技術等前沿領域，全方位助推數字化轉型，涵蓋創新孵化、技術賦能、產品研發和價值交付等環節，為航天、船舶、汽車、化工、醫療、能源、消費品等行業客戶提供數字化場景解決方案。編委編委人員：人員：鄭忠斌、凌穎中汽科技中汽科技（上海上海）簡介簡介：中汽研汽車科技（上海）有限公司（簡稱“中汽科技（上海）”）是中國汽車技術研究中心有限

253、公司（簡稱“中汽中心”）的全資二級子公司，也是華東分中心的核心載體。中汽中心華東分中心覆蓋江浙滬皖贛四省一市，孵化技術創新和模式創新的業務，面向汽車全產業鏈開展服務。作為中汽中心新興業務的創新基地，中汽科技（上海）致力于打造“國際化汽車全產業鏈創新服務平臺”，重點開展國際化、智能化、數字化和高端設備自主化業務，建設和引入中國汽車標準、汽車知識產權交易、燃料電池示范運行數據、中汽碳數字、汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 109 頁 共 113 頁國際化汽車服務、國家級智能網聯研發驗證、汽車先進設備自主替代、汽車性能數據、供應鏈安全等多個平臺能力，服務長三

254、角一體化發展。編委編委人員：人員：李海斌、郭潤卿、孫權、路寬、周均暉、吳雨欣上海農商銀行簡介上海農商銀行簡介：上海農村商業銀行股份有限公司（以下簡稱“上海農商銀行”）是由國資控股、總部設在上海的股份制商業銀行，股票簡稱：滬農商行（股票代碼：601825）上海農商銀行注冊資本為 96.44 億元人民幣，營業網點逾 360家，是上海地區營業網點最多的銀行之一，也是全國首批進駐上海自貿區的中資銀行。據英國 銀行家 雜志統計，按一級資本排序，在 2023 年全球 1000 家大銀行中，上海農商銀行排名第 128 位，位列 2023 年財富中國 500 強第 310 位，標普信用評級（中國）主體信用評級

255、提升至最高等級“AAAspc”，展望穩定。在中國銀行業協會 2023 年度“陀螺”評價中，位列城區農商銀行綜合評價第一；位列 2023 年中國銀行業 100 強榜單第 23 位。編委人員：編委人員：王圓圓、王澤含汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 110 頁 共 113 頁銀基簡介銀基簡介：上海銀基信息安全技術股份有限公司，創立于 2008 年，是一家專注于物聯網安全的科技企業秉承著“創新科技、信賴與我、極致體驗、工匠精神”的價值觀，致力于為汽車、金融、通訊等客戶提供基于行業網絡信息安全產品、全方位安全解決方案和體系化安全運營服務。自 2018 年，公司

256、以智能網聯汽車安全作為核心方向，自主研發車聯網安全產品“數字鑰匙”，與國內 50 余家主機廠達成戰略合作。圍繞數字鑰匙，銀基建立了智能網聯汽車生態圈，鏈接主機廠、汽車互聯網、投資機構、金融保險、汽車服務提供商、出行服務商等生態伙伴，協同覆蓋各汽車產業環節，已推動超級試乘試駕、代客服務、保險業務等創新性合作的落地實踐，加速新業態、新場景的發展與應用。銀基致力于打造和守護一個 更安全、更智能、更便捷的智能網聯汽車世界。編委編委人員：人員：李峰、何旺君、楊青梆梆安全簡介梆梆安全簡介：北京梆梆安全科技有限公司成立于 2010 年，是第一家提出移動應用加固概念并提供這項服務的廠商，國內移動應用安全領頭羊

257、。我們以移動安全為核心，聯動安全服務、物聯網安全，構建“一體 兩翼”的業務體系，為客戶提供全生命周期的移動安全產品服務?，F在，有超過 10 萬家企業和開發者用戶、超過 100 萬的移動應用軟件在使用汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 111 頁 共 113 頁梆梆安全的移動安全技術，這些應用累計安裝在 10 億移動終端上。梆梆安全已形成基于人臉識別繞過、基于屏幕共享的電信詐騙、API 泄漏、個人信息保護監管通報、移動自生安全能力建設等熱點場景的移動安全解決方案。梆梆安全先后入選中國互聯網 100 強企業、中國互聯網成長型企業 20 強、中國網絡安全企業

258、50 強，獲評德勤中國高科技高成長 50 強、IDC 中國物聯網安全創新者，連續 2 年當選畢馬威中國汽車科技 50 強，連續 3 年入選 Gartner 應用保護市場指南。編委人員：編委人員：盧佐華、敖巧圓、張效藩、杜穎杰、張廷倫、傅瑛雪潤成安全簡介潤成安全簡介：潤成安全技術有限公司（簡稱“潤成安全”，英文縮寫“YUNCHSECURITY”），是經公安部批準成立的網絡安全等級測評與檢測評估機構。潤成安全聚集了中國網絡安全界的開拓者和一批高素質的技術專家，憑借雄厚的技術資源以及可持續發展專業背景，與相關行業主管部門緊密合作，構建了等保測評服務、通保測評服務、車聯網測評服務、APP 測評服務、數

259、據安全評估服務、滲透測試服務、漏洞掃描服務、安全監測服務、安全應急服務、信息安全風險評估服務等十大業務板塊，服務客戶涵蓋政府機關、交通、金融、電力、醫療、教育、互聯網及能源等多個行業，在北京、上海、天津、河南、湖南等多地提供汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 112 頁 共 113 頁優質完備的網絡安全服務和解決方案。編委人員：編委人員：李爽、嚴超T T V V 南德意志集團簡介：南德意志集團簡介：TV 南德意志集團是值得信賴的合作伙伴，可提供安全、可靠及可持續發展相關的解決方案。我們專注于提供測試、認證、審核及知識服務。集團在全球設立了 1,000 多

260、個分支機構，并擁有近 28,000 名員工，通過實現市場準入和風險管理，為客戶和合作伙伴創享價值。TV 南德意志集團通過預測技術發展和促進變革，激發人們對物理和數字世界的信任，以創造一個更安全、更可持續發展的未來。編委人員：編委人員：方華、張書源、韓疏桐汽車出海全產業數據安全合規發展白皮書汽車出海全產業數據安全合規發展白皮書第 113 頁 共 113 頁知行科技知行科技簡介：簡介：知行科技成立于 2016 年 12 月，總部位于蘇州，公司于 2023年 12 月在港交所上市，目前已在德國成立子公司。公司專注于自動駕駛領域量產解決方案，產品主要包括自動駕駛域控制器及智能前視攝像頭，運用知行科技的方案，車輛可以實現 L2L2+的自動駕駛功能。編委編委人員：人員：宋煒瑾聲明：聲明：本白皮書僅限于交流行業觀點，不做商業用途、不做投資推薦、不做法律意見。文中所涉圖片的版權屬原權利人所有。如需進一步交流歡迎與我們聯系。聯系我們