标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
2024年5月16日,上海市互联网信息办公室、中国(上海)自由贸易试验区管委会等5部门制定了《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》(“《管理办法》”)、《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》(“《负面清单》”),以及《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》(“《实施指南》”),适用于注册在中国(上海)自由贸易试验区(“上海自贸区”)和临港新片区的数据处理者开展数据出境活动。
自2024年3月22日《促进和规范数据跨境流动规定》(“数据跨境新规”)发布以来,自贸区被授权可自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。在此背景下,上海自贸区和临港新片区的《负面清单》成为继中国(北京)自由贸易试验区(“北京自贸区”)、中国(天津)自由贸易试验区(“天津自贸区”)之后,我国第三个发布数据出境负面清单的自贸区。
本文首先对《负面清单》进行内容解读,并结合当前实践,深入探讨自贸区数据出境负面清单管理制度的实施与发展方向,同时对该制度提出展望与思考。
一、《负面清单》解读
1. 适用范围
适用主体
《负面清单》适用于(1)在上海自贸区及临港新片区内注册,且(2)在上海自贸区及临港新片区内开展数据出境活动的数据处理者。与北京自贸区和天津自贸区的负面清单类似,基于国家安全和公共利益的考量,上海《负面清单》同样不适用于关键信息基础设施运营者。
目前,问题的关键在于如何界定“开展数据出境活动”,然而《负面清单》等相关文件并未给出其具体定义或示例。从字面含义分析,“开展数据出境活动”通常与拟出境数据的存储、处理和传输环节相关。因此,若物理意义上的数据出境活动发生在上海自贸区及临港新片区内,便可认定为在该区域内开展数据出境活动,常见情形如数据出境的节点、拟出境数据境内存储的数据中心位于上海自贸区及临港新片区内。
另一方面,在实际业务中,有时负责相关业务的团队及技术人员均隶属于上海自贸区及临港新片区内注册的实体,但因特定业务需求,物理意义上的数据出境活动需在该区域之外开展。若仅依据物理意义上的数据出境活动来判断,可能会不合理地限制《负面清单》的适用范围。因此,我们认为在判断是否构成“开展数据出境活动”时,需综合考虑数据处理者内部负责数据出境业务的工作人员所属公司等因素。
适用行业及场景
《负面清单》聚焦3个主要行业的5大场景,分别是金融(再保险)、航运(国际航运)和商贸(零售与餐饮业、住宿业)。具体而言:
值得注意的是,虽然根据《管理办法》规定,属于上述行业的数据处理者,向境外提供负面清单外的数据可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,但实际上《负面清单》对各个行业均设有兜底管理条款。这意味着,对于其他未列明的场景,仍需依据《促进和规范数据跨境流动规定》有关规定,申报数据出境安全评估申报,订立个人信息出境标准合同,或通过个人信息保护认证。
此外,对于《负面清单》未予列明的其他行业,《管理办法》明确上海自贸区及临港新片区将参照执行其他自贸区正式发布的数据出境负面清单。截至目前,我国其他自贸区发布的数据出境负面清单涉及的行业包括北京自贸区的汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据。天津自贸区虽发布了负面清单,但仅明确了重要数据的范围,未对个人信息出境的阈值进行调整。
尽管如此,上海自贸区及临港新片区如何参照适用其他自贸区正式发布的数据负面清单,仍有待进一步观察。尤其是其他自贸区后续发布的适用于其他行业的负面清单,以及对其他自贸区数据出境负面清单中适用场景和字段的解读等问题均需要持续关注和明确。
2. 《负面清单》内容
上海《负面清单》采取了与北京自贸区数据出境负面清单类似的体例,并在此基础上大幅提高了需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的出境个人信息阈值,提供了详细的场景解释说明、数据处理者示例等内容,进一步协助数据处理者理解和适用《负面清单》。
个人信息
就个人信息而言,各场景的阈值如下表所示:
重要数据
