中國數據安全監管趨勢2025自貿區便利化措施促進數據跨境流動暢通(二)
作者:王良 全開明 謝美山 2024-12-312024年3月22日公布并生效的《促進和規范數據跨境流動規定》第六條允許自由貿易試驗區在國家數據分類分級保護制度框架下,自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(負面清單),區內數據處理者向境外提供負面清單外的數據,免于申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。這一規定,實際上賦予了各自由貿易試驗區對于本試驗區范圍內數據跨境流動以負面清單的方式進行監管的權利,降低了數據跨境流動門檻,減輕了企業數據合規成本,有利于促進國際經貿往來與合作。
本文對北京、上海、天津、福建、廣東五地自由貿易試驗區在數據跨境流動方面的實踐探索進行梳理,從各個自貿區發布的數據出境管理清單中分析監管的趨勢和重點,以及數據安全監管所聚焦的行業類型,并附重點行業數據跨境傳輸案例列表。
一、天津自貿區數據出境管理負面清單
2024年2月,天津市商務局、中國(天津)自由貿易試驗區管委會聯合發布了《中國(天津)自由貿易試驗區企業數據分類分級標準規范》。2024年5月,中國(天津)自由貿易試驗區管理委員會、天津市商務局會同有關部門制定了《中國(天津)自由貿易試驗區數據出境管理清單(負面清單)(2024版)。該清單列明了天津自貿試驗區企業向境外提供數據需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情形,是我國第一份自貿試驗區數據出境負面清單。
該清單是一份涉及多個領域的綜合性清單,圍繞生物醫藥、服務外包、金融、互聯網平臺、汽車、集成電路、氣象、國際貿易等自貿試驗區8大重點領域產業發展和監管需要,將企業出境數據分為戰略物資和大宗商品類、自然資源和環境類、工業類、金融類等13個大類46個子類,并對每一類數據基本特征做出了詳細描述。天津自貿區需通過數據出境安全評估的數據清單,如下表所示:
二、上海自貿區數據跨境場景化一般數據清單
2024年2月3日,上海市政府印發了《上海市落實<全面對接國際高標準經貿規則推進中國(上海)自由貿易試驗區高水平制度型開放總體方案>的實施方案》,其中在規范和促進數據跨境流動方面,提出率先制定重要數據目錄、探索建立合法安全便利的數據跨境流動機制、在臨港新片區建立數據跨境服務中心等措施。2024年2月8日,中國(上海)自由貿易試驗區臨港新片區管理委員會發布《臨港新片區數據跨境流動分類分級管理辦法(試行)》。
2024年5月17日,中國(上海)自由貿易試驗區臨港新片區全國首批數據跨境場景化一般數據清單繼清單配套操作指南發布。首批一般數據清單包含智能網聯汽車、公募基金、生物醫藥3個領域,涉及智能網聯汽車跨國生產制造、醫藥臨床試驗和研發、基金市場研究信息共享等11個場景,劃分成64個數據類別600余個字段。其中,智能網聯汽車領域包括跨國生產制造、全球研發測試、售后服務、二手車全球貿易4個場景23個數據類158個數據字段。生物醫藥領域包括臨床試驗和研發、藥物警戒和醫療器械不良事件監測、醫學問詢、產品投訴、商業合作伙伴管理5個場景30個數據類148個數據字段。公募基金領域包括市場研究、內部管理2個場景11個數據類344個數據字段。上海自貿區數據跨境場景化一般數據清單,如下表所示。
三、北京自貿區數據出境管理負面清單
2024年8月26日,北京市互聯網信息辦公室、北京市商務局、北京市政務服務和數據管理局會同有關部門聯合印發了《中國(北京)自由貿易試驗區數據出境負面清單管理辦法(試行)》《中國(北京)自由貿易試驗區數據出境管理清單(負面清單)(2024版)》。其中,該管理辦法重點圍繞負面清單的制定流程、職責分工、使用管理、安全監管等方面進行深化設計,并同步完善了重要數據識別規則,提出13類 41 子類數據分類分級參考規則。該負面清單涉及汽車、醫藥、零售、民航、人工智能等5個行業48項數據,23個業務場景和198個具體字段。該負面清單還明確了相關行業的適用情形,詳細規定這些情形下需要通過數據出境安全評估的數據清單和需要通過個人信息出境標準合同備案、個人信息保護認證出境的數據清單。北京自貿區數據出境管理負面清單,如下表所示。
四、福建自貿區數據跨境流動一般數據清單
2024年8月26日,福建平潭綜合實驗區自貿試驗與深化改革辦公室發布了《中國(福建)自由貿易試驗區平潭片區數據跨境流動一般數據清單(試行)》,自發布之日起試行一年。此一般數據清單涉及跨境旅游、跨境電商、國際航運和跨境直播共4個行業15個應用場景,適用于在平潭自貿片區范圍內登記注冊的,在平潭自貿片區內開展數據跨境流動活動的數據處理者。福建自貿區數據跨境流動一般數據清單,如下表所示。
五、粵港澳大灣區個人信息跨境流動標準合同
為了滿足內地的數據跨境流通監管要求與促進粵港澳大灣區數據自由流通,2023年6月29日,國家互聯網信息辦公室與香港特區政府創新科技及工業局簽署了《關于促進粵港澳大灣區數據跨境流動的合作備忘錄》。2023年12月10日,《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》以及相應的個人信息出境標準合同文本《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》發布并于當日起實施。2024年9月9日,國家互聯網信息辦公室與澳門經濟財政司簽署了《關于促進粵港澳大灣區數據跨境流動的合作備忘錄》,次日正式公布《粵港澳大灣區(內地、澳門)個人信息跨境流動標準合同實施指引》并生效,隨附《粵港澳大灣區(內地、澳門)個人信息跨境流動標準合同》及《承諾書》。
以上香港版《指引》與澳門版《指引》在《促進和規范數據跨境流動規定》的基礎上進一步放寬數據跨境流動的監管要求,簡化了個人跨境流動的合規安排,有助于粵港澳大灣區一體化發展。粵港澳大灣區個人信息跨境流動標準合同適用范圍,如下表所示。
附:重點行業數據跨境傳輸案例列表[1]
注釋
[1] 參考北京國際大數據交易所有限責任公司:《數據跨境實踐探索白皮書》,2024年7月。
