本文针对北京、上海、天津三地发布的自贸区数据跨境政策进行介绍和对比解析,结合相关政策以汽车行业为例进行出境监管数据梳理,并为企业提供应对建议。
2024年8月30日,北京自贸区发布《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下分别简称《北京负面清单》《北京管理办法》),是继天津、上海后第三组自贸区根据《促进和规范数据跨境流动规定》(以下简称《跨境新规》)第六条[1]规定制定的数据出境负面清单(简称“负面清单”)及配套管理政策。至此,各自贸区回应数据出境监管议题的思路初见雏形。
数据跨境流动是全球经贸合作的基础,已成为优化全球资源配置的关键纽带,各自贸区对此先试先行的多元尝试对于破解数据流动和安全平衡的难题具有重大意义,体现了数据跨境便利化的趋势,其试运行的各种反馈对于国家层面数据分类分级管理以及数据出境监管机制的改进亦有参考价值。
我们对于三地数据跨境流动政策进行核心内容总结,详见下表:
1、自贸区数据出境政策的适用范围和效力
关于适用范围,在前述对比表格中已进行介绍,其中上海不仅包括注册在自贸区内的企业,亦包括在自贸区内开展数据跨境流动活动的企业,范围较北京、天津更为广泛。
效力问题是诸多企业关注的重点,从政策文本层面来看,自贸区对于相关数据出境要求的强制性规定并未超出《网络安全法》《数据安全法》《个人信息保护法》等法律法规的基本框架,亦未强制要求适用范围内企业必须按照自贸区跨境监管要求出境,呈现鼓励企业主动适用该等制度,与自贸区管理部门开展合作的态势。
例如《北京管理办法》要求数据处理者应当按照相关规定识别、申报重要数据。按照各自贸组团相关要求开展数据出境活动,并配合市级管理部门、各自贸组团开展跟踪核验和监督检查等工作。并在北京市网信办发布的《北京市企业数据出境合规指引》中进一步说明:在中国(北京)自贸试验区内登记注册、开展数据跨境流动等相关活动的企业,可按照本市自由贸易区数据出境负面清单相关要求开展数据出境活动。
2、“负面清单”与“正面清单”之辩
(1)“负面清单”与“正面清单”
虽然根据《跨境新规》规定,自贸区可制定的是“负面清单”,但事实上三地的探索实践有明显区别。
一个科学合理、范围清晰的负面清单对于企业数据跨境合规治理有重大意义,负面清单的难度在于“非黑即白”,在数据安全管理基本制度框架历时尚短,且国家层面的重要数据清单尚未发布的情况下,如何保证负面清单之外的数据出境是安全可控的?对此,天津采取的是“大清单”的思路,借鉴《数据安全技术 数据分类分级规则》内对于各行业重要数据识别规则的规定,配套区域内企业全面数据分类分级工作的排查与报送工作,力争与整体的数据分类分级规则对齐。北京采取的是“小清单”思路,对于数据特征的描述结合特定行业、场景和目的进行细化,对于数量阈值的设定进行具体调整,同时在制度层面中设定负面清单迭代机制,并建立自贸组团的反馈机制以适时调整。
相较于负面清单,上海发布的正面清单回避了上面的问题,从确认企业特定出境数据的合法性方面有积极作用,但也引发了一个新问题:从法理上,对于个人、组织等私主体,法无禁止即可为,针对本身就没有出现在重要数据目录或者其他特定行业限制出境规定的数据,还需要额外的正面清单来确认合法性吗?对于没有出现在正面清单里的数据,其出境合法性如何评价?当然,抛开此处不提,就上海正面清单文本而言,其为企业日常经营涉及的数据处理场景的界定和分类分级从业务视角提供了思路,同时也反向提供了降低数据敏感性的参考,具备一定参考意义。
(2)“负面清单”是否等于“重要数据”?