《负面清单》明确了再保险、国际航运业的重要数据范围。
其中,在再保险行业的人身险再保险场景、财产险再保险场景中,《负面清单》明确涉及部分敏感特殊单位及其个人的相关数据属于重要数据,包括县级以上党政机关、国防设施、军事管理区、国防科研生产单位等敏感特殊单位及其个人的数据。需注意的是,在敏感单位工作的个人的相关个人信息也可能属于重要数据。结合实践经验,对于其他行业以及上海自贸区和临港新片区之外的企业而言,虽然此类数据目前不属于重要数据,但从最佳实践角度出发,在向境外提供此类信息前,建议对相关信息进行脱敏处理。
此外,水路运输服务和港口作业生产相关场景仅涉及重要数据,除国际船舶运输公司的内部决策数据(上市公司财报等披露的数据除外)外,涉及的重要数据均为港口相关数据。虽然《负面清单》下的重要数据仅适用于上海自贸区和临港新片区内企业,但我们认为这对上海自贸区和临港新片区之外的港口也具有一定参考价值。
但值得关注的是,港口是重要的基础设施,我国目前也在大力推进港口信息基础设施建设。例如,交通运输部《关于加快智慧港口和智慧航道建设的意见》明确要求加快推动上海港建成智能感知网,推动新建集装箱、散货、客运等码头同步实现基础设施自动化监测。从这一角度看,如果港口的经营公司等相关企业被认定为关键信息基础设施运营者的话,水路运输服务和港口作业生产相关场景的具体适用情况还有待观察,因为《负面清单》本身并不适用于关键信息基础设施运营者。
尽管《管理办法》第14条要求市级管理部门及各市级行业主管监管部门根据相关法律、法规和规定,按照相关重要数据识别标准,形成上海自贸区及临港新片区重要数据目录,但该办法并未明确《负面清单》下的重要数据范围和相关行业重要数据目录之间的具体关联。
3. 如何使用《负面清单》
根据《实施指南》,希望按照负面清单开展数据出境活动的数据处理者,需要在使用负面清单开展数据出境活动之日起15个工作日内向所在地数据跨境服务中心提交负面清单使用材料并报备数据出境情况。上海自贸区管委会、临港新片区管委会在接收数据处理者负面清单使用材料后,对材料进行初步核验,并报上海市互联网信息办公室和上海市数据局。经核验通过的,由相关部门在收到材料之日起15个工作日内向数据处理者反馈,数据处理者可以按照反馈的内容开展后续工作。未通过核验的,相关部门在收到材料之日起15个工作日内通知数据处理者进行整改。
4. 《负面清单》的监督管理
我们理解,《负面清单》的监督管理主要涵盖两方面内容:一是监管部门的定期检查和双随机抽查,二是定期的出境情况报告。
首先,《操作指引》明确上海市互联网信息办公室、上海市数据局会联合上海自贸区管委会、临港新片区管委会、各市级行业主管监管部门通过定期检查和双随机抽查等方式,对负面清单的落实情况和上海自贸区及临港新片区内数据处理者的数据出境活动进行监督检查。
其次,虽然目前尚无明确要求使用《负面清单》出境的数据出境者定期提供出境情况报告的有关规定,但是《管理办法》要求上海自贸区管委会、临港新片区管委会每半年向上海市互联网信息办公室、上海市数据局报告负面清单落实情况和上海自贸区、临港新片区出境情况。因此,参考其他自贸区的实践情况,我们推测上海自贸区管委会、临港新片区管委会后续可能会要求使用《负面清单》出境的数据出境者定期提供出境情况报告。
倘若如此,考虑到一般数据出境合规路径中并不涉及定期报告要求,且负面清单管理制度的初衷是降低企业的合规负担,我们期望上海自贸区管委会、临港新片区管委会能够充分结合企业对出境活动的追踪能力,平衡监督管理需求以及企业日常运营需求,制定合理的报告要求,避免给企业带来过重的合规负担。
5. 《负面清单》和临港新片区操作指引的关系
2024年5月16日,中国(上海)自由贸易试验区临港新片区管理委员会发布智能网联汽车领域、生物医药领域,以及公募基金领域数据跨境场景化一般数据清单,并明确数据处理者应按照《中国(上海)自由贸易试验区临港新片区数据跨境流动一般数据清单操作指南(试行)》的管理要求开展数据跨境流动。
随着上海自贸区及临港新片区数据出境负面清单管理办法及其配套实施指南的发布,临港新片区形成了数据出境“负面清单 + 操作指引”的模式。后续临港新片区将在负面清单的框架下,出台再保险、航运等相关领域的数据出境操作指引,进一步细化负面清单相关场景的数据字段。根据《管理办法》,若相关行业、领域已发布操作指引,有出境需求的数据处理者可按照操作指引开展数据出境活动;当操作指引与负面清单不一致时,以负面清单为准。由此可见,操作指引更类似数据出境的合规最佳实践,相关企业可自愿采用操作指引提供的合规路径。
