标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
《促进和规范数据跨境流动规定》(以下或称“数据跨境新规”)第6条规定,自由贸易试验区(“自贸区”)可以制定需要纳入数据出境监管流程范围的数据清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案后生效。2024年5月9日,中国(天津)自由贸易试验区管理委员会、天津市商务局联合公布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(“《负面清单》”)是全国第一个自贸区数据出境管理负面清单。
本文将首先对《负面清单》进行内容解读,并就企业如何根据《负面清单》履行合规义务给出建议。同时结合当前实践,进一步探讨自贸区负面清单制度的实施与方向,对《负面清单》提出展望及思考。
一、《负面清单》解读
(一)适用范围
《负面清单》在第3部分“适用范围”中规定“《负面清单》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形”。对于“天津自贸试验区企业”,结合数据跨境新规的相关规定,我们理解应当指天津自贸区内的企业作为数据处理者,以自身名义向境外提供个人信息时,应当适用《负面清单》的情形。
(二)结构简介
《负面清单》主要由五部分内容组成,分别为文件制定的目的意义、基本原则、适用范围、主要考虑因素以及明确需要纳入管理的数据清单。除前述适用范围外,《负面清单》以便利企业数据依法有序高效出境为目的,坚持统筹兼顾、便捷合规、简明实用、动态调整的基本原则,要求落实数据分类分级管理要求、加强个人信息保护、服务企业高质量发展、规范数据出境行为。
就明确需要纳入管理的数据清单而言,《负面清单》结合《中国(天津)自由贸易试验区企业数据分类分级标准规范》,根据现有数据出境监管流程以及数据重要程度,将天津自贸区内企业在实际运营过程中需要向境外传输的数据分为三个层级。第一层级为《负面清单》外的拟出境数据,天津自贸区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。第二层级为“需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单”,目前该场景下仅规定了一种适用情形,即“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息”,与《促进和规范数据跨境流动规定》第8条[1]内容保持一致。第三层级为“需要通过数据出境安全评估的数据清单”,在该场景下,《负面清单》依据行业性质将相关数据分为三级类别,其中一级类别为战略物资和大宗商品类、自然资源和环境类、工业类等十三个数据类别,二级类别在一级类别的基础上,将十三个数据类别进一步细分为四十六个数据子类。总的来说,《负面清单》对数据分类管理的模式延续了《数据安全法》中对“重要数据”的定义进路[2],关注各类别数据发生安全事件后的危害程度,体现出明显的后果导向特点。
同时,为了方便企业理解,《负面清单》在数据分级分类的基础上,更为细致地描述了各类数据的基本特征并列举相关示例,比如对于遥感影像类数据,《负面清单》规定为“达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的遥感影像数据。如原始影像数据、影像产品数据等”。此外,《负面清单》里明确规定了当《负面清单》与国家行业主管部门相关政策规定发生冲突时,“《负面清单》内容与其不一致的,从其规定”。
最后,值得注意的是,由于《数据安全法》中对重要数据的定义未明确其公开状态与否,因此公开数据是否属于重要数据至今仍存在争议。而天津自贸区在《负面清单》中体现出的态度更接近于将公开数据不作为重要数据进行管理,比如拟出境的“关系公共安全的水利数据”根据《负面清单》规定应进行数据出境安全评估,但《负面清单》备注指示“已由水利等相关部门公开发布的数据除外”。
(三)企业如何根据《负面清单》履行合规义务
根据《负面清单》,天津自贸区内的企业可以根据自身情况选择所适用的合规路径,具体的适用步骤请参考下图。
图1 企业依据《负面清单》履行合规义务路线图
二、自贸区负面清单制度实施的探讨与建议
数据跨境新规第6条赋予了自贸区在国家数据分类分级保护制度框架下自行制定负面清单的权力。实践中,这一规定引发了关于“自行”制定的界限和含义的讨论。一种观点认为,“自行”的空间在于明确重要数据识别规则,而非对个人信息的豁免场景或出境申报、认证的阈值进行调整。这种观点认为自贸区负面清单的使命是对法律法规,以及相关政策中不明确的问题进行探索,而我国目前数据出境管理中一直悬而未决的问题则是重要数据的范围。因此,自贸区数据出境负面清单首先要解决本辖区企业的重要数据识别问题。
