本文最大的价值是用图表的形式体现了个人信息出境阈值有哪些豁免,详见第三部分!
今日,北京市网信办等三部门发布自由贸易试验区数据出境负面清单管理办法、负面清单(2024版),同时还发布《北京市数据跨境流动便利化服务指南》并上线北京市数据跨境流动便利化服务平台。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《促进和规范数据跨境流动规定》第6条第2款
对于自贸区辖区内企业而言,负面清单范围外的数据出境,均免予前置审批手续。
此前天津的负面清单被诟病的原因是:个人信息出境阈值较《促进和规范数据跨境流动规定》(《规定》)无任何放宽,还明确了很多重要数据。
而北京的负面清单还是有突破的,总体有四大亮点:
1、给所有行业企业提供了重要数据识别的量化识别标准;
2、给北京辖区内特定领域企业明确了重要数据目录(是好是坏不一定);
3、为医药、零售、民航、人工智能等4个领域的企业在《促进和规范数据跨境流动规定》的基础上,进一步对个人信息出境免予前置审批的数量阈值予以放宽,充分发挥了“负面清单”的政策价值;
4、明确了负面清单内数据出境的备案流程。
01
重要数据量化识别参考
1、本参考规则适用于非涉密数据,涉密数据按相关规定执行。
2、北京自贸试验区企业掌握的 1000 万人以上个人信息(不含敏感个人信息);100 万人以上敏感个人信息;10 万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。
3、被国家认定为关键信息基础设施的运营者掌握的 10 万人以上个人信息。
4.北京自贸试验区企业在研发设计过程、生产制造过程、经营管理过程中收集和产生的与行业竞争力、行业生产安全相关的高价值敏感数据;涉及国家安全的企业供应链相关数据。
5.北京自贸试验区企业掌握的关系国计民生领域的自动控制系统参数以及控制、运行维护、测试数据。
概括而言可以说是,达到以下数量级,就是重要数据:
1、一般个人信息1000万人以上。
2、敏感个人信息100万人以上。
3、特别敏感个人信息(金融账户、诊疗信息等)或CIIO控制的敏感个人信息10万人以上。
02
明确北京地区重要数据目录
《数据安全法》第21条授权各地明确重要数据目录。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《中国(北京)自由贸易试验区数据分类分级参考规则》里面列了13类、41个细分行业的重要数据识别参考规则。
《中国(北京)自由贸易试验区数据出境管理清单(负面清单)( 2024 版)》则对汽车、医药、零售、民航、人工智能等5个领域的重要数据予以列举,也即目录内的数据出境,均需要安全评估。
有汽车行业的朋友就说,汽车行业对重要数据的列举,相较于《汽车数据安全管理若干规定(试行)》而言颗粒度细了很多。
也就是说,对于北京辖区的企业,也许原本他们认为不属于重要数据的一般数据,若在负面清单中被列举则也要进行申报。
由于我不属于上述五个行业的人员,就不枉加评论了。
03
个人信息出境阈值的进一步豁免
按照《规定》的逻辑,筛去豁免场景并去重后,一年内出境超过一定人数的个人信息/敏感个人信息后,即需要进行安全评估或标准合同/认证(详见下图)。
此处负面清单在此基础上对特定场景进一步明确放宽了阈值。
一、汽车行业
无任何豁免,还是上图标准。
二、医疗行业
场景1:临床试验、药物研发。
数据:个人基本资料、诊疗和健康生理信息
要求:受试者个人信息应按照《药物临床试验质量管理规范》的要求进行处理;受试者诊疗和健康生理信息包括诊疗记录、用药记录、检验检查报告、病史、护理 记录、住院记录、体检记录、生育信息、过敏史、手术和麻醉记录、随访和评估情况等《药物临床试验质量管理规范》中规定的相关数据。
相关个人信息属于敏感个人信息,一年内人数阈值放宽部分如下:
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,5w) | 标准合同/认证 | 安全评估 |
[5w,+∞) | 安全评估 | 安全评估 |
场景2:药物警戒、产品投诉、医学问询场景。
数据:患者个人基本资料、诊疗和健康生理信息。
要求:不包括患者的真实姓名和联系方式;患者诊疗和健康生理信息包括病史、过敏史、生活习惯、不良反应事件信息或描述、诊疗记录、用药记录、检验检查报告、住院记录等数据。
相关个人信息属于敏感个人信息,一年内人数放宽部分如下:
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,10w) | 标准合同/认证 | 安全评估 |
[10w,+∞) | 安全评估 | 安全评估 |
场景3:临床试验、药物研发、医疗卫生专业人士管理、药物警戒、产品投诉、医学问询场景。
数据:医疗卫生专业人士、临床试验研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的个人信息。
要求:包括医疗卫生专业人士、临床试验研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的姓名、联系方式、联系地址、教育经历、工作经历、职业、职务、职称、职级、资格证书、培训记录、差旅信息、专业、个人常用设备信息、网络身份标识信息等。
相关个人信息属于敏感个人信息,一年内人数放宽部分如下:
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,20w) | 标准合同/认证 | 安全评估 |
[20w,+∞) | 安全评估 | 安全评估 |
场景4:临床试验、药物研发、医疗卫生专业人士管理、药物警戒、产品投诉、医学问询场景。包括医疗卫生专业人士、临床试验研究场景。
要求:产品投诉、医学问询场景。包括医疗卫生专业人士、临床试验研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的个人身份证件、银行账户等敏感个人信息。
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,10w) | 标准合同/认证 | 安全评估 |
[10w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,10w) | 免予审批 | 免予审批 |
[10w,50w) | 免予审批 | 标准合同/认证 |
[50w,100w) | 标准合同/认证 | 标准合同/认证 |
[100w,500w) | 标准合同/认证 | 安全评估 |
[500w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,10w) | 标准合同/认证 | 安全评估 |
[10w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,10w) | 免予审批 | 免予审批 |
[10w,50w) | 免予审批 | 标准合同/认证 |
[50w,100w) | 标准合同/认证 | 标准合同/认证 |
[100w,500w) | 标准合同/认证 | 安全评估 |
[500w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,10w) | 免予审批 | 标准合同/认证 |
[10w,100w) | 标准合同/认证 | 安全评估 |
[100w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,5w) | 标准合同/认证 | 安全评估 |
[5w,+∞) | 安全评估 | 安全评估 |
数量 | 负面清单 | 《规定》 |
(0,1w) | 免予审批 | 标准合同/认证 |
[1w,10w) | 标准合同/认证 | 安全评估 |
[10w,+∞) | 安全评估 | 安全评估 |
04
负面清单出境流程