欢迎点击上方 TMT法律论坛 关注我们
导读
NEWS
★
NEWS
★
2024年8月30日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局联合印发《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称“《管理办法》”)《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“《负面清单》”)。
《管理办法》重点围绕负面清单的制定流程、职责分工、使用管理、安全监管进行了规定,并以《中国(北京)自由贸易试验区数据分类分级参考规则》(以下简称“《分类分级规则》”)作为附件,完善重要数据识别规则,提出13大类41子类数据分类分级参考规则。
根据《管理办法》,北京自贸试验区内登记注册、开展数据跨境流动等相关活动的数据处理者应按照相关规定识别、申报重要数据。其中,优先按照行业主管部门已公开发布或已在行业内部发布的本行业、本领域数据分类分级标准规范识别重要数据;行业主管部门未明确判定标准的,按照《分类分级规则》识别重要数据。
《分类分级规则》适用于非涉密数据,其明确的重要数据包括:
北京自贸试验区企业掌握的1000万人以上个人信息(不含敏感个人信息);100万人以上敏感个人信息;10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。
被国家认定为关键信息基础设施的运营者掌握的10万人以上个人信息。
北京自贸试验区企业在研发设计过程、生产制造过程、经营管理过程中收集和产生的与行业竞争力、行业生产安全相关的高价值敏感数据;涉及国家安全的企业供应链相关数据。
北京自贸试验区企业掌握的关系国计民生领域的自动控制系统参数以及控制、运行维护、测试数据。
特定行业、领域适用的重要数据,具体详见下文《分类分级规则》。例如:
① 达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的基础地理信息数据和遥感影像数据;
② 用于研发生产的智能网联汽车自动驾驶模型训练数据;
③ 银行、保险、证券期货及融资租赁领域的机构安保信息,以及其处理的重要企事业单位业务数据,包括国防军工企业、关系国家安全企业的相关信息;
④ 退伍人员等敏感人群数字画像数据,对军工、政府类客户记录和跟踪的数据等。
《负面清单》是首个场景化、字段级数据出境负面清单,首批覆盖汽车、医药、零售、民航、人工智能等5个领域,共23个业务场景和198个具体字段,分为(1)需要通过数据出境安全评估的数据清单,(2)需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单及(3)需要通过其他合法合规路径出境的数据清单(医药行业)。具体详见下文《负面清单》。
例如,就汽车行业而言,车联网信息服务场景下的身份鉴权信息、车辆远程操控类信息、车辆工况类数据、涉车服务类数据(应用程序使用数据)、车联网服务平台基础属性数据(车辆日志数据)、车辆外部环境感知数据等及车辆控制等在线升级数据(已在工信部备案,并通过相关安全技术措施处理,可确保升级包数据不被篡改的情形除外)等的跨境传输,均需要通过数据出境安全评估。
后续,《负面清单》将按照动态管理机制,分行业、分领域、分批次发布更新。
结合《管理办法》,数据处理者应按照所在自贸组团[注]负面清单配套实施指南要求使用负面清单出境数据,遵循以下主要流程。
其中,出境数据在负面清单内的,根据负面清单申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;出境数据在负面清单外的,可按照负面清单配套实施指南要求安全有序自由流动;出境数据不适用负面清单的,按照现行法律法规执行。
《管理办法》同时细化了事后监督机制。完成备案后,数据处理者应配合监管机构的监督、核验。数据出境情况发生变化时,及时向各自贸组团更新备案。
注:自贸组团:北京市朝阳、海淀、昌平、通州、顺义、大兴、亦庄北京自贸试验区组团的管理部门及属地相关职能部门统称各自贸组团,负责组织指导本组团内数据处理者合规使用负面清单,制定出台负面清单配套实施指南、明确负面清单使用对象及申报流程、指导数据处理者开展使用申请和备案工作、加强数据出境活动的跟踪监督、形成事中存证与事后监管能力等。
了解详情,请点击文末“阅读原文”。
回顾《促进和规范数据跨境流动规定》,请点击此处。
回顾上海、天津自贸区数据分类分级规范,请点击此处。
回顾天津自贸区负面清单,请点击此处。
回顾上海自贸区一般数据清单,请点击此处。
负面清单
Lists
★
负面清单
★
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪
