1、汽车出海全产业数据安全汽车出海全产业数据安全合规发展白皮书合规发展白皮书202406汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书联合发布单位联合发布单位上海市车联网协会、盈科全球数据合规服务中心、同济大学上海国际知识产权学院、谈思实验室、阿维塔汽车、极氪汽车、上海汽检、上研智联、上海工创中心、中汽研上海、上海农商银行、上海银基、梆梆安全、润成安全、TV 南德意志集团、知行科技编委成员编委成员郭卫红、阮大治、徐明、李文龙、姜斯勇、陈慧、张芷源、李景欣、尹小姣、葛若芸、周一琼、李宣瑶、谢冰姿、苏牧辰、黄勇、朱志博、朱文勇、韩建伟、常利、冯骏、高小峰、滕添益、赵梓健、宋文

2、霄、赵剑、都大卫、张舒航、郭春辰、戴志成、杨伟利、潘政伟、宋晓航、汪敏智、郑忠斌、凌颖、李海斌、郭润卿、孙权、路宽、周均晖、吴雨欣、王圆圆、王泽含、李峰、何旺君、杨青、卢佐华、敖巧圆、张效藩、杜颖杰、张廷、傅瑛雪、李爽、严超、方华、张书源、韩疏桐、宋炜瑾媒体支持媒体支持谈思汽车、网数法合规圈汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书汽车出海全产业汽车出海全产业数据安全合规发展白皮书数据安全合规发展白皮书目录目录前言.1第一部分 汽车行业发展状况.2第一章 汽车出海市场规模.2一、我国汽车出海发展历程.2二、我国汽车出海区域分布.3第二章 汽车出海模式.5一、模式一

3、：产品出海.5二、模式二：品牌出海.5三、模式三：供应链出海.7第三章 汽车出海的产业链概况.8一、概况.8二、部分产业链场景解析.9第四章 汽车出海趋势.18一、趋势一：加快全球化市场布局+供应链优化.18二、趋势二：能源技术革新+卡位产业升级.19三、趋势三：因地制宜策略+属地化发展.19四、趋势四：国际化人才战略+本地团队建设.20五、趋势五：后市场体系能力+本土化服务.20六、趋势六：海外合规风险加剧+可持续发展.20第二部分 汽车出海网络安全及数据安全.22第一章 汽车出海中的网络安全.22一、汽车网络安全测试.22二、主机厂的安全体系.25三、汽车软件供应链安全.28汽车出海全产业

4、数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书四、汽车芯片信息安全.30五、可信计算在车联网安全的应用.31第二章 汽车出海中的数据安全.35一、自动驾驶安全监管.35二、汽车数据安全部署与建设.38第三部分 汽车出海数据合规全球法律政策与合规义务.42第一章 汽车行业出海合规义务概述.42一、产品准入认证.42二、外资准入限制.42三、贸易壁垒.42四、知识产权.43五、企业实体设立.43六、数字营销.43七、能源和环境保护.43八、数据合规.43第二章 汽车全产业主要数据合规义务.45一、汽车全产业主要数据合规义务概览.45二、汽车产业出海中的中国数据出境合规.46三、出海目标

5、国数据合规义务解析.50第四部分 汽车行业出海展望与建议.90第一章 汽车出海市场前景.90一、中国政策利好汽车产业链出海.90二、欧美对中国新能源汽车产业链进口的限制政策.90三、东南亚各国出台政策扶持新能源汽车产业发展.94第二章 汽车出海的合规建议.95一、开展出海前的合规体检.95二、内部合规文化建设与合规意识提高.95三、外部与数据监管机构保持良好沟通.95第三章 汽车出海的挑战.96汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书一、不断变化的政策.96二、市场准入与数据合规要求.97三、品牌认知度和信任度.98四、技术本地化与知识产权风险.99五、文化和管

6、理差异带来的经营挑战.99六、国际竞争带来的压力挑战.99七、境外投资合规风险.100八、境外运营合规风险.100第四章 汽车出海的策略与建议.101一、加大汽车出海政策支持力度.101二、提高国际专利制定的参与力度.101三、推动国内与国际标准之间的互认.101四、加强企业海外建厂的能力.101五、促进汽车相关产业链企业协同出海发展.102联合发布单位简介.103汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 1 页 共 113 页前言前言随着汽车产业数字化转型带来的巨大机遇，数据隐私保护面临着前所未有的挑战。2022 年 12 月，工业和信息化部印发工业和信息化

7、领域数据安全管理办法（试行），以规范工业和信息化领域数据处理活动；2024 年 3 月，上海市通信管理局启动“铸盾车联”行动，从 6 大方面进行部署推进。数据隐私保护不仅关乎企业的法律责任，更关乎企业的品牌形象、消费者信任以及社会的整体福祉。汽车产业作为数据密集型行业，无论是整车厂还是零部件供应商，想要开拓海外市场，就意味着需要面临因各法域法律差异而产生的合规压力。近年来，随着各国立法日益完善、执法案例逐渐增多，如何在遵守法律法规的前提下抓住处于关键发展期的全球汽车市场，成为车企出海前必须面对的课题。我们持续关注国内外相关法律法规和监管动态，根据对全球汽车市场发展现状的观察，撰写并发布本汽车出

8、海全产业数据安全合规发展白皮书。在这份白皮书中，我们将详细介绍欧洲、美洲、中东、东南亚等诸多车企出海热门地的数据保护、数据安全有关法律法规，并结合细分场景，对整车厂、零部件供应商、系统供应商等产业链相关主体的数据安全合规义务进行分析，以期帮助中国车企在全球市场中实现数据安全和隐私保护的合规目标，助力身处时代风口的中国车企开拓广阔的全球市场。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 2 页 共 113 页第一部分第一部分 汽车行业发展状况汽车行业发展状况第一章第一章 汽车出海市场规模汽车出海市场规模一、一、我国汽车出海发展历程我国汽车出海发展历程在全球经济一体化

9、的趋势下，中国汽车行业的出海战略已成为推动产业持续发展的重要动力。历经数十年的积累与发展，中国汽车产业已从初期的模仿与跟随，逐步转变为自主创新与全球布局。如今，随着新能源汽车技术的不断突破和市场需求的日益增长，我国汽车行业正迎来前所未有的出海机遇。（一）政策推动与市场响应自 2019 年起，我国汽车行业出海进程显著加速，这一趋势得益于国家层面出台的一系列鼓励并推动汽车出口贸易的政策。2019 年 12 月，商务部发布了 中国汽车贸易高质量发展报告，其中首次明确指出新能源汽车有望成为未来拉动汽车出口的新兴动力。2023 年 12 月，商务部联合其他八个部门进一步出台了 关于支持新能源汽车贸易合作

10、健康发展的意见。该政策从六个不同方面为新能源汽车的国际贸易合作提供了全面且多层次的支持与保障措施。进入 2024 年，二手车出口也迎来了新的机遇。商务部等五部门在 2024 年 2月发布了关于二手车出口有关事项的公告，宣布从同年 3 月 1 日起全面开放二手车出口，以期推动二手车出口的健康和有序发展。（二）市场开拓与销量双增长回顾历史，我国汽车的出海之路始于 2011 年，当时比亚迪首次以纯电动客车的身份参展比利时客车展，这一举动可以被视为中国汽车出海的重要起点。在过去的十余年中，尤其是近三年，中国汽车品牌的出口销量占比持续攀升。数据显示，2021 年中国汽车出口量达 201.5 万辆，成为全

11、球第三大汽车出口国；2022年，中国汽车出口量达 340 万辆，超过德国，成为仅次于日本的全球第二大汽车出口国；2023 年，中国出口汽车 522 万辆，同比增长 56%。中国汽车出口量首次超过日本成为世界第一大汽车出口国，且中国自主品牌在出口销量中的占比已经达到了 33.9%。2023 年全球汽车销量排行榜排名前二十的品牌中，中国汽车品牌占据了 25%，比亚迪、吉利、奇瑞、长安、上汽等均位列其中。据相关数据，汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 3 页 共 113 页预计到 2027 年，中国汽车出海市场规模可达 1631.8 亿美元，汽车出口量可达到7

12、00.1 万辆。在市场初期阶段（2011 年至 2017 年），中国汽车主要销售市场集中在亚非等欠发达国家和地区，主打车型的价格也大多在 1 万美元左右。然而，随着技术的进步和市场的拓展，情况发生了显著变化。2018 年，上汽名爵和上汽 MAXUS 开始向海外市场销售新能源汽车，标志着中国汽车出口结构开始转型升级。而真正的快速增长则始于 2021 年，当时全球疫情严重冲击了海外汽车供应链，但中国新能源汽车的海外销售却呈现出势不可挡的态势。在随后的三年里，中国每年出口的新车数量增长均超过 100 万辆。海关总署数据显示，2023 年中国向欧洲出口了 64 万辆纯电动汽车，占总出口量的 41.27

13、%；向东南亚出口 31 万辆纯电动汽车，占比 20.09%。（三）新旧能源并存，供应链优势凸显尽管新能源汽车的出口在近年来呈现出强劲的增长势头，但燃油车仍然是中国汽车出口的主要产品。2023 年的数据显示，燃油车占总出口量的 75.5%。然而，电动车的出口也在稳步提升，去年约出口了 120.3 万辆，其中特斯拉、比亚迪和上汽名爵成为出口量最多的品牌。在新能源汽车领域，中国不仅展现出强大的整车制造能力，其供应链优势也同样明显。动力电池作为新能源车的核心部件，成本占比超过四成。令人骄傲的是，全球 65%的动力电池由中国公司生产，而在全球销量前五名的动力电池企业中，有三家来自中国。自 2022 年以

14、来，特斯拉和众多中国车企开始转向使用性价比更高的磷酸铁锂电池，而这种电池的生产技术目前主要掌握在中国企业手中，如宁德时代和比亚迪等。去年，仅宁德时代一家的动力电池供应量就占据了全球的 37%。二、我国汽车出海区域分布二、我国汽车出海区域分布随着国内汽车市场的日趋饱和，我国车企纷纷将目光投向海外市场，以寻求更广阔的发展空间。目前，我国车企的出海范围已相当广泛，覆盖了欧洲、美洲、东南亚和中东等多个重要区域。欧洲市场：欧洲已成为中国汽车最大的出口目的地。据不完全统计，目前在欧洲汽车市场销售的中国品牌约有 30 多个，2023 年总共出口了 82.3 万辆汽车，汽车出海全产业数据安全合规发展白皮书汽车

15、出海全产业数据安全合规发展白皮书第 4 页 共 113 页其中比亚迪、吉利等品牌销量领先。预计 2024 年，中国品牌汽车将占欧洲汽车总销量的四分之一。然而，欧洲加强了贸易保护、低碳管理政策，对我国新能源汽车在欧洲的发展产生了一定影响。美洲市场：在美洲，尤其是北美洲和中南美洲，汽车产量规模庞大，约占全球汽车产量的 20-25%。美国市场对中国汽车的进口量本就相对较少，且近期美国政府宣布对源自中国的智能汽车展开调查，并对中国电动汽车加征关税，这无疑增加了中国车企进入美国市场的难度。尽管如此，墨西哥市场仍是中国汽车产业出海的主要目的地之一，2023 年中国向墨西哥出口了 41.5 万辆汽车，而且墨

16、西哥也是车企建厂的目的地之一。俄罗斯市场：2023 年，中国向俄罗斯出口了 90.9 万辆汽车，同比增长高达468.1%，使俄罗斯成为中国汽车出口的最大单一市场。然而，由于国际形势的影响，俄罗斯的出口量存在不确定性与不稳定性。中东市场：中东地区汽车销量逐年增加，尤其是沙特、阿联酋等国消费者对中国汽车的接受度越来越高。随着一带一路倡议的推进和新能源汽车的兴起，中东市场正成为中国汽车品牌走出去的有力支撑点。东南亚市场：东南亚市场在中国汽车出口中的地位日益凸显。东盟国家和中国签署了 RCEP 自由贸易协定，有助于促进我国和东盟国家在电动汽车领域的合作。泰国等东南亚国家出台了一系列优惠政策吸引外资投资

17、建厂，多家中国车企已在东南亚建立生产基地。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 5 页 共 113 页第二章第二章 汽车出海模式汽车出海模式目前我国汽车出海模式有以下三种。一、模式一一、模式一：产品出海产品出海产品出海即整车或零部件直接出口，在国内完全组装好的车辆或零部件产品直接销售海外市场，是最直接的出海方式。产品出海的第一代以燃油车为主，靠价格优势赢得海外市场，2021 年以前主要出口到发展中国家和地区，如中东、非洲和拉美等地，这些地区对价格敏感，且对汽车的需求量较大。现在则是燃油车与新能源车并行的局面，且新能源车普遍销售均价较高，这主要得益于中国新能

18、源车在电池技术、智能驾驶等方面的领先优势，使得产品具有较高的附加值。2022 年开始出口新能源乘用车以纯电动为主，新能源渗透率约为 27%，与国内新能源渗透率基本相当。二、模式二二、模式二：品牌出海品牌出海品牌出海又可细分为两种方式：一种是在海外建厂，品牌直营。本地建厂主要分为散件组装（CKD）或半散件组装（SKD），散件组装模式将涉及出口车辆的所有零部件运送至海外市场，在当地工厂进行组装；而半散件组装则出口部分组装好的部件。这两种组装方式均适用于有当地政府及政策支持的国家，以及海外市场份额较大的车企，不仅能降低关税、跨境运输的风险，还能帮助企业加速提高当地的品牌影响力。劣势则是投资成本高，建

19、设周期长。目前奇瑞汽车、长城汽车、上汽集团等在俄罗斯、泰国等地建立的工厂都采用了这类模式。另一种则是通过投资或收购海外汽车品牌。更适合资金相对充裕的车企，伴随的财务风险也相对较高。近年来，越来越多的车企开始选择在海外投资建厂，以打通供应链关键环节，并实现基于规模化效应下的降本增效。中国车企从产品输出到在本土化生产，是一个重要的分水岭，标志着中国车企从“出口”真正进入“出海”阶段，而在海外建厂，亦是更好解决中国车企“出海”时面临的贸易政策保护问题。但是品牌出海除了工厂制造外，更重要的是前端的销售模式，一些主机厂选择在目标市场直接建立销售网络和售后服务体系，以加强品牌控制力和市场响应汽车出海全产业

20、数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 6 页 共 113 页速度，其他大部分则通过与海外企业的合作共同开发市场，如与当地经销商或制造商的合作，以及参与国际汽车巨头的供应链体系。例如奇瑞等自主整车品牌建设海外本土化的商务管控中心，全面监督当地提升销售服务网点的体系能力，自主品牌在当地市场的口碑越来越好。上汽集团泰国上汽集团与泰国正大集团合资，2021 年投产印度名爵印度工厂，2019 年 4 月投产印尼上汽通用五菱 2017 年投产巴基斯坦等KD 组装厂长城汽车俄罗斯图拉工厂 2019 年投产泰国罗勇工厂 2021 年投产伊朗、保加利亚，马来西亚，突尼斯，厄瓜多尔等KD

21、组装厂吉利汽车马来西亚宝腾 KD 组装厂俄罗斯、印度尼西亚KD 组装厂长安汽车巴基斯坦等KD 组装厂奇瑞汽车巴西总装、焊装、涂装三大产线比亚迪泰国2024 年建成乌兹别克斯坦2024 年投产匈牙利2025 年建成表【1】：部分车企海外建厂布局（数据来源：公开信息、太平洋汽车网、国泰君安）对于中国车企而言，全球化战略的价值远超过单一的产品输出，它是一个多维度的进化过程，包括产品、设计理念、发展战略、市场定位以及品牌形象的全面升级与国际化。在这一过程中，中国车企不仅需要将高质量的产品推向全球市场，更需要在国际舞台上塑造出具有辨识度和吸引力的品牌形象。汽车出海全产业数据安全合规发展白皮书汽车出海全产

22、业数据安全合规发展白皮书第 7 页 共 113 页三、模式三三、模式三：供应链出海供应链出海供应链出海即整车企业与零部件供应商抱团出海，整车带动零部件企业以实现就近配套。被选择的零部件企业需要具备技术能力强、是核心零部件或是核心供应体系、综合成本低于本土供应商等优势。供应链出海不仅降低整车的生产成本，还能提高生产效率，助力整车企业与零部件供应商共同提升品牌影响力。根据中国海关总署的数据，2023 年中国汽车配件出口产品主要包括以下几类：动力传动系统部件、底盘系统部件、车身部件、电气系统部件，以及轮胎、润滑油、冷却液、滤芯等其他配件。其中动力传动系统部件是我国汽车配件出口的主要产品类别，出口额占

23、总出口额的 30%。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 8 页 共 113 页第三章第三章 汽车出海的产业链概况汽车出海的产业链概况一、一、概况概况12023 至 2024 年间中国汽车出海的产业链概况，大致可从“汽车产品出海概况”“产能出海概况”“产业链出海概况”三个方面进行分析。（一）汽车产品出海概况1、新能源汽车（氢燃料电池和动力电池）产品：2023 年，中国新能源汽车出口表现强劲，出口量达到 120.3 万辆，同比增长 77.6%。2、燃油车产品：中国燃油车出口量大幅度提升，2023 年出口量达到 334 万辆，同比增长 51%。3、二手车（新能

24、源和燃油车）产品：2023 年，中国二手车出口规模由 2019年的 3000 多辆增长到 2022 年的近 7 万辆。出口的二手车中，新能源车约占 70。4、零部件厂商产品：随着中国汽车产业的整体大步向前，汽车零部件企业在国际市场上也取得了显著的成绩，如宁德时代、比亚迪、孚能科技、远景动力和亿纬锂能等动力电池企业纷纷迈出了国际化的步伐，在海外市场投资建厂。（二）产能出海概况1、新能源汽车（氢燃料电池和动力电池）海外建厂：在海外市场投资建厂已逐渐成为中国车企国际化发展战略布局的“常规操作”之一。如亿纬锂能子公司亿纬匈牙利宣布，拟在匈牙利德布勒森建设 45 万平方米的生产基地，用于投1参考文献：1

25、.比亚迪官方公告及新闻报道2.小鹏汽车上海品茶及市场报告3.蔚来公司年度报告及市场调研4.长城汽车出口数据及第三方市场分析5.上汽集团出口数据及新闻发布6.广州汽车集团二手车出口计划7.华域汽车系统股份有限公司国际业务发展报告8.宁德时代欧洲市场布局数据及公司公告9.华为新能源汽车相关研发和生产数据10.吉利汽车在俄罗斯市场的扩展计划汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 9 页 共 113 页建大型圆柱乘用车锂离子动力电池产能。此外，亿纬锂能还在马来西亚、泰国等地规划建厂。国轩高科在德国、印度、越南等地布局了海外生产基地。2、燃油车产品海外建厂：中国汽车品

26、牌在海外市场的布局不仅限于出口整车，还包括在海外建立生产基地。例如，长城汽车选择在俄罗斯的俄图拉市建厂；吉利汽车选择在白俄罗斯的明斯克地区建厂。（三）产业链出海概况1、新能源汽车（氢燃料电池和动力电池）产品配套的零部件供应商海外建厂：中国汽车零部件企业也在加速全球化业务布局，跟随整车企业的出海步伐，在海外建立生产基地或与当地企业合作，以提供更好的本地化支持。例如，和大工业（Hota Industrial Mfg）已经着手准备在美国建立第一家工厂。2、燃油车产品配套的零部件供应商海外建厂：为了更好地服务海外市场，一些燃油车产品配套的零部件供应商也选择在海外建厂。例如，均胜电子在波兰和罗马尼亚等地

27、建立了汽车电子生产基地，为欧洲的汽车制造商提供配套服务。3、汽车出海市场本土化售后服务：为了提高客户满意度和品牌形象，一些车企在海外市场建立了本土化的售后服务体系。例如，奇瑞汽车在俄罗斯建立了多家售后服务中心，提供维修、保养、零部件提供等服务。4、汽车出海销售模式直营和经销并存：中国车企在海外市场的销售模式也日益多样化，既有直营模式，也有经销模式。例如，领克汽车在欧洲市场采用了直营模式，通过自己的品牌展厅和电商平台销售汽车；而奇瑞汽车则在俄罗斯市场采用了经销模式，与当地的经销商合作，共同开拓市场。总体而言，近两年中国汽车产业链出海在产品出口、产能建设和产业链配套方面取得了显著进展，不仅是新能源

28、汽车和零部件出口增长迅速，海外建厂布局加速，同时配套供应链、本土化售后服务和多样化销售模式的全球化布局也日益完善。二、二、部分产业链场景解析部分产业链场景解析（一）产品设备：汽车 APP1、汽车、汽车 APP 的发展与应用的发展与应用汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 10 页 共 113 页随着智能网联汽车技术的快速发展，汽车制造商和供应商正积极的提供大量的车辆配套 APP 或者第三方 APP 来为用户提供各种远程服务。这使得用户可以方便的使用其智能设备控制车辆的关键功能，如通过 APP 跟踪车辆位置、打开车门、启动发动机、打开辅助设备等。通常可以将汽

29、车 APP 分为车载 APP 和移动 APP 两大类。（1）车载 APP车载 APP 是指安装在汽车内部信息娱乐系统中的应用程序。根据车载信息娱乐系统使用的操作系统，车载 APP 主要可分为 Android APP、QNX APP、LinuxAPP。通过车辆的触摸屏控制，车载 APP 能够提供导航、音乐播放、电话等服务。（2）移动 APP移动 APP 是指安装在移动智能设备上的应用程序，通过无线连接（如蓝牙、Wi-Fi、4G/5G）与汽车进行通信。根据智能设备使用的操作系统，移动 APP 主要可分为 Android APP、iOS APP、鸿蒙 APP 等。这类 APP 可以远程控制汽车的门锁

30、、启动引擎、查询车辆状态等。此外，还有一种移动 APP 是小程序，它是一种无需下载安装即可使用的轻量级应用，通常运行在微信等超级 APP 中，可以提供简单的车辆控制、服务预约、信息查询等功能。2、汽车、汽车 APP 面临的主要风险面临的主要风险汽车 APP 及其提供的丰富的远程服务虽然为用户提供了便捷的用车体验，但也为攻击者对汽车实施攻击提供了方便。2024 年 1 月，OWASP 组织发布了针对 APP 的如下 10 大网络安全风险：凭证使用不当、供应链安全保护不当、不安全的认证和授权、无效的输入输出验证、不安全的通信、隐私控制不足、代码保护不足、错误的安全配置、不安全的数据存储、加密不足。

31、这些风险在汽车 APP中也是普遍存在的问题。2017 年 2 月，研究人员发现在现代汽车 Blue Link 移动应用存在敏感信息泄露漏洞，该漏洞可导致用户的账号、密码、PIN 码、车辆位置等敏感信息泄露。攻击者可利用该漏洞获得用户车辆的详细信息，不仅可以定位车辆位置，甚至还可以远程控制其车辆。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 11 页 共 113 页2022 年 7 月，某机构发布的一份公告中警告 MiCODUS MV720 车载定位跟踪器中存在多个安全漏洞。攻击者可以利用 APP 中硬编码的服务访问凭证冒充用户直接向 MV720 跟踪器发送命令，通

