A nova regulação da china sobre Transferência Transfronteiriça Segura de Dados Automotivos – Edição 2026, amplia significativamente o conceito de dados sensíveis ao incluir ativos digitais veiculares, sistemas de controle, certificados digitais e dados de coordenação veículo-infraestrutura como elementos críticos, mesmo quando não estão diretamente associados a um indivíduo identificável.
Em 3 de fevereiro de 2026, o Ministério da Indústria e Tecnologia da Informação da China (MIIT), autoridade reguladora do setor automotivo, e a Administração do Ciberespaço da China (CAC), responsável pela regulação de dados, em conjunto com outras seis autoridades governamentais, publicaram a Orientação para a Transferência Transfronteiriça Segura de Dados Automotivos (Edição 2026). O novo documento concentra-se principalmente na transferência internacional de dados pessoais no setor automotivo e na identificação de dados classificados como importantes.
Para fins regulatórios, dados automotivos abrangem tanto dados pessoais quanto dados importantes envolvidos nas atividades de projeto, fabricação, comercialização, uso e operação de veículos. Já os controladores de dados automotivos são definidos como organizações ou indivíduos que determinam, de forma independente, as finalidades e os meios de processamento desses dados. Esse grupo inclui fabricantes de veículos, fornecedores de peças e software, operadoras de telecomunicações, provedores de serviços de direção autônoma, operadores de plataformas digitais, concessionárias, oficinas de manutenção, prestadores de serviços de mobilidade e outros participantes da cadeia automotiva.
Transferência transfronteiriça de dados pessoais no setor automotivo
A nova orientação introduz isenções adicionais relevantes. De acordo com o texto, os controladores de dados automotivos não serão obrigados a assinar ou registrar as Cláusulas Contratuais Padrão da China para transferência internacional de dados pessoais (China SCCs), nem a obter aprovação prévia da CAC, para transferir ao exterior determinados dados pessoais automotivos. Essa dispensa se aplica independentemente da sensibilidade ou do volume dos dados transferidos, desde que tais informações não sejam enquadradas como dados importantes por outros critérios regulatórios.
Entre as categorias abrangidas pelas isenções estão: dados relacionados a vulnerabilidades de segurança já reportadas ao MIIT conforme os Regulamentos sobre a Gestão de Vulnerabilidades de Segurança em Produtos de Rede; dados sobre incidentes de segurança envolvendo produtos automotivos, plataformas de veículos conectados e sistemas correlatos, desde que previamente comunicados ao MIIT e aos reguladores setoriais competentes, de acordo com os planos de resposta a incidentes de cibersegurança e segurança de dados; e o código-fonte correspondente a pacotes de software de atualização OTA, desde que já registrado junto à Administração Estatal para Regulamentação de Mercado nos termos dos Regulamentos sobre o Recall de Produtos Automotivos Defeituosos.
Fora dessas hipóteses, continuam válidas as regras gerais existentes sobre transferência internacional de dados pessoais, que permanecem aplicáveis aos controladores de dados automotivos.
Identificação de dados importantes no setor automotivo
Com a entrada em vigor dos Regulamentos de Gestão da Segurança de Dados de Rede em 1º de janeiro de 2025, a abordagem regulatória chinesa passou por uma mudança gradual. Em vez de os reguladores setoriais identificarem proativamente os dados importantes e publicarem catálogos oficiais, a responsabilidade passou a recair sobre os próprios controladores de dados, que devem identificar esses dados e submeter os resultados às autoridades competentes.
Em linha com essa nova lógica, a orientação de 2026 estabelece critérios técnicos e operacionais para a identificação de dados importantes envolvidos em dados automotivos, considerando cinco grandes contextos e nove subcontextos específicos.
No campo de pesquisa e desenvolvimento, são incluídos dados coletados ou gerados durante processos colaborativos globais de P&D, como listas de materiais, documentação técnica de design e códigos-fonte de desenvolvimento, além de dados obtidos em simulações, testes em pistas fechadas e testes em vias públicas.
Na etapa de fabricação e produção, entram em foco os códigos-fonte de programas de controle de materiais e de processos produtivos utilizados na manufatura de veículos.
