为促进中国(天津)自由贸易试验区(以下简称“天津自贸试验区”)企业数据依法有序跨境流动,推进高水平对外开放,更好服务加快构建新发展格局,制定《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称《负面清单》)。
落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律规章,对接国际高标准经贸规则,探索数字领域制度型开放,通过构建数据跨境流动管理新模式,为企业数据依法有序高效出境提供便利,有效提升营商环境和企业国际竞争力。
1.坚持统筹兼顾。统筹发展和安全,坚守国家数据安全底线,在保障重要数据安全和维护个人信息权益的基础上,促进数据资源有序流动和开发利用,推动数字经济和数字贸易高质量发展。
2.坚持便捷合规。发挥天津自贸试验区先行先试政策优势,研究建立依法有序的数据跨境流动管理模式,探索形成数据跨境流动的便利化管理机制。
3.坚持简明实用。按照数据出境安全评估、个人信息出境标准合同、个人信息保护认证等国家数据出境管理制度要求,结合天津自贸试验区企业、机构数据出境的实际需求,制定可操作、可落地的《负面清单》,便于企业掌握和执行。
4.坚持动态调整。根据国家数据安全形势和天津自贸试验区企业主体、数据出境场景等变化,动态调整《负面清单》内容,实现保障安全与促进发展相统一。
《负面清单》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸试验区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理,相关数据出境按照有关法律、法规和规定执行。
《负面清单》在使用过程中出现的新情况、新问题,由市网信办、市商务局、市数据局、天津自贸试验区管委会会同有关部门协商沟通,共同研究制定对策措施,并做好解释说明。国家行业主管部门相关政策规定发生变化,《负面清单》内容与其不一致的,从其规定。
1.落实数据分类分级管理要求。严格遵循法律法规和国家行业主管部门数据分类分级要求,国家行业主管部门或本市认定的重要数据纳入本清单管理,遵守国家相关数据出境管理要求。
2.加强个人信息保护。围绕保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用,将不同规模、不同类型个人信息出境纳入《负面清单》管理。
3.服务企业高质量发展。根据企业国际贸易、对外交流的数据出境需要,明确了出境数据管理的类别、基本特征与描述等内容,降低企业、机构数据出境合规成本,提升竞争力。
4.规范数据出境行为。加强天津自贸试验区数据出境安全风险监测能力建设,从机构队伍、技术手段等方面提升数据出境事中事后监管能力,及时发现处置违法违规数据出境行为。加强对天津自贸试验区数据出境政策制度标准的宣传解读,提升企业合规意识。
本清单将根据相关法律法规和本市实际需要进行适时修订。
解读:《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》答记者问
5月9日,天津自贸试验区管委会、天津市商务局联合公布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称《负面清单》)。有关单位负责人就《负面清单》相关问题回答了记者提问。
问1:请介绍一下《负面清单》制定的背景和意义?
答:推动数据安全有序跨境流动是高水平对外开放的重要内容,也是当前全球经贸发展的热点议题。我国积极推动数据依法有序自由流动,相继出台实施《网络安全法》《数据安全法》《个人信息保护法》,对数据出境活动作出明确规定。落实法律规定要求,先后公布《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。2023年8月,国务院印发《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,支持天津等地探索便利化的数据跨境流动安全管理机制。今年3月22日,国家网信办公布《促进和规范数据跨境流动规定》,提出自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单),按程序报批后实施。这为我们制定《负面清单》提供了政策遵循。
在国家网信办、国家数据局等部委的大力支持和精心指导下,天津市委、市政府提前谋划、超前部署数据跨境流动制度创新,着眼对接国际高标准经贸规则,打造市场化、法治化、国际化一流营商环境,履行天津自贸试验区“为国家试制度”使命,探索具有天津特色的数据领域制度型开放路径,天津自贸试验区制定了《负面清单》,经市委网信委批准后,报国家网信办、国家数据局备案同意,于5月9日正式公布,成为全国第一个自贸试验区数据出境管理负面清单,为其他自贸试验区提供了“天津经验”、打造了“天津样板”,发挥了数据跨境流动政策创新开路先锋的重要作用。
《负面清单》代表着更大范围的对外开放。《负面清单》列明了天津自贸试验区内企业开展数据出境活动的管理范围,《负面清单》之外的数据可以自由跨境流动,与之相对的是“正面清单”,即只有清单内的数据才可以自由跨境流动,本质上讲,负面清单制度代表着更加开放的态度,也是对接CPTPP、DEPA等高标准国际经贸规则的积极探索。《负面清单》在划出安全底线的前提下,有助于便利化企业数据跨境流动。近年来,随着各部委协同发力,我国数据出境安全管理制度基本建立,但是企业在执行相关规定时仍然面临一些不确定性,比如重要数据定义较为笼统、缺少具体识别标准等,企业难以判断出境数据是否属于重要数据。天津自贸试验区在现有法律框架下制定实施《负面清单》,明确了包括重要数据在内的,需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,填补了该领域制度空白,为有效解决企业数据出境难题、助力培育国际经济合作和竞争新优势提供了制度保障。
问2:《负面清单》的主要内容是什么?