如前文分析,“负面清单”的制度设计出发点在于便利数据跨境流动,并未直接将该等数据类型与重要数据进行对应,只是《跨境新规》中关于重要数据出境需要进行安全评估前置性规定与“负面清单”中特定数据出境需进行安全评估的规定一同考量,会带来负面清单中提及的需要进行数据安全评估的数据即为自贸区认定的重要数据的印象。事实上,负面清单为探索数据跨境流动管理的试点性措施,本身并没有直接与重要数据一一对应,如果解释成等同概念,则限制了自贸区结合自身经贸发展特点进行数据流动管理的自由度和创新的可能性。
我们理解,重要数据是《数据安全法》项下数据分类分级保护制度的重要组成部分,一旦认定为重要数据,不止会影响数据出境,对于其全生命周期的数据安全保护亦提出了更高要求。自贸区的负面清单措施及实施效果可能会对下一步相关行业、领域的重要数据目录确定提供参考,但并不能直接等同于重要数据。
(3)“负面清单”中数据范围界定的问题
数据范围的界定一直是各类监管数据类型界定的难点问题,自贸区回应的路径是从行业、领域到数据大类、数据子类、数据基本特征及描述的角度逐层界定,然而该等尝试依然存在难以落实之处,从行业角度而言,三地政策中出现了不同的范围界定措辞:“行业”“领域”,但其定义和规定并未完全依据国民经济行业分类的要求,可能存在部分企业难以判定行业/领域归属的问题。
其中对于数据范围界定,“场景”、“字段”等概念的引入可以使关注点更为聚焦,我们理解监管对于字段展开细致的描述,具象化解释数据类型可以明确受限数据的边界,切实发挥负面清单的作用,达到为参与企业减负,提高政策预期性的效果。但现今,数据盘点和治理并未普遍进入成熟期,该等设计难以避免会存在监管不到位或者与企业实践不符的情况,由此,北京、上海、天津三地在数据范围清单化的同时,依然没有放弃整体的数据分类分级工作安排,配套进行推进和不断调整以达到较好的实施效果。
三、“合理且必要”的经贸数据交互界定:以汽车行业多地政策比较为例
汽车行业是近几年数据监管的重点行业,《汽车数据安全管理若干规定(试行)》出台后,汽车数据年报和数据本地化工作对于车企的影响重大,汽车行业是全球经贸分工合作的密集行业,自贸区三地均就汽车行业设置了要求,具有典型意义。
根据《汽车数据安全管理若干规定(试行)》以及多地自贸区政策,就需进行数据出境安全评估的数据类型梳理如下:
此外,就出境前需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单,结合《跨境新规》规定与天津、北京自贸区政策对比,总结如下:
通过对比发现,天津负面清单和北京负面清单就需订立个人信息出境标准合同/通过个人信息保护认证的规定与《跨境新规》保持一致。结合两表,我们理解在实操中有不少问题仍待澄清,就非关键信息基础设施运营者的汽车企业A的不涉及人力资源管理、履行合同以及紧急情况的跨境传输活动,假设以下场景:
1、A注册在非自贸区且并未在自贸区开展任何数据处理活动,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照《跨境新规》,应当订立个人信息出境标准合同、通过个人信息保护认证;按照《汽车数据安全管理若干规定(试行)》,应当进行数据出境安全评估。实操中如何确定目前并没有统一口径。
2、A注册在天津自贸区,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照天津负面清单,如果不属于智能汽车的客户则应当订立个人信息出境标准合同、通过个人信息保护认证。但是,如果该等个人信息落入OTA等场景,则可能需要开展数据出境安全评估。
3、A注册在北京自贸区,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照北京负面清单,应当订立个人信息出境标准合同、通过个人信息保护认证。但是,如果该等个人信息落入车联网信息服务、OTA等场景,则可能需要开展数据出境安全评估。
以上体现出同一数据集在不同场景、不同监管规则中的多重特性,尤其在目前多项监管规定出台的情况下,企业如何开展合规工作是我们持续关注的重点。
自贸区的数据分类分级与跨境的监管尝试刚刚起步,我们理解各地自贸区会结合当地经贸特色进一步探索,对于国家层面的重要数据认定以及数据跨境监管有重大借鉴意义。目前自贸区普遍从企业自身的数据出境场景出发进行界定,呈现出与企业业务结合度更为深入的趋势,相较之前国家层面宏观的国家安全、社会公益视角提供的数据分类分级规则操作性增强。然而数据跨境监管是一个系统工程,为了实现“管得住,放得开”的目的,可能还可以从企业自身的数据安全保护能力以及出境接收方及接收方所在地等角度出发,结合跨境数据流动安全管控状态制定别具特色的负面清单,我们很期待下一步的监管进展。
对于企业而言,我们理解可从如下方面推进工作,以更好地利用各自贸区数据监管政策:
[1] 《促进和规范数据跨境流动规定》第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
业务领域:网络安全和数据保护,知识产权权利保护,反垄断和竞争法
行业领域:金融创新和金融科技,电信和互联网,信息和智能技术
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
