2024年5月9日,中国(天津)自由贸易试验区管理委员会与天津市商务局联合发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(下称
《负面清单》
),清单内的数据出境纳入监管。
5月17日,中国(上海)自由贸易试验区临港新片区发布全国首批数据跨境场景化一般数据清单及清单配套操作指南(下称
《一般数据清单》
),涵盖智能网联汽车、公募基金、生物医药三大领域,清单内的数据不纳入监管。
这两类不同性质(负面+正面)数据清单是继2024年3月国家网信办发布新规放松数据出境限制后,自贸区为给企业提供更明确的合规指引进行的初步尝试与探索。但是,两份清单在减轻企业当前数据出境合规负担方面的影响可能有限。以下谨对两份清单作简要解读,以期帮助企业更好地理解清单内容,把握合规要点。
一、 自贸区数据跨境流动清单的制定背景
自2021年11月1日《个人信息保护法》生效以来,企业只要向境外传输个人信息或重要数据,无论何种规模,均需要通过申报数据出境安全评估或订立个人信息出境标准合同或通过个人信息保护认证(下称
“三路径”
)来满足合规要求。在此要求下,企业的数据出境合规负担相对较重,对外商投资热情、经济发展产生了负面影响。
在此背景下,我国自2023年起出台了一系列的文件,探索在确保国家安全的前提下,适当放宽数据跨境流动的限制。具体而言:
-
2023年7月25日,国务院印发《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,强调要探索便利化的数据跨境流动安全管理机制,并支持在北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单,建设服务平台以提供数据跨境流动合规服务。
-
2024
年
3
月
22
日,国家互联网信息办公室(下称
“
网信办
”
)发布《促进和规范数据跨境流动规定》(下称
“
《规定》
”
),一方面放宽了三路径在个人信息出境上的适用门槛,增加了豁免场景;另一方面赋予了各自贸区更大的自主权,允许其根据实际情况自行制定区内数据出境的负面清单。未包含在负面清单内的数据可以自由跨境流动,无需进行数据出境安全评估、签订个人信息出境标准合同或通过保护认证。
基于以上两项规定,天津和上海临港自贸区陆续发布了《负面清单》和《一般数据清单》。
二、 自贸区数据跨境流动清单出台概况
迄今为止,只有天津和上海临港自贸区发布了数据跨境流动清单,概况如下:
上述清单的适用需要结合所在自贸区的数据分类分级方面的规范,概况如下:
三、 数据跨境监管框架及已出台清单要点简介
当前,我国的数据出境监管仅针对两类数据:个人信息和重要数据。根据《规定》,三路径分别在以下场景下适用:
-
个人信息:
a.
关键信息基础设施运营者(CIIO)向境外提供个人信息,以及非CIIO运营者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,需申报数据出境安全评估。
b.
非CIIO运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,需订立个人信息出境标准合同、通过个人信息保护认证。
c.
为订立、履行合同、人力资源管理、紧急情况,确需向境外提供个人信息,可以豁免。
在上述框架的基础上,天津和上海临港自贸区分别制定了负面清单和正面清单,进一步明确了该区域内纳入和排除出境监管的数据范围。
(一) 负面清单:天津自贸区《负面清单》
天津自贸区于2024年5月9日出台的《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024 年版)》是我国出台的第一部自贸区数据跨境负面清单。
《负面清单》的适用范围仅限于天津自贸区内的企业,明确规定这些企业向境外提供不在清单列明范围内的数据,无需经过三路径。但是,涉及国家秘密的数据、核心数据、政务数据的数据出境不纳入负面清单管理。此外,国家行业主管部门或天津市认定的重要数据纳入清单管理。
《负面清单》分为两大部分,第一部分为数据出境安全评估清单,第二部分为标准合同、保护认证清单。整体来看,这两部分似乎都不能直接减轻企业当前数据出境的合规负担。具体而言:
-
个人信息出境两部分都涉及,但都只是重申了《规定》中的三路径适用门槛,未进一步增加豁免场景或数据类型。
-
重要数据仅涉及第一部分,但根据《中国(天津)自由贸易试验区企业数据分类分级标准规范》(下文简称“《天津分类分级标准》”)的规定,重要数据目录是由临港新片区管委会负责制定。
因此,第一部分的作用似乎只是在目录出台前,给企业一些指引,明晰哪些特征和类型的数据可能会被纳入未来的重要数据目录。
具体指引方式如下:
a.
