正策新闻
正策关注|数据合规系列解读文章(十二):中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法解读
2024年3月22日,为促进数据依法有序自由流动,国家互联网信息办公室颁布并实施《规范和促进数据跨境流动规定》,在豁免国际贸易、跨境运输、实施跨境人力资源等必要非敏感数据情形下的申报数据出境安全评估、个人信息出境标准合同备案及通过个人信息保护认证义务的同时,规定给予自由贸易试验区在国家数据分类分级保护制度框架下,通过制定数据负面清单的方式简化数据跨境流动合规义务的权利(可参考文章:正策关注|数据合规系列解读文章(十一):恰如其分——《规范和促进数据跨境流动规定》对我国数据跨境流动体系影响简述)。
在中国(上海)自由贸易试验区临港新片区管理委员会(以下简称“上海自贸区临港新片区管委会”)于2024年2月8日发布的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的基础上,2024年5月18日,上海自贸区临港新片区管委会发布全国首批数据跨境场景化一般数据清单(简称“上海自贸区一般数据清单”),清单涵盖智能网联汽车、公募基金、生物医药领域的11类场景,针对在前述场景下的数据,数据处理者在向临港新片区管委会申请登记备案后,可自由开展数据跨境流动。
2024年5月9日及2024年8月30日,中国(天津)自由贸易试验区管理委员会(以下简称“天津自贸区管委会”)与北京市互联网信息办公室分别发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)》(以下简称“天津自贸区负面清单”)及《中国(北京)自由贸易试验区数据出境管理清单(负面清单)》(以下简称“北京自贸区负面清单”)及相关配套文件。相较于上海自贸区一般数据清单,天津自贸区及北京自贸区出台的负面清单的部分内容细化至具体字段,且服务中心较多,审批时长较快,为自贸区内企业在数据跨境流动层面更大的便利。
在2025年2月8日,上海自贸区临港新片区管委会发布《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》(以下简称“上海自贸区数据出境负面清单办法”)以取代先前发布的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,并同步颁布《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)》(以下简称“上海自贸区负面清单”)等配套文件。
在本篇文章中,本团队将对《上海自贸区数据出境负面清单办法》及《上海自贸区负面清单》进行解读,并结合《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》(以下简称“上海自贸区负面清单实施指南”),为读者提供帮助与参考。
需要注意的是,根据《上海自贸区数据出境负面清单办法》第二十条,其他自贸区正式发布的数据出境负面清单,上海自贸试验区及临港新片区可参照执行。因此本团队将在后文中对北京自贸区负面清单及天津自贸区负面清单进行引用,以协助读者更好了解对自贸区内企业数据跨境流动的管理措施。
数据出境的定义
《上海自贸区数据出境负面清单办法》适用于在上海自贸试验区及临港新片区内注册且开展数据出境活动的数据处理者。
针对数据处理者注册于上海自贸试验区及临港新片区,但注册地址非主要经营地址的情形,如数据处理者拟计划根据《上海自贸区数据出境负面清单办法》免于申报评估,备案标准合同及通过个人信息保护认证(以下简称“数据出境申报备案认证义务”)向境外提供负面清单以外数据时,建议数据处理者在注册地址配置相应服务器及机房完成数据跨境流动。
需要注意的是,根据《上海自贸区负面清单实施指南》第一条,关键信息基础设施运营者作为《促进和规范数据跨境流动规定》第七条约定的特殊主体,不论是否注册于上海自贸试验区及临港新片区,亦或是在拟前述区域开展个人信息或重要数据的出境活动,关键信息基础设施运营者均需向国家网信部门申报数据出境安全评估。
根据《关键信息基础设施安全保护条例》第十条,保护工作部门在认定运营者是否系本行业、本领域的关键信息基础设施时,会通知运营者,并通报国务院公安部门。因此,在运营者被相关保护工作部门通知其构成关键信息基础设施运营者前,运营者不必考虑前述条款对自身的影响。
适用情形
根据《上海自贸区数据出境负面清单办法》第八条及第十条,如符合注册及经营条件的数据处理者属于已公布负面清单的行业及领域,在向境外提供负面清单未描述的数据时,或向境外提供的个人信息符合负面清单的描述,但年提供量(从当年1月1日起)未超过一定数量的,可以免于履行数据出境申报备案认证义务,但其需在开展数据出境活动之日起15个工作日内向所在地数据跨境服务中心提交材料并报备数据出境情况。
