自由贸易试验区数据跨境清单解读

来源:大数据法律研究

文章摘要
2024年5月9日,中国(天津)自由贸易试验区管理委员会与天津市商务局联合发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称《负面清单》),旨在为自贸区企业数据出

2024年5月9日,中国(天津)自由贸易试验区管理委员会与天津市商务局联合发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称《负面清单》),旨在为自贸区企业数据出境提供明确的规范和指导。紧随其后,中国(上海)自由贸易试验区临港新片区也发布了全国首批数据跨境场景化一般数据清单及清单配套操作指南(以下简称《一般数据清单》),涵盖智能网联汽车、公募基金、生物医药等关键领域。
本文将通过问答的形式,对《负面清单》和《一般数据清单》进行深入解读,阐明其制定背景和核心内容。同时,我们将探讨企业如何根据这些清单履行合规义务,提出切实可行的建议。通过这种方式,我们旨在帮助企业更好地理解清单内容,把握合规要点,从而更好地保护自身利益并促进业务的全球化发展。
一、自贸区数据跨境清单的制定背景是什么?
随着数字经济的快速发展和全球数据流动的日益增长,数据跨境流动已成为国际经贸活动的重要组成部分。为了顺应这一趋势,提升数据流动的价值,国务院于2023年7月25日印发了《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,强调要探索便利化的数据跨境流动安全管理机制,并支持在北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单,建设服务平台以提供数据跨境流动合规服务。随后,在2024年2月28日发布的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》中,国务院进一步强调了健全数据跨境流动规则的重要性,并提出要加快与主要经贸伙伴国家和地区建立数据跨境流动合作机制,以推动构建多层次的全球数字合作伙伴关系网络。
为落实上述政策要求,国家网信办于2024年3月22日发布了《促进和规范数据跨境流动规定》,对我国数据跨境流动安全管理机制进行了重大调整和优化。该规定第六条特别赋予各自由贸易试验区更大的自主权,允许其根据实际情况自行制定区内数据出境的负面清单。同时,规定明确指出,未包含在负面清单内的数据可以自由跨境流动,无需进行数据出境安全评估、签订个人信息出境标准合同或通过保护认证。这一措施不仅提升了自贸区内数据管理和利用的灵活性与自主性,而且有助于建立一个更加透明、可预测的数据跨境流动环境。制定自贸区数据跨境流动清单,将有助于企业更精确地把握并遵循数据出境的相关规则,进而减少合规成本、优化商业环境,并提升企业在国际市场上的竞争力。
二、两个清单的适用范围是什么?
《负面清单》适用于天津自贸试验区内的企业,明确规定了这些企业在向境外提供数据时,应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形。同时明确,不在清单列明范围内的数据出境无需执行上述出境合规程序。但需要注意的是,对于涉及国家秘密、核心数据以及政务数据的数据出境,由于这些数据具有高度敏感性和重要性,因此并不纳入《负面清单》的管理范围。这些数据出境将严格按照国家相关法律、法规和规定进行,以确保其安全性和合规性。
《一般数据清单》则适用于在中国(上海)自由贸易试验区及临港新片区范围内注册登记的企业、事业单位、机构协会和组织等数据处理者。这些主体在临港新片区(不包含临港新片区外的上海自贸区其他地域)开展智能网联汽车、公募基金、生物医药等领域的数据跨境流动相关活动时,需要遵循《一般数据清单》的规定。不同领域的适用对象不同,具体可参见下表。同时,此清单不涵盖上述领域的关键信息基础设施运营者(以下简称“CIIO”),CIIO将遵循更为严格和特定的数据管理和安全规定。