考虑到上海自贸区及临港新片区将参照执行其他自贸区正式发布的数据出境负面清单,且北京自贸区数据出境负面清单已包含汽车行业、医药行业,后续位于临港新片区的企业如何参照适用相关负面清单以及临港操作指引,仍有待进一步观察。
二、自贸区数据出境负面清单管理制度发展与展望
自数据跨境新规发布以来,我国自贸区积极探索数据出境负面清单管理制度,在不断地探索和实践中,为相关企业提供了更为清晰的数据出境指引。经我们梳理,目前自贸区关于数据出境负面清单管理制度的实践情况如下:
在实践中,自贸区在国家数据分类分级保护制度框架下自行制定数据出境负面清单制度的方向一直存在探讨。一种观点认为,“自行”的空间在于明确重要数据识别规则,而非对个人信息的豁免场景或出境申报、认证的阈值进行调整。该观点认为自贸区数据出境负面清单的使命是对法律法规以及相关政策中可进一步明确的问题进行探索,例如重要数据的具体范围。因此,自贸区数据出境负面清单首先要解决本辖区企业的重要数据识别问题。另一方面,也有意见指出,从数据跨境新规第6条的规范语义来看,自贸区可以对数据出境安全评估、个人信息出境标准合同及个人信息保护认证的管理范围一并进行调整。
此外,关于具体使用负面清单还是正面清单也存在一定讨论。正面清单和负面清单两种模式在一定程度上均有助于提升政策透明度和合规确定性。然而,正面清单虽能提供较强的合规确定性,却可能无法穷尽所有情况;负面清单虽合规确定性相对较低,但更加灵活,更符合数字经济的发展需求。鉴于此,参考国务院在2023年8月13日发布的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中明确要求支持试点探索形成可自由流动的一般数据清单,中国(福建)自由贸易试验区平潭片区采取了正面清单的模式,北京自贸区和天津自贸区则直接采用了负面清单。上海自贸区及临港新片区则形成了数据出境“负面清单+正面清单(即操作指引)”的模式。
回顾过去一年的发展,我们可以清晰地看到我国自贸区数据出境负面清单制度从初步探索到逐步完善,并在逐步完善的过程中逐步融合。上海《负面清单》吸纳了此前的各类讨论,最终明确了重要数据范围、提高了个人信息出境阈值,并配套提供正面清单提高企业合规确定性。此外,上海《负面清单》明确提出会参照执行其他自贸区正式发布的数据出境负面清单。这无疑是对现有负面清单管理制度的一次重大创新,有助于构建全国统一的负面清单管理制度,为全国范围内的数据出境管理提供新的思路与范例,同时有效整合行政资源,提升对数据出境的管理效率。
目前,各自贸区在制定负面清单时,通常会依据区内企业特色,重点聚焦先导行业。这致使自贸区内其他行业的公司在开展数据出境活动时面临一定阻碍,可能需等待较长时间才能依据负面清单进行相关操作。而通过参照适用其他自贸区已正式发布的负面清单,能快速解决这一问题。对于此,我们期待各自贸区管委会及相关属地网信办能形成议事机制,统一参照适用负面清单时的尺度,并且在负面清单的行业和场景方面实现全面的互通互认,公开互通互认负面清单情况,提高企业合规确定性,有序推动数字经济协同发展。
此外,正如我们此前在《春风几度玉门关:论天津自贸区数据出境负面清单》中所述,鉴于重要数据涉及国家安全,理论上应在全国统一管理,即任何自贸区数据出境负面清单中认定的重要数据,理论上在全国各地仍应作为重要数据进行管理,否则将增加重要数据被泄露、滥用等风险,进而影响国家安全。但是,目前受自贸区数据出境负面清单管理制度限制,自贸区数据出境负面清单所认定的重要数据理论上仅适用于自贸区内企业,因此自贸区外的企业可能会陷入缺乏法律基础却需满足额外合规义务的情形。对于此,我们也期待国家数据安全工作协调机制能推动各地自贸区重要数据的互通互认,充分发挥自贸区“桥头堡”和“试验田”的作用,在全国自贸区范围内率先形成重要数据目录。
结束语
自贸区数据出境负面清单管理制度是我国数据跨境流动治理的重大制度创新。上海自贸区及临港新片区数据出境负面清单管理制度的落地实施,是我国数据跨境流动治理进程中的重要里程碑,标志着负面清单已经走过初期探索阶段,并正在逐步深化与落实。
我们期待各个自贸区积极展开交流合作,共同探索负面清单尺度统一、行业场景互通互认的有效路径。通过建立高效的沟通协调机制,构建全国范围内构建统一、完善的数据出境负面清单管理体系。同时,借助自贸区的先行先试优势,进一步推动国家层面重要数据目录的建立,助力数据在安全有序的环境下实现更广泛、更高效的流动,为数字经济的高质量发展保驾护航。
扫码订阅“金杜律师事务所”,了解更多业务资讯