如符合注册及经营条件的数据处理者不属于已公布负面清单的行业及领域的,在开展数据出境活动前,其仍需按《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规、规章规定,判断其是否应履行数据出境申报备案认证等义务。
负面清单与其他法律法规、指导文件、国际条约及协定的优先适用情况
1、相关行业、领域已发布操作指引
根据《上海自贸区数据出境负面清单办法》第九条,如相关行业、领域已发布操作指引与负面清单要求不一致的,以负面清单为准(截止本文章发布日,本团队尚未检索到相关行业、领域已发布的操作指引)。
2、其他自贸区正式发布的数据出境负面清单
根据《上海自贸区数据出境负面清单办法》第二十条,上海自贸试验区及临港新片区可参照执行其他自贸区正式发布的数据出境负面清单。
截止本文章发布日,根据本团队检索,天津自贸区管委会与北京市互联网信息办公室分别已正式发布天津自贸区负面清单及北京自贸区负面清单。虽然上海互联网信息办公室、上海自贸试验区管委会及临港新片区管委会等负责部门尚未对“可参照执行”的具体执行方式及尺度通过公开渠道给予官方答复。在下文中本团队将整合截止本文章发布日,本团队对已检索到的全部中国境内自贸区正式发布的数据出境负面清单进行对比,供读者查询及确认。
3、我国缔结或者参加的国际条约、协定
根据《上海自贸区数据出境负面清单办法》第十五条,我国缔结或者参加的国际条约、协定与国内法律法规有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
截止本文章发布日,根据本团队检索,中国已加入或计划加入的与数据跨境自由流动相关国际条约、协定如下:
(1) 已加入——区域全面经济伙伴关系协定(RCEP)
中国已于2021年4月15日正式完成RCEP核准程序。RCEP在禁止限制数据跨境流动的原则上,引入了基本安全利益例外条款,以谋求促进数据跨境流动与保护国家安全间的平衡。
鉴于在现阶段对“基本安全利益”没有明确定义,本团队认为在现阶段,符合注册及经营条件的数据处理者在进行数据出境活动时,无需将RCEP相关条款纳入考量范围。
(2) 计划加入——全面与进步跨太平洋伙伴关系协定(CPTPP)
中国已于2021年9月16日正式提出申请加入CPTPP。CPTPP第14章对以电子方式跨境传输信息作出相关规定,原则而言,缔约方应允许通过电子方式跨境传输信息。在不构成歧视、对贸易构成变相限制及对信息穿出施加超出目的所需限制的情况下,缔约方可为实现合法公共政策采取其他措施限制信息跨境传输。
(3) 计划加入——数字经济伙伴关系协定(DEPA)
中国已于2021年10月30日决定申请加入DEPA,于2022年8月18日正式成立相关工作组全面推进谈判。DEPA第4章对以电子方式跨境传输信息所作相关规定与CPTPP规定内容相近。
鉴于中国已加入的RECP在现阶段对中国数据跨境流动影响较弱,中国尚未正式加入CPTPP及DEPA,且中国有权对相关条款声明保留。因此本团队认为在现阶段国际条约及协定不会影响符合注册及经营条件的数据处理者进行数据出境活动。
4、《中华人民共和国出口管制法》及《中华人民共和国对外贸易法》
根据《上海自贸区数据出境负面清单办法》第二十条,如符合注册及经营条件的数据处理者拟跨境传输涉及管制物项相关技术资料和技术出口管理事项相关数据的,应参照相关法律法规、规章规定执行数据跨境。
如符合注册及经营条件的数据处理者认为其拟跨境数据涉及管制物项与技术出口管理的,应及时完成出口申请;如涉及国家安全和利益的,不得向境外提供出口管制相关信息。
上海、北京、天津自贸区负面清单内容比较及分析
(1) 概述
除天津自贸区负面清单采取全覆盖模式以外,上海与北京自贸区负面清单均采取精细化模式,对重点领域的数据子类以及基本特征与描述进行更为详细的表述,有助于符合注册及经营条件的数据处理者明确拟跨境数据分级情况,采取合适的措施完成数据跨境。
如公司系汽车领域、医药领域、人工智能训练领域符合注册及经营条件的数据处理者,应重点参考北京自贸区负面清单内容以明确是否需要遵守数据出境申报备案认证义务。如公司系再保险领域、国际航运领域符合注册及经营条件的数据处理者,应重点参考上海自贸区负面清单内容以明确是否需要遵守数据出境申报备案认证义务。
如公司系不属于前述领域的但是符合注册及经营条件的数据处理者,建议参考天津自贸区负面清单以明确是否需要遵守数据出境申报备案认证义务。