No contexto de direção automatizada, são considerados dados relevantes os algoritmos, dados de treinamento e dados de recursos utilizados no desenvolvimento, na implantação e na operação de sistemas avançados de assistência ao condutor e de direção autônoma.
Também são abrangidos os serviços de atualização de software, especialmente os códigos-fonte associados a pacotes que atualizam funções críticas de segurança veicular, direção e gerenciamento de baterias.
Operação de veículos conectados e dados veiculares sensíveis
Um dos pontos centrais da nova orientação está na operação conectada de veículos.
O documento especifica como dados importantes aqueles coletados ou gerados durante a operação de veículos conectados, incluindo códigos de identificação do veículo, identificadores de cartões telemáticos1, chaves do veículo, certificados digitais do veículo e comandos de controle utilizados na operação veicular.
Também são incluídos dados de percepção veículo-estrada, como imagens externas do mundo real, dados de radar, trajetórias de localização, dados de navegação inercial, mapas utilizados para direção autônoma e informações relacionadas à composição desses dados. Além disso, a orientação abrange dados de computação por fusão utilizados na análise e coordenação entre veículos e infraestrutura viária, bem como dados gerados na construção, operação e manutenção de plataformas V2X, incluindo planejamento de rede, operação de carregamento e informações voltadas à garantia de segurança.
Em comparação com as Disposições sobre a Gestão da Segurança de Dados Automotivos (Implementação de Testes), que entram em vigor em janeiro de 2025, os critérios estabelecidos pela nova orientação são significativamente mais detalhados e granulares. Um ponto de destaque é que dados pessoais de mais de 100 mil titulares deixam de ser automaticamente classificados como dados importantes sob as novas diretrizes.
Os controladores de dados automotivos passam a ser responsáveis por elaborar seus próprios catálogos de dados importantes e submetê-los às autoridades regulatórias competentes, embora o texto não detalhe como esse processo deverá funcionar na prática.
Novos requisitos para transferências internacionais de dados
A orientação de 2026 também estabelece medidas técnicas e organizacionais obrigatórias para a transferência transfronteiriça de dados automotivos. Entre os requisitos estão a designação de departamentos e profissionais específicos responsáveis pelo tema, a criação de políticas internas formais para aprovação de transferências, a manutenção de registros detalhados das operações por um período mínimo de três anos e a adoção de criptografia durante o trânsito dos dados.
Além disso, o documento impõe exigências específicas quanto à retenção de amostras de tráfego de comunicação de rede associadas às transferências internacionais de dados.
Trata-se da primeira vez que os controladores de dados automotivos recebem orientações tão claras e detalhadas sobre a identificação de dados importantes e a gestão de transferências internacionais. A expectativa é de que as autoridades locais passem a fiscalizar o cumprimento dessas regras de forma mais rigorosa, tornando essencial que os agentes do setor automotivo atuem desde já para garantir conformidade regulatória.
Impactos regulatórios e leitura estratégica das novas diretrizes
As novas orientações chinesas sinalizam uma mudança clara de prioridade regulatória: o foco deixa de estar apenas na proteção abstrata de dados pessoais e passa a se concentrar na infraestrutura digital dos veículos conectados.
Ao tratar códigos de identificação do veículo, identificadores telemáticos, chaves digitais, certificados digitais veiculares e comandos de controle como elementos centrais na classificação de dados importantes, a China reconhece formalmente que esses ativos digitais têm impacto direto sobre segurança nacional, segurança viária e soberania tecnológica.