另一方面,亦有意见指出,从数据跨境新规第6条的规范语义出发,自贸区可以对数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围一并进行调整。如果第6条中“自行”的空间仅在于明确重要数据识别规则,则其无需赋予自贸区调整个人信息出境标准合同、个人信息保护认证管理范围的权力。此外,数据跨境新规第6条也明确了,自贸区负面清单应当在国家数据分类分级保护制度框架下开展,也就是说自贸区负面清单应当符合国家的数据分类分级保护制度。根据《数据安全法》第5条、第21条,国家建立数据分类分级保护制度,对数据实行分类分级保护,重要数据的识别工作应在国家安全部门牵头下由各个行业主管部门根据行业特性进行。考虑到自贸区识别重要数据的视角可能不一定和国家层面维护安全的思考完全一致,未来自贸区对负面清单的动态调整也仍需依赖国家层面的判断与引导,自贸区可能不是适当的重要数据识别规则主体。
重要数据的性质本身可能也不适合由自贸区进行先行试验。鉴于重要数据涉及国家安全,理论上应在全国统一管理,即任何自贸区负面清单中认定的重要数据理论上在全国各地仍然应当作为重要数据进行管理,否则将增加重要数据被泄露、滥用等风险,从而影响国家安全。但是,自贸区负面清单理论上仅适用于自贸区内企业,因此自贸区外的企业可能会陷入缺乏法律基础但却需要满足额外合规义务的情形。
我们理解,自贸区制定的《负面清单》可能并不直接等同于重要数据目录,而仅仅是提供了重要数据识别规则。但是,在国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》已于2024年3月15日发布的情况下,自贸区层面目前较为宽泛的重要数据识别规则仍然需要与其他监管口径结合适用。除根据个人信息主体人数阈值或提供具体精度的数据种类外,市场主体对于其所处理的数据是否可能对国家安全、公共利益造成影响仍然缺乏一定的判断能力,因此,即便已有自贸区的负面清单,企业可能仍然需要咨询相关主管部门。
从自贸区的定位来看,自2007年自贸区的概念提出以来,自贸区即承担了改革开放排头兵、创新发展先行者的角色,是我国扩大对外开放的“桥头堡”和“试验田”。自贸区需要将扩大开放与风险监管相结合,逐步推进、完善对外开放,而重要数据的识别涉及国家安全,并不适合作为控制风险的客体。另一方面,在大部分行业主管部门尚未发布重要数据目录的情况下,自贸区内企业则会面临比自贸区外企业更为繁重的数据安全管理要求。落入自贸区负面清单的数据由自贸区内企业向境外提供时需要通过数据出境安全评估,但自贸区外的企业则可以直接向境外提供,这一结果可能会偏离自贸区的使命。
诚然,重要数据的范围是数据出境管理中有待进一步澄清的问题,也是诸多企业在面对向境外提供数据时的实际挑战。但是,结合我们的经验,从数据出境监管实际需求来看,当前数据出境监管的主要挑战集中在个人信息出境领域,而企业通常对于可能会影响国家安全的数据持审慎态度。并且,我国对于向境外提供可能影响国家安全的数据层面的监管并未一片空白,诸多行业主管部门已经有一定的事前管控措施。
有鉴于此,我们建议自贸区在制定负面清单时,应更多地关注个人信息出境问题。自贸区应结合区内企业的具体情况,通过降低数据跨境新规第7、8条所列的个人信息出境标准合同的门槛,或设定数据跨境新规第5条之外的豁免场景等等方式,促进数据的安全有序流动,降低企业的合规成本,进一步推动贸易和投资的便利化。
三、对《负面清单》的展望及思考
我们理解,本次《负面清单》对于数据类别的具体划分标准,是以《中国(天津)自由贸易试验区企业数据分类分级标准规范》所划分的数据类别为基础所作出的进一步细化。但对于企业如何根据该《负面清单》具体选择所适用的合规路径,《负面清单》内的部分划分标准可能仍待进一步细化和明确,进而可能导致企业在《负面清单》的规范理解和具体适用上产生一定的困惑。
(一)部分数据判别标准中的定义概念仍待进一步明确
1. 对于“企业在商务谈判、进出口贸易等一般性商业活动中产生的数据除外”之规定,可能需进一步明确“一般性商业活动”的范围
我们注意到,在“战略物资和大宗商品类”以及“工业类”数据中的“钢铁、有色金属、稀土、其他矿产”的子类数据中,《负面清单》将“企业在商务谈判、进出口贸易等一般性商业活动中产生的数据”排除在需要通过数据出境安全评估的范围之外。我们理解,上述数据类别的划分依托于《中国(天津)自由贸易试验区企业数据分类分级标准规范》中的重要数据类别,重点强调其对国家重大战略资源部署及贸易情况的影响。因此将没有落入重要数据的战略物资及大宗商品、金属及矿产贸易中产生的一般数据予以排除。实践中,“一般性商业活动”的范围可能难以清晰界定,上述免予管理的规定是否意味着企业在“一般性商业活动”中产生的数据均不属于重要数据,这仍待进一步明确。
2. 以地理区划为统计标准的,可能需要进一步明确该统计量级的划分标准
我们注意到,“35.疾控数据”的划分标准之一为“反映某一地区传染病防控情况”。此处的“某一地区”的具体范围尚不明确,我们理解,此处的划分标准或可以我国当前行政区划级别进行划分,但其最小统计单位仍需进一步限定。例如,是否为街道级以上地区,或县级地区以上地区?
