继天津自贸区出台数据出境负面清单、上海自贸区临港新片区发布数据跨境的一般数据清单后,2024年8月30日,北京市互联网信息办公室(“北京网信办”)、北京市商务局、北京市政务服务和数据管理局联合发布《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称“《管理办法》”)及《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“《负面清单》”)。这标志着北京在数据跨境方面的一大重要便利化措施的落地。
同时,北京网信办还发布了包含《中国(北京)自由贸易试验区数据出境管理清单(负面清单)实施指南(第一版)》《北京市企业数据出境合规指引》等在内的《北京市数据跨境流动便利化服务指南(2024版)》,为北京企业数据跨境活动提供更清晰的指引。
《负面清单》如何使用?《负面清单》与此前的《促进和规范数据跨境流动规定》有何不同?北京网信办又针对数据跨境出台了什么便利措施?本文将围绕《负面清单》进行梳理,以帮助企业更好的开展数据跨境合规工作。
一、 《负面清单》出台背景
近年来,我国高度重视数据跨境流动管理,国家网信办先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》等构建起我国数据跨境流动管理制度的基本框架。随后,为促进数据的安全有序流动,国家网信办于2024年3月22日发布了《促进和规范数据跨境流动规定》(下称“数据跨境新规”),一定程度上放宽了个人信息出境适用安全评估申报、标准合同备案及个人信息保护认证(“三路径”)的门槛,增加了豁免场景。同时,还赋予了各自贸区更大的自主权,明确授权各自由贸易试验区可自主制定适用于本区的数据出境管理负面清单,未包含在负面清单内的数据可以自由跨境流动,无需进行数据出境安全评估、签订个人信息出境标准合同或通过保护认证。
北京一直是我国全球化经济的重要枢纽,截至2024年3月,落地北京的跨国公司地区总部已达244家。在此背景下,为应对北京企业数据出境需求,探索保障数据安全的前提下促进数据高效便利流动,北京出台了北京自贸区的数据出境负面清单。
二、 《负面清单》适用对象与使用
(一) 适用对象
《管理办法》第六条规定,“本办法所称数据处理者,是指北京自贸试验区内登记注册、开展数据跨境流动等相关活动的企业、事业单位、机构、团队或其他组织。”即只有在北京自贸试验区登记注册且在该区域内开展数据跨境流动的有关主体,才可使用《负面清单》数据出境。除此之外,还需要注意该企业所处行业是否已纳入负面清单。
a.如果出境数据属于负面清单内的行业、领域,数据处理者可按照《管理办法》申请使用负面清单,并进行负面清单备案。
b.如果出境数据属负面清单外的行业、领域,则应当按《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》等国家相关规定执行。
(二) 《负面清单》的使用
企业要使用《负面清单》出境数据,需要通过北京市数据跨境便利化服务平台(网址:https://sjcj.bjcert.org.cn)申请备案。自贸区企业申请后由朝阳、海淀、昌平、通州、顺义、大兴、亦庄等7个自贸组团审核,经北京市商务部门会同北京网信办、数据部门研判确认后,出具备案结果通知书。整个申请、备案流程均在线上平台完成,企业按照备案通知书出境。
其中,申请和备案程序所需材料不同。申请时需提交数据出境负面清单使用申请表及企业身份、经办人身份证明文件;备案时则需要提交数据出境负面清单备案申报表、承诺书,涉及个人信息出境的还需要提供个人信息保护影响评估报告。
具体程序如下:
需要注意的是,如备案通知书要求通过三路径数据出境的,则数据处理者应当在收到结果通知书之日起3个月内向所在地自贸组团报告数据出境合规情况。因此,对于可能通过三路径出境的自贸区数据处理者可以在申请使用负面清单的同时,同步准备适用三路径的相关材料。
此外,《管理办法》还规定了《负面清单》的监管要求。各自贸组团应组织专业技术机构就数据实际出境情况与备案材料进行一致性抽验,对于数据处理者的违规行为,各自贸组团可责令其暂停数据出境活动,要求限期整改,整改完成后重新履行负面清单申请、备案程序;情节严重的,终止其数据出境活动,对其采取重点监管措施,并及时向市级管理部门上报有关情况。
三、 《负面清单》要点:重要数据的列举与个人信息出境要求的放宽
《负面清单》作为北京自由贸易试验区的创新举措,分行业、分场景、分字段列举了需要安全评估、标准合同备案和个人信息保护认证的数据类型。首批清单覆盖了汽车、医药、零售、民航、人工智能五个领域的23个业务场景,根据相关行业领域数据出境特点,从重要数据、个人信息两个方面进行规定和说明。
在重要数据方面,《负面清单》通过增加限定条件和示例说明,进一步细化了出境重要数据的认定条件,增强了清单的可操作性和执行性;对于个人信息,相较于数据跨境新规,《负面清单》对允许出境的个人信息和敏感个人信息规模进行精准量化并适度放宽,以适应不同企业的特定需求,提升数据出境的便利度和实用性。
(一) 汽车行业
针对汽车行业,《负面清单》规定其适用的汽车企业包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等,但不适用于自动驾驶领域相关企业。
1. 重要数据
《负面清单》规定七类重要数据子类,对《汽车数据安全管理若干规定(试行)》中所规定的五个汽车重要数据的范围进行了补充和细化,增加了车辆研发、测试和车联网信息服务场景中的路牌信息、包含车辆远程操控、车辆工况等的关键车联网信息服务数据、OTA在线升级数据、包含电控单元等到售后数据、涉及车联网关键设备和系统组件供应链安全、交通行业关键信息基础设施保护情况的数据、以及涉及车联网信息服务的关键信息基础设施的相关数据,并明确了部分类别重要数据的应用场景,并对其定义与范围提供了字段级的说明。
