主要观点总结
该文章介绍了浙江自贸试验区数字产业特色及数据出境需求,引出《负面清单》及《管理办法》的制定背景和意义。文章详细阐述了《负面清单》和《管理办法》的主要内容、特色亮点、实施步骤,以及数据出境活动的安全监管等问题。同时,也介绍了《负面清单》的更新机制和其他自贸区发布的负面清单与本次发布的《负面清单》的关系。
关键观点总结
关键观点1: 制定背景与意义
浙江自贸试验区数字产业特色鲜明,数据出境需求大,为充分发挥数据价值、赋能实体经济,研究编制了《负面清单》及《管理办法》。这有利于推进数据跨境流动便利化服务创新改革,便利企业数据安全有序出境。
关键观点2: 《负面清单》及《管理办法》的主要内容
《负面清单》聚焦浙江自贸试验区优势产业,综合考虑数据出境必要性等因素,首批制定涵盖电子商务和清结算行业的数据项。《管理办法》则是制定负面清单和开展日常监管的基本规范,重点围绕适用范围、职责分工等方面进行编制。
关键观点3: 特色亮点
浙江推出的《负面清单》是全国首个针对电子商务和清结算行业的,清晰界定需申报数据出境安全评估的场景和具体数据项,为企业履行合规义务提供指引。此外,该清单还依据行业特性细化场景,降低合规成本。
关键观点4: 实施步骤与监管
为推动《负面清单》落地实施,浙江将从加速出台实施指南和管理细则、建设线上线下服务平台、建立数据出境安全监管机制等方面开展工作。同时,加强对自贸区数据出境政策制度的宣传解读,提升企业合规意识,守牢数据安全底线。
关键观点5: 更新机制与其他自贸区的关系
《负面清单》实行动态管理,省级管理部门将评估实施情况和安全风险,对负面清单进行更新和扩充。其他自贸区发布的数据出境负面清单,浙江自贸试验区可参照执行。
正文
浙江自贸试验区数字产业特色鲜明,具有较大数据出境需求。2024年3月22日国家网信办发布《促进和规范数据跨境流动规定》,在规定中提出“第六条:自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
为充分发挥国际数据要素价值,赋能实体经济发展作用,贯彻落实《促进和规范数据跨境流动规定》,在国家数据安全工作协调机制、国家互联网信息办公室、国家数据局等部门支持指导下,在浙江省数据安全工作协调机制框架下,省互联网信息办公室、省数据局、省商务厅等部门组建工作专班,通过前期研究、企业调研、专家咨询,结合杭州等自贸片区企业数据出境开展情况,以及省级层面和国家层面征求意见等环节,研究编制了《负面清单》及配套的《管理办法》。负面清单的编制出台有利于浙江省加快推进数据跨境流动便利化服务创新改革,便利企业数据安全有序出境,深化高水平对外开放格局,助力数字经济高质量发展。
本次发布的《负面清单》,聚焦浙江自贸试验区需求集中的优势产业,基于企业数据出境实际需求,在充分论证和广泛调研后编制完成的。《负面清单》综合考虑数据出境必要性、数据出境规模等因素,首批制定涵盖电子商务(企业对企业)、清结算2个关键领域,包含重要数据、个人信息2类数据,涉及8个具体场景,134个数据项。
《管理办法》分为总则、职责与分工、负面清单制定及管理、负面清单实施、监督管理、附则等6章22条,重点围绕负面清单适用范围、职责分工、制定流程、监督管理等方面进行编制,是制定负面清单和开展日常监管的基本规范。
此次出台的《负面清单》及《管理办法》,有哪些值得关注的特色亮点?
一是浙江推出的《负面清单》是全国范围内首个针对电子商务(企业对企业)以及清结算行业的负面清单。电子商务(企业对企业)以及清结算行业系浙江优势产业,数据出境需求较为迫切,集聚众多电子商务(企业对企业)和清结算企业,该清单清晰界定了需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境场景及具体数据项,为企业更精准、高效地履行数据出境合规义务提供了明确指引。二是在风险可控前提下,该清单依据行业特性将规定细化至具体场景,并针对不同行业和场景的个人信息量级进行精确量化,降低了企业在数据出境过程中的合规成本。
针对《负面清单》的落地实施,浙江将从以下四方面推动:一是加速出台负面清单实施指南。向企业进一步明确适用范围、申报流程及方式、注意事项等内容,指引企业开展申报与备案。二是加速出台负面清单管理细则。根据管理办法,进一步细化各责任部门职责,梳理使用申请审核、备案审核、备案变更终止、监督检查等内部流程,并明确各环节办结时限,形成工作合力。三是加速建设线上线下服务平台。依托最近在杭州自贸片区滨江区设立并实体化运作的浙江自贸试验区数据跨境服务中心,配套上线数据跨境便利化服务平台,数字化、智能化、系统化链接申请主体与职能部门,在做好资料接收、结果反馈、监督检查支撑等工作的基础上,为全省自贸试验区企业提供政策宣讲、申报辅导等专业服务,帮助企业安全、高效、有序开展数据出境业务。四是建立数据出境的安全监管机制,加强省级部门协同监管,更好保障政策的落地实施。
浙江自贸试验区的企业开展数据出境活动,哪些数据免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
主要有以下七种数据出境活动:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。七是向境外提供《负面清单》外的数据。其中,第三种至第六种数据出境活动向境外提供的个人信息,不包括重要数据。
《负面清单》未涉及行业、领域的数据处理者如何开展数据出境活动?
根据《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》第十八条规定,负面清单未涉及的行业、领域,按《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行,属于《促进和规范数据跨境流动规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,遵照其规定执行。
根据《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》第九条规定,负面清单实行动态管理。省级管理部门应对已出台的负面清单采取动态管理模式,跟踪评估实施情况和安全风险,统筹开展负面清单修订工作。对于尚未出台负面清单的行业、领域,应及时研判数据出境需求,对负面清单进行动态更新和扩充,研究制定相应行业、领域负面清单,不断完善浙江自贸试验区数据跨境流动管理政策体系。
如何理解其他自贸区正式发布的负面清单与本次发布的《负面清单》的关系?
其他自贸区正式发布的数据出境负面清单,浙江自贸试验区可参照执行。
《负面清单》实施后,如何做好数据出境活动的安全监管?
《负面清单》统筹发展和安全,坚守国家数据安全底线,在保障重要数据安全和维护个人信息权益的基础上,促进数据资源有序流动和开发利用,推动数字经济和数字贸易高质量发展。浙江省各相关单位将重点做好以下几方面工作:一是强化宣传引导。通过多种形式深入企业,加强对自贸区数据出境政策制度的宣传解读,提升企业合规意识。二是压实主体责任。督促数据处理者履行数据安全保护义务,保障数据出境安全。发生数据出境安全事件或者发现数据出境安全风险增大的,及时向浙江省互联网信息办公室、省数据局、省商务厅、省公安厅、省国家安全厅及所在片区自贸试验区管委会报告。三是凝聚监管合力。浙江省互联网信息办公室会同省数据局、省商务厅、省公安厅、省国家安全厅及各片区自贸试验区管委会依照各自职能对负面清单落实情况和区内数据出境情况进行跟踪监督,强化跨境数据全生命周期管理,守牢数据安全底线。