Na prática, esses elementos deixam de ser vistos apenas como dados técnicos ou operacionais e passam a integrar o núcleo regulatório de proteção de dados estratégicos. Isso afeta diretamente fabricantes globais, fornecedores de software embarcado, plataformas de conectividade veicular, operadores de V2X e empresas que operam ecossistemas de mobilidade inteligente com fluxos internacionais de dados. Operadores de V2X são as empresas ou entidades responsáveis por implantar, operar e manter os sistemas e plataformas de comunicação V2X (Vehicle-to-Everything), que permitem que veículos conectados troquem informações em tempo real com outros veículos, com a infraestrutura viária e com sistemas externos
Outro ponto relevante é a transferência explícita da responsabilidade regulatória para os controladores de dados. Ao exigir que as próprias empresas identifiquem, classifiquem e cataloguem seus dados importantes, o regulador chinês reforça o princípio da autorresponsabilização, mas mantém forte poder de fiscalização e sanção. A ausência de diretrizes operacionais detalhadas sobre como esses catálogos serão avaliados cria, deliberadamente, uma zona de incerteza regulatória que tende a ser preenchida por fiscalização caso a caso.
Comparação com LGPD e GDPR: convergências e diferenças
Embora o modelo chinês seja substancialmente mais centralizado e vinculado a interesses estratégicos do Estado, há pontos de convergência relevantes com a Lei Geral de Proteção de Dados (LGPD) e com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Assim como na LGPD e no GDPR, observa-se a consolidação do princípio de accountability, no qual o controlador deve demonstrar conformidade contínua, documentada e verificável. A exigência de registros de transferência por, no mínimo, três anos e a adoção obrigatória de criptografia em trânsito dialogam diretamente com práticas já consolidadas nos regimes ocidentais.
No entanto, a principal diferença está na natureza dos dados protegidos. Enquanto LGPD e GDPR concentram-se predominantemente em dados pessoais relacionados à pessoa natural, a abordagem chinesa amplia significativamente o conceito de dados sensíveis ao incluir ativos digitais veiculares, sistemas de controle, certificados digitais e dados de coordenação veículo-infraestrutura como elementos críticos, mesmo quando não estão diretamente associados a um indivíduo identificável.
Esse ponto aproxima a regulação chinesa mais de um modelo de segurança cibernética e infraestrutura crítica do que de uma legislação puramente voltada à privacidade.
Certificados digitais veiculares e identidade do veículo como ativo regulado
Ao mencionar explicitamente certificados digitais do veículo e comandos de controle como dados relevantes, a orientação reforça a noção de que o veículo conectado passa a ser tratado como uma entidade digital autônoma, com identidade própria, chaves criptográficas e mecanismos de autenticação e autorização.
Esse enquadramento tem implicações diretas para arquiteturas de segurança veicular, gestão de identidade de dispositivos (IoT), modelos de PKI automotiva e estratégias de atualização remota de software. A transferência internacional desses elementos passa a exigir controles técnicos robustos, governança clara e justificativas regulatórias consistentes.
Além disso, a inclusão de comandos de controle na categoria de dados sensíveis reforça a preocupação do regulador com riscos de interferência remota, sabotagem, manipulação de sistemas de direção assistida ou autônoma e exploração de vulnerabilidades em cadeias globais de software.
Tendência de fiscalização e impactos para empresas globais
Ao final, a orientação deixa claro que esta é a primeira vez que o setor automotivo recebe diretrizes tão específicas e detalhadas sobre identificação de dados importantes e transferências internacionais. A expectativa declarada de aplicação mais rigorosa pelas autoridades locais indica que a fase de adaptação regulatória está se encerrando.
Para empresas multinacionais, o impacto não é apenas jurídico, mas também operacional e arquitetural. Estratégias de centralização global de dados, treinamento de algoritmos fora da China, manutenção remota de sistemas e gestão unificada de certificados digitais precisarão ser revistas à luz dessas novas exigências.
Mais do que uma atualização normativa, a orientação de 2026 consolida a visão chinesa de que dados automotivos, identidade digital veicular e sistemas de controle são ativos estratégicos, cujo fluxo internacional deve ser rigidamente controlado
SSL: Tipos de certificados para proteger seu site
SSL embarcado em equipamentos médicos e carros inteligentes. Entrevista com a DigiCert – CryptoID
- identificadores telemáticos são códigos e identificadores digitais usados para reconhecer, autenticar e rastrear um veículo dentro de sistemas de conectividade. ↩︎
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
Em nossa coluna LEGALTECH, sobre direito e tecnologia, você encontra excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