2. 个人信息
针对自贸区内汽车行业的个人信息出境,《负面清单》规定的需通过安全评估、标准合同备案、个人信息保护认证的数量门槛均与数据跨境新规要求一致。
《汽车数据安全管理若干规定(试行)》规定了“涉及个人信息主体超过10万人的个人信息”属于重要数据,但《负面清单》则没有同样的规定。因此,自贸区的汽车数据处理者不会仅因为拟出境个人信息数量超过10万人而需申报安全评估。
(二) 医药行业
《负面清单》适用的医药制造业企业包括化学药品原料药制造、化学药品制剂制造、生物药品制造企业等。
1. 重要数据
《负面清单》规定了在临床试验、药物研发、药物警戒、诊疗服务、医疗卫生专业人士管理、商业合作伙伴管理场景下的三类重要数据。包括:
a.一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据、特定药品实验数据等;
b.一定规模以上特定领域、特定群体、特定区域的生物特征数据、医疗资源数据;
c.纳入医疗资源数据包括医疗卫生机构数、床位数、医疗卫生人员数量等。
2. 个人信息
《负面清单》分场景、分字段区分了医药行业需通过三路径数据出境的门槛。对于临床试验、药物研发、药物警戒、产品投诉、医学问询、产品投诉、医疗卫生专业人士管理场景的个人信息出境要求有较大程度的放宽。具体而言:
(三) 民航业
《负面清单》适用于民用航空运输业领域相关企业,包括航空旅客运输、航空货物运输、通用航空服务、民用航空器维修企业等,但航空器制造以及其它非民用航空业务不适用本清单。
1. 重要数据
针对民航业的重要数据,主要包括航空器安全保障场景、航空器维修场景及研发、生产制造场景。包括四类数据:
a.涉及民用航空器事故的飞行数据记录器数据;
b.涉及民用航空器事故的驾驶舱语音记录器数据;
c.涉及民用航空器事故的航空器健康状况监测数据;
d.纳入出口管制或技术出口管理事项的数据。
2. 个人信息
由于航空业的服务业属性,会收集大量客户信息,《负面清单》对航空业客户服务场景的个人信息出境较大程度放宽了要求。具体而言:
(四) 零售与现代服务业
《负面清单》适用于主要包括面向消费者的零售、住宿、餐饮、软件和信息技术服务、互联网信息服务等相关企业,但是,仅适用于零售与现代服务业中会员管理场景下涉及的个人信息。
1. 重要数据
《负面清单》并未列举该领域的重要数据。
2. 个人信息
与航空业类似,零售与现代服务业也会收集大量用户信息,因此,对于会员管理场景的个人信息出境,《负面清单》放宽了相关要求。具体而言:
(五) 人工智能训练数据
《负面清单》适用于人工智能领域相关企业训练数据出境场景,包括文本、语音、图像模态的训练数据,但不包括视频等上述未明确列出的其他模态的训练数据。
1. 重要数据
《负面清单》主要针对人工智能领域的模型训练、算法开发以及产品测试场景规定了重要数据子类。 包括:
a.在研发设计过程中,收集和产生的与行业竞争力相关的高价值敏感数据
b.内容中涉及一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全的音频、图像及文本数据;
c.纳入出口管制或技术出口管理事项的数据。
2. 个人信息
《负面清单》对于模型训练、算法开发及产品测试场景中音频、图片和文本数据中可能涉及的个人信息出境予以了特殊规定。具体而言:
四、 《负面清单》的应用
2024年9月11日,大型跨国制药和农用化学制品公司拜耳医药保健公司通过北京自贸试验区亦庄组团完成了负面清单备案,成为了北京市首家通过《负面清单》实现数据合规出境的企业,其提交的适用于医药行业负面清单的数据涉及临床试验、药物警戒、医疗卫生专业人士管理、医学问询等业务场景。同日,三星(中国)投资有限公司提交的会员管理业务场景也通过大兴组团完成了备案审核。1
《负面清单》仅出台12日,北京市就已成功完成了两例负面清单备案审核,其中,拜耳医药保健公司从申报使用负面清单到取得备案结果通知书仅用时5个工作日,与《负面清单》出台前相比,负面清单备案的申报审核全流程得到了大幅的简化。这两例成功案例不仅反映了《负面清单》在简化企业数据出境流程、增强数据跨境流动便利性方面发挥的重要作用,还为其他企业依据《负面清单》在自贸区内开展数据出境活动提供了经验。
五、 结语
继天津自贸区发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》及上海自贸区临港新片区发布全国首批数据跨境场景化一般数据清单及清单配套操作指南后,北京此次发布的《负面清单》是促进数据跨境规范流动的又一重要举措。与天津、上海的规定相比,北京的负面清单更加注重场景化和字段级别的管理,切实放宽了个人信息出境的要求。结合行业实际情况,北京的负面清单对于不同行业不同场景下的个人信息出境标准予以区分,能够直接减轻企业当前的数据出境合规负担,同时也有助于企业更精细化地管理和控制数据跨境流动,以促进数据的高效、便利、安全流动。
需要注意的是,《负面清单》是动态调整的,我国的数据出境的整体监管也仍在变化中,一方面自贸区内的企业可以对照《负面清单》规定的业务场景和数据字段进行自我检查,另一方面,涉及数据跨境流动的企业还需实时关注数据出境的政策动态,及时调整数据出境合规工作计划,以应对最新的合规要求。
1.《北京自贸试验区数据出境负面清单实现“首发即用”跑出北京加速度》,载微信公众号“网信北京”,https://mp.weixin.qq.com/s/I2xwFJpkhFIH_5xxR0JVOg。本文系本公众号原创,转载请注明文字出自本公众号。