三、《负面清单》主要包含哪些内容?
《负面清单》基于统筹兼顾、便捷合规、简明实用、动态调整四大原则,细化了数据出境应当申报安全评估、签订标准合同、以及通过保护认证的具体情形。整个清单分为两大部分,包含13个大类和46个子类。
第一部分:数据出境安全评估清单
根据《促进和规范数据跨境流动规定》,数据处理者在以下两种情况下应申报数据出境安全评估:(1)CIIO向境外提供个人信息或者重要数据;(2)非CIIO向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
《负面清单》的第一部分着重界定了那些对国家安全、经济运行、社会稳定等方面具有重大影响的数据类型,覆盖战略物资和大宗商品、自然资源和环境、工业、金融、统计、通信传播、住房建设、交通运输、公共卫生、公共安全、互联网服务和电子商务、科学技术以及个人信息等关键领域。(具体内容请见:地方动态 | 关于印发《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》的通知)在制定过程中,该清单采用了定量与定性相结合的方法,明确了需申报安全评估的数据基本特征以及具体字段,为其后续落地操作提供详细指引。此外,清单还通过备注的形式对免予管理和纳入管理的数据类型予以明确,帮助企业更好地“按图索骥”。
例如,对于工业类的其他矿产数据,并非所有数据出境都需要经过严格的安全评估。只有那些反映国家重要资源储备能力、影响相关国际合作的数据,如储量统计数据、国际合作情况、国际贸易谈判情况等,才需要接受数据出境安全评估的严格审查。而对于企业在日常商业活动中产生的数据,如商务谈判、进出口贸易等,由于其通常不涉及敏感重要信息,因此无需进行前置的安全评估流程。
第二部分:标准合同、保护认证清单
《负面清单》的第二部分延续了《促进和规范数据跨境流动规定》第8条规定,将累计数据出境数量作为判断标准,即非CIIO自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应签订标准合同或通过保护认证。
四、《一般数据清单》覆盖哪些场景?包含哪些数据?
本次发布的《一般数据清单》包含智能网联汽车、公募基金、生物医药3个领域,涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景,划分成64个数据类别600余个字段。
(一)智能网联汽车
智能网联汽车数据的监管一直是业界关注的焦点,2021年颁布的《汽车数据安全管理若干规定(试行)》(以下简称《规定》)为汽车行业的重要数据划定了明确的范围。在此次发布的《一般数据清单》中,对于智能网联汽车中被界定为重要数据的部分,如包含人脸信息、车牌信息的视频和图像数据,以及涉及国家经济运行的库存和物流供应链数据等,均未被纳入。《一般数据清单》遵循《规定》中提出的脱敏处理原则,要求汽车数据处理者在跨境传输车辆VIN号时,必须进行匿名化、去标识化等处理,确保数据接收方无法直接或间接识别到个人。
在实际操作中,汽车数据通常根据《规定》《车联网信息服务数据安全技术要求》(YD/T 3751-2020)被分为基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据和用户个人信息。然而,《一般数据清单》在智能网联汽车领域的制定并未完全遵循这一分类体系,而是选择了一种基于具体应用场景的方法,挑选出风险较低的一般数据进行列举。

(二)公募基金
在公募基金领域,《一般数据清单》专注于市场研究和内部管理两个场景,涵盖了11个数据类别。该清单排除了那些可能影响或危害国家经济秩序和金融安全的数据类型,同时,也不包含那些通常仅供金融行业内大型或特大型机构、金融交易中的重要核心节点类机构使用的关键业务数据。这些数据通常仅对特定人员公开,并且仅限于必须知悉的对象访问或使用。公募基金领域一般数据清单覆盖的具体数据类别如下:

(三)生物医药
生物医药领域因其涉及大量敏感的个人信息,成为数据跨境流动监管中的一个特殊且关键的焦点。在制定生物医药领域的《一般数据清单》时,特别强调了对个人信息的保护,要求对涉及个人的数据进行去标识化处理,以确保个人隐私的安全。此外,针对涉及人类遗传资源信息的数据,数据处理者需严格遵守《中华人民共和国人类遗传资源管理条例》的相关规定。

