作者:王良 全开明 谢美山
2024年3月22日公布并生效的《促进和规范数据跨境流动规定》第六条允许自由贸易试验区在国家数据分类分级保护制度框架下,自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),区内数据处理者向境外提供负面清单外的数据,免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。这一规定,实际上赋予了各自由贸易试验区对于本试验区范围内数据跨境流动以负面清单的方式进行监管的权利,降低了数据跨境流动门槛,减轻了企业数据合规成本,有利于促进国际经贸往来与合作。
本文对北京、上海、天津、福建、广东五地自由贸易试验区在数据跨境流动方面的实践探索进行梳理,从各个自贸区发布的数据出境管理清单中分析监管的趋势和重点,以及数据安全监管所聚焦的行业类型,并附重点行业数据跨境传输案例列表。
一、天津自贸区数据出境管理负面清单
2024年2月,天津市商务局、中国(天津)自由贸易试验区管委会联合发布了《中国(天津)自由贸易试验区企业数据分类分级标准规范》。2024年5月,中国(天津)自由贸易试验区管理委员会、天津市商务局会同有关部门制定了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)。该清单列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形,是我国第一份自贸试验区数据出境负面清单。
该清单是一份涉及多个领域的综合性清单,围绕生物医药、服务外包、金融、互联网平台、汽车、集成电路、气象、国际贸易等自贸试验区8大重点领域产业发展和监管需要,将企业出境数据分为战略物资和大宗商品类、自然资源和环境类、工业类、金融类等13个大类46个子类,并对每一类数据基本特征做出了详细描述。天津自贸区需通过数据出境安全评估的数据清单,如下表所示:
二、上海自贸区数据跨境场景化一般数据清单
2024年2月3日,上海市政府印发了《上海市落实<全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案>的实施方案》,其中在规范和促进数据跨境流动方面,提出率先制定重要数据目录、探索建立合法安全便利的数据跨境流动机制、在临港新片区建立数据跨境服务中心等措施。2024年2月8日,中国(上海)自由贸易试验区临港新片区管理委员会发布《临港新片区数据跨境流动分类分级管理办法(试行)》。
2024年5月17日,中国(上海)自由贸易试验区临港新片区全国首批数据跨境场景化一般数据清单继清单配套操作指南发布。首批一般数据清单包含智能网联汽车、公募基金、生物医药3个领域,涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景,划分成64个数据类别600余个字段。其中,智能网联汽车领域包括跨国生产制造、全球研发测试、售后服务、二手车全球贸易4个场景23个数据类158个数据字段。生物医药领域包括临床试验和研发、药物警戒和医疗器械不良事件监测、医学问询、产品投诉、商业合作伙伴管理5个场景30个数据类148个数据字段。公募基金领域包括市场研究、内部管理2个场景11个数据类344个数据字段。上海自贸区数据跨境场景化一般数据清单,如下表所示。
三、北京自贸区数据出境管理负面清单
2024年8月26日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会同有关部门联合印发了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》。其中,该管理办法重点围绕负面清单的制定流程、职责分工、使用管理、安全监管等方面进行深化设计,并同步完善了重要数据识别规则,提出13类 41 子类数据分类分级参考规则。该负面清单涉及汽车、医药、零售、民航、人工智能等5个行业48项数据,23个业务场景和198个具体字段。该负面清单还明确了相关行业的适用情形,详细规定这些情形下需要通过数据出境安全评估的数据清单和需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单。北京自贸区数据出境管理负面清单,如下表所示。
四、福建自贸区数据跨境流动一般数据清单
2024年8月26日,福建平潭综合实验区自贸试验与深化改革办公室发布了《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》,自发布之日起试行一年。此一般数据清单涉及跨境旅游、跨境电商、国际航运和跨境直播共4个行业15个应用场景,适用于在平潭自贸片区范围内登记注册的,在平潭自贸片区内开展数据跨境流动活动的数据处理者。福建自贸区数据跨境流动一般数据清单,如下表所示。
五、粤港澳大湾区个人信息跨境流动标准合同
为了满足内地的数据跨境流通监管要求与促进粤港澳大湾区数据自由流通,2023年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。2023年12月10日,《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》以及相应的个人信息出境标准合同文本《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》发布并于当日起实施。2024年9月9日,国家互联网信息办公室与澳门经济财政司签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,次日正式公布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》并生效,随附《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》及《承诺书》。
以上香港版《指引》与澳门版《指引》在《促进和规范数据跨境流动规定》的基础上进一步放宽数据跨境流动的监管要求,简化了个人跨境流动的合规安排,有助于粤港澳大湾区一体化发展。粤港澳大湾区个人信息跨境流动标准合同适用范围,如下表所示。
附:重点行业数据跨境传输案例列表[1]
注释
王良 资深律师
wangliang@allbrightlaw.com
全开明 合伙人
kaimingq
@allbrightlaw.com
谢美山 律师
xiemeishan@allbrightlaw.com
免责声明
本文内容仅为提供信息之目的由作者/锦天城律师事务所制作,不应视为广告、招揽或法律意见。阅读、传播本文内容不以建立律师-委托人关系为目的,订阅我们的文章也不构成律师-委托人关系。本文所包含的信息仅是作为一般性信息提供,作者/锦天城律师事务所不对本文做日常性维护、修改或更新,故可能未反映最新的法律发展。读者在就自身案件获得相关法域内执业律师的法律意见之前, 不要为任何目的依赖本文信息。作者/锦天城律师事务所明确不承担因基于对本文任何形式的使用(包括作为或不作为)而产生的一切责任、损失或损害。
END
