本文针对北京、上海、天津三地发布的自贸区数据跨境政策进行介绍和对比解析,结合相关政策以汽车行业为例进行出境监管数据梳理,并为企业提供应对建议。
作者丨陈际红 吴佳蔚 陈煜烺
2024年8月30日,北京自贸区发布《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下分别简称《北京负面清单》《北京管理办法》),是继天津、上海后第三组自贸区根据《促进和规范数据跨境流动规定》(以下简称《跨境新规》)第六条[1]规定制定的数据出境负面清单(简称“负面清单”)及配套管理政策。至此,各自贸区回应数据出境监管议题的思路初见雏形。
数据跨境流动是全球经贸合作的基础,已成为优化全球资源配置的关键纽带,各自贸区对此先试先行的多元尝试对于破解数据流动和安全平衡的难题具有重大意义,体现了数据跨境便利化的趋势,其试运行的各种反馈对于国家层面数据分类分级管理以及数据出境监管机制的改进亦有参考价值。
一、制度架构:三地跨境流动政策介绍
我们对于三地数据跨境流动政策进行核心内容总结,详见下表:
点击可查看大图
二、各有千秋:政策比较分析
1、自贸区数据出境政策的适用范围和效力
关于适用范围,在前述对比表格中已进行介绍,其中上海不仅包括注册在自贸区内的企业,亦包括在自贸区内开展数据跨境流动活动的企业,范围较北京、天津更为广泛。
效力问题是诸多企业关注的重点,从政策文本层面来看,自贸区对于相关数据出境要求的强制性规定并未超出《网络安全法》《数据安全法》《个人信息保护法》等法律法规的基本框架,亦未强制要求适用范围内企业必须按照自贸区跨境监管要求出境,呈现鼓励企业主动适用该等制度,与自贸区管理部门开展合作的态势。
例如《北京管理办法》要求数据处理者应当按照相关规定识别、申报重要数据。按照各自贸组团相关要求开展数据出境活动,并配合市级管理部门、各自贸组团开展跟踪核验和监督检查等工作。并在北京市网信办发布的《北京市企业数据出境合规指引》中进一步说明:在中国(北京)自贸试验区内登记注册、开展数据跨境流动等相关活动的企业,可按照本市自由贸易区数据出境负面清单相关要求开展数据出境活动。
2、“负面清单”与“正面清单”之辩
(1)“负面清单”与“正面清单”
虽然根据《跨境新规》规定,自贸区可制定的是“负面清单”,但事实上三地的探索实践有明显区别。
一个科学合理、范围清晰的负面清单对于企业数据跨境合规治理有重大意义,负面清单的难度在于“非黑即白”,在数据安全管理基本制度框架历时尚短,且国家层面的重要数据清单尚未发布的情况下,如何保证负面清单之外的数据出境是安全可控的?对此,天津采取的是“大清单”的思路,借鉴《数据安全技术 数据分类分级规则》内对于各行业重要数据识别规则的规定,配套区域内企业全面数据分类分级工作的排查与报送工作,力争与整体的数据分类分级规则对齐。北京采取的是“小清单”思路,对于数据特征的描述结合特定行业、场景和目的进行细化,对于数量阈值的设定进行具体调整,同时在制度层面中设定负面清单迭代机制,并建立自贸组团的反馈机制以适时调整。
相较于负面清单,上海发布的正面清单回避了上面的问题,从确认企业特定出境数据的合法性方面有积极作用,但也引发了一个新问题:从法理上,对于个人、组织等私主体,法无禁止即可为,针对本身就没有出现在重要数据目录或者其他特定行业限制出境规定的数据,还需要额外的正面清单来确认合法性吗?对于没有出现在正面清单里的数据,其出境合法性如何评价?当然,抛开此处不提,就上海正面清单文本而言,其为企业日常经营涉及的数据处理场景的界定和分类分级从业务视角提供了思路,同时也反向提供了降低数据敏感性的参考,具备一定参考意义。
(2)“负面清单”是否等于“重要数据”?