采用定量与定性相结合的方法,在
《天津分级分类标准》
的基础上,将出境数据分为战略物资和大宗商品类、工业类、金融类、科学技术类等12大类以及43子类,且每个子类均对数据基本特征作出了详细描述,并给出了具体示例。
例如,在互联网平台服务领域,向境外传输互联网平台掌握的具有舆论属性或者社会动员能力的数据,如政府官员、退伍军人等敏感人群的行为分析数据,涉及军工、党政机关、关键信息基础设施客户的服务记录数据等,需要申报数据出境安全评估。
b.通过备注的形式对免予管理和纳入管理的数据类型予以了明确,但范围有限。具体而言,已经由相关部门公开的,或者是企业在商务谈判、进出口贸易等一般性商业活动中产生的数据,不纳入清单管理。但是,在环保领域,已单项公开但未按照区域、行业统计整理后公开的仍需数据纳入清单管理。
6
(二) 正面清单:上海自贸区临港新片区《一般数据清单》
2024年5月17日,上海自贸区临港新片区
管委会发布了全国首批数据跨境场景化一般数据清单及清单配套操作指南。
《一般数据清单》仅适用于登记注册在上海自贸区及临港新片区范围内且不属于关键信息基础设施运营者的相关领域的企业,在相关场景之下于临港新片区内开展相关一般数据的跨境流通活动。
一般数据是核心数据、重要数据外的其他企业数据。根据《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(下文简称
“《临港分类分级管理办法》”
,核心数据禁止跨境,重要数据由临港新片区管委会制定重要数据目录,一般数据形成一般数据清单。
对于临港一般数据清单内的数据,数据处理者向临港新片区管委会申请登记备案,并在满足相关管理要求的情况下可自由跨境流动。但是,若相关领域出台场景化重要数据目录,则该领域的一般数据清单自动失效。
首批一般数据清单包含
智能网联汽车、公募基金、生物医药
3个领域,涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景,划分成64个数据类别与600余个字段。但是,与《负面清单》类似,这三个领域的一般数据禽蛋似乎也不能直接减轻企业当前数据出境的合规负担。
下文将介绍三个领域中不同的场景下需要纳入管理的数据类别:
智能网联
汽车领域的正面清单涉及4个场景23个数据类别与158个字段。
智能网联汽车数据的监管一直是业界关注的焦点,2021年颁布的《汽车数据安全管理若干规定(试行)》为汽车行业的重要数据划定了明确的范围。在此次发布的《一般数据清单》中,对于智能网联汽车中被界定为重要数据的部分,如包含人脸信息、车牌信息的视频和图像数据,以及涉及国家经济运行的库存和物流供应链数据等,均未被纳入。例如,《一般数据清单》要求,VIN号跨境传输至数据接收方后应无法直接或间接识别到个人并且其中涉及的视频、图像数据不应包含人脸、车牌等个人信息。
2. 生物医药
生物医药领域的正面清单涉及5个场景30个数据类别与148个字段。
生物医药领域因涉及大量敏感的个人信息,已成为数据跨境流动监管中的一个特殊且关键的焦点。为确保个人隐私安全,同时减轻该场景下的合规负担,《一般数据清单》要求对涉及个人的数据进行去标识化处理,相较于《个保法》匿名化的要求有所降低。此外,针对涉及人类遗传资源信息的数据,数据处理者需严格遵守《中华人民共和国人类遗传资源管理条例》的相关规定。
3. 公募基金
公募基金领域的正面清单涉及2个场景11个数据类别与344个字段。
上述数据排除了可能影响或危害国家经济秩序和金融安全的数据,以及通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用的数据。
(二) 两清单对比及对企业合规负担的影响
基于上述介绍,上海自贸区临港新片区《
一般数据清单》与天津自贸区《负面清单》主要有以下两点区别:
但是,对于企业而言,两份清单可能都不能直接减轻企业当前的数据出境合规负担。具体而言,在个人信息出境方面,两清单均未新增豁免的出境场景或数据类型;在重要数据出境方面,两清单均无权直接制定目录,只是从正面和反面罗列了一些数据的特征和类型,给企业一些指引,哪些数据未来可能不会或者会纳入重要数据目录。
四、 总结及合规建议
当前,数据跨境流动已成为国际经贸活动的重要组成部分。《负面清单》和《一般数据清单》的出台体现了自贸区在放宽不必要的数据出境限制、给企业更加明确的指引、优化外商投资环境方面的前期尝试。预计未来,各自贸区还会持续发布更加详细的、可落地的清单,并根据实践,对已发布的清单进行调整。
考虑到当前的自贸区数据跨境流动清单并未实质降低《规定》中三路径的适用标准,建议区内外的企业对照《个保法》、《规定》及适用的重要数据目录,梳理数据出境场景、数据类型和数量,评估是否触发三路径的适用门槛,并采取包括但不限于起草个人信息出境影响评估报告等相应的合规措施。与此同时,建议自贸区内企业密切关注区内清单的出台情况,结合更明确的指引,进行数据梳理和合规。
1.
https://www.china-tjftz.gov.cn/contents/10806/282636.html