32、过该漏洞攻击者可以实时跟踪车辆位置，切断车辆燃料并解除汽车警报。2023 年 11 月，TOP10VPN 发布了一份关于中国出口电动车数据隐私问题的调查报告，通过对 10 个中国电动汽车出海品牌的车辆和移动 APP 的数据隐私风险进行分析，该报告指出了多个隐私相关问题，包括：隐私政策不符合标准，超范围收集隐私数据，APP 申请多个风险权限等。综上，汽车 APP 安全风险的来源主要还是 APP 的设计、编码和配置过程。比如设计不当就可能导致凭证使用不当、不安全的认证和授权、不安全的数据存储等风险问题。而编码错误也可能导致凭证使用不当、代码保护不足、加密不足等风险问题。企业只有针对这些风险问题的根

33、源进行解决，才能有效的防止此类问题的发生。3、汽车、汽车 APP 的安全保护方案的安全保护方案为了全面保障汽车 APP 的安全，应该在其生命周期的每个阶段（包括需求、设计、开发、测试、发布和运维）都采取恰当的安全控制措施，具体而言：（1）需求阶段企业应明确汽车 APP 的网络安全需求。这些需求通常主要来源于监管法规要求和应对 APP 安全风险的要求（如 OWASP MASVS）。企业可以建立专属的网络安全需求库，在具体项目开发时，从中选择匹配的需求，以抵御汽车 APP 可能面临的安全风险。（2）设计阶段企业需要基于网络安全需求、APP 的业务功能和运行环境，制定详细的网络安全设计方案。可以通过

34、威胁建模分析各业务功能可能面临的威胁，并制定针对性的安全设计方案。还应该组织专家对设计方案进行评审，以完全确保设计方案的安全性。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 12 页 共 113 页（3）开发阶段开发人员需遵守企业制定的安全编码规范，使用安全的第三方组件（如加密组件）来保障 APP 安全。对开发完成的代码进行 SAST（静态应用安全测试）和SCA（软件成分分析），以提前发现潜在的漏洞。（4）测试阶段需要进行多种网络安全测试，通过不同的测试方法，从多个维度发现 APP中可能存在的安全问题，最大限度的确保其安全性。主要测试方法包括网络安全需求测试、SA

35、ST（静态应用安全测试）、DAST（动态应用安全测试）、渗透测试、模糊测试和隐私合规评估等。（5）发布阶段需确保前述阶段已完成相应的安全控制措施。在正式发布前，需要对 APP包进行加固处理，以确保其可以抵御攻击者的各种分析和攻击，确保 APP 运行时的安全。（6）运维阶段需对 APP 的运行情况进行持续监控，以便能及时检测和发现可能的攻击和异常行为。若 APP 进行功能更新或发生较大安全事件时，还需要重新进行隐私合规评估和渗透测试，确保其能持续符合隐私合规要求，并能保持安全的运行。（二）金融场景：跨境金融外汇业务合规及结算方式建议1.经常项目外汇业务办理注意点经常项目外汇业务办理注意点经常项目

36、，是指在国际收支中经常发生的交易项目，主要包括货物贸易收支、服务贸易收支等。（1）收支企业名录登记：目前国内主要采取“贸易外汇收支企业名录”登记管理制度（年收汇或付汇累计金额低于等值 20 万美元（不含）的，可免于办理）。开展货物贸易外汇收支业务的企业需在办理首笔收支前，通过线上或线下方式向境内银行提交贸易外汇收支企业名录申请表进行登记，后续可通过“数字外管”平台互联网端查询名录登记办理结果。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 13 页 共 113 页（2）货物贸易外汇业务：企业应按照“谁出口谁收汇、谁进口谁付汇”的原则办理货物贸易外汇收支业务。企业办理

37、离岸转手买卖外汇收支业务，原则上应在同一家银行，采用同一种币种办理收支结算。办理货物贸易外汇收支申报时，企业需向银行提交：合同（协议）、发票、进出口报关单、进出境备案清单、运输单据、保税核注清单等有效凭证和商业单据。（3）服务贸易外汇业务：目前，企业针对单笔等值 5 万美元以上的服务贸易需进行税务申报及备案，取得税务备案表后方可对外付汇。单笔等值 5 万美元以下（含）的服务贸易外汇收支业务可免于进行交易单证的审核。税务备案注意事项：a)对同一笔合同需要多次对外支付的，仅需在首次付汇前办理税务备案；b)外国投资者以境内直接投资合法所得在境内再投资等部分情况目前免备案；c)三种获得和填报服务贸易等

38、项目对外支付税务备案表的方式：通过电子税务局等在线方式、税务局官方网站下载并填报、主管税务机关办税服务厅领取并填报；服务贸易外汇业务需提交的单据：a)包含交易标的、主体、金额等要素的合同（协议）；b)发票（支付通知）或列明交易标的、主体、金额等要素的结算清单（支付清单）；c)其他能证明交易真实合法的单证。（4）跨境贸易风险控制：在实践中，企业可以通过选择合适的结算方式、金融产品来控制国际贸易风险。结算方式结算方式汇款汇款托收托收信用证信用证定义进口方通过银行，主动将款项出口方为向国外进口方收取销售货款或劳银行依照进口方的要求和指示，对出口方发出的，授汽车出海全产业数据安全合规发展白皮书汽车出海

39、全产业数据安全合规发展白皮书第 14 页 共 113 页汇付给收款方的结算方式。务价款，开出汇票委托当地银行代向进口方收款的结算方式。权出口方签发以银行或进口方为付款人的汇票，以保证在将来符合信用证条款规定的汇票和单据时，必定承兑和付款的保证文件。作用资金周转速度快无需垫付资金资金融通方便，付款有保障特点基础结算方式手续简便费用低廉手续简便费用适中银行代之寄单独立存在单证相符前提下，银行承担第一付款责任区别商业信用风险大客户自行寄单商业信用风险次之银行寄单，但不审单银行信用风险最小银行寄单，银行审单表【2】：三大国际结算方式对比在国际贸易实操中，基于货物流与资金流在时效上的差异，建议选用合适的

40、结算方式，以最大程度降低贸易风险：结算方式出口方进口方利弊利弊汇款-预付货款先收款-货物风险大汇款-赊销-收款风险大先收货-跟单托收-买方商业风险货到付款-跟单信用证银行付款承诺，收款有保障-远期信用证延长账期单据和货物不对称风险表【3】：国际贸易实操结算方式对比贸易融资方案：由于货物流和资金流时效性的差异，在国际贸易实操中，企业可以通过合适的贸易融资产品以保障企业自身现金流的持续稳定。以下为常见的贸易融资产品，汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 15 页 共 113 页具体企业可以根据自身实际情况向结算银行进行咨询了解：交易环节贸易融资产品卖方出口生产

41、打包贷款、出口订单融资出口销售出口发票融资、出口信用证押汇、出口代付、信用证福费廷、短期出口信用保险项下贸易融资买方进口到货提货担保、进口代收保付进口付款预付款融资、国际信用证开证、进口 T/T 押汇、进口代收押汇、进口信用证押汇、进口代付通用保函融资性保函、非融资性保函表【4】：贸易融资产品2、资本项目外汇业务登记注意点：、资本项目外汇业务登记注意点：企业应先到所在地银行或外汇局办理相关资本项目外汇登记手续。其中，境内机构直接投资外汇业务（即 ODI）、外债、跨境担保和国内外汇贷款业务等境内企业较常涉及的资本项目经营内容，可向银行申请办理。办理完成后，领取业务登记凭证（加盖银行业务专用章或外

42、汇局行政许可专用章），作为合规办理资本项目下账户开立和资金汇兑等后续业务的依据。目前较常见涉及的业务种类及主要材料情况如下：业务内容登记申报材料境内机构境外直接投资前期费用登记、汇出前期费用登记：前期费用登记：1）境外直接投资外汇登记业务申请表；2）营业执照；3）资金来源证明、资金使用计划和企业有关权力机构关于境外投资相关决议等真实性证明材料前期费用汇出：前期费用汇出：1）业务登记凭证2）资本项目信息系统银行端打印的境外投资前期费用额度控制信息表；3）资金来源证明、资金使用计划和企业有关权力机构关于境外投汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 16 页 共

43、113 页资的相关决议以及合同等真实性证明材料境内机构境外直接投资登记及变更、注销登记境内机构境外直接投资外汇登记：境内机构境外直接投资外汇登记：1）书面申请，并附境外直接投资外汇登记业务申请表2）营业执照或注册登记证明（多个境内机构共同实施一项境外直接投资的，应提交各境内机构的营业执照或注册登记证明）。3）该笔境外投资相关主管部门对境外投资事项的批准、备案文件或无异议材料等。4）境外投资资金来源证明、资金使用计划、企业有关权力机构关于境外投资相关决议等真实性证明材料境内机构境外直接投资外汇变更登记：境内机构境外直接投资外汇变更登记：1）书面申请，并附境外直接投资外汇登记业务申请表和业务登记凭

44、证2）该笔境外投资相关主管部门对境外投资变更事项的批准、备案文件或无异议材料等（按规定无需提供的除外）3）视具体变更事项，提供境外投资资金来源证明、资金使用计划、企业有关权力机构关于境外投资的相关决议等真实性证明材料4）如新增境内投资者，应提供该境内投资者加盖单位公章的营业执照或注册登记证明境内机构境外直接投资外汇注销登记：境内机构境外直接投资外汇注销登记：1）书面申请，并附境外直接投资外汇登记业务申请表和业务登记凭证2）该笔境外投资相关主管部门对注销事项的批准、备案文件或无异议材料等3）清算审计报告（境内机构未实际对外出资、境外投资企业没有实际经营且无清算所得的无需提供）境内机构境外直接投资

45、资金汇出与利境内机构境外直接投资资金汇出：境内机构境外直接投资资金汇出：1）业务登记凭证2）资本项目信息系统银行端打印的对外义务出资额度控制信息表3）境外投资资金来源证明、资金使用计划和企业有关权力机构关于汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 17 页 共 113 页润汇回境外投资的相关决议以及合同等真实性证明材料境外直接投资企业利润汇回：境外直接投资企业利润汇回：1）业务登记凭证2）境内投资主体依法获得境外企业利润的相关真实性证明材料表【5】：资本项目外汇业务登记所需材料汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 18 页

46、 共 113 页第四章第四章 汽车出海趋势汽车出海趋势产品出海对于汽车行业而言，不仅是市场扩张的机会，更是一次全方位的实力展示。相较于国内业务的发展，产品出海是该行业在全球范围内的景气度、企业的生产制造实力（包括产能规模和效率水平）、海外团队的运营管理能力，以及对全球多样化需求的快速响应能力等诸多能力的综合展现。因此，产品出海无疑是对企业全面素质的一次大考。然而，需要明确的是，仅仅将产品销往海外并不等同于在海外建立了稳固的业务布局。在海外设立生产基地或开展深入业务，所涉及的因素远比单纯的产品出口要复杂得多。这其中包括对当地政策的深入理解、税收制度的适应、营商环境的评估，以及人才的招募与培养等。

47、这些前期的基础准备工作，其复杂程度和所需投入的资源往往超出了许多企业的预期，因此，真正实现业务“出海”并非易事。从目前的市场动态和行业趋势来看，未来 3-5 年的汽车行业出海趋势，将主要体现在以下几个方面：一、趋势一：加快全球化市场布局一、趋势一：加快全球化市场布局+供应链优化供应链优化2024 年 5 月，美国政府宣布对中国电动汽车等产品加征关税提升至 100%。2024 年 6 月 12 日，欧盟委员会披露了对从中国进口的电池电动汽车（BEV）征收的临时关税水平，欧盟委员会对三家抽样中国汽车生产商征收的关税分别为：比亚迪 17.4%；吉利 20%；上汽集团 38.1%；中国其他参与调查但尚

48、未抽样的电池电动汽车生产商将被征收 21%的加权平均税，包括爱驰、江淮、宝马、奇瑞、一汽、长安、东风、长城、零跑、蔚来、特斯拉和小鹏。从关税征收的背景可以看到，美国和欧盟通过加征关税，试图保护本国的电动汽车产业免受中国产品的冲击。这也从侧面反映出中国电动汽车在国际市场上的影响力。未来中国汽车的出海之路必须降低对特定出口市场的依赖，从技术创新、海外生产制造、品牌服务提升以及全球供应链构建等多个维度进行全面布局。特别是在技术创新方面，中国汽车品牌需持续加大在电池技术、自动驾驶、智能网联等领域的研发投入，力求保持技术领先优势。同时，也需积极寻求与全球供汽车出海全产业数据安全合规发展白皮书汽车出海全产

49、业数据安全合规发展白皮书第 19 页 共 113 页应商和合作伙伴的深入合作，以优化供应链管理，降低生产成本，提升国际竞争力。二、趋势二：能源技术革新二、趋势二：能源技术革新+卡位产业升级卡位产业升级表观上看，电动智能化驱动汽车制造成本的结构发生变化，电车时代，动力总成的硬件成本占比由燃油车的 25%增至新能源车的 50%，而智能车时代，整车价值或由 90%的硬件+10%的软件转向 40%的硬件+60%的软件。往更深层上看，电动智能化驱动汽车的生产模式和商业模式发生了本质变化。新能源车时代，车企的核心技术由发动机和变速箱向三电系统转移，同时三电系统简化了传统动力总成的制造难度和技术门槛，也驱动

50、车企的竞争要素由制造端向产品力转移，大量碎片化的整车交付场景及服务化升级都是全新的挑战，要求车企以需定产、加快车型迭代周期、缩短与消费者距离；而智能车时代有望强化汽车的消费品属性，车企的核心竞争要素或将从硬件转向软件，同时未来的企业出海对物流的系统多接口对接能力及数据交互能力也有着极高要求，进而带动全球汽车竞争格局和供应链格局发生巨变。我们看好电动智能化演绎下，卡位产业升级的电子信息、先进控制、人工智能等技术成为下一全球汽车产业重心的潜力。随着生产代工、全球研发、人才共享等模式不断涌现，把握市场机遇的车企或成为新一代全球龙头车企。三、趋势三：因地制宜策略三、趋势三：因地制宜策略+属地化发展属地

51、化发展海外汽车贸易保护政策一般由限额、加征关税到提高本地化生产的层层递进。为降低成本并规避贸易摩擦，越来越多的中国车企选择海外建厂模式助力出海。而合资建厂或是最快介入当地经营的方式。在决定海外工厂的选址时，地方政府的政策支持力度、交通物流的便利性，以及当地的人力成本，都是中国车企需要综合考虑的关键因素。20 世纪的丰田集团利用石油危机和凭借低耗油经济车成功打入美国市场，受到美国消费者青睐；然后利用日本政府 ODA 政策红利打通东南亚销售渠道，扩大市场份额；80-90 年代利用本土建厂突破欧洲车企保护政策，跃居欧洲市场日系车第一，这为中国车企提供了宝贵的经验和借鉴。在塑造品牌形象和提供服务方面，

52、深入了解并适应不同国家和地区的消费者习惯变得尤为重要。随着智能网联汽车的兴起，车辆的网联功能和软件服务在消费者购车决策中占据了越来越重要的位置。从欧洲到东南亚再到中东，从音乐、汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 20 页 共 113 页地图，到语音等的使用上，不同的国家和地区的车主往往有不同的习惯。中国车企需要针对目标市场的特定需求进行定制化开发，同时不断优化软件服务以提升用户体验。然而，如何在控制成本和提供优质用户体验之间找到最佳平衡点，将是中国车企在出海过程中必须面对和解决的重大挑战。四、趋势四：国际化人才战略四、趋势四：国际化人才战略+本地团队建设

53、本地团队建设为构建全球一体化的研发和销售体系，中国车企正积极招募和培养具备国际视野和专业技能的人才。在管理团队方面，中国负责人和外籍业务主管的搭配综合表现最强，尤其是在与中国总部沟通协调、既有产品业务开拓、产品及服务本地化以及与当地合作伙伴及政府合作方面表现尤为突出。对于商务/市场等一线岗位，企业倾向于招聘本地雇员，以便业务顺利开展。此外，为了促进本地就业、提升本地员工的技能和知识水平，以及加强企业与当地社会的融合，很多国家对外资企业的外派员工和本地员工的比例有明确政策要求，同时为了鼓励外资企业增加本地员工的比例，一些国家可能会提供税收减免、补贴或其他激励措施。这对中国车企的国际化团队建设管理

54、也是不小的考验。五、趋势五：后市场体系能力五、趋势五：后市场体系能力+本土化服务本土化服务新能源汽车后市场服务指汽车售出后，围绕汽车使用过程中的全部服务，包括维修、补能、保险、金融等众多方面。随着中国汽车在海外市场的保有量持续增长，对后市场服务的需求也日益增加。然而，当前中国汽车品牌在海外市场的后市场服务仍存在诸多不足。主要原因之一是对海外当地的政策、市场实际情况以及消费者真实需求不熟悉。另一方面，由于我国新能源汽车后市场同样不成熟，进而导致新能源车企在后市场方面经验不足。为提升后市场本土化服务能力，中国车企需要深入了解海外市场的消费者需求，建立完善的后市场服务体系，并持续提升服务质量。六、趋

55、势六：海外合规风险加剧六、趋势六：海外合规风险加剧+可持续发展可持续发展在中国汽车出海规模迅速扩大的同时，伴随着的是各种法律合规风险的增加。这些风险涉及数据隐私保护、环境保护与可持续发展要求、反补贴政策、自动驾汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 21 页 共 113 页驶技术的法律监管以及广告营销法规等。此外，还需要密切关注国际法规的动态变化，确保企业运营始终符合最新的法律要求。（1）数据隐私合规风险，包括数据安全与隐私保护风险。由燃油车向智能网联汽车/自动驾驶汽车的转变过程中，汽车已成为继手机之后的最大移动智能终端，因此将涉及大量的数据收集与处理工作，

56、数据隐私合规风险便成为智能网联汽车的核心合规风险。2023 年 11 月 15 日，美国国会议员小组向百度、AutoX、Deeproute.ai、滴滴出行等 10 家在美国进行自动驾驶汽车测试的中国公司发出质询，内容包含 13 个问题，其中包括在美国车辆测试期间收集数据的情况、在第三国处理上述数据的情况、向中国政府共享上述数据的情况、中国政府访问上述数据的情况、公司内部设立党委的情况等。基于以上问题可以发现，美国监管意图主要关注国家安全，而非隐私保护。（2）环境保护与可持续发展合规风险。随着全球环保呼声的增多，对于电池、碳排放等问题的重视程度正逐步提升。欧盟出台的新电池法，就对中国企业现有的成

57、本增加、碳足迹管理基础薄弱等问题发起了挑战。为应对这些挑战，车企需深化碳足迹研究，加快动力电池回收利用技术研发等。（3）反补贴合规风险。2023 年 10 月 4 日，欧盟委员会在没有欧盟产业申请的情况下，自行对中国电动汽车发起反补贴调查。自动驾驶监管合规风险，本部分与数据隐私合规密切相关，尽管当前实务中相关执法工作规模与处罚数量并不显著，但随着自动驾驶级别的提升与各国监管模式的调整（由于自动驾驶尚处于发展阶段，当前各国监管仍以产业促进为主），其在未来将会成为车企出海关键合规点之一。（4）广告营销风险。当前，线上营销占比逐步提升，且更侧重于采取个性化营销方式，因此将引发个人信息保护、数据隐私处

58、理等数据合规问题，汽车电池流转过程或将引发个人数据、商业秘密及国家安全数据等合规风险。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 22 页 共 113 页第二部分第二部分 汽车出海网络安全及数据安全汽车出海网络安全及数据安全第一章第一章 汽车出海中的网络安全汽车出海中的网络安全一、一、汽车网络安全测试汽车网络安全测试（一）汽车网络安全测试的需求和必要性随着智能网联汽车搭载电子设备和智能系统的增加，将会提供更多的网联访问方式，致使智能网联汽车的可攻击面显著变多。汽车制造商和零部件供应商在其产品开发过程中实施网络安全测试，尽早发现和修复安全漏洞问题是降低其被攻击可能

59、性的重要方法。除此之外，汽车网络安全测试也是满足汽车出海相关法律法规要求的重要措施。（二）汽车网络安全测试对象汽车网络安全测试的范围涵盖广泛，主要包括整车、零部件、APP 和云服务这四大方面。其中整车测试是汽车网络安全测试的核心部分，通常涉及车载通信、车辆外部连接接口、车辆软件升级、车辆数据和代码，以及车辆软硬件漏洞等方面的测试。具有智能化和网联化功能的零部件、汽车 APP 和云服务作为汽车网联化和智能化的重要组成部分，其安全性也直接影响到汽车整体的安全水平。（三）汽车网络安全测试关键技术汽车网络安全测试技术主要涵盖硬件、固件、通信协议、操作系统、应用软件、数据和云端服务等多个方面。针对这些方

60、面进行安全测试时，需要重点关注相关的关键测试点，并使用可靠的测试工具进行安全测试。1、硬件安全测试、硬件安全测试硬件测试主要针对车辆的电子控制单元、通信模块和其他电子设备。主要检查设备 PCB 板是否有调试接口、敏感丝印信息、侧信道分析等。常用测试工具包括示波器、逻辑分析仪、侧信道分析仪等。2、固件安全测试、固件安全测试固件是硬件的操作指令集，对固件的安全测试主要包括安全启动、漏洞扫描、静态分析和动态调试等。通过对固件进行逆向工程，可以发现其中的安全漏洞和汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 23 页 共 113 页后门。常用工具包括 Binwalk、FA

61、CT、Ghidra 和 IDA Pro 等。3、通信协议测试、通信协议测试汽车通信依赖于各种协议，如 CAN、UDS、Ethernet、BLE、Wi-Fi 等。对通信协议的安全测试主要包括流量分析、漏洞扫描、模糊测试等。常用的通信协议测试工具包括 PCAN-USB、CANoe、Ubertooth One、Aircrack-ng 等。4 4、操作系统安全测试、操作系统安全测试车载操作系统是整个车载系统的核心，操作系统安全测试包括漏洞扫描、安全启动、安全配置、系统更新和隔离等。通过对操作系统进行全面评估，可确保其稳定运行和防范外部攻击。常用测试工具包括 Nmap、Metasploit 和 Open

62、VAS等。5 5、应用软件安全测试、应用软件安全测试应用软件的安全测试包括数据报文分析、静态代码分析和动态调试等。常用的应用软件测试工具包括 Burp Suite、JADX、IDA Pro 等。6 6、数据安全测试、数据安全测试数据安全测试主要关注数据采集、存储、传输和销毁等过程中的安全性和合规性。常用测试工具包括 Burp Suite、Wireshark 等。7 7、云端服务安全测试、云端服务安全测试云端服务的安全测试包括服务器配置、API 接口、漏洞扫描、身份认证和访问控制等。主要的测试工具包括 Burp Suite、OWASP ZAP 等。（四）汽车网络安全测试实施汽车制造商在开展 VT

63、A 网络安全测试时，通常按照如下过程实施网络安全测试：1 1、测试准备、测试准备开始进行网络安全测试前需要进行测试准备，包括制定测试方案、准备测试环境等。2 2、符合性测试、符合性测试汽车制造商在进行车型开发时需要对其进行 TARA 分析，识别所有可能存在汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 24 页 共 113 页的风险，基于识别的风险确定网络安全目标。而到测试阶段，就需要对网络安全需求的符合性进行测试验证，检查车型开发时的网络安全需求是否都已实现。3 3、渗透测试、渗透测试符合性测试完成后就可以对汽车进行渗透测试，它是模拟真实场景对汽车进行攻击测试，检