此外,“37.网络安全”、“23.经济统计”子类数据均以天津市本市的范围作为数据统计的基准,但我们理解,尽管本《负面清单》适用的对象为天津市自贸区内的企业、组织,但这并不意味着这些企业、组织所处理的数据仅限于天津市范围内的数据。对于其所处理的直辖市级、多省市或国家量级的数据,是否也应当纳入本清单管理范围?
3. 其他尚待进一步明确的定义或概念
对于“33.药品”子类所提出的“涉及特定药品实验数据”,“特定药品”的范围仍不甚明确。根据我国《药品管理法》及《麻醉药品和精神药品管理条例》的相关规定,“疫苗、血液制品、麻醉药品、精神药品、医疗用毒性药品、放射性药品、药品类易制毒化学品等”是国家实行特殊管理的药品,此处的“特定药品”是否与国家实行特殊管制的药品范围相同?
此外,“39.服务外包”子类引入“利用我国独特掌握的技术处理境外数据产生的结果数据”作为判断标准之一,但此处的“我国独特掌握的技术”尚需进一步明确。如上述概念是指专利技术,考虑到知识产权的地域性特征,该技术是否指仅在我国注册专利的技术?同时,此处的技术是否既包含民商用技术也包含军用技术?
(二)“一定精度”“一定范围”“一定规模”“达到国家规定的覆盖度、精度和尺度”等统计标准仍待进一步澄清
“38.应急管理”子类引入了“一定精度”“一定范围”“一定规模”的相关统计概念作为该子类数据的判断标准。尽管该条备注已明确,“一定精度”“一定范围”“一定规模”的具体要求以应急管理等相关部门发布的政策文件为准。但我们注意到,《负面清单》中其他类别的数据描述也采用了上述类似表述作为判别标准,因此仅在应急管理子类中增加上述备注可能仍然难以覆盖其他子类表述中的类似情况。例如“2.农产品”中的“达到一定精度或未公开农产品地理信息数据”、“3.基础地理信息”中的“达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的基础地理信息数据”、“4.遥感影像”中的“达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的遥感影像数据。”此外,“18.工业互联网和工业控制系统”中也采用了“规模以上”的工业企业表述。
(三)部分子类数据划分的概念与其所属行业自身特殊规定的衔接有待进一步明确
1. 智能汽车数据
《负面清单》中存在部分子类数据划分标准与其所属行业特殊规定不一致的情况。例如,“19.智能汽车”子类将OTA数据纳入需要通过数据出境安全评估的范畴。然而,在汽车数据领域,我国现行的《汽车数据安全管理若干规定(试行)》第3条已经提出了汽车领域重要数据的概念,其中并未包含OTA数据。同时OTA数据本身的概念也待进一步明确。我们理解,在智能汽车行业实践中,OTA数据一般可能包含车辆网联终端软件数据中的软件或系统升级信息等,较之于汽车领域重要数据中的其他数据,OTA数据本身对于国家安全及公共利益的影响可能相对较低,此处的OTA数据是否应当进一步限定为与国家安全紧密相关的具体数据类型,可能仍待进一步讨论。
同时,该子类数据将“10万以上智能汽车消费者相关敏感个人信息”的数据纳入清单管理范畴,与《汽车数据安全管理若干规定(试行)》第3条所规定的“涉及个人信息主体超过10万人的个人信息”不相一致。一方面,仅纳入“智能汽车消费者”的相关敏感个人信息,可能无法涵盖实践中智能汽车场景下所涉及的个人信息主体类型;另一方面,《汽车数据安全管理若干规定(试行)》将10万人的个人信息纳入重要数据范畴,而《负面清单》仅将敏感个人信息纳入重要数据范畴。对于涉及掌握超过10万人非敏感个人信息的企业是否适用《负面清单》,则需要进一步澄清。
2. 电子信息子类数据管理与跨境调取涉外诉讼证据的衔接