需要注意的是,相较于《促进和规范数据跨境流动规定》对每年出境个人信息及敏感个人信息数量所采取的“一刀切”政策,上海自贸区负面清单以及北京自贸区负面清单对不同应用场景下触发遵守数据出境申报备案认证义务的每年出境个人信息及敏感个人信息数量进行调整:以再保险领域为例,根据上海自贸区负面清单约定,在人身险和及财产险再保险场景下,触发申报数据出境安全评估义务的每年个人信息量为1000万人,远超《促进和规范数据跨境流动规定》约定的100万人。在上海自贸区负面清单对触发承担数据出境申报备案认证义务的每年出境个人信息及敏感个人信息数量全面放宽的同时,北京自贸区负面清单在部分情景下对每年豁免出境个人信息及敏感个人信息数量进行了限缩:例如,对医药行业部分情景下数据触发承申报数据出境安全评估义务的每年出境个人信息数量小于《促进和规范数据跨境流动规定》约定的100万人。如有医药行业的符合注册及经营条件的数据处理者无法确认其是否有权使用负面清单获得相应豁免的,建议咨询自贸区所在地跨境数据中心获得更明确信息。
(2) 对商贸领域(零售与餐饮业、住宿业)负面清单的特别说明
针对零售领域、餐饮领域以及住宿领域,上海自贸区负面清单和北京自贸区负面清单的表述略微不同,主要差异如下:
上海自贸区负面清单 | 北京自贸区负面清单 | |
适用企业 | 面向消费者的零售企业、餐饮企业、住宿企业等 | 面向消费者的零售、住宿、餐饮、软件和信息技术服务、互联网信息服务等相关企业 |
在会员管理场景下触发数据出境安全评估的个人信息量 | 自当年1月1日起累计向境外提供1000万人以上的个人信息(不含敏感个人信息)。 | 自当年1月1日起累计向境外提供500万人以上的个人消费者会员个人信息(不含敏感个人信息)。 |
在会员管理场景下触发个人信息出境标准合同备案、个人信息保护认证出境的个人信息量 | 自当年1月1日起累计向境外提供100万人以上且不满1000万人的个人信息(不含敏感个人信息)。 | 自当年1月1日起累计向境外提供50万人以上且不满500万人的个人消费者会员个人信息(不含敏感个人信息)。 |
在会员管理场景下对个人信息的描述 | 姓名、昵称、联系方式、性别/称谓、纪念日、区域、电子邮箱、地址(邮编,仅限消费者选择跨境物流或上门售后服务的情形)、用户ID、会员账号(可使用其他网络身份识别信息)或编号、国籍、年龄、婚姻状况(已婚/未婚/离异)、生日、订单编号、产品识别码/序列号、会员爱好偏好(仅限产品类型、编号数字、偏好语言、积分兑换方式、酒店类型/房型)、职位、工作单位、不能直接反映个人财产信息的交易和消费记录(含商品名称、购买时间、购买记录、金额、交易类型、会员支付积分、会员积分余额、货币类型)等。 | 姓名、昵称、联系方式、性别/称谓、区域、地址(含邮编,仅限消费者选择跨境物流或上门售后服务的情形)、用户ID、会员账号(可使用其他网络身份识别信息)或编号、国籍、年龄、生日、订单编号、产品识别码/序列号、会员爱好偏好(仅限产品类型、编号数字、偏好语言、积分兑换方式)、职位、工作单位、不能直接反映个人财产信息的交易和消费记录(含商品名称、购买时间、购买记录、金额、交易类型、会员支付积分、会员积分余额、货币类型)等。 |
在会员管理场景下对敏感个人信息的描述 | 包括会员登录验证信息(会员账号密码)、信用卡信息(仅信用卡号码后四位和有效期)等数据。 | 包括个人上网记录(活动预订记录、软件列表等)、常用设备信息(仅MAC地址和设备序列号)、会员登录验证信息等数据。 |
如表格内容所述,上海自贸区负面清单在每年出境个人信息及敏感个人信息数量上的要求宽于北京自贸区负面清单,但是在认定会员管理场景下的信息是否属于个人信息时上海自贸区负面清单覆盖内容大于北京自贸区负面清单。
确定数据处理者应承担的数据跨境合规义务方式以及相关申报流程
读者可参考如下流程图确认企业是否可以适用负面清单完成数据跨境:
如数据处理者确认可以适用负面清单完成数据跨境的,数据处理者应在使用负面清单开展数据出境活动之日起15个工作日内向所在地数据跨境服务中心提交相关材料并报备数据出境情况(相关材料可从中国(上海)自由贸易试验区临港新片区管理委员会官方网站下载获得)。如经有关部门核验通过的,相关部门将在收到材料之日起15个工作日内向数据处理者反馈;如经有关部门核验未通过的,数据处理者应参照一般法律法规规定履行数据出境申报备案认证义务。如数据处理者发生重大变化的(如受到相关部门处罚、注册地址迁出自贸区等),有关部门经确认后将告知数据处理者终止使用负面清单,数据处理者应参照一般法律法规规定履行数据出境申报备案认证义务。
结语
《上海自贸区数据出境负面清单办法》及《上海自贸区负面清单》的出台,为上海自贸区内金融、航运及商贸领域数据处理者的数据跨境流动提供便利,为降低数据处理者数据出境合规成本提供政策支持。
需要注意的是,有关部门尚未对不同自贸区正式发布的数据出境负面清单在上海自贸区的参照执行情况作出说明,且现有自贸区数据出境负面清单涵盖的行业较少或数据基本特征与描述不够明确。本团队相信在未来,其他自贸区亦将对负面清单进行调整与细化,有关行业从业者应密切关注各自贸区数据出境负面清单的发布与更新,在降低合规成本的情况下遵守合规义务。