64、查是否还有可被利用的漏洞。渗透测试通常可能会涉及到总线安全测试、接口安全测试、云端安全测试等。4 4、目击测试、目击测试汽车制造商在完成符合性测试和渗透测试后，提交相关测试报告文档到认证机构，审核通过后认证机构就会筛选测试项进行目击测试，即由认证机构人员现场目击汽车制造商根据筛选的测试项对车辆进行网络安全测试。5 5、现场测试、现场测试目击测试完成后，部分认证机构还需进行现场测试，即认证机构测试人员亲自检测车辆是否存在安全问题。如果汽车制造商在目击测试或现场测试时存在问题，则可能需要重新测试，这个周期可能较长，有可能会影响车型的上市时间，所以汽车制造商对此需要有充分的准备。如果所有测试都通过，

65、则汽车就能获得出海的 VTA 认证了。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 25 页 共 113 页二、二、主机厂的安全体系主机厂的安全体系（一）体系建设法规依据为符合汽车出海的网络和数据安全合规要求，主机厂需要确保在建立企业信息安全体系时同时参考与尽量满足国内及国际以下标准：1 1、国内标准、国内标准（1）GB/T 22080-2016：信息安全技术信息安全管理体系要求（2）GB/T 22081-2016：信息安全技术信息安全控制实践指南（3）工业和信息化领域数据安全管理办法（试行）2 2、国际标准、国际标准（1）ISO/SAE 21434：道路车辆信息

66、安全工程标准（2）ISO 27001：信息安全管理体系标准（3）ISO 27002：信息安全控制实践指南（4）ISO 27701：隐私信息安全管理体系（二）体系框架概述1 1、产品生命周期管理、产品生命周期管理ISO/SAE 21434 标准是一套用于道路车辆网络安全的方法论，其目的是为汽车行业供应链中的各方提供一套统一的专业领域描述体系，包括专业词汇及定义、目标、要求及指导等，以方便相关方的相互理解。ISO/SAE 21434 将汽车系统的全生命周期分为“概念阶段”“开发阶段”及“开发后阶段”等若干阶段，在每个阶段中都需要执行相关的网络安全管理活动，以保障全生命周期的网络安全目标被满足。（1

67、）概念阶段这一阶段的主要任务是进一步定义技术层面和操作层面的网络安全控制措施，以满足网络安全目标。此外，还需要描述更为具体的网络安全需求，包括访问控制、数据保护、系统恢复等各个方面的详细要求。所有这些分析结果的完整性、正确性及一致性同样需要得到验证和确认。此阶段的输出将作为后续安全设计和实施的基础。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 26 页 共 113 页（2）产品开发阶段该阶段核心流程主要包含设计、产品集成与验证以及网络安全确认等几个重要环节。在产品设计阶段，重点任务是确保产品的网络安全性能，并识别和分析系统中可能存在的缺陷；在产品集成及验证阶段，主

68、要工作是对设计进行集成并验证其性能是否符合网络安全规范；在网络安全确认阶段，需要通过严格审查确保目标系统符合预期的网络安全要求。（3）后开发阶段在完成了开发阶段后，产品即进入了后开发阶段，其主要包括生产、运行及维护以及退出等三个子阶段。生产阶段的主要目标为确保后开发阶段的网络安全需求被满足，且在生产过程中，新的网络安全风险不被引入；运营及维护阶段的主要工作为创建用于网络安全事件响应的计划，并在整个过程中执行该计划。（4）退出阶段全生命周期的最后一个阶段为退出阶段，该阶段的主要目的是与相关方沟通结束网络安全支持相关的事宜，并最终正式结束支持。另外，在退出阶段中仍需要满足与该阶段相关的网络安全需求

69、，以保证产品的网络安全水平不在生命周期的最后阶段被破坏。2 2、组织安全管理、组织安全管理组织网络安全管理规定了公司/组织层面网络安全管理的要求，是组织内部最高层面的安全方针。主要包括以下 4 个方面：（1）网络安全治理网络安全治理是最宏观层面的安全治理方针，可总结为领导层重视、流程保证、职责划分、资源保证、与其他现有流程的结合等几个方面。同时，还应考虑网络安全体系与功能安全、隐私保护等其他安全领域的交互和融合。（2）网络安全文化为建立良好的网络安全文化，需要保证人员足够的网络安全能力和意识，并在网络安全工程的所有活动中保持对各方面事务的持续改进。汽车出海全产业数据安全合规发展白皮书汽车出海全

70、产业数据安全合规发展白皮书第 27 页 共 113 页（3）信息共享信息共享要求组织必须考虑组织内外部哪些数据共享是必须的、允许的，哪些是被禁止的，并根据这个准则去管理与第三方共享的数据。在具体实施层面，通常会对信息进行分级、制定相关的信息共享流程、使用专门的信息传输工具、与第三方确定漏洞披露原则等。（4）信息安全管理相关的工作产品应该由一个信息安全管理系统来管理。对于已经建立完善的信息安全管理体系的组织来说，将网络安全的工作产品依照现有的信息安全管理流程进行管理即可。（三）体系建设路线1 1、差距分析、差距分析差距分析是建设网络安全管理体系的第一步，在这一阶段，需要了解现有网络安全状况、确定

71、参照标准与行业标准，并对比现有状况与目标标准，分析存在的差距和问题，并确定优先级。2 2、建设实施、建设实施建设实施阶段是根据差距分析的结果进行网络安全管理体系的建设。主要工作包括制定网络安全策略、构建安全管理体系框架、技术防护系统建设、安全培训与意识提升、应急响应机制建设等。3 3、运行评估、运行评估运行评估是检测体系建设质量的一个重要阶段。在体系建设完成之后，要定期评估体系运行状况，包括策略执行、技术防护效果等。4 4、改进优化、改进优化根据运行评估的结果，对网络安全管理体系进行持续改进和优化。包括完善安全管理制度和流程、提升安全技术水平、加强人员培训等方面。这个阶段需要持续关注新技术和新

72、威胁的发展动态，确保网络安全管理体系的持续有效性和适应性。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 28 页 共 113 页三、三、汽车软件供应链安全汽车软件供应链安全（一）软件供应链概述软件供应链是指在软件开发和发布过程中，从初始需求到最终交付涉及的所有环节和参与方的集合。在汽车行业，软件供应链的复杂性和重要性不断增加，尤其是在智能网联汽车中，软件在控制、通信和信息处理等方面扮演着至关重要的角色。智能网联汽车的软件供应链包括以下几个关键环节和参与方：1 1、关键环节、关键环节（1）需求分析即从整车厂或一级供应商开始，明确车辆需要哪些软件功能，对需求进行定义。

73、例如，自动驾驶功能、娱乐系统、车载通信等，应明确定义安全相关的需求。安全需求应详细、具体，并与功能需求相互关联。（2）需求管理在需求管理过程中，应设立安全需求的优先级。跟踪需求变化时，任何涉及安全性、隐私保护的需求变更都应该经过安全审查，确保变更不会对系统的安全性产生负面影响。在需求满足后，需要对安全需求进行验证和确认。这可以包括安全性测试、漏洞扫描、安全评估等方法。在整个需求管理过程中，需要确保对需求的版本控制，包括对安全需求的跟踪和记录。版本控制可以帮助追踪需求的变更历史，方便审计和回溯。（3）软件设计软件设计时，首先明确系统的总体架构，并定义模块之间的接口规范，确保模块之间的通信安全可靠

74、。最后设计安全可靠的通信协议，包括数据加密传输、身份认证和报文完整性校验等，防止数据被窃取或篡改。（4）软件开发首先要开发人员应根据设计文档中规定的功能和安全要求，编写安全性强的代码。另外，版本控制系统（如 Git）可以帮助开发团队管理代码版本、跟踪代码变更和解决冲突，保证代码的稳定性和可维护性。在版本控制过程中，应定期进行安全审查，审查代码变更是否符合安全标准和最佳实践。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 29 页 共 113 页（5）测试和验证既要对各个软件模块进行独立测试，也要将各个软件模块集成后进行测试。最后在实际硬件上测试整个系统，验证其整体功

75、能和性能。为确保软件的安全性，漏洞扫描、渗透测试等安全测试总是必要的。（6）软件发布在将软件打包并分发给整车厂或其他供应商时，可以采用加密和数字签名等机制来验证软件的真实性，防止在传输过程中被篡改或感染恶意软件。同时，及时更新软件版本，修复已知漏洞和强化安全性，以保护整车系统免受潜在威胁。（7）维护和更新建立健全的漏洞修复机制和持续的安全审计流程，确保软件系统能够及时更新和维护，这对保障整车系统的安全性至关重要。2 2、主要参与方、主要参与方（1）整车厂角色：主导软件需求分析和架构设计，最终集成和验证整个系统。责任：确保所有软件组件满足需求，并且与车辆硬件和其他软件系统兼容。（2）一级供应商角

76、色：负责开发特定的子系统或模块（如动力系统、信息娱乐系统等），并与整车厂进行接口对接。责任：确保其提供的软件模块功能正确、性能稳定，并符合整车厂的需求。（3）二级及以下供应商角色：提供更小粒度的软件组件或服务（如传感器数据处理、通信协议栈等）。责任：确保其提供的组件可靠、安全，并与一级供应商的系统兼容。此外，智能网联汽车的软件供应链还包括外部开发者、测试和验证机构等参与方。（二）代码审计和安全测试汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 30 页 共 113 页针对代码的安全测试是必要的。既可以使用静态代码分析工具自动检查代码中的潜在安全问题，也可以使用动态应

77、用安全测试工具模拟攻击，检测运行中的应用程序的安全漏洞。另外还可以定期委托第三方安全公司进行渗透测试，以发现软件中潜在的安全漏洞和弱点。代码审计既包括定期由安全专家和开发团队共同审查代码，也包括在设计阶段进行代码安全评审，识别潜在的安全风险并设计相应的防护措施。（三）漏洞管理和响应为及时发现潜在的安全漏洞，要持续监控软件运行状态。对发现的漏洞进行及时修复，并在必要时发布补丁和更新。在修复漏洞后进行回归测试，确保修复措施不会引入新的问题。出于公关考虑，企业应与供应商和相关方协调漏洞披露计划，确保在公开披露前修复漏洞。四、四、汽车芯片信息安全汽车芯片信息安全车规芯片的设计应从“硬件安全”“软件安全

78、”两方面分别确保芯片的安全性。（一）硬件安全1 1、硬件防护、硬件防护硬件防护需要做好防篡改设计、防逆向设计。校验也十分重要，芯片应在硬件设计中加入校验和冗余逻辑，检测和纠正故障。芯片应在硬件设计中采用电磁屏蔽和隔离技术，并加入故障注入检测电路，检测和响应恶意攻击者探测注入故障的行为。2 2、硬件加密模块、硬件加密模块芯片应包含硬件加密模块，旨在保护存储在芯片内部的关键数据，以防止未经授权的访问或篡改，还可以对存储器中数据进行加密保护，以及使用硬件加密算法来加密通信信道。3 3、安全性能预留、安全性能预留芯片预留与划分专用于支持例如安全启动 ROM、启动认证引导程序等安全性能的分区，分区空间需

79、足够支持安全进程的稳定性与可靠性。（二）软件安全汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 31 页 共 113 页1 1、算法安全、算法安全加密算法应使用安全的算法，例如 AES、RSA、ECC、SHA-256，安全性应符合国际ISO/SAE 21434标准及 GB/T 37092 二级及以上标准。2 2、驱动安全、驱动安全为保证驱动安全，应为硬件驱动程序添加数字签名，该数字签名应使用信任的数字证书机构进行签名，并定期更新证书以确保安全性和可靠性。3 3、系统安全、系统安全系统安全包括启动安全、安全存储、访问控制等三个方面。在设置访问控制时，可以实施分层授权策

80、略，根据程序的重要性和安全性需求，将权限分为不同层次，只有满足特定条件的程序才能获得更高层次的权限。同时根据实时的系统状态和安全态势，动态调整程序的权限，例如在检测到安全威胁时，临时限制某些程序的权限。五、五、可信计算在车联网安全的应用可信计算在车联网安全的应用（一）应用范围1 1、整车制造、整车制造在车辆生产过程中应嵌入可信计算模块，将可信计算模块嵌入车辆的电子控制单元，确保底层硬件具备安全防护能力。2 2、车联网平台、车联网平台汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 32 页 共 113 页在车联网云平台与车辆之间的交互引入身份可信验证机制，确保车端与云

81、端均具备对上行下行数据来源合法性与完整性的校验能力。企业需建立公钥基础设施，通过公钥基础设施签发派生的证书、密钥，用于标识服务端或客户端的合法身份，及支持认证、验签等可信计算流程。（二）应用鉴权所有应用安装应经过数字签名，并在安装时进行验签操作确保应用未被篡改且来源可信。以下是蓝牙连接和 WiFi 连接两种场景下，鉴权和验证合法身份的方式：场景场景鉴权鉴权验证合法身份验证合法身份蓝牙连接蓝牙配对过程中，尽量确保用户需输入配对码或确认配对请求实现鉴权；阻止未经授权的蓝牙设备随意连接。通过蓝牙设备的名称、地址等标识信息来初步判断其合法性。同时，可以利用蓝牙协议中的安全机制，如加密和认证过程，来确保

82、连接的蓝牙设备身份可信。WiFi连接当车载信息娱乐系统连接 Wi-Fi网络时，需用户号输入正确的网络密码进行鉴权。确保接入特定的 Wi-Fi 网络已经授权用户确认。系统应通过检查Wi-Fi网络的名称、信号强度、加密方式特征来验证其是否是预期的、合法的网络。表【6】：不同场景下应用鉴权方式（三）应用场景1 1、车载系统及应用安全启动、车载系统及应用安全启动车载操作系统启动时应进行固件验证、引导程序验证、操作系统验证，保证系统的初始可信状态。2 2、车辆与外部设备通信认证、车辆与外部设备通信认证用于验证车辆与充电桩、移动设备等外部设备交互时的可信性。3 3、车内关键数据保护、车内关键数据保护保障车

83、辆行驶数据、用户隐私数据等关键信息的安全存储和访问控制。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 33 页 共 113 页4 4、远程升级安全、远程升级安全在车辆软件远程升级过程中，应确保升级包来自官方且未被篡改。5 5、车辆身份认证、车辆身份认证防止未经授权的车辆接入车联网。6 6、远程车控（数字钥匙）、远程车控（数字钥匙）对外部车控指令进入车身与控制需要鉴别指令的真实性、完整性，确保指令合法。（四）技术要求1 1、可信平台模块、可信平台模块需支持为硬件即电子控制单元提供信任根和加密支持，可对传输的数据进行高强度加密，确保敏感数据在复杂的网络环境中不被窃取或

84、篡改，满足数据传输的保密性和完整性要求。2 2、可信执行环境、可信执行环境确保关键代码和数据可安全运行不受外界干扰。即使车辆的其他部分受到攻击或出现故障，可信执行环境中的安全执行区域依然能保持独立和安全，保障支撑车辆关键功能的正常运作。3 3、密码技术、密码技术如加密、数字签名等用于数据保护和认证。4 4、信任链构建技术、信任链构建技术确保整个系统信任可传递和延续，即所有验证计算均需支持从最底层的硬件开始，通过逐级验证和授权，逐步建立起整个系统的信任链条。5 5、远程证明技术、远程证明技术当车辆需要进入特定的区域或享受特定的服务时，通过远程证明技术向服务提供方证明车辆的可信状态，比如车辆的安全

85、系统是否正常运行等，满足服务提供方对车辆安全性评估的要求。（五）技术架构在各业务（车与云、车与桩、数字钥匙等）根之上，建议主机厂采用集中式信任体系，以满足各业务独立互信的需求。所有子 CA 都在同一个根 CA 下管理，形成完整的信任体系。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 34 页 共 113 页图【1】：智能网联汽车身份可信平台业务架构汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 35 页 共 113 页第二章第二章 汽车出海中的数据安全汽车出海中的数据安全一、一、自动驾驶安全监管自动驾驶安全监管（一）自动驾驶分级标准国际

86、上对于自动驾驶分级标准的详细阐述主要基于国际自动机工程师学会制定的分级标准 SAE J3016。这一标准被广泛接受和应用，并将自动驾驶系统分为六个等级，从 0 级到 5 级，每个等级对应不同的自动化程度和驾驶员参与程度，国际上其他国家和组织也制定了自动驾驶分级标准，其中影响力比较大的标准还有美国高速公路安全管理局分级标准、德国联邦公路研究所分级标准等。图【2】：SAE 自动驾驶分级标准另外，欧盟委员会和欧盟新车安全评鉴协会（The European New CarAssessment Programme，以下简称“NCAPNCAP”）在交通安全和车辆评估中也考虑了自动驾驶的不同级别。欧盟在法规

87、和安全评估方面有特定的要求，目的是确保自动驾驶技术的安全性和可靠性。例如，NCAP 的新车评价计划中对车辆的自动驾驶能力进行评估，并结合安全标准给予评分。2021 年 8 月 20 日，中国汽车工程学会结合中国的道路和法律环境，制定了类似于 SAE J3016 标准的自动驾驶汽车分级标准汽车驾驶自动化分级（GB/T 40429-2021）国家标准，将驾驶自动化功能分为了 0-5 级共 6 个级别，即 0-2 级的驾驶辅助与 3-5 级的自动驾驶，标准在自动驾驶系统的测试和监管方面有不同的要求，并对本地化应用进行了调整。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第

88、36 页 共 113 页（二）我国国家层面的自动驾驶监管要求自动驾驶汽车运行涉及的众多主体，包括车辆、道路基础设施、云服务商、网络服务商、地图服务商以及其他外围服务商等，进行网络通信、收集并处理数据的过程中，均应遵守网络安全与数据保护相关规定。国家对自动驾驶汽车的网络和数据安全监管有着严格且全面的要求，以确保自动驾驶技术在安全和可靠的环境下发展。首先，在网络安全方面，自动驾驶汽车须具备完备的网络安全防护措施，包括防火墙、入侵检测系统、加密技术、网络安全测试和漏洞扫描等。其次，在数据安全方面，自动驾驶汽车在运行过程中会产生大量数据，包括车辆状态、位置信息和用户数据等，这些数据必须依法得到妥善保护

89、，确保其合法性和透明度。基于以上，国家层面相继发布了网络和数据安全相关法律法规和规章制度。2017 年 6 月 1 日起，网络安全法正式实施，作为我国第一部全面规范网络安全管理的基础性法律，明确要求网络运营者（包括整车企业及车辆运营商等）应“依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件”等。自动驾驶在设计与应用时同样应符合相关要求。2021 年 9 月 1 日起，数据安全法正式施行，旨在促进包括自动驾驶数据在内的开发利用，保护个人、组织的合法权益。2021 年 11 月 1 日起，个人信息保护法正式施行，意味着自动驾驶

90、软硬件在处理个人信息时必须遵循合法、正当、必要原则，采取必要的措施保障个人信息安全，防止信息泄露、篡改、丢失。网络安全法数据安全法和个人信息保护法的先后发布实施，初步构建起网络安全和数据安全保障领域的法律体系框架。国务院、工业和信息化部、交通运输部、科学技术部、国家发展改革委、公安部等部委相继出台一系列顶层规划及政策文件，举例来说：2021 年 8 月，国家网信办、国家发展改革委等多部门联合发布了中国首部汽车数据安全领域的行政规章汽车数据安全管理若干规定（试行）。2021 年 9 月，工业和信息化部发布关于加强车联网网络安全和数据安全工作的通知，要求加强车联网网络安全和数据安全工作。汽车出海全

91、产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 37 页 共 113 页2023 年，工业和信息化部等四部门发布了关于开展智能网联汽车准入和上路通行试点工作的通知，在开展智能网联汽车准入和上路通行试点工作的同时提出了网络安全和数据安全能力要求。2024 年，工业和信息化部等五部门发布了关于开展智能网联汽车“车路云一体化”应用试点工作的通知，旨在通过车路协同和云计算技术的应用，提高自动驾驶汽车的安全性和可靠性。（三）地方层面的法规、政策和标准要求在地方层面，各地政府积极应对自动驾驶汽车的网络安全问题，采取了一系列措施。北京、上海和广州在自动驾驶汽车网络安全方面进行了积极探索和实

92、践。1 1、北京、北京2023 年 5 月，北京市高级别自动驾驶示范区工作办公室发布了北京市智能网联汽车政策先行区数据安全管理办法（试行），在管理办法中明确了企业在自动驾驶技术研发和应用中应承担的数据安全主体责任，并要求企业在数据收集、存储、处理和使用过程中，采取必要的安全措施，确保用户隐私和数据安全，防范数据泄露和滥用风险。2 2、上海、上海2022 年，上海市交通委员会等部门联合发布了上海市智能网联汽车示范运营实施细则，该细则规范智能网联汽车的示范运营活动，并对网络安全防护、数据加密和访问控制等方面提出了具体规定。2023 年初上海启动施行上海市浦东新区促进无驾驶人智能网联汽车创新应用规定

93、，这是我国首部针对无驾驶人智能网联汽车创新应用的地方性法规。其中规定，无人驾驶汽车在测试和应用过程中产生的数据必须依法合规地收集、处理和存储。企业需采取必要的技术措施保障数据安全，防止数据泄露和滥用。3 3、广州、广州广州市工业和信息化局等部门发布了 广州市智能网联汽车道路测试与示范应用管理办法，规范智能网联汽车的道路测试和示范应用活动。（四）其他国家或地区对自动驾驶的监管要求自动驾驶汽车不仅涉及传统的机械和电子系统，还依赖大量的数据传输和处理，为了确保安全，各国政府和监管机构都在积极制定相关的法律法规和标准。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 38 页

94、 共 113 页1 1、美国美国美国自动驾驶汽车的安全监管方面具有较为灵活和分散的特点，联邦和州政府共同参与监管。联邦层面，国家公路交通安全管理局负责制定自动驾驶汽车的安全标准和指导原则。其发布的自动驾驶系统安全指南为自动驾驶汽车制造商提供自愿性指导，鼓励其在开发和测试过程中遵循安全最佳实践。同时，各州政府制定具体的法规和政策，允许和管理自动驾驶汽车的测试和部署。例如，加利福尼亚州要求公司在公共道路上测试自动驾驶汽车前，必须获得测试许可证，并提交事故报告。亚利桑那州则采取了相对宽松的政策，吸引了许多自动驾驶汽车公司进行测试和运营。2 2、欧盟欧盟欧盟对自动驾驶汽车的监管采取统一和协调的方式，并

95、制定一系列政策和法规，以支持自动驾驶技术的发展，同时确保安全性和数据保护。2018 年，欧盟委员会发布了自动驾驶的安全与责任框架。同时，欧盟还对自动驾驶汽车的安全性能进行评估，制定严格的测试标准和评分体系，各成员国也在国内立法中融入了这些统一标准，例如德国在 2017 年通过了道路交通法修订案，明确了自动驾驶汽车的法律地位和责任界定。3 3、日本、日本日本政府对自动驾驶汽车的测试和部署实施严格管理，公司需获得特定许可才能在公共道路上进行测试，且必须遵循严格的安全标准和数据报告要求。4 4、新加坡、新加坡新加坡在自动驾驶技术的监管和推广方面走在前列，2017 年，新加坡发布了自动驾驶车辆监管框架