答:《负面清单》主要包括以下几部分内容:一是明确文件制定的目的意义。二是确立坚持统筹兼顾、便捷合规、简明实用、动态调整的基本原则。三是说明《负面清单》的适用范围。《负面清单》列明了天津自贸区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理,相关数据出境按照有关法律、法规和规定执行。四是提出《负面清单》主要考虑因素。要求落实数据分类分级管理要求、加强个人信息保护、服务企业高质量发展、规范数据出境行为。五是明确需要纳入管理的数据清单。在天津自贸试验区企业数据分类分级的基础上,将出境数据分为13大类46子类,每个子类均对数据基本特征作出详细描述,并给出具体示例。
问3:《负面清单》中提到的数据出境包括哪些场景?
答:根据国家网信办发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,数据出境行为包括:一是数据处理者将在境内运营中收集和产生的数据传输至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。三是符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
问4:《负面清单》中提到的重要数据是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
问5:《负面清单》中提到的个人信息、敏感个人信息是什么,如何区分?
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
关于个人信息和敏感个人信息的识别与区分,可以参考国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)。
问6:《负面清单》与日前国家网信办出台的《促进和规范数据跨境流动规定》关系是什么?
答:国家网信办制定《促进和规范数据跨境流动规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。《负面清单》是《规定》制度框架下的地方实践。一方面,《促进和规范数据跨境流动规定》为《负面清单》的制定出台提供了政策依据。另一方面,《负面清单》严格落实《规定》要求,《负面清单》划定的天津自贸试验区纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理的数据,已排除了《规定》中的豁免情形。即符合《规定》中免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据,不纳入《负面清单》管理。
问7:《负面清单》与《中国(天津)自由贸易试验区企业数据分类分级标准规范》关系是什么?
答:推动数据分类分级,是《数据安全法》的明确要求,也是促进和规范数据跨境流动的基础性、先导性工作。前期,在国家数据分类分级框架下,我们结合天津自贸试验区实际,制定出台了《中国(天津)自由贸易试验区企业数据分类分级标准规范》,适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级,将企业数据分成13大类40子类,从高到低分为核心、重要、一般3个级别,明确了重要数据的识别标准。
《标准规范》聚焦天津自贸试验区企业数据的分类分级,不论企业相关数据是否出境,均需按照规定程序开展分类分级工作,而《负面清单》则是在天津自贸试验区的企业有数据出境需求时使用。《负面清单》在《标准规范》基础上,对各行业领域的需跨境流动的重要数据识别给出了更加详细具体的识别标准,同时给出了示例,便于企业判断。此外,《负面清单》提出,“国家行业主管部门或本市认定的重要数据,自动纳入本清单管理”,所以依据《标准规范》识别确定的重要数据纳入《负面清单》管理,在出境时需申报数据出境安全评估。
问8:天津自贸试验区的企业如何使用《负面清单》?
答:根据《负面清单》的适用范围,天津自贸试验区内有数据出境需求的企业,应当对照《负面清单》识别其拟出境数据是否在清单范围内,在清单范围内的数据按照国家规定、根据实际情况申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,清单外数据可以自由跨境流动。比如,化学工业领域某企业计划向境外某公司传输某危化品的运输路线规划信息,根据《负面清单》中工业类的化学工业子类数据基本特征与描述,该信息应当纳入需要申报数据出境安全评估的数据清单管理,该信息出境应当申报数据出境安全评估。
问9:如何理解《负面清单》中需要申报数据出境安全评估的数据清单和需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单?
答:《促进和规范数据跨境流动规定》第七条明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据;二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。《负面清单》将《规定》第七条中涉及个人信息的情形总结为第44、45两项子类,将涉及重要数据的情形,结合天津自贸试验区实际,细化为12大类43子类数据,符合其数据基本特征与描述的数据,按照重要数据管理,纳入需要申报数据出境安全评估的数据清单。该清单中的数据出境,需要申报数据出境安全评估。
关于需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单,其内容表述与《规定》第八条一致。该清单中的数据出境,需要订立个人信息出境标准合同或者通过个人信息保护认证。
问10:如何理解《负面清单》中的备注?
答:《负面清单》中的备注是对其相应子类的补充说明,大致可分为3类:一是免予管理备注,比如,气象子类的备注为“已由气象等相关部门公开发布的数据除外”,将行业领域主管部门已公开发布的数据免予纳入需要申报数据出境安全评估的数据清单,《负面清单》中大部分备注属于此类;二是纳入管理备注,比如,环保子类的备注为“已单项公开但未按照区域、行业统计整理后公开的数据纳入清单管理”,明确了需要纳入申报数据出境安全评估数据清单的特殊情形;三是解释说明备注,比如,应急管理子类的备注为“‘一定精度’‘一定范围’‘一定规模’的具体要求以应急管理等相关部门发布的政策文件为准”,进一步解释说明了子类描述中较为笼统的概念。
问11:天津自贸试验区的企业开展数据出境活动,哪些数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
答:对天津自贸试验区的企业来说,以下七种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