如前文分析,“负面清单”的制度设计出发点在于便利数据跨境流动,并未直接将该等数据类型与重要数据进行对应,只是《跨境新规》中关于重要数据出境需要进行安全评估前置性规定与“负面清单”中特定数据出境需进行安全评估的规定一同考量,会带来负面清单中提及的需要进行数据安全评估的数据即为自贸区认定的重要数据的印象。事实上,负面清单为探索数据跨境流动管理的试点性措施,本身并没有直接与重要数据一一对应,如果解释成等同概念,则限制了自贸区结合自身经贸发展特点进行数据流动管理的自由度和创新的可能性。
我们理解,重要数据是《数据安全法》项下数据分类分级保护制度的重要组成部分,一旦认定为重要数据,不止会影响数据出境,对于其全生命周期的数据安全保护亦提出了更高要求。自贸区的负面清单措施及实施效果可能会对下一步相关行业、领域的重要数据目录确定提供参考,但并不能直接等同于重要数据。
(3)“负面清单”中数据范围界定的问题
数据范围的界定一直是各类监管数据类型界定的难点问题,自贸区回应的路径是从行业、领域到数据大类、数据子类、数据基本特征及描述的角度逐层界定,然而该等尝试依然存在难以落实之处,从行业角度而言,三地政策中出现了不同的范围界定措辞:“行业”“领域”,但其定义和规定并未完全依据国民经济行业分类的要求,可能存在部分企业难以判定行业/领域归属的问题。
其中对于数据范围界定,“场景”、“字段”等概念的引入可以使关注点更为聚焦,我们理解监管对于字段展开细致的描述,具象化解释数据类型可以明确受限数据的边界,切实发挥负面清单的作用,达到为参与企业减负,提高政策预期性的效果。但现今,数据盘点和治理并未普遍进入成熟期,该等设计难以避免会存在监管不到位或者与企业实践不符的情况,由此,北京、上海、天津三地在数据范围清单化的同时,依然没有放弃整体的数据分类分级工作安排,配套进行推进和不断调整以达到较好的实施效果。
三、“合理且必要”的经贸数据交互界定:以汽车行业多地政策比较为例
汽车行业是近几年数据监管的重点行业,《汽车数据安全管理若干规定(试行)》出台后,汽车数据年报和数据本地化工作对于车企的影响重大,汽车行业是全球经贸分工合作的密集行业,自贸区三地均就汽车行业设置了要求,具有典型意义。
根据《汽车数据安全管理若干规定(试行)》以及多地自贸区政策,就需进行数据出境安全评估的数据类型梳理如下:
点击可查看大图
对于车企较为普遍的基础业务场景(研发、测试、生产、销售、售后),除了上海正面清单提及之外,其他法规及政策都未涉及,同时结合上海的限制条件来看,强调不与个人相关联亦无法识别,进一步降低了与个人信息的联系;从北京负面清单的角度而言,如果上表中其他业务场景(如车辆运行及衍生分析)中涉及车辆研发、测试环节处理车外视频图像等负面清单提及的数据类型,亦会进入负面清单范围,呈现出更深入的与业务场景结合的特征。
除了《汽车数据安全管理若干规定(试行)》所提及的类型之外,天津和北京的负面清单均显示出对OTA数据的关注,北京的负面清单中详细规定了OTA数据的具体字段,结合我们对于数据出境安全评估的实践观察,OTA数据很可能成为数据出境监管的重点,未来可能出现在全国范围内汽车行业的重要数据目录中。同时结合OTA功能本身需要向工信部门完成备案的要求,北京负面清单中提出了工信部备案的例外,避免重复监管,加重企业负担。
北京的负面清单中还额外提及了车联网信息服务以及车联网关键设备、关键信息基础设施的数据类型,相较《汽车数据安全管理若干规定(试行)》更进一步关注到重数据需求的车联网信息服务安全以及供应链安全的问题。
最后,关于《汽车数据安全管理若干规定(试行)》中一直争议颇多的10万个人信息即构成重要数据的规定,天津负面清单限缩为10万智能汽车消费者敏感个人信息,北京负面清单则直接引用《跨境新规》规定回避了这一问题,我们理解《汽车数据安全管理若干规定(试行)》的规定很有可能结合负面清单的试点情况后续发生调整。