96、，详细规定了自动驾驶汽车的测试、注册和运营要求。新加坡政府还设立了专门的测试区，为自动驾驶技术的研发和测试提供了安全环境。测试车辆必须通过严格的审查和批准程序，并且测试过程中需要提供实时数据报告，以确保安全。二、汽车数据安全部署与建设二、汽车数据安全部署与建设（一）汽车数据安全重要性在智能网联汽车时代，汽车数据涵盖了车辆运行状态、驾驶行为、位置信息等敏感数据，其中许多数据不仅需要在车内进行实时处理，还需要传输到云端进汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 39 页 共 113 页行存储和分析。这些数据不仅对车辆的正常运行和用户体验至关重要，还涉及用户隐私和企

97、业机密，一旦发生数据泄露或被恶意篡改，将对用户造成严重影响，导致企业的重大损失，甚至引发国家安全问题。（二）汽车网络和数据安全的安全性分析和防护部署汽车数据安全威胁涵盖在云端、管端、车端、移动端、企业内部以及供应链的各个环节，为了应对这些复杂的威胁，企业必须精确识别安全风险，并制定全面的安全防护策略，以提高整体防护能力。1 1、云端安全、云端安全云端作为自动驾驶和智能网联汽车的关键环节，包括汽车远程服务提供和在线升级服务平台。这些平台提供远程车控和固件在线升级等服务，必须确保数据的完整性和保密性。为此，在部署了基本的防火墙和网站应用防护系统之后，企业还可以部署更多层次的安全防护技术：（1）云端

98、态势感知系统：实时监控云环境中的活动，识别和响应潜在的安全威胁。（2）数据库加密和数据脱敏：确保存储的数据即使在被非法访问的情况下也无法被轻易解读，保护敏感信息。（3）安全渗透测试：定期模拟攻击，发现并修复系统漏洞。（4）安全监控：持续监控云平台，及时检测和处理安全事件。2 2、管端安全、管端安全管端的安全威胁主要来源于攻击者通过身份伪造、中间人攻击等手段，非法获取智能网联汽车的外部通信信息。这些攻击可能导致信息泄露、数据篡改等严重后果。为确保管端的安全性，目前行业内普遍采用的防护措施包括：车云双向认证、异常流量监测、加密通信和入侵检测系统等。3 3、移动端安全、移动端安全移动端 App 为车

99、主提供便捷的远程控制和数字钥匙功能，但也成为攻击者的潜在目标。恶意攻击者可能通过反编译 App、进行二次打包和植入恶意代码，获得用户的汽车远程控制权。此外，第三方 SDK 违规收集用户隐私也是一大威胁。为了解决这些问题，除持续安全监控外，企业可以采取以下措施：汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 40 页 共 113 页（1）App 安全加固：包括代码混淆、加密等技术，增加反编译和逆向工程的难度。（2）安全渗透测试：定期对 App 进行安全测试，发现并修复漏洞。（3）合规测试：确保 App 的开发和运营符合相关法律法规和行业标准。4 4、车端安全、车端安全

100、随着车端智能化和网联化的发展，汽车已经成为汇集大量数据的移动终端，面临多方觊觎的安全威胁和挑战。车端安全防护需要采用多层次的策略：（1）威胁分析与风险评估：识别和评估潜在威胁，制定相应的防护措施。（2）公钥基础设施：提供强有力的身份验证和数据加密手段。（3）整车纵深防御：通过多层次的防御措施，保护车辆的各个系统和组件。（4）用户授权和权限管控：确保只有授权用户才能访问和操作车辆系统。（5）安全监控和主动防御：实时监控车端系统，及时发现和响应安全威胁。5 5、企业内部安全、企业内部安全企业内部的安全威胁包括黑客钓鱼攻击、代码泄露和用户信息泄露等。为解决这些问题，企业宜建立全面的安全管理体系。该体

101、系可基于 ISO27001 的安全管理体系建立，根据组织内部的具体情况进行调整。此外，持续的安全监控和安全意识培训都对于保障企业内部安全有所助力。（三）汽车数据安全合规检测汽车数据安全合规检测，通常是指对汽车数据处理活动进行的安全性评估，以确保其符合相关法规和标准。根据我国相关法律法规的要求，出海车企必须进行汽车数据安全合规检测。这项评估工作涵盖多个方面，包括：数据处理的目的、方式、范围的合法性和必要性；数据安全管理制度和流程的落实情况；数据安全技术防护能力等。对此车企可以引入第三方机构进行汽车数据全生命周期安全管理评估、审核和认证，第三方安全认证机构可以根据不同国家及行业的相关数据安全要求，

102、开展汽车数据处理活动安全管理评估，确保其符合国际标准和当地法律法规的要求。另外，企业还可以进行商用密码应用的安全性评估，在车车、车路、车云、车人通信过程中采用商用密码技术、产品和服务集成建设的网络与信息系统，对汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 41 页 共 113 页其密码应用的合规性、正确性、有效性等进行评估。密码的应用必须符合国际密码算法标准，并且遵循当地的密码法律法规。密码系统应当能够在实际使用中达到预期的安全效果，保护车辆通信过程中的信息安全和隐私保护。可以通过模拟真实场景下的密码攻击和漏洞利用等方式，检验密码系统的抵御能力和应对能力，确保其在

103、面对各种威胁时仍然有效可靠。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 42 页 共 113 页第三部分第三部分 汽车出海数据合规全球法律政策汽车出海数据合规全球法律政策与合规义务与合规义务第一章第一章 汽车行业出海合规义务概述汽车行业出海合规义务概述对于企业而言，数据治理已经成为企业治理的一部分。汽车产业应紧紧抓住数据这一生产要素的时代风口，充分释放数据价值潜力，利用数据要素为企业创收。在第三部分，我们将从宏观层面介绍汽车行业出海可能面临的主要风险点及合规业务。随后我们将从不同国家、不同产业链双重纬度出发，聚焦于汽车全产业数据合规模块的主要义务，介绍各国目前汽

104、车数据隐私法律监管体系、明确车企不同产业链出海需遵守的数据合规义务。一、一、产品准入产品准入认证认证风险源：汽车出海需要满足目的国的技术和质量认证标准。不同国家间的进口汽车准入认证制度存在差异，部分国家强制要求进口汽车满足一定的技术和质量认证。例如美国的 DOT 和 EPA 认证、巴西 LCVM 和 CAT 认证、阿根廷 LCM认证、澳大利亚的 ADR 认证等。合规义务：了解目的国汽车准入相关法律规范、梳理其技术和质量认证标准，建立目的国相关法律规范跟踪机制，避免因汽车技术和质量不合规导致车辆无法出口等情况的发生。二、二、外资准入限制外资准入限制风险源：汽车及其零部件生产可能落入外资准入的限制

105、名单。例如在越南，汽车生产方式为代工工厂、汽车的售后服务环节均属于限制清单，需经过审批获得外商经营许可证。合规义务：预先调研目的国外资准入清单，如相关产业属于限制清单，则应评估获取外商经营许可证的可行性、投入成本、市场布局等，综合决策是否出海。三、三、贸易壁垒贸易壁垒风险源：汽车行业出海常面临由出海目的国政府发起的贸易壁垒，如反倾销与反补贴风险，而车企往往难以自身力量抗衡。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 43 页 共 113 页合规义务：充分调研目的国或地区针对不公平竞争的相关法律法规、政策规范，事先做好风险评估。四、四、知识产权知识产权风险源：提前

106、布局目的国知识产权是决定出海成功与否的关键命题。如车企未提前做好知识产权管理，可能会出现被出海目的国企业抢注商标或国内商标在海外侵权等情况。合规义务：提前做好商标、专利、版权、商业秘密等知识产权的管理。五、五、企业实体设立企业实体设立风险源：在目的国的实体设立事项上，全球范围内有着差异化的规定，例如部分国家可能要求出海企业在当地设有分支机构或办事处；再如要求在企业的架构中需设置数据保护官等特殊职位。合规义务：企业实体设立事项、模式选择、架构设计、投资安排等事项都应遵守出海目的国法律规范。六、六、数字营销数字营销风险源：隐私保护在数字营销领域已成为各国重点关注内容，并提出了严格化的合规要求，如企

107、业违规营销，将引发个人信息和隐私保护等合规风险。合规义务：车企应预先开展数字营销合规工作，关注目的国对营销方式、时间、频次等方面的合规要求，满足目的国的隐私政策合规要求等。七、七、能源和环境保护能源和环境保护风险源：随着全球气候变暖、环境资源的破坏，各国在能源环保领域立法频频，例如对汽车排放标准等做出了严格限制、欧盟新电池法对电池环保的高度要求等。合规义务：车企应当关注出海目的国环境、资源政策情况，重点了解电池、碳排放等政策。八、八、数据合规数据合规风险源：注重数据安全已是大势所趋，自欧盟出台 GDPR 以来，各国纷纷加快立法进程，以提升数据安全治理能力。汽车行业也正由燃油车向智能网联汽车转变

108、中，业务中的数据处理场景多样化、数据规模大、涉及敏感个人信息等问汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 44 页 共 113 页题是汽车行业出海无法绕开的合规话题，本白皮书将在下文第二部分中重点展开数据合规领域的出海合规项。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 45 页 共 113 页第二章第二章 汽车全产业主要数据合规义务汽车全产业主要数据合规义务一、汽车全产业主要数据合规义务概览一、汽车全产业主要数据合规义务概览伴随着汽车产业的快速发展，汽车智能化、网联化已成为汽车产业目前的主要发展方向。与此同时，汽车数据安全事件如

109、雨后春笋般涌现。汽车数据安全和保护已成为企业刻不容缓的合规方向和内容，下文将从数据处理的重要环节和基础数据保护制度出发，对汽车行业出海的主要数据合规义务进行总结。（一）数据收集：保障数据来源和数据内容的合规性数据收集是数据全生命周期的起点，在收集环节，车企应当特别注意数据授权收集、敏感数据和重要数据的识别、数据溯源等安全风险。1、数据溯源：确保数据来源合法合规，不存在不良违法信息等。2、合法性：车企在进行数据处理时可以采取“同意”等符合法律规定的方式进行数据收集工作。3、监督审计：应对收集的数据进行审计，过滤掉不真实、违法违规的数据。（二）数据存储：本地化及存储期限的要求部分国家或地区的数据立

110、法可能会禁止特定类型数据的出境，并要求其本地化存储；或满足本地化存储等要求后才能进行跨境传输。同时全球普遍国家对数据存储都有存储必要事件要求。因此，出海车企应当关注法律对数据本地化存储和保存期限的要求并采取安全保障措施。（三）数据分类分级：数据合规管理制度及配套技术措施汽车数据涵盖范围广泛且敏感程度高，涉及设计、生产、销售、使用、运维等过程中的各种数据，如敏感个人信息、地理位置数据、实时交通数据等。因此，做好数据分类分级制度是车企进行数据合规管理的坚实基础。（四）数据合规风险评估：车企数据合规日常合规活动数据合规风险评估是车企应尽的日常合规活动。车企应当定期开展风险评估工作，明确风险评估工作办

111、法，并按照风险评估结果进行持续整改和跟踪。除了定期风险评估，车企在处理敏感个人信息、自动化决策、数据跨境传输等场景下，也应按照法律规范的要求进行风险评估工作。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 46 页 共 113 页（五）数据安全事件处置：建立应急预案、注重人员培训车企面临的数据安全事件时有发生，组建能在第一时间高效响应的应急小组、定制化的安全事件应急预案、规范化的数据安全事件处置流程、常态化的安全风险培训等均是有效预防和应对安全威胁的合规要义。（六）数据合规专职机构：组建数据合规部门或合规人员车企应当明确企业内部的数据合规机构与人员，落实数据合规义务

112、。企业内部可以设置数据保护专职机构作为公司的最高数据合规管理机构，落实各国立法对设立数据保护或个人信息保护责任人的要求。二、二、汽车产业出海中的中国数据出境合规汽车产业出海中的中国数据出境合规（一）个人信息处理义务按照中华人民共和国个人信息保护法的定义（以下简称“个人信息保护法”），汽车产业的个人数据（信息），通常是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种数据，不包括匿名化处理后的数据。就汽车产业中的个人数据而言，根据个人信息保护法第三十八条，我国关于个人数据出境，有三大合规机制：数据出境安全评估（以下简称“安全评估”）、个人信息保护认证（以下简

113、称“个保认证”）、个人信息出境标准合同（以下简称“标准合同”）。三种出境机制都要求作为个人信息处理者的车企在出境前就开展数据盘点、行为自评估、法律文件签署等工作。此外，于 2024 年 3 月 22 日发布的促进和规范数据跨境流动规定（以下简称“跨境新规”）对触发数据出境安全评估申报义务、订立个人信息出境标准合同及备案或通过个人信息保护认证的触发数量门槛又做出了新一轮的调整。上述三种数据合规路径的具体义务如下：1、安全评估模式、安全评估模式（1）申报义务根据跨境新规第七条，如符合下述情形之一：关键信息基础设施运营者（以下简称“CIIO”）向境外提供个人信息或者重要数据；关键信息基础设汽车出海全

114、产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 47 页 共 113 页施运营者以外的数据处理者向境外提供重要数据，或者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息（不含敏感个人信息）或者 1 万人以上敏感个人信息的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，豁免情形除外。（2）材料提供义务申请出境安全评估，还应当提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件（其中应当明确数据安全保护责任义务）以及安全评估工作需要的其他材料。（3）风险自评估义务此外，根据数据出境安全评估办法第五条，在申报出境安全评估前，还应

115、当事先开展数据出境风险自评估。2、个人信息保护个人信息保护认证模式认证模式在个人信息出境活动未达到上述安全评估的适用标准时，符合一定条件的企业可以选择个保认证作为个人信息出境的合规路径之一。根据 信息安全技术 个人信息安全规范（GB/T 35273）、个人信息保护认证规范（TC260-PG-20222A）、信息安全技术 个人信息跨境传输认证要求（征求意见稿）规定，个人信息处理者有如下义务：（1）权益保障义务：签订具有法律约束力的文件，确保个人信息主体权益得到充分的保障。（2）组织管理义务：指定个人信息保护负责人、设立个人信息保护机构。（3）制定规则义务：制定并共同遵守统一信息跨境处理规则。（4

116、）影响评估义务：应开展个人信息保护影响评估，并形成评估报告。（5）承担保障个人信息主体权利的义务3、标准合同模式、标准合同模式根据跨境新规第八条的要求，关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供 10 万人以上、不满 100 万人个人信息（不含敏感个人信息）或者不满 1 万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 48 页 共 113 页（1）标准合同订立义务：严格按照个人信息出境标准合同办法附件订立标准合同，注意网信部门可能对附件做出调整，企业需保持关注。（2）

117、影响评估义务：按照个人信息出境标准合同办法第五条开展个人信息保护影响评估，并形成评估报告。（3）备案义务：个人信息处理者应当在标准合同生效之日起 10 个工作日内向所在地省级网信部门备案，提交上述标准合同和评估报告，应当对所备案材料的真实性负责。（二）重要数据处理义务1、重要数据的范围、重要数据的范围根据汽车数据安全管理若干规定（试行）的定义，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，具体包括：(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；(2)车辆流量、物流等反映

118、经济运行情况的数据；(3)汽车充电网的运行数据；(4)包含人脸信息、车牌信息等的车外视频、图像数据；(5)涉及个人信息主体超过 10 万人的个人信息；(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。2、重要数据本地化存储的具体义务、重要数据本地化存储的具体义务根据汽车数据安全管理若干规定（试行）第 11 条，重要数据应当依法在境内存储。虽然上述规定未提及核心数据，但基于“举轻以明重”的法律解释方法，核心数据亦应遵守数据本地化要求，存储在中国境内。3、重要数据出境合规路径中的具体义务、重要数据出境合规路径

119、中的具体义务（1）申报义务根据数据出境安全评估办法第四条，数据处理者在向境外提供重要数据之前，必须通过所在地省级网信部门向国家网信部门申报数据出境安全评估。值汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 49 页 共 113 页得关注的是，此前企业对于自身是否拥有重要数据往往感到困惑，而今重要数据有据可循，跨境新规第二条明确指出，若企业未被相关部门、地区通知需处理重要数据，或相关部门、地区未公开发布的重要数据目录和清单，则企业无需将某类数据作为重要数据申报数据出境安全评估，不仅减轻了企业的合规压力，也加速推进了相关部门、地区对数据分级制度和重要数据目录和清单的工作

120、。（2）材料提供义务根据数据出境安全评估办法第六条，申报重要数据出境安全评估时应当提交材料，具体包括申报书、数据出境风险自评估报告、与境外接收方拟订的法律文件等。（3）风险自评估义务根据数据出境安全评估办法第五条和第八条，重要数据处理者需在申报前开展数据出境风险自评估，重点评估数据出境的目的、范围、方式的合法性、正当性和必要性；需评估出境数据的规模、范围、种类、敏感程度及其可能对国家安全、公共利益、个人或组织合法权益带来的风险；要考虑境外接收方的责任、义务以及其保障数据安全的管理和技术措施。（4）制定合法文件义务根据数据出境安全评估办法第八条，重要数据处理者与境外接收方应拟订具有法律效力的文件

121、，明确约定数据安全保护的责任义务。（5）确认接收方数据保护水平的义务根据数据出境安全评估办法第八条，重要数据处理者需确认境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。（6）持续监督与应急处置义务根据数据出境安全评估办法第八条，重要数据出境后，境外接收方应在数据安全出现问题时采取必要的安全措施，确保数据安全并妥善处理突发状况。（三）国家核心数据的处理根据数据安全法第 21 条规定，国家核心数据是指关系国家安全、国民汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 50 页 共 113 页经济命脉、重要民生、重大公共利益等，需要

122、实行更加严格管理制度的数据。虽然数据安全法提出了国家核心数据概念的定义，但现阶段国家核心数据的边界尚不清晰，也无相关立法明确汽车领域的国家核心数据的目录、类型以及具体认定办法，亦未形成就国家核心数据的统一管理。当前，各地已陆续开始出台数据出境有关细化规定。上海临港发布的临港新片区数据跨境流动分类分级管理办法（试行）中，明确规定核心数据禁止跨境。临港新片区管委会正围绕智能网联汽车、国际贸易、生物医药、文化出海等重点领域的具体场景编制一般数据清单和重要数据目录，尚未尝试明确核心数据的具体清单或认定办法。但可以明确的是，对于国家核心数据，建议数据处理者参照临港新区的禁止跨境规则，遵循数据本地化的原则

123、，将其维持在境内处理和存储，严格限制任何形式的出境。至于国家核心数据的识别，建议车企积极关注相关部门规范性文件及政策性文件的制定动态。在相关数据目录出台前，车企可按照个人、车辆企业、汽车行业、充电网和交通路网的场景分类，对各场景下数据出境的影响对象及影响程度加以评估，进而判断其构成国家核心数据的可能性。例如，在个人数据场景下，当所处理的个人敏感及非敏感信息规模过大，可能对公共利益造成影响。若影响程度特别严重，或构成国家核心数据；而其中仅影响个人权益、组织权益或行业发展的部分数据，则可按照个人数据或重要数据的义务要求采取相应合规措施。此外，企业还可以邻近领域的国家核心数据认定方法作为数据分级分类

124、的参考。例如，电信领域重要数据和核心数据识别指南第六章将电信领域核心数据分为四类，包括网络规划运维数据域（主要包括网络规划建设、网络运营维护等数据）、安全保障数据域（主要包括网络与数据安全保障、物理保障、应急通信保障等数据）、经济运行与业务发展数据域（主要包括关系国家、国民经济命脉和重大公共利益的非公开统计数据）、关键技术成果数据域（涉及电信领域出口管制物项相关数据，特别重大科技成果、国家科技计划等活动中产生的先进技术数据）等。尤其对于智能网联汽车企业，除以此为参考外，若存在相关电信领域数据的处理活动，应当对如上核心数据采取限制出境的合规措施。三、三、出海目标国数据合规义务解析出海目标国数据合

125、规义务解析以数据为核心驱动力的新型贸易正在不断发展壮大，以数据流动性为核心牵汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 51 页 共 113 页引力的数字经济正蓬勃发展，如何保障数据安全和加强隐私保护已成为各国数据监管的重要目标，中国车企出海应当注重了解各国数据隐私保护法律监督体系，明确出海国目前的数据保护法律法规体系及监管机构，以廓清未来数据合规工作的架构。下文，我们将针对欧洲、美洲、中东、中南亚及大洋洲五个区域的中国车企出海热门目的国的数据合规义务进行详细解析。（一）欧洲区域汽车全产业出海数据合规的法律规定与义务现状欧盟向来以对于数据隐私保护的严格态度而闻名

126、，中国车企如果想打开欧洲市场并站稳脚跟，通过传统出口模式也许会越来越难，但通过新型的出海模式，即在满足欧盟当地合规监管框架下，实现欧洲本土化生产，中国车企或将获得更为广阔的发展空间。中国车企欲要拓展欧洲市场，就离不开对于重点国家数据隐私保护法律体系的清晰把握。1、欧盟欧盟（1）欧盟汽车数据隐私保护法律法规体系欧盟数据隐私保护法律框架目前在全球范围内，欧盟拥有最丰富的数据隐私保护立法。相较于各国的立法，欧盟的数据隐私立法呈现更复杂的层级结构。由于立法众多，在此仅对部分重要立法做出列举。a）数据隐私保护核心立法2018 年 5 月 25 日生效的通用数据保护条例（，以下简称“GDPR”）适用范围广

127、，如对于设立在境外的控制者和处理者对欧盟内数据主体的个人数据进行处理也适用 GDPR，包括向欧盟数据主体提供商品或服务、对数据主体发生在欧盟境内的行为进行监控。GDPR 强调了企业对其处理的数据的严格保护义务。b）汽车行业数据隐私保护立法目前欧盟可适用于汽车行业的数据隐私保护立法，既有专门性立法，还有一部分体现在欧盟数据隐私保护的普遍性立法中。专门性立法有车联网个人数据汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 52 页 共 113 页保护指南（），聚焦联网车辆和出行相关应用背景下的个人数据处理，揭示了此场景下的隐私和数据保护风险。在普遍性的立法中，GDPR 规

128、定人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”；预计将于 2025 年初生效 人工智能法案（,以下简称“AI Act”）将人脸识别等远距离生物识别系统认定为“高风险”级别；隐私和电子通信指令（,以下简称“ePD”）中规定，如要存储或访问存储于终端设备中的用户数据，该等存储或访问行为原则上均需要获得用户的同意，除非是基于通讯传输或提供信息社会服务所必需，且该等服务是由用户明确地自主选择。欧盟数据隐私保护监管机构现状整体来看，欧盟的主要数据监管机构分为两个层级：欧盟和欧洲各国。欧盟设立了欧洲数据保护委员会（European Data Protection Board，以下简称“E

129、DPB”）是欧盟数据保护的总领性监管机构，由欧洲数据保护监管局（EuropeanData Protection Supervisor，以下简称“EDPS”）和欧盟各国数据监管机构、数据保护机构（Data Protection Authorities，以下简称“DPAs”）组成。EDPB 依据 GDPR 的规定成立，主要负责与立法释法相关的工作。旨在确保在整个欧盟范围内有效且一致地应用数据保护的系列规则；EDPS 是欧盟层面的数据保护监管机构，负责监督欧洲各机构、组织、办事处和机关对个人数据的处理。根据 GDPR，每个欧盟成员国都应当设立一个数据监管机构，对本国数据保护问题提供专家建议，并处理针