五、企业如何使用《负面清单》和《一般数据清单》?
企业在处理数据出境事宜时,首先需要明确自身数据是否属于《负面清单》所涵盖的范围。对于那些列入《负面清单》的数据类别,企业需确保满足所有相关的合规要求,包括但不限于开展个人信息保护影响评估、申报安全评估、签订个人信息出境标准合同或通过个人信息保护认证等。
对于《一般数据清单》中的数据,企业在跨境传输时的流程相对简化,但仍需履行一定的备案手续。数据处理者可通过临港新片区数据便捷流通公共服务管理平台(https://sjkj.lingang.gov.cn/)进行线上备案登记,备案材料包括但不限于数据处理者身份证明、自律合规承诺数、备案申请表、出境数据情况、与境外接收方签订的法律文件等。《临港新片区数据跨境场景化一般数据清单操作指南》特别强调,备案成功后,数据处理者应对出境的一般数据进行存证和备份,备份时间不少于1年。
六、两个清单在推动数据跨境流动方面有何不同?
《负面清单》和《一般数据清单》虽然都是为规范数据跨境流动而设计,但它们在目标定位和监管力度上有着显著的区分。
就目标定位而言,《负面清单》的核心宗旨在于划定数据跨境流动中应受到严格监管的领域和数据类型,通过设定安全底线来保障国家安全、经济运行和社会稳定。它遵循的是“法无禁止即可为”的原则,即清单之外的数据可以自由跨境流动。《一般数据清单》则采取一种积极的管理手段,属于与“负面清单”相对应的“正面清单”,列明了可以自由跨境流动的一般数据类型,通过备案制度简化了非敏感数据的跨境流程,鼓励这些低风险的数据自由跨境流动。
从监管力度上看,对于《负面清单》中的数据,企业必须严格遵守数据出境的合规义务,并履行必要的合规程序,包括申报安全评估、签订标准合同或通过个人信息保护认证等步骤。而对于《一般数据清单》所涵盖的数据,企业的合规负担则明显减轻,只需向相关平台提交备案,即可在满足基本管理要求的基础上,实现数据的自由跨境流动,无需经历复杂的审批过程。
七、数据跨境清单的制定与数据分类分级规则有什么关系?
数据分类分级是确保数据安全管理的基本措施,也是促进和规范数据跨境流动的先导性工作。通过这一规则,可以有效识别和界定数据类型、敏感程度及重要性,为跨境数据管理政策的制定提供了坚实的基础。目前,上海和天津已分别发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(以下简称《管理办法》)和《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称《标准规范》),为当地自贸区内的数据管理提供了指导性文件。
本次《负面清单》的制定体现了对数据分类分级管理要求的落实,明确指出“国家行业主管部门或本市认定的重要数据纳入本清单管理”。这意味着,根据《标准规范》所识别并确定为重要数据的部分,将自动被纳入《负面清单》,并在出境时需按规定申报数据出境安全评估。与此同时,《一般数据清单》也强调了数据处理者在使用该清单时,必须遵守《管理办法》中对一般数据的管理要求。值得注意的是,根据《管理办法》规定,若相关领域出台场景化重要数据目录,则该领域的一般数据清单将自动失效。
八、这些清单的发布对企业有哪些影响?企业应如何履行合规义务?
《负面清单》和《一般数据清单》的发布为企业在数据跨境流动方面提供了明确的合规框架,有助于数据跨境流动机制的有效落地。这些清单不仅指导企业识别哪些数据跨境需要严格监管,哪些可以较为自由地流动,还促使企业重新审视和调整其数据出境的策略和流程。自贸区内的企业可参考以下步骤来履行其合规义务:
1.数据识别与分类:企业首先需要识别拟出境的数据是否属于《负面清单》或《一般数据清单》的范畴。对于《负面清单》中的数据,企业必须依照规定执行数据出境安全评估、标准合同备案或通过个人信息保护认证等程序。而对于《一般数据清单》中的数据,企业则需遵循简化的备案流程。
2.个人信息保护:当出境数据涉及个人信息时,企业必须遵循《个人信息保护法》的相关规定,履行告知义务,获取个人信息主体的单独同意,并进行个人信息保护影响评估,确保个人信息的安全和隐私权益得到充分保护。
3.持续监管与合规:企业应对数据出境活动进行持续监管,并及时评估数据范围、类型、数量的任何变化,判断是否需要调整数据出境策略或重新履行申报和备案程序。对于《一般数据清单》中的数据,企业还需进行存证和备份,确保备份数据的保存期限不少于一年,以满足可能的审计和合规要求。
4.动态关注与调整:企业需要持续关注清单的最新发布情况和任何更新,以便及时进行内部策略和出境方案的动态调整。例如,《负面清单》中对于应急管理数据的描述相对模糊(“一定精度”、“一定范围”、“一定规模”),企业需密切关注应急管理等相关部门发布的政策文件,以明确具体要求。

技术驱动法律,专业成就未来