此外,就出境前需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单,结合《跨境新规》规定与天津、北京自贸区政策对比,总结如下:
点击可查看大图
通过对比发现,天津负面清单和北京负面清单就需订立个人信息出境标准合同/通过个人信息保护认证的规定与《跨境新规》保持一致。结合两表,我们理解在实操中有不少问题仍待澄清,就非关键信息基础设施运营者的汽车企业A的不涉及人力资源管理、履行合同以及紧急情况的跨境传输活动,假设以下场景:
1、A注册在非自贸区且并未在自贸区开展任何数据处理活动,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照《跨境新规》,应当订立个人信息出境标准合同、通过个人信息保护认证;按照《汽车数据安全管理若干规定(试行)》,应当进行数据出境安全评估。实操中如何确定目前并没有统一口径。
2、A注册在天津自贸区,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照天津负面清单,如果不属于智能汽车的客户则应当订立个人信息出境标准合同、通过个人信息保护认证。但是,如果该等个人信息落入OTA等场景,则可能需要开展数据出境安全评估。
3、A注册在北京自贸区,自当年1月1日起累计对外提供10万客户的个人信息(不含敏感个人信息)
按照北京负面清单,应当订立个人信息出境标准合同、通过个人信息保护认证。但是,如果该等个人信息落入车联网信息服务、OTA等场景,则可能需要开展数据出境安全评估。
以上体现出同一数据集在不同场景、不同监管规则中的多重特性,尤其在目前多项监管规定出台的情况下,企业如何开展合规工作是我们持续关注的重点。
四、实施与前瞻:自贸区便利措施的落地及未来
自贸区的数据分类分级与跨境的监管尝试刚刚起步,我们理解各地自贸区会结合当地经贸特色进一步探索,对于国家层面的重要数据认定以及数据跨境监管有重大借鉴意义。目前自贸区普遍从企业自身的数据出境场景出发进行界定,呈现出与企业业务结合度更为深入的趋势,相较之前国家层面宏观的国家安全、社会公益视角提供的数据分类分级规则操作性增强。然而数据跨境监管是一个系统工程,为了实现“管得住,放得开”的目的,可能还可以从企业自身的数据安全保护能力以及出境接收方及接收方所在地等角度出发,结合跨境数据流动安全管控状态制定别具特色的负面清单,我们很期待下一步的监管进展。
对于企业而言,我们理解可从如下方面推进工作,以更好地利用各自贸区数据监管政策:
对于企业自身而言,结合所处行业、业务领域与自贸区规定判断适用性,同时对于自贸区政策适用流程进行研判,抓住自贸区的出境确定性利好机会;
对于集团公司而言,加强自身的数据治理工作,提升数据安全能力,基于自贸区政策情况,结合注册地和数据处理活动开展地状况,灵活确定集团公司内部的数据跨境策略;
结合自贸区各类清单审视内部数据分类分级策略,对于敏感数据进行打标并持续关注;
关注自贸区监管动态,与自贸区政府就数据跨境工作积极展开交流和沟通。
[注]
陈际红 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,反垄断和竞争法
行业领域:金融创新和金融科技,电信和互联网,信息和智能技术
吴佳蔚 律师
北京办公室
非权益合伙人
业务领域:网络安全和数据保护,知识产权权利保护
陈煜烺
北京办公室 知识产权部
《自然资源部双箭齐发,厘清智能网联汽车测绘数据处理的九大问题》
《行笃知明:数据要素交易中的合规审查与交易设计》
《“重要数据”揭开面纱?——<数据安全技术 数据分类分级规则>解读》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。