130、对违反数据保护法（包括 GDPR 和相关国家法律）的投诉。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 53 页 共 113 页图【3】：欧盟及成员国数据监管机构示意图（2）欧盟汽车全产业出海数据合规义务解析通用数据合规义务a)数据跨境传输合规要点将个人数据转移到欧盟以外的国家或地区有三种法律路径来实现（以下简称“欧盟数据跨境传输三大路径”或“数据跨境传输三大路径”），其中第一路径是“充分性认定”，但由于中国不在获得充分性认定的“白名单”中，因此适用中国车企的主要是另外两条路径：常规路径：提供适当的保障措施即为数据主体提供“适当的保障措施”。适当的保障措施有：公共

131、当局之间有法律约束力和可执行性的文书；有约束力的公司规则；欧委会通过或批准的标准合同条款；经批准的行为准则；经批准的认证机制。备选路径：特定情形下的豁免该路径只能在特定情形下使用，因此应当作为前两个路径均不可用时的备选项。GDPR 下的豁免情形包括：数据主体的明确同意、履行合同所必需、为公共利益目的等。德国对于个人数据跨境传输的规定主要体现在新联邦数据保护法汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 54 页 共 113 页（,以下简称“BDSG”）中。BDSG 对于个人数据的跨境转移规制与 GDPR 的三种情形基本相同。此外，由于欧盟成员国具有统一的数据保护水

132、平，受 BDSG 管辖的公司有权按照与德国数据要求相同的规则向欧盟其他成员国传输个人数据。法国对于个人数据的跨境转移规制与 GDPR 基本相同，在此不再赘述。对于总部位于中国的车企或属于汽车供应链上下游的企业而言，由于中国不属于白名单国家，需要数据跨境传输，建议企业签订欧盟标准合同条款和进行数据传输影响评估（Transfer lmpact Assessments，以下简称“TIA”），并根据 TIA的结果实施技术、组织、合同等补充措施，以确保数据传输符合欧盟 GDPR 数据跨境传输体系。b)数据保护官（Data Protection Officer，以下简称“DPO”）制度DPO 的主要职责是

133、监督数据保护法规的遵守情况，并作为数据保护问题的联系人。GDPR 强制要求欧盟所有系统性地监控大规模数据主体或处理大规模特殊类别数据的私营组织，必须任命 DPO 以确保数据合规。德国 BDSG 对于强制任命 DPO 的标准更严格。若公司长期雇佣至少 10 名员工进行自动化数据处理，或公司进行的数据处理需要经过数据保护影响评估等，则公司都必须任命 DPO。法国鼓励所有企业任命 DPO，虽然并非强制要求，但事实上企业是否任命了 DPO 已成为该企业是否满足合规监管要求的重要标准之一。c)欧盟 Europrivacy 认证欧盟 Europrivacy 认证是一项基于 GDPR 设计的官方认证机制，也

134、是目前所有欧盟成员国唯一正式认可的 GDPR 认证机制，旨在评估和认证组织在处理个人数据时的合规性。Europrivacy 由位于卢森堡的欧盟认证和隐私中心（European Centre forCertification and Privacy，以下简称“ECCP”）维护。ECCP，旨在支持数据保护和认证领域的创新技术和解决方案。ECCP 自身不作为认证机构颁发证书，而是负责管理 Europrivacy 认证方案和许可流程。保护个人数据的合格认证机构、咨询公司可向 ECCP 申请成为 Europrivacy 的认证机构、咨询机构，但认证机构必须位于欧盟区域内。汽车出海全产业数据安全合规发展白

135、皮书汽车出海全产业数据安全合规发展白皮书第 55 页 共 113 页Europrivacy 的申请资格GDPR 定义下的数据控制者和数据处理者都有资格向认证机构就有数据活动的技术、组织和环境（Technology,Organization,Environment）申请 Europrivacy认证。评估范围Europrivacy 可以在任何地方用于评估对 GDPR 的遵守情况，其开发和设计易于扩展到补充性国家数据保护法规，包括非欧盟法规，以及特定领域和技术法规。然而，Europrivacy 认证证书的交付并不适用于没有为数据主体的权利和自由提供充分保障的司法管辖区。评估方式Europrivacy

136、 的评估适用于几乎所有的数据处理活动，包括人工智能、区块链、电子医疗和物联网等创新技术，也当然包括汽车行业各类相关的场景和技术。但也有许多特定的排除项，例如生物医学数据。根据 GDPR 第 42 条第 6 款，只有数据处理活动才能获得认证。因此，对于欧盟司法管辖区内的实体，不可能根据 GDPR 一次性对整个公司甚至公司的整个管理系统进行认证。对于汽车行业的出海企业，可以优先选择涉及较多个人信息的数据处理活动开始认证，如车载娱乐主机内的各项系统，再逐步扩展到汽车全程生命周期下其他数据处理活动。认证要求和标准认证要求：与产品、流程和服务相关的数据处理，应符合 ISO/IEC 17605 标准的要求

137、；与数据保护管理系统有关的数据处理，应符合 ISO/IEC 17021-1 的全部或部分要求，或符合 ISO/IEC 17605 的延伸要求。认证标准：Europrivacy 认证方案定义了一整套基于事实的详细标准，以最大限度地降低评估符合性时的主观性风险。这些标准全面涵盖 GDPR 以及成员国，和汽车行业领域的补充要求。具体包括：识别所有会处理的个人信息；遵守向数据主体提供数据处理信息的要求；处理个人信息的合法性，遵守“事先知情同意”要求；遵守有关未成年人年龄的要求等。认证价值汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 56 页 共 113 页通过 Europ

138、rivacy 的评估，不仅可以帮助有需要出海汽车行业建立更加健全的数据保护体系，还能够通过对企业内部法律和金融风险的系统差距分析来确定并减少潜在的风险。同时，除了欧盟司法领域外，Europrivacy 还可以将合规评估扩展到非欧盟司法领域，并加入一个致力于数据保护的商业生态体系。从企业宣传角度来讲，获得 Europrivacy 是目标欧洲市场的出海企业对自身 GDPR 合规性的强力证明。在欧盟严峻的数据保护法律法规和不断累加的贸易壁垒的挑战面前，Europrivacy 可以提供给出海企业不仅是一种符合欧盟数据保护法律法规要求的权威标志，更是一种有效管理、保护个人信息安全及隐私权利、提升出海企业

139、品牌形象与市场竞争力等多方面效益集于一身的综合性认证标识。产业链划分下的合规义务合规阶段合规阶段整车厂整车厂零部件零部件软件系统软件系统国家国家欧欧盟盟德国德国法国法国欧盟欧盟德国德国欧盟欧盟法国法国数据收集数据收集1、告知并授权同意2、特殊提示语音交互系统告知并授权同意数据处理数据处理1、最小处理原则2、本地处理原则3、敏感信息的处理4、数据保护影响评估5、数据处理协议6、员工信息保护7、儿童信息处理车载监控系统的信息处理必要性数据存储数据存储1、保障个人实现信息权2、报告义务3、记录义务4、数据存储期限汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 57 页 共

140、 113 页数据共享数据共享1、告知并取得同意2、特殊信息强制共享数据保护数据保护安全保障措施车辆制造商的安全保障措施TISAX 认证表【7】：欧盟产业链划分下的车企合规义务a）数据收集环节告知并取得同意告知并取得同意：欧盟、德国、法国在具体的告知事项和告知标准上存在少量差异。例如，法国对于“同意”的要求更为苛刻，往往要求取得书面同意；欧盟规定在以下场景下，采集或处理信息必须告知并获得明确同意：使用电子邮件、短信、传真、电话等方式进行商业营销；哨兵模式下，车机摄像头进行录制；投保 UBI 保险2等。另外，欧盟建议车载语音交互系统应当在开启前展示隐私政策全文，并在获得用户同意后再开启相应功能。特

141、殊提示特殊提示：欧盟、德国、法国均对数据采集场景下对用户的提示方式做出了具体要求。例如，欧盟要求车企应通过标准化图标的形式提供与处理相关的隐私保护提示。b）数据存储环节个人信息权的实现个人信息权的实现：欧盟、德国和法国均要求数据处理者和数据控制者应采取各种途径帮助用户有效实现其个人信息权。例如，便利用户更改其隐私设置，或方便用户删除存储在汽车仪表盘上的个人数据。报告义务：报告义务：车企应及时向国家监管部门报告数据安全漏洞。记录义务记录义务：OTA 汽车远程升级3时，主机厂应内部建档，记录和存储对应车2UBI 模式车险（Usage Based Insurance）：基于车主驾驶行为以及使用车辆相

142、关数据相结合的可量化的保险。3OTA（Over the Air）技术，帮助原始设备制造商（OEM）直接远程连接联网车辆，推动软件更新至待升级的车辆的技术。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 58 页 共 113 页型的 OTA 升级信息，包括：升级的目的、升级可能影响的车辆系统或功能、升级过程中的安全保障措施等。员工规模达到 250 人及以上的车企，应当对其数据处理操作制作登记册加以记录。记录内容至少包括：控制者及控制者的代表、DPO 等的姓名及联系方式；对数据主体类型及个人数据类型的描述等。数据存储期限数据存储期限：欧盟规定，商业交易数据的法定时效期限

143、结束时，此类数据应当被删除或匿名化；使用数据中的原始数据应尽可能不做处理；建议保留汇总数据。法国国家信息和自由委员会（Commission nationale de linformatique et desliberts Abbreviation,以下简称“CNILCNIL”）建议在使用 cookie 和跟踪设备时，需6 个月更新 cookie 的同意或者拒绝，或者不需用户同意的受众测量跟踪设备的生命周期不应超过 13 个月。c）数据处理环节最小处理原则最小处理原则：委托第三方处理数据时，数据处理协议必须明确，企业应当仅处理相关且限于处理目的所必需的个人数据。该原则在数据采集环节也有应用。任何

144、情况下对个人信息的采集，都必须保证该采集是必要合法的。例如，企业应当明确哨兵模式下开启车外视频的录制的必要性。法国要求车载视频监控系统保证数据采集的必要性。本地处理原则：本地处理原则：在无法数据本地处理的场景下，应选择“混合处理”。例如，对于 UBI 保险而言，有关驾驶行为的个人数据（如踩在制动踏板上的力度、行驶里程等）可以在车机本地处理，也可以由远程信息处理服务提供商（数据处理者）代表保险公司（数据控制者）处理，以生成分值，并在规定的基础上（如每月一次）传送给保险公司。敏感信息的处理敏感信息的处理：欧盟、德国、法国等对于敏感信息的范围以及豁免情形有不同规定。例如，法国对于豁免情形的规定更细化

145、，出于预防医学、医学诊断、护理或治疗管理或卫生服务管理的目的而必须进行的处理等均可作为豁免事由。数据保护影响评估数据保护影响评估：对于特别使用新科技处理数据，且该处理可能导致自然人之权利及自由的高度风险的场景，车企应于处理前开展数据保护影响评估（，以下简称“DPIA”）。例如车联网场景下车企处理个人数据前；企业进行道路测绘活动之前等。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 59 页 共 113 页数据处理协议数据处理协议：委托第三方处理数据的，应与处理者签署数据处理协议，明确数据处理范围、期限、第三方的保密义务、数据处理安全措施等条款。员工信息保护员工信息保

146、护：德国对员工信息保护的要求更为严格。德国规定，员工同意数据处理必须通过书面形式。而 GDPR 则未对具体形式进行强制性规定，仅要求有明确的同意即可。儿童信息处理儿童信息处理：欧盟、德国、法国都对儿童信息予以特别保护。GDPR 将针对未成年人个人信息处理进行特别告知和同意的年龄定在 16 周岁，而法国将该年龄定为 15 周岁。限缩处理主体范围限缩处理主体范围：可以处理信息的主体范围应当是有限的。法国对此有更具体的规定，要求数据处理操作的访问应由具有唯一标识符和密码的个人执行，该标识符和密码应定期更新，或通过保证相同安全级别的任何其他识别方式进行。d）数据共享环节告知并取得同意告知并取得同意：如

147、涉及向银行、融资租赁公司等金融机构提供消费者数据的，汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方名称或类型，并具备相应的合法性基础，如数据主体的同意。特殊信息的强制共享特殊信息的强制共享：网联汽车制造商应向零部件制造商、零部件经销商和技术信息提供商等独立运营商提供车辆维修与保养信息或相关软件工具，从而保障消费者自由选择维修商的权利，避免垄断和不正当竞争。e）数据保护环节安全保障措施安全保障措施：EDPB 建议，行业参与者应采取算法加密通信信道、加密密钥管理、哈希、认证技术等方式增强对个人数据的保护。对于车辆制造商而言，应当区分关键功能与依赖通信的功能（如信息娱乐）、实施技术措施

148、使其能够在车辆全生命周期内快速修补安全漏洞、车辆系统受攻击时设置报警系统并可能在降级模式下运行等。德国德国 TISAX 认证认证4：TISAX 目前是德国汽车行业的一项信息安全强制要求。德国汽车主机厂和一级供应商会提供内部数据资料给外部供应商或合作伙伴，因此前者要求后者在安全可控的物理和网络环境下使用这些数据，确保数据得到切4TISAX(Trusted Information Security Assessment Exchange)：信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展

149、白皮书第 60 页 共 113 页实保护。TISAX 审计的对象，主要是面向传统的汽车零部件供应商，在当前环境下也会包括提供技术研发和配套服务的供应商。只要和德系主机厂或德系一级供应商有业务关系，存在相互之间的数据交换，就必须通过 TISAX 审计。2、德国德国（1）德国汽车数据隐私保护法律监管体系德国数据隐私保护法律框架a）德国立法与 GDPR 的适用方式作为欧盟成员国，德国主要的数据治理法规为 GDPR。另外，德国修订了其原有的数据保护法律以符合 GDPR，并在合理范围内为数据治理进行补充规定。德国 BDSG 与 GDPR 大致相同。根据 BDSG 规定，当 GDPR 直接适用时，本法的相

150、关规定不适用。因此，BDSG 中的特殊规定是出口德国的中国车企应当重点关注的。例如 BDSG 对企业员工的信息保护的规定。b）汽车行业针对目标出口德国的车企，德国做出的专门性数据隐私保护规定较少。中国车企应着重关注 BDSG。德国数据隐私保护监管机构现状德国的数据隐私保护监管机构是德国联邦数据保护和信息自由专员机构（Bundesbeauftragter fr den Datenschutz und die Informationsfreiheit，以下简称“BfDI”）。BfDI 的主要任务为执行 GDPR 和 BDSG 以及与数据保护法相关的其他法律条款，做出行政处罚，并与欧洲其他数据监管机

151、构合作。（2）德国汽车全产业出海数据合规义务解析此部分请参见本白皮书 1.1.2“欧盟汽车全产业出海数据合规义务解析”。3、法国、法国汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 61 页 共 113 页（1）法国汽车数据隐私保护法律监管体系法国数据隐私保护法律框架a）数据隐私保护核心立法2018 年法国修订了数据保护法（，以下简称“FDPA”），对域外应用程序的定义、加强对敏感数据的控制力度、监管个人行使数据权利的行为方面进行了调整。CNIL 也会定期在其网站上发布遵守GDPR 的指南与建议，如个人数据安全使用指南关于数据保护官的建议数据保护影响评估指南等。b）

152、汽车行业2017 年 CNIL 与汽车供应链、制造商、保险公司、公共当局和电信运营商合作，完成了网联车的一揽子合规方案。该方案为公司收集和利用从车辆的使用中获得的个人数据提出了指导。不过，CNIL 和法国的立法并没有涵盖所有涉及车辆和个人数据的事项，例如在车辆中使用视频监控系统，既不禁止，也不完全合法。法国数据隐私保护监管机构现状法国的数据保护监管机构是 CNIL。其主要任务是监督对数据保护立法的遵守情况并实施制裁。（2）法国汽车全产业出海数据合规义务解析此部分请参见本白皮书 1.1.2“欧盟汽车全产业出海数据合规义务解析”。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白

153、皮书第 62 页 共 113 页（二）美洲区域汽车全产业出海数据合规的法律规定与义务现状在美洲范围内，美国一直是全球最主要的汽车市场之一，但愈发严重的贸易壁垒为中国车企出口美国造成了一定困扰；巴西和阿根廷近年都积极推动绿色能源产业发展，两国处于早期发展阶段的新能源汽车市场为中国汽车品牌提供了巨大的发展空间。但巴西与阿根廷不断向欧盟看齐的数据隐私保护制度为中国车企的进入增加了难度。想要拓展美洲市场，中国车企必须深刻洞察前述各国的数据隐私保护法律法规。1、美国、美国（1）美国汽车数据隐私保护法律监管体系美国数据隐私保护法律框架美国倾向于个人数据的流动和利用，数据保护的法律规定较为宽松，至今仍没有全

154、面的联邦数据隐私法。因此，美国隐私法律体系像一个复杂的拼图，各级立法机构更倾向于针对不同领域的不同事项，颁布专门的数据隐私安全法律。a）数据隐私保护立法的双层架构美国的立法分为联邦层面与州层面。想要进入美国某州的中国车企，首先应当关注该州的法律；通常只有州法律与联邦法律冲突时，需适用联邦法律。另外，如果中国车企欲进行跨州的商业活动，通常亦归联邦法律管辖。就联邦层面的立法而言，中国车企要关注的有消费者保护领域的联邦贸易委员会法、收集儿童数据时可能涉及儿童在线隐私保护法等。州层面的立法更为纷繁复杂，典型的如，以“美国最严格隐私立法”而闻名的加州消费者隐私法案（，以下简称“CCPA”）。该法案的“长

155、臂管辖”原则，意味着即使中国企业在美国没有公司实体，也可能要遵守其规定。除此之外，弗吉尼亚也规定了消费者数据的保护、华盛顿州规定了生物识别时的隐私事项等。中国车企应根据自身的市场布局规划，选择重点关注的法律。b）汽车行业目前美国联邦和各州都缺乏针对汽车产业的数据隐私立法，特别适用于汽车产业的数据隐私保护规范散落在前述诸多针对数据隐私保护的立法中。但目前包汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 63 页 共 113 页括加州在内的许多州计划加强对于汽车数据隐私保护的监管力度。例如，加州监管机构将审查汽车制造商的数据保护政策。因此针对汽车行业的数据隐私保护法律法

156、规或许会在不远的未来到来。美国数据隐私保护监管机构现状监管机构受到监管法规体系的影响，也体现为对不同领域的针对性监管。例如，就联邦层面而言，车载软件供应商如语音交互系统应关注联邦通信委员会（Federal Communications Commission，以下简称“FCC”）其负责监管电话、卫星等多种形式的通信运营商。而各州政府通常根据自己的州隐私法（如加州的CCPA）提起诉讼。不同州的执法内容往往因州立法的不同而各异。另外，对于制定和参与不同行业自律的公司，他们可以采用和执行自己的一套隐私或安全标准。不合规的公司可能会被提交给 FTC 或其他监管机构。（2）美国汽车全产业出海数据合规义务解

157、析通用数据合规义务2024 年初，美国政府发布了一项保护美国公民个人敏感数据免遭“受关注国家”利用的行政命令。这份命令的出台意味着美国主体与中国企业之间的涉及大规模敏感个人数据或政府相关数据的受管辖数据交易会被限制甚至禁止。中国车企对此应高度重视。例如，个人敏感信息往往被禁止或限制流动；对于不同数据的审查严格程度不同，关涉政府的敏感数据可能一概受到无差别审查。产业链划分下的合规义务合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统数据收集1、告知并授权同意2、生物识别信息的采集/数据存储必要存储期限/数据处理1、敏感信息的限制使用2、目的限制原则/汽车出海全产业数据安全合规发展白

158、皮书汽车出海全产业数据安全合规发展白皮书第 64 页 共 113 页3、数据保护评估（DPAs）数据安全保护个人信息自决/表【8】：美国产业链划分下的车企合规义务a）数据采集环节告知并告知并授权授权同意同意：美国多个州都要求企业在收集和处理用户个人信息时，必须告知并获得用户的明确同意，但具体规定稍有不同。例如，加州要求租车服务的公司应在租赁柜台提供其收集通知，但如果车辆中有其他公司收集个人信息，则这些公司应在车辆中放置一个贴纸，可作为收集通知。再如，加州、弗吉尼亚州、科罗拉多州均区分了“敏感数据”和“个人数据”，但范围稍有不同，只有科罗拉多州不将精确地理位置数据视为“敏感数据”。生物识别信息的

159、采集生物识别信息的采集：目前部分州有专门针对保护消费者生物识别信息的法律。伊利诺伊州规定了有关个人生物识别标识符或生物信息的保留、收集、披露和销毁的要求，这可能会应用于辅助驾驶注意力和防撞的汽车技术。b）数据存储环节必要存储期限必要存储期限：根据加州的规定，车企不得保留消费者的个人信息超出为其收集目的所合理必需的时间。c）数据处理环节敏感信息的限制使用敏感信息的限制使用：许多州都为消费者提供了限制企业使用敏感个人信息的权利。以加州为例，其规定企业可使用敏感个人信息的范围仅限于提供商品或服务时所必需的范围。敏感个人信息包括消费者的驾照号码或护照号码、账户凭证、精确地理位置、种族或民族起源等。目的

160、限制原则目的限制原则：部分州如加州规定，企业不能将最初为某一目的收集的消费者个人信息用于不同的、无关的目的。数据保护评估数据保护评估：弗吉尼亚州要求进行 DPAs 的场景比 GDPR 更广个人数据的销售、敏感个人数据的处理、个人数据用于定向广告的处理、个人数据用于特定分析目的的处理等。数据分享限制数据分享限制：加州关注个人信息的出售，如要求网络运营者要在网站显眼汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 65 页 共 113 页位置放置“不要出售我的信息”按键。加利福尼亚州要求不仅数据出售，数据分享也需要给予消费者拒绝权利。d）数据安全保护环节多州都赋予了消费者

161、对其个人数据的处理权利，如访问权、删除权、复制权，以及选择退出权。此外，康涅狄格州还进一步规定，企业必须提供便捷的撤销同意的机制，如企业收到前述撤销同意的通知则必须在 15 天之内停止处理数据。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 66 页 共 113 页2、巴西、巴西（1）巴西汽车数据隐私保护法律监管体系巴西数据隐私保护法律框架经过多年的发展，数据保护现已成为巴西联邦宪法中的一项基本权利。为落实数据隐私保护，巴西出台了通用个人数据保护法（，以下简称“LGPD”），其绝大部分借鉴了欧盟 GDPR 的规定。中国企业可以关注的点包括，LGPD 明确了自然人对其

162、个人数据享有所有权等。目前巴西在汽车行业的数据隐私保护方面的立法是空白的。对于车企的数据合规要求主要还是来自 LGPD。巴西数据隐私保护监管机构现状巴西的国家数据保护局（The Brazilian National Data Protection Authority，以下简称“ANPD”）是负责实施、监督 LGPD 执行的行政机关，拥有行政处罚权。（2）巴西汽车全产业出海数据合规义务解析通用数据合规义务a）数据跨境传输巴西的数据跨境传输要求与欧盟 GDPR 相类似，可参见“数据跨境传输三大路径”。就巴西而言，数据跨境传输的主要的参考因素包括：传输国国内的法律法规、被传输数据的性质、传输国数据保

163、护的一般性原则、是否采取了安全措施等。b）任命数据保护专员（DPO）数据控制者必须任命一名 DPO，微型企业、小型企业、创业公司除外。DPO的职责包括受理数据当事人的投诉、接收来自 ANPD 的通知等。产业链划分下的合规义务由于巴西 LGPD 与 GDPR 十分相似，此处不再单独说明。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 67 页 共 113 页3、阿根廷、阿根廷（1）阿根廷汽车数据隐私保护法律监管体系阿根廷数据隐私保护法律框架a）数据隐私保护核心立法阿根廷针对数据隐私保护的立法较为单薄，在联邦宪法中通过规定个人信息访问的诉讼权等一系列个人信息权利，为保护