我们理解,在部分涉外司法诉讼场景下,可能会涉及跨境证据调取,尤其是在知识产权类司法诉讼中,不免会涉及《负面清单》中“15.电子信息”类数据的“电子信息行业先进技术、集成电路先进设计和制造技术、重大计算装备设计数据、算法和软硬件架构以及重要电子元器件设备国产化率等数据”。在此情况下,相关企业需要通过数据出境安全评估,但考虑到诉讼程序的紧迫性,企业可能面临境内数据跨境合规及境外司法机构的双重监管压力。对于本负面清单内涉及的类似情况与我国《数据安全法》第36条[3]的适用衔接问题,仍待进一步澄清。
3. 社会统计与涉外调查监管的衔接
我们注意到,“24.社会统计”子类也被纳入《负面清单》的管理范围。我们理解,在社会统计的场景下,可能涉及《涉外调查管理办法》所规制的涉外调查行为。根据国家统计局此前发布的《涉外调查管理办法》第2条规定,“将调查资料、调查结果提供给境外组织、个人或者境外组织在华机构的市场调查和社会调查”属于涉外调查,而根据该办法第9条,涉外市场调查必须通过涉外调查机构进行,涉外社会调查必须通过涉外调查机构报经批准后进行。我们理解,对于社会统计中可能涉及的涉外社会调查,相关数据如同时落入《负面清单》范围的,所涉企业可能面临需要通过数据出境安全评估及获取涉外调查机构批准的双重监管,从而在实践中可能导致研究机构合规负担较重。因此,就该场景下对相关适用规定的衔接问题也待进一步明确。
当然,尽管《负面清单》存在上述适用上的难点,但《负面清单》也在适用范围部分明确了《负面清单》将根据实践情况动态调整,对于在使用过程中出现的新情况、新问题,由市网信办、市商务局、市数据局、天津自贸区管委会会同有关部门协商沟通,共同研究制定对策措施,并做好解释说明。同时亦明确国家行业主管部门相关政策规定发生变化,《负面清单》内容与其不一致的,从其规定。因此,我们理解,本版《负面清单》作为自贸区数据跨境监管规则的最新尝试,将在后续的具体适用过程中不断优化。此外,我们理解,本次《负面清单》为重要数据识别的规则提供了参考和指引,但需要注意的是,清单内的具体划分标准并不应视为行业重要数据识别的最终规则。企业如需具体判断重要数据的类别,仍应以行业主管部门发布的重要数据目录为准,我们也建议企业根据自身实际情况与主管部门适时沟通,确保在相关部门的指导下尽快推进数据跨境合规举措的落地。
结束语
在全球化和数字化时代背景下,数据跨境流动已成为推动经济发展的关键因素。数据跨境新规第6条为自贸区提供了制定负面清单的自主权,旨在探索更高效、更安全的数据出境管理模式。天津自贸区的负面清单尝试,尽管面临挑战,却体现了我国在数据治理方面的创新精神和积极探索。
数据出境负面清单的制定是一个复杂的过程,需要在保护国家安全和促进数据自由流动之间找到恰当的平衡点,其不仅是一个立法技术性问题,更关乎国家的战略布局。
我们期待负面清单可以在满足现有法律法规、尊重市场规律的基础上,勇于尝试、不断调整监管实践,制定明确、可落地的负面清单,为企业提供清晰的规则和指南,为全国数据出境管理制度提供经验,将“春风”吹拂到大江南北,构建更加安全、开放、透明的数据出境安全管理制度,促进我国数字经济的繁荣发展。
感谢实习生宋佳怡对本文作出的贡献。
扫码订阅“金杜律师事务所”,了解更多业务资讯
《促进和规范数据跨境流动规定》第8条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于本规定第3条、第4条、第5条、第6条规定情形的,从其规定。
《数据安全法》第21条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《数据安全法》第36条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。