164、隐私权提供了基本框架。巴西目前的个人数据保护法（，以下简称“PDPA”）与欧盟 GDPR 在结构与内容上都十分相似。违反 PDPA 的数据控制者和处理者可能被强制关闭甚至取消数据库，以及面临罚款。b）汽车行业目前阿根廷尚未出台针对汽车行业的数据隐私保护的专门立法。根据阿根廷高度重视数据隐私保护的态度，预计阿根廷会逐步推出更多的相关法律法规，需要中国车企持续关注。例如，2023 年底，阿根廷刚刚通过了通过人工智能透明度和个人数据保护计划。就目前而言，PDPA 将是中国车企出口阿根廷时最值得关注的法律。阿根廷数据隐私保护监管机构现状国 家 主 管 监 督 机 构 为 公 共 信 息 获 取 机 构

165、（，以下简称“AAIP”），APPI 负责对 PDPA 的强制执行，可以适时发布行政禁令。（2）阿根廷汽车全产业出海数据合规义务解析通用数据合规义务a）数据跨境传输阿根廷对于数据跨境传输的要求与欧盟类似，可参见“数据跨境传输三大路径”。b）数据安全漏洞通报机制在发生涉及个人数据的安全事件时，数据控制者必须在意识到该事件的 48汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 68 页 共 113 页小时内通知 DPA。c）未成年人数据处理如果未成年人未满 13 岁，只有在父母或法定监护人同意的情况下，同意才是有效的。产业链划分下的合规义务目前，在阿根廷适用于汽车行业的

166、数据隐私保护法律法规中，具有独特性的较少，更多还是对于数据隐私保护一般规则的重述与细化。因此在此不再赘述。（三）中东区域汽车全产业出海数据合规的法律规定与义务现状沙特、阿联酋、以色列等中东地区的经济强国是我国汽车出口量突出表现的市场。车企出海想要在中东地区打开广阔市场，不可不察中东地区的车企数据合规项。1、沙特沙特（1）沙特汽车数据隐私保护法律监管体系沙特数据隐私保护法律法规体系沙特数据领域立法主要包括个人数据保护暂行条例（，以下简称“PDPIR”）、个人数据保护法（，以下简称“PDPL”）个人数据保护法实施条例（，以下简称“PDPLIR”）以及个人数据跨境传输条例（，以下简称“PDTR”）。

167、总的来说，PDPL 是沙特全国性层面的法律，适用于各行各业，仅有少部分例外情况。这些例外情况是指沙特全国性层面的法律和监管框架中的特殊部分，例如沙特中央银行、国家网络安全局或通信、空间和技术委员会的法律和监管框架领域。a）数据立法变迁：从数据治理到专门保护立法PDPL 颁布前，由 PDPIR“掌管”沙特的数据安全保护工作，但并非针对数据安全的专门性立法，而是国家数据治理条例的一部分。为了更好开展数据安汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 69 页 共 113 页全保护工作，PDPL 应运而生。PDPL 是数据保护领域的专门性立法，规定了个人数据收集、处理、

168、传输和保护等方面的基本原则和要求。根据 2023 年的修订，出海沙特的中国车企作为受 PDPL 管辖的企业，必须在 2024 年 9 月 14 日之前调整其运营状态，以确保符合 PDPL 的相关规定。目前，PDPL 与 PDPIR 共同构成沙特数据安全领域的核心法律。PDPLIR 与 PDTR 则为 PDPL 的配套法规，细化了个人数据保护的相关规则，也为我国出海车企明示了具体合规义务。b）沙特数据立法演进图图【4】：沙特数据立法演进图c）汽车行业就汽车行业而言，沙特日前并未针对数据安全领域进行专门立法，但发布了物联网监管框架 信息通信技术服务用户权利保护和信息通信技术服务提供条款规定个人融资

169、租赁机动车辆综合保险规则等监管框架和监管指南，其中部分条款涉及对汽车数据进行规范。我国车企出海沙特除了关注数据隐私保护的专门立法外，对散见于各类监管文件、指南中的汽车数据保护条款也需保持敏锐度。沙特数据隐私保护监管机构现状沙特数据隐私保护监管机构为数据与人工智能管理局（Saudi Data and汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 70 页 共 113 页Artificial Intelligence Authority，以下简称“SDAIA”）、国家数据治理办公室（theNational Data Management Office，以下简称“NDMO

170、”）。SDAIA 由沙特首相直接领导，负责制定和实施沙特数据与人工智能行业的政策和战略计划，并监督数据管理活动，就 PDPL 进行调查执法。SDAIA 领导国家信息中心、国家人工智能中心与国家数据管理办公室。NDMO 负责管理和监督数据管理政策和标准，与 SDAIA 共同致力于数据的有效管理和利用。另外，沙特中央银行、空间和技术委员会保留了其监管领域内的管辖权，承担数据隐私保护监管职能。图【5】：沙特数据与人工智能管理局架构（2）沙特汽车全产业出海数据合规义务解析通用数据合规义务任何选择出海沙特的中国车企都应当遵循沙特数据保护一般规则进行合规工作，其内容包括但不限于告知义务与合法性基础、数据本

171、地存储、签署数据跨境传输合同、数据权利保护等。PDPL 中还引入了数据控制者向数据和人工智能管理局进行注册的要求，收集个人数据并确定其使用目的和处理方法的组织（数据控制者）必须在电子门户汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 71 页 共 113 页注册，并形成国家数据控制者注册表。另外，如果数据控制者是提供涉及大规模处理个人数据服务的公共实体、主要活动需要定期和持续大规模监控个人数据的处理操作、核心活动包括了处理敏感个人数据的，需要任命数据保护官。a)数据跨境传输合规要点沙特的数据跨境传输采用三层平行架构。第一层：白名单国家，即沙特政府数据保护认证标准的国

172、家名单。第二层，适当措施，即约束力的公司规则或标准合同条款或者符合 PDPL 等的认证或行为准则等。第三层，特定豁免条件，即为履行合同所必需、为保障数据主体的重大利益所必需（如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况）、为维护国家安全或公共利益所必需（控制者需为公共机构）、为开展刑事侦查等所必需（控制者需为公共机构）等。但目前中国尚不属于第一层沙特数据保护认证标准国家名单之中，因此出海沙特的中国车企若存在数据跨境的需求，则需要满足第二层或第三层的合规要求通过第二层或第三层途径进行数据跨境传输。其中，第二层，是指已采取“适当措施”，即约束力的公司规则或标准合同条款或者符合 PD

173、PL 等的认证或行为准则等；第三层，是指符合“特定豁免条件”，如为履行合同所必需、为保障数据主体的重大利益所必需等。b)特别风险提示按照沙特通信、空间和技术委员会要求，在沙特境内提供联网服务的车辆必须确保符合以下规定并且需要向沙特通信、空间和技术委员会提交相应的 PIA报告：电信、信息技术和邮政部门保护个人数据的一般原则；基于用户个人数据推出服务或产品或共享个人数据的程序；网络安全监管框架。产业链划分下的合规义务合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统/车联网服务提供商车联网服务提供商数据存储保险数据不得保存/本地化存储数据共享告知同意/汽车出海全产业数据安全合规发展白

174、皮书汽车出海全产业数据安全合规发展白皮书第 72 页 共 113 页数据安全保护/安全存储和运维措施表【9】：沙特产业链划分下的车企合规义务a）保险数据不得保存车企无权持有、存储汽车保险个人数据。b）本地化存储车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。c）告知同意向银行、融资租赁、保险公司等金融机构提供消费者数据的，车企应当通过隐私通知告知相关个人信息主体共享数据的类型、数量、目的等对外提供个人数据情况，并获取消费者的同意。d）安全存储和运维措施提供车联网服务的企业应当具备数据保存和维护的技术措施，并达到后续能对数据进行审查的水平。2、阿

175、联酋阿联酋（1）阿联酋汽车数据隐私保护法律监管体系为了维护数字经济持续发展，阿联酋分别在联邦层面和自由贸易区层面都各自出台了数据保护法律法规。除了立法动作，阿联酋政府通过发布网络安全的RZAM 应用程序5、开通在线报告网络犯罪 eCrimes 平台，以加强底牌的数字安全标准。阿联酋数据隐私保护法律法规体系a）联邦层面阿联酋于 2022 年公布了国家第一部关于全面保护个人数据的专门性法律阿联酋个人数据保护法（，以下简称“PPD”）。在处理敏感个人数据方面，5汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 73 页 共 113 页PPD 与 GDPR 不同，并未对敏感个

176、人数据的处理施加更严格的控制。然而，如果控制者或处理者所进行的处理包括对敏感个人数据进行系统全面评估，包括画像和自动化处理，或者处理大量敏感个人数据，则必须指定一名 DPO。除此之外，关于现代技术贸易 2023 年第 14 号联邦法令（以下简称现代技术贸易法）、关于电子交易和信托服务的 2021 年第 46 号法律的联邦法令（以下简称电子交易和信托服务法）、关于信用信息的 2010 年第 6号联邦法律（以下简称信用信息法）等立法中有关于数据保护相关规定。b）自由贸易区层面阿联酋自由贸易区有权发布其区域内适用的数据保护法律法规，并豁免于PPD。目前，迪拜国际金融中心（Dubai Internat

177、ional Financial Centre，以下简称“DIFC”）、阿布扎比国际金融中心（Abu Dhabi Global Market，以下简称“ADGM”）都分别颁布了各自区域内的数据保护条例。DIFC 在 2020 年 7 月 1 日通过数据保护法和数据保护规定。这些法规适用于在 DIFC 内成立的数据控制者或处理者对个人数据的处理，无论这些处理行为是否在 DIFC 内进行。数据保护法强调了数据控制者和处理者的问责制。此外，该法规还适用于在迪拜国际金融中心内将处理个人数据作为其稳定安排的一部分的数据控制者或处理者，不论其成立地在哪里。c）汽车行业阿联酋虽就数据安全领域进行了专门立法，但

178、在汽车领域尚未出台专门的立法。因此，以阿联酋为出海目的国的中国车企，应当明确出海的具体区域，如出海阿联酋贸易区时应遵守自由贸易区数据保护相关立法，如若出海非自由贸易区域时应遵守联邦数据保护相关立法，依法构建企业数据合规体系。阿联酋数据隐私保护监管机构现状阿联酋数据隐私保护监管分为联邦和自由贸易区两个层面，分别设有监管部门负责各自区域的数据隐私保护工作。联邦层面：在颁布 PPD 的同时，阿联酋政府宣布成立阿联酋数据办公室作为专门的数据保护监管机构，主要职责为制定和实施数据保护相关政策和立法、数据相关指导方针和说明，并监督数据管理活动等。在网络安全领域，阿联酋更汽车出海全产业数据安全合规发展白皮书

179、汽车出海全产业数据安全合规发展白皮书第 74 页 共 113 页组建了专门阿联酋网络安全委员会、计算机应急响应小组，负责该领域内的数据安全事件工作事宜。自由贸易区层面：ADGM 在新出台2021 年数据保护条例框定下，成立了数据保护办公室，并设立数据保护专员领导办公室工作。无独有偶，DIFC 根据其区域内的数据保护法设立了数据专员，负责和监督该区域内数据管理。图【6】：阿联酋数据保护立法架构及监管方式（2）阿联酋汽车全产业出海数据安全风险及合规要点通用数据合规义务PPD 具有域外效力，不论是在阿联酋设立分支机构的中国车企，还是向阿联酋公民提供服务的中国境内车企都受到阿联酋个人数据保护法的约束。

180、总体而言，在阿联酋落地的车企，不论是整车厂或只是硬件零件、系统提供商等，都应当遵循个人数据处理规范、保护个人数据权利的义务、个人数据泄漏处理规范、任命数据保护官、个人数据保护影响评估等合规义务。a)数据跨境传输合规要点在阿联酋的通用数据合规义务框架下，尤其值得关注阿联酋对汽车数据跨境传输的特殊要求，即迪拜和阿布扎尔国际金融中心的数据跨境传输规则优先适用，并且两个区域在企业具体执行层面均已公布充分性认定国家或地区清单和标准合同模板。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 75 页 共 113 页物联网管理领域，物联网管理条例要求政府的“秘密”“敏感”和“机密”

181、数据只能保留在阿联酋境内。个人和企业的“秘密”“敏感”和“机密”数据应主要存储在阿联酋境内。GPS 定位领域，阿联酋的全球定位系统供应商是进口、提供和销售电信设备活动的唯一授权方。所有服务器和 GPS 相关系统必须位于阿联酋，不得将任何类型的信息导出到阿联酋以外。b)特别风险提示车企在阿联酋开展业务过程中，数据合规层面需特别关于其有关 Lot 监管的法规及符合性，按照阿联酋监管部门的理解，网联汽车具备 Lot 属性，需要向主管机关提交 Lot service registration。该注册需要当地公司完成，可以由主机厂属地分公司或者当地经销商代为提交，注册申请内容需要完整阐述公司 Secur

182、ityand Privacy 方面的安排，对此在业务展业准备过程中需要予以关注。产业链划分下的合规义务合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统数据处理数据保护影响评估/数据共享信用信息/数据保护隐私政策/电子识别系统安全性和信任级别表【10】：阿联酋产业链划分下的车企合规义务a）数据保护影响评估车联网场景下处理个人数据，特别是采取自动化处理方式、在车外处理个人数据等场景，车企需进行数据保护影响评估。b）信用信息车企在销售环节可能收集到顾客的个人信用信息，包括个人收入、资产、银行交易记录等以评估消费者购买能力。原则上车企不得披露或向任何第三方披露所拥有的任何信用信息。同时

183、，存储、定期更新所有与信用信息有关的数据。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 76 页 共 113 页c）隐私政策车企提供的汽车电商平台，如一站式跨境电商平台，必须制定符合 PPD 或自由贸易区相关法律规定的隐私政策。隐私政策应明确说明平台数据收集的目的、存储时间、第三方服务提供商的使用等。d）电子识别系统汽车电子识别系统应制定区分安全和信任水平的技术条件和标准，提供符合安全级别的技术规格、标准及程序。如电子车牌识别系统符合高水平的安全性和信任度，则要为车牌提供高度信任和可接受性的识别“身份”，并消除任何风险和防止滥用或操纵“该身份”的技术、标准和程序。

184、3、以色列、以色列（1）以色列汽车数据隐私保护法律监管体系以色列数据隐私保护法律法规体系a）以色列核心数据隐私保护法律法规2022 年，以色列修订了隐私保护法，加强了政府当局对隐私保护的监管。围绕隐私保护法这个核心，以色列出台了隐私保护条例（数据安全）通信法及修正案、行政犯罪条例（行政罚款和保护隐私）隐私保护条例（向国外数据库传输信息）4/2012 安全使用和监控摄像头以及记录图像库等法律法规。b）其他领域的数据隐私保护法律以色列注重网络安全监管工作，其网络安全治理水平处于全球领先地位。2021年，以色列发布了 INCD网络安全法案（，以下简称“INCD”），明确限制隐私信息的访问。加强了隐私

185、信息的保护。c）汽车行业以色列虽就数据安全领域进行了专门立法，但在汽车领域尚未出台专门的立法。因此，以以色列为出海目的国的中国车企，应遵守以色列数据保护相关立法，依法构建企业数据合规体系。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 77 页 共 113 页以色列数据隐私保护监管机构现状以色列目前数据隐私保护监管机构为隐私保护局（The Privacy ProtectionAuthority，简称“PPA”）。作为专门从事数据保护的独立机构，PPA 拥有以下广泛职权：根据隐私保护法对任何实体进行检查和审计、监管隐私保护法的执行、通过发布指南对隐私保护法进行解释、保

186、护数据库中的个人信息。（2）以色列汽车全产业出海数据安全风险及合规要点通用数据合规义务任何选择出海以色列的中国车企都应当遵循以色列数据保护一般规则进行合规工作，同时应当注意以下较为特殊的合规要点：a）数据库的建立和规范根据隐私保护法数据库所有者必须在满足法定条件的情况下注册其数据库。6同时，隐私保护条例（数据安全）将数据库分为四个等级，并分别对应不同的安全要求。因此，出海以色列的中国车企在满足条件的情况下应注册其数据库，并按照条例的规定识别数据库等级，以满足不同级别的合规要求。使用、持有或管理需要注册的未注册数据库将面临 2000 新谢克尔（约合 578 欧元）的行政罚款。b）数据库合规义务在

187、中等或高安全级别的数据库系统中，强制要求具备自动记录机制，以监控对数据库系统的访问。同时，包含敏感数据的数据库必须向 PPA 登记，并且必须对这种数据库实施更高级别的安全。产业链划分下的合规义务合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统6法定条件为下述之一：（1）该数据库包含 10000 个以上数据主体的数据;（2）数据库包含敏感数据;（3）数据库包括有关个人的数据，这些数据不是由他们、代表他们或经他们同意提供的;（4）数据库属于公共实体;（5）该数据库用于直邮服务。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 78 页 共 113 页数据保

188、护市场准入摄影系统/表【11】：以色列产业链划分下的车企合规义务a）市场准入以色列对进口汽车实施市场准入管理体制，出口以色列的汽车必需同时满足欧盟、美国、加拿大汽车和以色列自身技术法规的要求。b）摄影系统4/2012 安全使用和监控摄像头以及记录图像库 对采用如车牌车辆识别技术的摄影系统的企业提出了额外的数据合规要求，如明确告知摄影系统的存在、对系统进行事先的技术和设备检查等。（四）东南亚及大洋洲区域汽车全产业出海数据合规的法律规定与义务现状东南亚地区具备支撑汽车产业长期增长的宏观环境，成为我国车企出海的另一大重要区域，重点国家包括泰国、新加坡、越南等。这些国家数据隐私保护法律监管体系日趋完善

189、、各有特色，汽车数据合规实务问题成为重要命题。1、泰国泰国（1）泰国汽车数据隐私保护法律监管体系泰国数据隐私保护法律法规体系a）数据顶层立法：核心法律层次在数据保护领域，泰国政府采取统一立法模式，于 2022 年通过了泰国个人数据保护法（，以下简称“PDPA”），旨在全面性保护数据安全、对齐欧盟等国家数据治理水平。其核心原则在很大程度上受到了欧盟 GDPR 的影响。PDPA 的适用范围广泛，不仅适用于在泰国境内收集、使用或披露个人数据的组织，也适用于涉及泰国居民数据的组织，无论这些组织是否在泰国注册成立，或是否在泰国有业务存在。此外，2019 年通过的网络安全法对关键信息基础设施运营者和其他网

190、络运营者提出了网络领域的数据安全要求。由此，泰国形成了以个人数据保护汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 79 页 共 113 页法与网络安全法为核心法律的顶层设计。b）数据二级立法：相关配套规定为了保障 个人数据保护法 的实施，泰国政府相继颁布了一系列实施细则，例如个人数据控制者安全措施 个人数据处理者个人数据处理活动记录的准备和保存标准和方法 等。其中，泰国政府于 2023 年出台了 第 28 规定第 29 条规定，细化补充了 PDPA 数据跨境规则。c）汽车数据立法：空白尚未填补泰国暂未就汽车领域颁布专门的数据隐私保护法律。因此，中国车企应当根据数据

191、顶层立法和二级立法设计数据合规框架。总体而言，泰国数据保护标准较为宽松，且汽车领域数据合规行政处罚较少。泰国数据隐私保护监管机构现状a）泰国个人数据保护委员会（The Personal Data Protection Committee，以下简称“PDPC”）PDPC 为个人数据保护法的执法部门，主要职责包括制定支持和保护个人数据的总体计划、确定保护个人数据的措施或程序、发布数据相关的法规等。b）PDPC 办公室和监督委员会PDPC 下设办公室、监督委员会和委员会。委员会中的专家委员会解决与个人数据有关的争议，进行调查和审议投诉。审查和认证数据跨境传输标准由PDPC 办公室负责。（2）泰国汽车

192、全产业出海数据安全风险及其合规要点通用数据合规义务泰国立法将车内数据划分为两部分，个人数据与非个人数据，并且针对个人数据做出了特定的要求，包括但不限于数据处理合规义务、设立数据保护官等。a）数据跨境传输泰国政府目前尚未公布“充分保护国家”白名单，因此中国车企只能通过个人汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 80 页 共 113 页数据保护委员会、适当保护措施两条途径进行数据跨境传输活动。产业链下的不同合规义务合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统数据处理/服务提供数据跨境传输/豁免情形数据保护联合国 IWVTA 认证+TISI 排

193、放认证网络数据安全表【12】：泰国产业链划分下的车企合规义务a)服务提供无论数据主体是否同意服务提供者收集或处理其个人数据，其不得拒绝为数据主体提供相关服务。b)豁免情形作为数据中转站的中介机构发送或传输个人数据、在计算机系统或数据存储介质之间发送或传输个人数据，这两种情况不属于“个人数据跨境传输”。车联网云、自动驾驶云等为汽车产品提供云服务器等企业可能落入履行数据跨境传输合规义务的豁免情形。c)联合国 IWVTA 认证+TISI 排放认证7联合国欧洲经济委员会发布的汽车技术法规和标准对汽车的网络安全、软件更新、数据保护提出了具体要求。整车厂应该根据法规指引进行汽车产品的数据合规工作。d)网络

194、数据安全泰国网络安全法将能源企业识别为关键信息基础设施运营者，提出了更多的网络数据安全保障义务，例如需进行风险评估。2、越南越南7泰国整车认证管控涉及轿车、轻型载货车、重型载货车、客车、挂车及摩托车等。其认证模式是整车型式批准认证，采取国际认证+本国认证结合的双认证制度（即联合国 WVTA 认证+TISI 排放认证），汽车产品需依据 UN ECE（联合国欧洲经济委员会）法规来进行检测及认证并获得联合国 WVTA 证书，再按照 TISI 标准在泰国当地进行排放测试，汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 81 页 共 113 页（1）越南汽车数据隐私保护法律监

195、管体系越南数据隐私保护法律法规体系a）数据保护相关立法越南政府于 2023 年通过了个人数据保护法（，以下简称“PDPD”），该部法律是越南首部对数据进行综合性、全面性保护的法律。此外，越南政府出台了网络安全法网络信息安全法等法律旨在对网络信息安全领域进行规范。b）汽车领域相关立法越南并未就汽车领域专门进行数据安全立法。因此，中国车企应当根据数据保护相关立法设计数据合规框架。总体而言，越南数据保护标准较为宽松，且汽车领域数据合规行政处罚较少。图【7】：越南数据保护立法历程越南数据隐私保护监管机构现状公安部是越南数据保护最主要的监管机构，负责指导和实施个人数据保护工作、出台相关数据保护标准，并依

196、法开展数据监管工作。公安部下属的数据保护委员会作为独立的政府机构，负责审查企业隐私政策的适当性以及审批个人数据的跨境转移活动的合规性。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 82 页 共 113 页（2）越南汽车全产业出海数据安全风险及合规要点通用数据合规义务PDPD 适用于在越南境内进行的个人数据处理活动，同样具有域外效力。中国出海越南的车企即使在越南没有实体机构，只要在越南境内进行了数据处理活动，即应受 PDPD 的约束。PDPD 合规内容与大多数国家保持一致，即知情同意、数据处理规范、数据泄露安全事件处置等，但应注意以下合规要点：a)数据收集：更高的告

197、知同意合规义务相较于我国个人信息保护法，PDPD 设定了更为细致的告知同意规则。第一，数据主体的同意有较为严格的要求。关于同意的形式，数据主体的同意必须是以能够打印或书面形式复制的，包括电子格式的形式表达。关于同意的方式，数据主体的默示不构成同意。关于同意的范围，数据主体可以进行部分、附条件的授权同意。第二，车企负责举证义务。如车企与数据主体发生争议，车企作为个人数据控制者或处理者需证明获得数据主体的有效同意，否则将承担不利后果。b)数据处理：额外的人员报备要求如果车企涉及敏感个人信息处理活动，则需要指定专门的部门和人员负责人员保护工作。该部门和人员的基本信息，中国车企应当上报至公安部。c)处

198、理记录留存机制车企所有的数据处理活动均需留存，记录在一份档案中。该档案需提供越南公安部进行检查和评估，并根据公安部的要求进行更新。该档案的原件需要按照规定的形式发送给公安部、网络安全和高科技犯罪预防部。因此，车企应建立严格的记录留存机制，将数据处理过程产生的各类记录妥善留存归档，确保数据处理活动的合规与记录的完善。产业链划分下的合规要点合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统数据存储/本地化存储数据保护VR 认证恶意软件过滤系统汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 83 页 共 113 页表【13】：越南产业链划分下的车企合规义务a

199、)本地化存储在越南提供例如车载无线通信技术服务的企业，应当将用户的个人信息、用户生成数据在越南本地至少存储 24 个月，相关系统日志则需保存至少 12 个月。b)VR 认证越南强制要求所有在越南组装或进口的汽车整车、零部件和设备，均需通过越南交通部制定的型式认证才能进入越南市场，即“VR 认证”。VR 认证中如若涉及数据保护规定，则汽车产品应当满足相关规定。c)恶意软件过滤系统车内软件系统在发送、接收、存储数据过程中必须安装恶意软件过滤系统。如通过摄像头、指纹传感器、麦克风等传感器传输、存储座舱数据过程，又如通过摄像头、雷达等采集车外环境道路、建设等车外数据。3、新加坡新加坡（1）新加坡汽车数

200、据隐私保护法律监管体系新加坡数据隐私保护法律法规体系a）上层立法：数据保护核心法律对于数据保护的立法新加坡政府走在世界前列，早在 2012 年即发布了个人数据保护法（，以下简称“PDPA”），并于 2020 年颁布了个人数据保护法修正案。2018 年出台的网络安全法，详细规定了网络领域数据安全合规义务，为网络服务提供者等指明了合规方向。由此，新加坡形成了以2012 年个人数据保护法2020 个人数据保护法修正案为基线标准、以网络安全法为辅的数据安全保护法律体系。b）具体落实：配套条例和通知相关条例包括：2013 年个人数据保护（谢绝来电登记）条例、2021 年个人数据保护条例、2021 年个人

201、数据保护（违法构成）条例、2021 年个人数据保护（数据泄露通知）条例。相关通知包括：2020 年个人数据保护（指定执法机构）通知等，指明汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 84 页 共 113 页数据监管执法机构。c）汽车领域相关立法新加坡目前并未就汽车领域专门进行数据安全立法，汽车数据规范条款散见于其它各类规范指南中，如 自动驾驶汽车技术参考 68 号（，以下简称“TR68”）、关于在人工智能推荐和决策系统中使用个人数据的咨询指南（以下简称人工智能咨询指南）、物联网网络安全指南。因此，中国车企应当根据数据保护相关立法以及汽车领域相关的数据规范条款设计

202、数据合规框架。新加坡数据隐私保护监管机构现状新加坡数据保护监管机构以新加坡通信信息部为主要监管部门，下设机构个人数据保护委员会专门针对 PDPA 进行监管工作，辅之网络安全局作为目前的数据安全监管机构。（2）新加坡汽车全产业出海数据安全风险及合规要点通用数据合规义务落地新加坡的企业数据合规义务应当特别注意以下要点：a）个人数据范围更为狭窄商务联系信息（例如，姓名、职位、工作电话）不属于个人数据范畴，不受个人数据保护法保护。b）强制设立数据保护官不区分企业类型、规模和人员，所有在新加坡的企业和组织均应任命 DPO，DPO 的形式则不受限，团队与个人均可。产业链划分下的合规要点合规阶段合规阶段整车

203、厂整车厂硬件零部件硬件零部件软件系统软件系统数据保护商业改进目的/数据处理自动驾驶的车载数据/数据中介汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 85 页 共 113 页数据安全自动驾驶的网络数据安全网络数据安全1.AI 部署数据安全2.物联网数据安全表【14】：新加坡产业链划分下的车企合规义务a）商业改进目的根据 PDPA 附录 1、附录 2，出海新加坡的车企如满足“商业改进目的”及“其他条件”8，则收集、使用、披露个人数据时可以豁免当事人同意，车企的合规义务减轻。b）自动驾驶的车载数据TR689第四部分规定，在车载数据方面，为保障有效通信，汽车在收集数据时，

204、其信号捕捉频率、分辨率、数据格式应当满足一定要求。c）数据中介为整车厂提供开发定制的或完全可定制的 AI 系统过程中处理个人数据，如系统集成商提供驾驶员监测技术，处理驾驶员的面部信息、生理指标、眼部动态等数据，属于 PDPA 中的数据中介，需遵守保护义务和保留义务。d）自动驾驶的网络数据安全TR68 第三部分要求建立包括设计、开发、运营和退役在内的整个自动驾驶生命周期管理数据安全，并设计独立网络安全评估框架。e）网络数据安全网络安全法认定包括能源、信息通信在内的企业为关键信息基础设施运营者。新能源电池相关的企业应当履行每两年进行一次网络安全审查、每一年进行风险评估、构建网络威胁监测机制等合规义

205、务。f）AI 部署数据安全智能网联汽车可能涉及的人工智能交互界面技术、自动驾驶中通过人工智能分析路况环境做出驾驶策略等的应用，在部署这些 AI 系统时应当符合人工智8商业改进目的是指：（1）为改善、提高或开发商品、服务、组织的运营方式、流程；（2）学习和了解个人或其他个人对组织的商品或行为偏好；（3）为个人主体或其他个人提供定制化商品或服务。9TR68 是新加坡标准主体机构发布的指导方针，旨在指导自动驾驶技术开发人员设定明确的目标，有效降低围绕该技术测试应用的风险。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 86 页 共 113 页能咨询智能相关规定，如同意和通

206、知义务、使 AI 系统保持透明的问责义务等。g）物联网数据安全采用物联网技术的车企需根据 2020 年发布的物联网网络安全指南的要求，采取安全传输协议、加密、访问控制、审计跟踪、威胁建模、建立 Root-of-Trust等安全措施。4、澳大利亚澳大利亚（1）澳大利亚汽车数据隐私保护法律监管体系澳大利亚数据隐私保护法律法规体系a）个人隐私和数据保护核心法律在个人隐私方面，澳大利亚基于 1988 年发布的 澳大利亚隐私法，于 2013年修订形成了隐私法条例。在数据权利方面，为保障消费者数据共享与数据保护，澳大利亚政府出台了澳大利亚消费者数据权利法（，以下简称“CDR”）。隐私法条例和 CDR 在各

207、自领域保护着数据安全，共同构成澳大利亚的数据安全核心法律。b）核心法律的实施细则为落实 CDR，政府出台一系列法规作为具体实施细则，如澳大利亚竞争与消费者规则 2020消费者数据权利隐私保护指南处理 CDR 数据处理者关于准备和应对设计 CDR 数据的网络事件指南等。针对不同主体配有 CDR 隐私保护指南、数据持有者隐私保护指南、CDR 政策发展指南。1010参见，访问地址：https:/www.cdr.gov.au/for-providers/cdr-information-map.汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 87 页 共 113 页图【8】：

208、澳大利亚数据隐私保护法律体系c）汽车领域澳大利亚尚未就汽车领域专门出台汽车数据安全保护法律法规。但在消费者权利保护领域出台了针对企业和消费者的规则和建议与机动车信息方案，如机动车信息计划（，以下简称“MVIS”），其中部分规则涉及数据保护。车辆标准法（，以下简称“RVSA”）、2018 年道路车辆标准法（Road Vehicle Standards Act 2018，下称“RVSA”）、2019 年道路车辆标准规则（Road Vehicle Standards Rules 2019，下称“RVSR”）等法规条例其中的部分条款涉及对汽车数据进行规范。我国车企应遵守 CDR 与澳大利亚隐私法等数据

209、安全保护法律法规，以及散见于各法规条例之中的汽车数据保护条款，在宏观层面搭建数据安全合规义务制度体系和组织架构以应对澳大利亚数据监管工作。澳大利亚数据隐私保护监管机构现状澳大利亚数据隐私保护监管机构为澳大利亚信息委员会办公室（Office ofthe Australian Information Commission，以下简称“OAIC”）与澳大利亚竞争和消费委员会（Australian Competition and Consumer Commission，以下简称“ACCC”）。OAIC 总领数据安全工作，执行隐私保护措施和消费者数据权隐私规则，并调查个人消费者和中小企业对消费者数据权利参

210、与者处理消费者数据权利数据的投诉。在适当情况下，OAIC 将投诉转交给外部争议解决机构或 ACCC。ACCC 确保供应商遵守相关数据权利保护规则，并在必要时采取执法行动。（2）澳大利亚汽车全产业出海数据安全风险及合规要点通用数据合规义务车企在澳大利亚落地遵守的数据合规义务与众多国家保持一致，包括授权同意、隐私合规、消费者数据权利政策、数据规范处理等。产业链划分下的合规要点合规阶段合规阶段整车厂整车厂硬件零部件硬件零部件软件系统软件系统数据处理直接营销合规义务能源合规指南人工智能汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 88 页 共 113 页数据保护RAV、A

211、DR信息通信技术设备数据共享汽车维修部分数据禁止共享/数据提供维修数据公平提供/表【15】：澳大利亚产业链划分下的车企合规义务a）直接营销合规义务所有营业额超过 300 万美元的企业和非营利组织以及一些企业受 澳大利亚隐私原则 7关于直接营销的约束。图【9】：澳大利亚车企直接营销合规义务b）能源合规指南为车企提供能源，如新能源电池企业，可以根据该合规指南识别自己为初始能源零售商、大型能源零售商、获得认证的小型能源零售商和自愿参与合规的小型能源零售商等，并按照合规指南的指引满足 CDR 数据保护合规义务。c）RAV11、ADR12进入澳大利亚的汽车产品及其零部件应当获得 RAV、ADR 车辆类型

212、批准。中国汽车整车及零部件应满足 RVSA、RVSR、ADR 等规定指引的隐私保护的合11在汽车首次在澳大利亚提供给他人在公路上使用之前，为了确保汽车具备安全、环保和防盗等性能，须依据 RVSA、RVSR 将其登记于核准车辆登记薄（Register of Approved Vehicles，简称“RAV”）。12澳大利亚联邦政府对道路车辆安全、排放、节能、防盗制定设计和性能要求制定了澳大利亚汽车设计规则（，简称“ADR”），并在澳大利亚联邦各州、地区强制执行。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 89 页 共 113 页规义务要求。d）汽车维修部分数据禁止

213、共享车企将用于诊断维修的方案信息和安全信息共享给汽车维修方时，不应当共享远程信息处理数据、驾驶员位置数据以及与计划车辆自动驾驶系统有关的信息。e）维修数据公平提供根据 MVIS，车企数据提供商，如机动车制造商，必须以不超过公平市场价值的价格向所有澳大利亚机动车维修商（维修商）和注册培训组织提供进行诊断、服务或维修活动相关数据。f）信息通信技术设备（Information and Communications Technology，以下简称“ICT”）汽车 ICT 设备通过无线通信技术，对信息网络平台中的所有车辆动态信息进行处理，包括车外数据、座舱数据、运行数据、位置轨迹数据。其中涉及敏感或机密

214、数据，如车主、驾驶人的生物识别特征数据等重要数据。应当保障汽车 ICT设备的数据安全保护能力，如在 ICT 设备上应用保护性标记、要求 ICT 设备根据数据的敏感性或分类显示、处理、存储或通信敏感或分类数据。g）人工智能应对人工智能的数据安全保护能力进行评估，包括有关潜在不安全功能和故障模式的信息。其中数据处理日志为敏感数据，遵循敏感数据处理规则，并应保护其机密性、完整性和可用性。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 90 页 共 113 页第四部分第四部分 汽车行业出海展望与建议汽车行业出海展望与建议第一章第一章 汽车出海市场前景汽车出海市场前景在过去四

215、十多年的快速经济增长中，中国经济依靠投资、消费和出口三驾马车共同拉动，实现了令人瞩目的发展成就。在出口领域，近几年来，中国汽车出口表现尤为突出，尤其是新能源汽车，已成为拉动中国出口增长的重要力量。随着汽车新四化（电动化、智能化、网联化、共享化）的推进，中国在若干汽车技术领域已达世界先进水平，汽车动力电池表现尤为突出，在技术研发和生产规模上均处于全球领先地位。此外，中国的汽车市场规模庞大，为企业提供了广阔的市场空间和丰富的实践经验。这不仅提升了中国企业在汽车领域的技术水平和市场反应能力，也为其进军国际市场奠定了坚实的基础。随着各级政府出台一系列政策，中国汽车出口展现了广阔的市场前景，已从产品出海

216、过渡到产能出海、产业链出海，但同时也将面对来自多方面的挑战。一、中国政策利好汽车产业链出海一、中国政策利好汽车产业链出海我国出台的一系列的支持政策为中国车企提供了强大的动力和支持，能够为中国车企出海提供坚实的基础。首先，目前的支持政策优化出口程序和降低贸易成本。例如，商务部等九部门联合发布的政策措施中提到，将优化出口程序并鼓励海外建厂，这将大大降低企业的运营成本，提高其在国际市场上的竞争力。此外，政策还支持企业通过灵活多样的出海模式增强端到端海外本土化能力，持续优化全产业链出海生态。其次，政策利好能够促进中国车企的技术进步和市场拓展。技术驱动是中国新能源汽车出海的三大驱动力之一，而政策的支持使

217、得企业在技术研发和创新方面有了更多的投入和发展空间。再次，政策还推动了中国车企在全球市场的布局，尤其是在东南亚、欧洲等地区，这些市场的吸引力和政策利好为中国车企提供了广阔的市场前景。二、欧美对中国新能源汽车产业链进口的限制政策二、欧美对中国新能源汽车产业链进口的限制政策与我国出台的利好政策相反，近年来欧美国家分别从贸易保护、贸易壁垒、低碳管理等方面发布限制措施，阻碍我国新能源汽车产业链进入欧美市场，从而汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 91 页 共 113 页打压中国新能源汽车产业链海外发展。1、美国、美国举例来说，美国在新能源汽车补贴方面，通胀削减法

218、案规定了自 2024年起新能源汽车的关键矿物材料或其他电池组件若由中国等地区企业生产，则美国购车人就无法享受 3750 美元至 7500 美元的税收抵免。致使短期内中国汽车产业链企业加速出海墨西哥，通过迂回进口的方式进入美国市场。长期来看该法案或将对在美国投资新能源汽车的相关中国企业产生负面影响。关税方面，美国对华的新能源车关税 27.5%（含 25%对华进口限制关税），未来关税可能提高至100%以上，直接增加中国汽车在美国市场的成本，可能导致价格上涨和销量下滑。表【16】：USTR 对华加征 301 关税的四年期2、欧盟、欧盟欧盟也不例外，2024 年 6 月 12 日欧盟委员会发布了对华电

219、动汽车反补贴调查初裁结果，反补贴调查包括：中国生产电动汽车并向欧盟出口电动汽车的企业是否获得中国政府的补贴；中国电动汽车是否可能对在欧盟生产电动汽车的生产商的经济健康造成损害。欧盟拟对从中国进口的电动汽车征收 17.4%到38.1%不等的临时反补贴税。根据欧盟委员会发布的公告显示，如无法与中方达汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 92 页 共 113 页成解决方案，加征关税将于 7 月 4 日左右开始实施。此外，公告还指出，在实施临时措施日期前 90 天（2024 年 4 月 5 日起）登记的进口商品，可能会被追溯征收进口关税。企业企业基础关税基础关税反

220、补贴税反补贴税总税率总税率上汽集团10%38.1%48.1%吉利汽车20%30%比亚迪17.4%27.4%爱驰、江淮、宝马、奇瑞、一汽、长安、东风、长城、零跑、南京金龙、蔚来、特斯拉、小鹏21%31%其它车企38.1%48.1%表【17】：欧盟反补贴关税征收清单图【10】：吉利控股集团关于欧盟委员会披露临时反补贴税率的声明汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 93 页 共 113 页图【11】：上汽集团关于欧盟委员会反补贴税决定的公开声明商务部新闻发言人就欧盟发布关于对华电动汽车反补贴调查初裁披露答记者问，表达了中方的立场：将密切关注欧方后续进展，并将坚决

221、采取一切必要措施，坚定捍卫中国企业的合法权益。尽管面临上述挑战，长期来看，欧美国家电动化转型的总体方向不会改变。全球向电动化、智能化转型的趋势是不可逆转的，这为中国新能源汽车产业提供了持续发展的广阔空间。中国若能在新能源汽车领域持续保持技术及产品的领先汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 94 页 共 113 页地位，将有望在国际市场中占据重要地位。三、东南亚各国出台政策扶持新能源汽车产业发展三、东南亚各国出台政策扶持新能源汽车产业发展2023 年，泰国、马来西亚、印度尼西亚等东南亚国家陆续出台电动化转型相关规划，并配套一系列促进新能源汽车发展的激励政策，

222、在新能源车购置、使用和生产环节进行激励。尤其在生产环节上，各国均提出本土化生产目标，从扩大内需、完善配套、增大税收减免或财政补贴等方面，吸引以中国新能源汽车相关企业为代表的外资企业在当地建厂，以推动当地电动汽车产业链及市场培育。1、泰国、泰国泰国于 2020 年成立了国家电动汽车政策委员会。2021 年 3 月该委员会发布总体规划，计划到 2025 年每年新增 10 万至 30 万辆电动汽车，并在 2026 年将这一数字增加到 40 万至 75 万辆。在充电桩建设方面，泰国计划到 2030 年建成 1.2万个直流充电桩，到 2035 年为 3.65 万个，并对相关企业免征 5 年关税。2、马来

223、西亚马来西亚马来西亚在 2023 年 7 月发布了国家能源转型路线图，规划到 2050 年达到80%的电动汽车采用率，实现 90%的本地电动汽车制造率，并且提高内燃机燃油效率。在消费税和整车及关键零部件关税减免方面均提供政策支持。在充电桩建设方面，马来西亚计划到 2025 年建成 1.5 万个充电站。3、印度尼西亚印度尼西亚印度尼西亚电动汽车发展路线规划到 2025 年将电动车的市场占有率提高到20%，为保障实现该计划，政府将提供多种鼓励措施，包括消费税减免、销售税减免、整车关税减免、关键零部件关税减免、企业所得税减免等。在充电桩建设方面，计划到 2030 年建成 3.1 万个充电桩。其他东南

224、亚国家，如新加坡、越南、菲律宾，也在积极准备开展汽车电动化转型，已出台或将出台国家层面的发展规划及相关激励政策，为中国汽车出海提供良好机遇和有利条件。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 95 页 共 113 页第二章第二章 汽车出海的合规建议汽车出海的合规建议作为世界新能源汽车技术的领先国家，从“产品出海”到“产能出海”“产业链出海”“技术出海”，中国车企在海外市场上表现抢眼。伴随出海进程的进阶提速，在各国相继出台合规监管政策的当下，中国新能源车企出海合规工作同样刻不容缓。一、一、开展出海前的合规体检开展出海前的合规体检中国车企应当建立健全企业内部的产品

225、质量标准。在出海之前开展严格的“合规体检”，从准入资质、质量水平、数据合规、人员培训管理等各方面入手，必要时聘请专业团队协助自查。二、二、内部合规文化建设与合规意识提高内部合规文化建设与合规意识提高车企应将数据合规文化作为上海品茶建设的重要环节，践行数据合规价值观，不断增强企业员工的数据合规意识。数据合规价值观包括但不限于合法、正当、最小目的、诚信原则等。企业全体员工应当深入了解和学习有关数据保护法律法规，熟知并遵守数据处理规范流程。三、三、外部与数据监管机构保持良好沟通外部与数据监管机构保持良好沟通中国车企应当高度重视政府当局出台的法律法规、标准指南以及政策规定。车企应当加强与数据监管机构的

226、沟通，及时了解和掌握立法动态，积极参与监管部门举办的各项活动，与数据监管机构形成良好互动。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 96 页 共 113 页第三章第三章 汽车出海的挑战汽车出海的挑战近年来，伴随着中国汽车产业的快速崛起，我国汽车出口取得了显著的成绩，已发展成为中国外贸出口的新动能代表。通过技术创新和品牌国际化战略，中国汽车正逐步展现出从“中国制造”向“中国智造”转变的新形象。但与此同时，不同国家和地区的准入障碍、文化差异、技术与产品的本地化、品牌的认知度与信任度等成为需要中国车企拿出“精力和智慧”去面对、去解决的新挑战。一、不断变化的政策一、不

227、断变化的政策在中国车企出海的过程中，各国政策的不断变化是其面临的重要挑战，尤其是“环保法规”“贸易政策”“补贴政策”等方面的调整，成为车企出海时高度关注的议题。（一）环保法规随着全球环保意识的提升，各国对汽车排放标准的要求越来越严格。例如2023 年欧洲出台了更加严苛的欧 7 排放标准，要求汽车制造商降低车辆的二氧化碳排放和其他污染物排放。这对中国车企在欧洲市场的拓展带来了新的挑战，迫使其加大研发投入，以提升车辆的环保性能，确保符合新的排放标准。（二）贸易政策全球贸易政策的不确定性增加，特别是中美贸易关系的波动对中国车企在海外市场的运营产生了影响。如前所述，美国与欧盟纷纷出台关税限制措施，巴西

228、将从 2024 年 1 月起恢复征收针对新能源汽车的进口关税；今年 6 月，土耳其贸易部宣布，将对从中国进口的汽车征收 40%的额外关税等。为应对潜在的关税壁垒，中国电动车企纷纷谋求在当地投资实现本地化生产，如今年 1 月，比亚迪与匈牙利塞格德市政府正式签署比亚迪匈牙利乘用车工厂的土地预购协议；同月，哪吒汽车与马来西亚合作伙伴签署了一项合作协议，将在马来西亚建立全球第三个海外工厂；奇瑞汽车于今年 4 月与西班牙车企埃布罗签署协议，成立合资企业在西班牙生产汽车，以此来减少关税带来的成本压力。（三）补贴政策不同国家和地区对新能源汽车的补贴政策的不断变化也是中国车企出海不汽车出海全产业数据安全合规发

229、展白皮书汽车出海全产业数据安全合规发展白皮书第 97 页 共 113 页得不应对的一大挑战。2024 年初，欧洲一些国家宣布逐步减少对电动车的补贴，以促进市场的自我调节。这一政策变化对中国电动车制造商，如比亚迪和小鹏汽车在欧洲的销售策略产生了重大影响。为了应对这一变化，这些企业开始加大市场推广力度，并推出更具竞争力的产品和服务，以吸引消费者。二、市场准入与数据合规要求二、市场准入与数据合规要求各国对汽车进口有严格的法规和标准，包括安全、排放和技术规范等。中国车企在出口目标国家时，应遵守当地的法律法规、适应市场需求、建立本地化生产和服务网络等。（一）认证和标准各国对汽车的安全、排放和技术标准各不

230、相同，中国车企必须通过当地的认证和标准测试，才能进入市场。以技术准入为例，2023 年，吉利计划在美国推出新款 SUV，为满足美国市场准入要求，吉利必须通过美国国家公路交通安全管理局的严格碰撞测试和环保署的排放标准认证。为此，吉利投入了大量资源，以改进车辆设计和安全配置，最终成功通过测试，获得市场准入资格。（二）本地化生产目前，许多国家要求外国车企在本地生产一定比例的车辆，以促进当地就业和经济发展。以巴西为例，为应对巴西政府的本地化生产要求，比亚迪今年年初在巴西设立了电动汽车生产基地。通过与当地企业合作，在满足巴西市场准入要求的同时，还降低了生产成本，提高了供应链效率，增强了市场竞争力。（三）

231、数据隐私与网络安全随着汽车智能化和网联化的发展，汽车在数据安全和网络安全方面受到的威胁场景日益复杂，各国由此对汽车数据隐私和网络安全的要求日益严格，车企必须确保车辆和后台系统的数据处理符合当地法律法规方能获得市场准入，而各国不同的法律法规和政策更是增加了该挑战的复杂性。除了数据安全带来的挑战，智能汽车出海过程中，由于配备了先进的自动驾驶系统和车联网功能，可能面临的网络风险也不容小觑。车企需要建立强大的网络安全防护措施，防止潜在的网络攻击，以确保车辆和系统的安全。例如，蔚来在德国市场推出智能电动车时，为了确保其车辆和系统的安全，在车载系统中实汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据

232、安全合规发展白皮书第 98 页 共 113 页施了高级数据加密技术和定期安全更新机制的同时，采用了入侵检测系统，以实时监控和响应潜在的网络攻击，确保车辆的网络安全。（四）合作与伙伴关系在新市场，建立与当地企业及政府的合作关系至关重要。通过与熟悉当地市场环境的政企单位的合作，有助于中国车企更好更快地把握当地市场需求。例如，2023 年长城汽车与泰国政府签署合作协议，在泰国建立电动车生产基地，顺利进入泰国市场。泰国政府为此提供了税收优惠和政策支持，以促进本地电动车产业的发展，长城汽车也实现了产销两旺。三、品牌认知度和信任度三、品牌认知度和信任度近年来，尽管中国汽车品牌在技术和质量方面取得了显著进步

233、，但在向国际市场开疆拓土时，仍需克服“品牌知名度较低”“消费者信任度不足”以及“市场竞争激烈”等问题。（一）品牌认知度以近两年的热门出海目的地东南亚及美洲为例。在中国车企布局东南亚市场之前，一众国际知名汽车品牌，如日本的丰田、本田和日产，以及韩国的现代和起亚，就已在该市场深耕多年，拥有较高的知名度和品牌忠诚度。对于较晚进入东南亚市场的中国汽车品牌，要在竞争激烈的市场环境中，迅速打开知名度，着实是个不小的挑战。美洲市场也面临同样的问题，在日系、德系、美系等老牌车企的长期主导下，“初来乍到”的中国车企想要抢占市场份额，需要通过长期投入和策略性规划，包括品牌定位、品牌故事的传播和消费者体验的打造，以

234、打破当地消费者对新品牌的谨慎观望态度。对此，有中国车企选择在巴西开展大规模的广告宣传活动，包括电视广告、线上营销和线下活动，还赞助当地的体育赛事和文化活动，增加品牌曝光率和影响力。（二）品牌信任度消费者对新进入市场的品牌往往持谨慎态度，尤其是在涉及高价值购买的汽车领域。中国汽车品牌需要通过提供高质量的产品和优质的售后服务，逐步赢得消费者的信任。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 99 页 共 113 页四、技术本地化与知识产权风险四、技术本地化与知识产权风险在不同市场，除了标准法规的差异会对中国车企提出要求，消费者需求和偏好的不同、气候及地理条件的不同等

235、带来的挑战，也驱动着中国车企对出口产品进行本地化设计和调整。举例来说，长城汽车在俄罗斯市场推出的哈弗车型，系经过多次调研和测试，针对当地的气候条件和道路状况进行了适应性改造，最终在该市场取得了良好的销售业绩；蔚来在美国市场推出了符合美国联邦和州级排放标准的电动车，并通过增加先进的驾驶辅助系统和高科技内饰来吸引美国消费者；吉利在马来西亚推出符合当地市场需求的高性价比车型的同时，还加强了车辆的防水和散热性能，以应对热带气候。另外，在国际市场上，知识产权保护也是中国车企必须面对的重要风险。知识产权纠纷可能导致企业在当地的业务受阻，甚至面临巨额赔偿。因此，加强知识产权保护，确保技术和品牌的合法性，是企

236、业成功出海的重要保障。五、文化和管理差异带来的经营挑战五、文化和管理差异带来的经营挑战文化和管理差异方面的挑战涉及语言差异、跨文化沟通、管理模式差异、员工多样性等，中国车企在跨国经营时，需要克服文化差异和管理冲突等挑战，以提升其在国际市场的运营效率和竞争力。举例来说，吉利在泰国市场经营时，采用了双轨管理模式，即在保留公司核心管理理念的同时，适应当地的管理习惯。长城汽车为了更好地理解和适应澳大利亚市场，在当地建立了运营和管理团队，聘用了大量本地人才，包括市场营销、销售和售后服务等关键岗位。这些本地员工不仅熟悉当地的市场环境和消费者需求，还能在文化和语言方面提供重要支持。极氪则在欧洲雇用了大量本地

237、员工，建立了本地化管理团队，公司定期组织跨文化培训和团队建设活动，提高中欧员工之间的文化理解和沟通能力，促进团队的协作和创新。六、国际竞争带来的压力挑战六、国际竞争带来的压力挑战在出海市场上，中国车企要面临来自当地和国际各大车企的激烈竞争，包括市场份额、技术创新和价格战、品牌认可度等方面的竞争。如比亚迪在进入欧洲市场时，就面临着来自特斯拉、雷诺、大众等知名汽车制造商的激烈竞争。这些品牌在欧洲市场已经建立了强大的品牌忠诚度以及成熟的生产和供应链网络，中汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 100 页 共 113 页国车企需要克服这些障碍，以保证其产品仍然具有

238、足够的竞争力。七、境外投资合规风险七、境外投资合规风险境外投资合规风险，主要涉及市场准入、区域贸易管制及国际制裁、国家安全审查、行业监管、外汇管理、反垄断、反洗钱、反恐怖融资等方面。八、八、境外运营合规风险境外运营合规风险企业开展境外日常经营全流程合规，主要涉及劳工权利保护、环境保护、数据保护、知识产权保护、反腐败、反贿赂、反垄断、反洗钱、反恐怖融资、财务税收、第三方合规等方面。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 101 页 共 113 页第四章第四章 汽车出海的策略与建议汽车出海的策略与建议一、加大汽车出海政策支持力度一、加大汽车出海政策支持力度建议要

239、加大对汽车出口地区的汽车产业政策、贸易保护政策、贸易关税政策等方面开展研究，一方面，可以就当前的政治态势以及贸易关系，给予企业及时的指导，提高企业的应对能力。另一方面，还能出台一些产业支撑政策以及指导性文件，并支持企业加速通关以及在企业接受调查或限制措施时给予有效的帮助与指导，为国内汽车出口海外市场提供政策支持。二、提高国际专利制定的参与力度二、提高国际专利制定的参与力度建议加强相关单位与世界知识产权相关组织、欧洲专利局等国际组织与机构、国际车企的交流合作，积极参与国际专利的制定与修改，进一步影响国际专利的制定，争取更多的话语权。同时，加大对新能源汽车以及智能网联车企在海外专利布局方面的政策引

240、导和支持力度，积极推动知识产权公共服务平台的建设，指导企业加速海外相关专利的申请以及纠纷保护，提高海外专利申请的质量和效率，支撑我国汽车出海业务。三、推动国内与国际标准之间的互认三、推动国内与国际标准之间的互认建议加大国内汽车标准制定相关单位的支持力度，助力相关单位与国际机构的对接，如美国汽车工程师学会、欧洲经济委员会、国际标准组织等机构开展交流，加快推动国内汽车在汽车安全、环保、性能等相关标准与国际标准的互认互通，从而降低企业在研发、测试、认证方面的成本，提高国际市场准入效率，加快国内汽车产品的跨国流通。同时，建议还要逐步参与到国际标准的制定，降低国际贸易限制，进一步支持汽车产品出海。四、加

241、强企业海外建厂的能力四、加强企业海外建厂的能力建议出台一系列的支持手段，面对汽车行业的供应链重构，鼓励国内车企在海外建立工厂。一方面，通过属地化生产的方式帮助企业开展海外业务，消减贸易冲突，助力中国汽车产品出海。另一方面，海外建厂有助于企业建立全球的生产与采购网络，更好的调配各地区的资源，加速海外零部件供应，进一步提高产品服务水平和加强产品竞争力。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 102 页 共 113 页五、促进汽车相关产业链企业协同出海发展五、促进汽车相关产业链企业协同出海发展建议整车企业带动汽车相关产业链企业，包括市场营销、汽车销售、零部件、汽车

242、海运、汽车金融、汽车售后等领域企业共同出海，不仅能建设从市场、销售、运输、售后等一系列完善的服务体系，还能通过企业之间的协同发展，构建完善的海外产业链，进一步促进中国汽车零部件企业的出口，形成中国企业海外协同合力发展，提升中国汽车在海外的综合竞争力。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 103 页 共 113 页联合发布单位简介联合发布单位简介上海市车联网协会简介上海市车联网协会简介：上海市车联网协会是在上海市通信管理局、上海市经济和信息化委员会、上海市民政局的指导下，于 2022 年 8 月成立的非营利性社团组织。协会旨在建立上海车联网发展所需的政策法规

243、、标准规范、技术创新、测试应用、国际合作等工作的坚实基础，有效开展 5G 和车联网关键技术、标准和产业研究，加快成果应用推广，促进政、产、学、研、资、用等各方资源的深度融合，共同探索上海市车联网产业发展的新模式和新机制。编委人员：编委人员：阮大治、陈慧、张芷源盈科简介：盈科简介：盈科律师事务所 YINGKE 是一家全球化法律服务机构，在海内外拥有 160 多家直营机构，网络覆盖 97 个国家的 167 个国际城市，拥有 16000多名律师，在 2023Global 200 排名中，盈科全球律师人数蝉联世界第一。盈科全球数据合规服务中心，由郭卫红主任领衔，是国内最早专注于数据合规服务领域的团队之

244、一，中心成员拥有丰富的从业经验与国际化背景，持有CIPP/CIPM/CCRCDSO 等专业资质，已累计为全球超百家智能制造、车联网、新型储能、消费电子、通信、盲盒电商、金融医疗等数字经济领域的公司提供全球数据合规、网络安全、平台合规、商业模式合规、爬虫与开源合规治理、涉网汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 104 页 共 113 页数诉讼、常年合规顾问等综合解决方案。此外，中心具备快速调配信息安全技术、第三方认证、专家学者等战略合作伙伴的能力，为中资企业走出去、外资企业引进来提供优质高效的全球一站式服务，助力客户在全球数字化发展浪潮中勇立潮头。编委人员编

245、委人员：郭卫红、姜斯勇、葛若芸、周一琼、李宣瑶、谢冰姿同济大学上海国际知识产权学院简介同济大学上海国际知识产权学院简介：同济大学知识产权学院成立于 2003 年 3月，依托同济大学已经形成的理工科优势和对德（欧）交往特色，以培养社会所需的复合型知识产权法律和管理硕士、博士、博士后等高层次人才为己任。近年来，学院教师主持了国家社科基金重大重点项目 4 项，其他国家级课题 10 余项，获得上海市教学成果一等奖，在中国法学等核心期刊发表论文 100 多篇，并为国家和上海市有关部门在相关的决策提供了10余篇政策建议，为中共中央、国务院相关文件的起草提供了 3 篇专家建议稿。编委人员：编委人员：徐明汽车

246、出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 105 页 共 113 页谈思实验室简介谈思实验室简介：谈思实验室构建专属汽车网络数据安全行业的专家智库平台及行业交流社区，通过线上云论坛、AutoSec 中国汽车网络安全周大会、汽车安全技术专题培训、线下攻防体验沙龙、车企网络安全日活动等进行一手干货内容输出，加强行业上下游供需对接及技术创新，促进智能网联汽车信息安全生态圈发展，培育汽车安全文化。编委人员编委人员：李景欣、李文龙阿维塔简介阿维塔简介：阿维塔科技成立于 2018 年，致力于探索面向未来的人性化出行科技，为用户创造情感智能出行体验。阿维塔，意为“化身”，旨在为

247、每一位用户打造在智慧平行世界里的另一个自己，成为“懂你的智慧化身”。作为智能电动汽车（SEV）新赛道的探索者，阿维塔科技致力于打造国际化高端 SEV 品牌。得益于长安汽车、华为、宁德时代，分别在整车研发智造、智能汽车解决方案和智慧能源生态领域为阿维塔科技赋能，三方共同开创领先的全新一代智能电动汽车技术平台 CHN，具备“新架构、强计算、高压充电”三大特征。基于全新的合作模式，阿维塔科技将 SEV 产业的核心能力真正掌握在了中国人自己手中。公司总部位于中国重庆，并在上海及德国慕尼黑设有分部。编委编委人员：人员：苏牧辰、黄勇、朱志博、朱文勇、韩建伟、常利汽车出海全产业数据安全合规发展白皮书汽车出海

248、全产业数据安全合规发展白皮书第 106 页 共 113 页极氪简介：极氪简介：浙江极氪智能科技有限公司（下文简称“极氪”）于 2021 年 3 月成立，同年 4 月发布极氪品牌及首款产品豪华猎装轿跑极氪 001，2022 年11 月 1 日，极氪发布第二款产品原生纯电豪华 MPV 极氪 009。2023 年12 月 27 日，极氪发布旗下首款纯电智能轿车极氪 007。极氪是一家以智能化、数字化、数据驱动的智慧出行科技公司，秉承用户型企业理念，聚焦智能电动出行前瞻技术的研发，构建科技生态圈与用户生态圈，以“共创极致体验的出行生活”为使命，从产品创新、用户体验创新到商业模式创新，致力于为用户带来极

249、致出行体验。编委人员：编委人员：冯骏、高小峰上海汽检简介：上海汽检简介：上海机动车检测认证技术研究中心有限公司（简称：上海汽检）坐落于上海安亭国际汽车城，由上海机动车检测中心于 2016 年改制转企而来，是国内外知名的第三方国家级机动车产品检测机构。作为具有全品类机动车检测资质的国检中心之一，上海汽检同时也是国家新能源机动车产品质量检验检测中心，国家内燃机质量检验检测中心，国家智能网联汽车产业计量测试中心，国内汽车专用器具计量检定站，国家市场监管总局缺陷汽车产品召回鉴定检测机构和国家进口汽车检验机构，上海市强制性计量检定机构，上海市氢燃料电池汽车产业计量测试中心（筹）及首批“自动化作业”行业研

250、发中心。汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 107 页 共 113 页编委人员：编委人员：滕添益、赵梓健、宋文霄、赵剑、都大卫、张舒航、郭春辰、戴志成上研简介上研简介：上研智联智能出行科技（上海）有限公司（简称“上研智联”），是在临港新片区管委会的指导下由临港集团牵头，上海机动车检测认证技术研究中心有限公司、工业互联网创新中心（上海）有限公司、上海临港科技创新城经济发展有限公司合资组建，旨在实现传统技术与通信技术的跨界融合，为智能网联汽车产业技术创新提供技术支撑。作为国内领先的智能网联汽车第三方专业机构，上研智联专注于自动驾驶、车联网、智慧交通领域的技术

251、研究、检测认证、产品开发和咨询规划。依托实验室、临港智能网联汽车综合测试示范区，积极开展相关领域技术服务和技术创新，支撑临港测试示范区获得工信部交通部联合认定、国家交通部自动化作业技术行业研发中心等多项资质。截至 2024 年 4 月底，为 17 家企业提供了技术服务，获得了 263 张道路测试牌照，累计开放道路测试里程 868.9 万公里，牵头及参与制定技术标准 43 项。编委人员：编委人员：杨伟利、潘政伟、宋晓航、汪敏智汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 108 页 共 113 页上海工创中心简介上海工创中心简介：中国信通院上海工创中心（以下简称“上

252、海工创中心”）是中国领先的数字化战略专家。作为工信部直属科研事业单位中国信通院的全资子公司，上海工创中心是中国信通院全球数字化战略的重要组成部分，承担推动和践行工业互联网国家战略的责任。公司目前下设检测认证、数字工业、数字健康、数字安全和硬件创新筹备中心五大事业部，聚焦新一代信息技术等前沿领域，全方位助推数字化转型，涵盖创新孵化、技术赋能、产品研发和价值交付等环节，为航天、船舶、汽车、化工、医疗、能源、消费品等行业客户提供数字化场景解决方案。编委编委人员：人员：郑忠斌、凌颖中汽科技中汽科技（上海上海）简介简介：中汽研汽车科技（上海）有限公司（简称“中汽科技（上海）”）是中国汽车技术研究中心有限

253、公司（简称“中汽中心”）的全资二级子公司，也是华东分中心的核心载体。中汽中心华东分中心覆盖江浙沪皖赣四省一市，孵化技术创新和模式创新的业务，面向汽车全产业链开展服务。作为中汽中心新兴业务的创新基地，中汽科技（上海）致力于打造“国际化汽车全产业链创新服务平台”，重点开展国际化、智能化、数字化和高端设备自主化业务，建设和引入中国汽车标准、汽车知识产权交易、燃料电池示范运行数据、中汽碳数字、汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 109 页 共 113 页国际化汽车服务、国家级智能网联研发验证、汽车先进设备自主替代、汽车性能数据、供应链安全等多个平台能力，服务长三

254、角一体化发展。编委编委人员：人员：李海斌、郭润卿、孙权、路宽、周均晖、吴雨欣上海农商银行简介上海农商银行简介：上海农村商业银行股份有限公司（以下简称“上海农商银行”）是由国资控股、总部设在上海的股份制商业银行，股票简称：沪农商行（股票代码：601825）上海农商银行注册资本为 96.44 亿元人民币，营业网点逾 360家，是上海地区营业网点最多的银行之一，也是全国首批进驻上海自贸区的中资银行。据英国 银行家 杂志统计，按一级资本排序，在 2023 年全球 1000 家大银行中，上海农商银行排名第 128 位，位列 2023 年财富中国 500 强第 310 位，标普信用评级（中国）主体信用评级

255、提升至最高等级“AAAspc”，展望稳定。在中国银行业协会 2023 年度“陀螺”评价中，位列城区农商银行综合评价第一；位列 2023 年中国银行业 100 强榜单第 23 位。编委人员：编委人员：王圆圆、王泽含汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 110 页 共 113 页银基简介银基简介：上海银基信息安全技术股份有限公司，创立于 2008 年，是一家专注于物联网安全的科技企业秉承着“创新科技、信赖与我、极致体验、工匠精神”的价值观，致力于为汽车、金融、通讯等客户提供基于行业网络信息安全产品、全方位安全解决方案和体系化安全运营服务。自 2018 年，公司

256、以智能网联汽车安全作为核心方向，自主研发车联网安全产品“数字钥匙”，与国内 50 余家主机厂达成战略合作。围绕数字钥匙，银基建立了智能网联汽车生态圈，链接主机厂、汽车互联网、投资机构、金融保险、汽车服务提供商、出行服务商等生态伙伴，协同覆盖各汽车产业环节，已推动超级试乘试驾、代客服务、保险业务等创新性合作的落地实践，加速新业态、新场景的发展与应用。银基致力于打造和守护一个 更安全、更智能、更便捷的智能网联汽车世界。编委编委人员：人员：李峰、何旺君、杨青梆梆安全简介梆梆安全简介：北京梆梆安全科技有限公司成立于 2010 年，是第一家提出移动应用加固概念并提供这项服务的厂商，国内移动应用安全领头羊

257、。我们以移动安全为核心，联动安全服务、物联网安全，构建“一体 两翼”的业务体系，为客户提供全生命周期的移动安全产品服务。现在，有超过 10 万家企业和开发者用户、超过 100 万的移动应用软件在使用汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 111 页 共 113 页梆梆安全的移动安全技术，这些应用累计安装在 10 亿移动终端上。梆梆安全已形成基于人脸识别绕过、基于屏幕共享的电信诈骗、API 泄漏、个人信息保护监管通报、移动自生安全能力建设等热点场景的移动安全解决方案。梆梆安全先后入选中国互联网 100 强企业、中国互联网成长型企业 20 强、中国网络安全企业

258、50 强，获评德勤中国高科技高成长 50 强、IDC 中国物联网安全创新者，连续 2 年当选毕马威中国汽车科技 50 强，连续 3 年入选 Gartner 应用保护市场指南。编委人员：编委人员：卢佐华、敖巧圆、张效藩、杜颖杰、张廷伦、傅瑛雪润成安全简介润成安全简介：润成安全技术有限公司（简称“润成安全”，英文缩写“YUNCHSECURITY”），是经公安部批准成立的网络安全等级测评与检测评估机构。润成安全聚集了中国网络安全界的开拓者和一批高素质的技术专家，凭借雄厚的技术资源以及可持续发展专业背景，与相关行业主管部门紧密合作，构建了等保测评服务、通保测评服务、车联网测评服务、APP 测评服务、数

259、据安全评估服务、渗透测试服务、漏洞扫描服务、安全监测服务、安全应急服务、信息安全风险评估服务等十大业务板块，服务客户涵盖政府机关、交通、金融、电力、医疗、教育、互联网及能源等多个行业，在北京、上海、天津、河南、湖南等多地提供汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 112 页 共 113 页优质完备的网络安全服务和解决方案。编委人员：编委人员：李爽、严超T T V V 南德意志集团简介：南德意志集团简介：TV 南德意志集团是值得信赖的合作伙伴，可提供安全、可靠及可持续发展相关的解决方案。我们专注于提供测试、认证、审核及知识服务。集团在全球设立了 1,000 多

260、个分支机构，并拥有近 28,000 名员工，通过实现市场准入和风险管理，为客户和合作伙伴创享价值。TV 南德意志集团通过预测技术发展和促进变革，激发人们对物理和数字世界的信任，以创造一个更安全、更可持续发展的未来。编委人员：编委人员：方华、张书源、韩疏桐汽车出海全产业数据安全合规发展白皮书汽车出海全产业数据安全合规发展白皮书第 113 页 共 113 页知行科技知行科技简介：简介：知行科技成立于 2016 年 12 月，总部位于苏州，公司于 2023年 12 月在港交所上市，目前已在德国成立子公司。公司专注于自动驾驶领域量产解决方案，产品主要包括自动驾驶域控制器及智能前视摄像头，运用知行科技的方案，车辆可以实现 L2L2+的自动驾驶功能。编委编委人员：人员：宋炜瑾声明：声明：本白皮书仅限于交流行业观点，不做商业用途、不做投资推荐、不做法律意见。文中所涉图片的版权属原权利人所有。如需进一步交流欢迎与我们联系。联系我们