5月9日,天津自贸试验区管委会、天津市商务局联合公布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称《负面清单》)。有关单位负责人就《负面清单》相关问题进行解读。
问1:请介绍一下《负面清单》制定的背景和意义?
答:推动数据安全有序跨境流动是高水平对外开放的重要内容,也是当前全球经贸发展的热点议题。我国积极推动数据依法有序自由流动,相继出台实施《网络安全法》《数据安全法》《个人信息保护法》,对数据出境活动作出明确规定。落实法律规定要求,先后公布《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。2023年8月,国务院印发《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,支持天津等地探索便利化的数据跨境流动安全管理机制。今年3月22日,国家网信办公布《促进和规范数据跨境流动规定》,提出自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单),按程序报批后实施。这为我们制定《负面清单》提供了政策遵循。
在国家网信办、国家数据局等部委的大力支持和精心指导下,天津市委、市政府提前谋划、超前部署数据跨境流动制度创新,着眼对接国际高标准经贸规则,打造市场化、法治化、国际化一流营商环境,履行天津自贸试验区“为国家试制度”使命,探索具有天津特色的数据领域制度型开放路径,天津自贸试验区制定了《负面清单》,经市委网信委批准后,报国家网信办、国家数据局备案同意,于5月9日正式公布,成为全国第一个自贸试验区数据出境管理负面清单,为其他自贸试验区提供了“天津经验”、打造了“天津样板”,发挥了数据跨境流动政策创新开路先锋的重要作用。
《负面清单》代表着更大范围的对外开放。《负面清单》列明了天津自贸试验区内企业开展数据出境活动的管理范围,《负面清单》之外的数据可以自由跨境流动,与之相对的是“正面清单”,即只有清单内的数据才可以自由跨境流动,本质上讲,负面清单制度代表着更加开放的态度,也是对接CPTPP、DEPA等高标准国际经贸规则的积极探索。《负面清单》在划出安全底线的前提下,有助于便利化企业数据跨境流动。近年来,随着各部委协同发力,我国数据出境安全管理制度基本建立,但是企业在执行相关规定时仍然面临一些不确定性,比如重要数据定义较为笼统、缺少具体识别标准等,企业难以判断出境数据是否属于重要数据。天津自贸试验区在现有法律框架下制定实施《负面清单》,明确了包括重要数据在内的,需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,填补了该领域制度空白,为有效解决企业数据出境难题、助力培育国际经济合作和竞争新优势提供了制度保障。
问2:《负面清单》的主要内容是什么?
答:《负面清单》主要包括以下几部分内容:一是明确文件制定的目的意义。二是确立坚持统筹兼顾、便捷合规、简明实用、动态调整的基本原则。三是说明《负面清单》的适用范围。《负面清单》列明了天津自贸区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理,相关数据出境按照有关法律、法规和规定执行。四是提出《负面清单》主要考虑因素。要求落实数据分类分级管理要求、加强个人信息保护、服务企业高质量发展、规范数据出境行为。五是明确需要纳入管理的数据清单。在天津自贸试验区企业数据分类分级的基础上,将出境数据分为13大类46子类,每个子类均对数据基本特征作出详细描述,并给出具体示例。
问3:《负面清单》中提到的数据出境包括哪些场景?
答:根据国家网信办发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,数据出境行为包括:一是数据处理者将在境内运营中收集和产生的数据传输至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。三是符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
问4:《负面清单》中提到的重要数据是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
问5:《负面清单》中提到的个人信息、敏感个人信息是什么,如何区分?
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
关于个人信息和敏感个人信息的识别与区分,可以参考国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)。
问6:《负面清单》与日前国家网信办出台的《促进和规范数据跨境流动规定》关系是什么?
答:国家网信办制定《促进和规范数据跨境流动规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。《负面清单》是《规定》制度框架下的地方实践。一方面,《促进和规范数据跨境流动规定》为《负面清单》的制定出台提供了政策依据。另一方面,《负面清单》严格落实《规定》要求,《负面清单》划定的天津自贸试验区纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理的数据,已排除了《规定》中的豁免情形。即符合《规定》中免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据,不纳入《负面清单》管理。
问7:《负面清单》与《中国(天津)自由贸易试验区企业数据分类分级标准规范》关系是什么?
答:推动数据分类分级,是《数据安全法》的明确要求,也是促进和规范数据跨境流动的基础性、先导性工作。前期,在国家数据分类分级框架下,我们结合天津自贸试验区实际,制定出台了《中国(天津)自由贸易试验区企业数据分类分级标准规范》,适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级,将企业数据分成13大类40子类,从高到低分为核心、重要、一般3个级别,明确了重要数据的识别标准。
《标准规范》聚焦天津自贸试验区企业数据的分类分级,不论企业相关数据是否出境,均需按照规定程序开展分类分级工作,而《负面清单》则是在天津自贸试验区的企业有数据出境需求时使用。《负面清单》在《标准规范》基础上,对各行业领域的需跨境流动的重要数据识别给出了更加详细具体的识别标准,同时给出了示例,便于企业判断。此外,《负面清单》提出,“国家行业主管部门或本市认定的重要数据,自动纳入本清单管理”,所以依据《标准规范》识别确定的重要数据纳入《负面清单》管理,在出境时需申报数据出境安全评估。
问8:天津自贸试验区的企业如何使用《负面清单》?
答:根据《负面清单》的适用范围,天津自贸试验区内有数据出境需求的企业,应当对照《负面清单》识别其拟出境数据是否在清单范围内,在清单范围内的数据按照国家规定、根据实际情况申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,清单外数据可以自由跨境流动。比如,化学工业领域某企业计划向境外某公司传输某危化品的运输路线规划信息,根据《负面清单》中工业类的化学工业子类数据基本特征与描述,该信息应当纳入需要申报数据出境安全评估的数据清单管理,该信息出境应当申报数据出境安全评估。
问9:如何理解《负面清单》中需要申报数据出境安全评估的数据清单和需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单?
答:《促进和规范数据跨境流动规定》第七条明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据;二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。《负面清单》将《规定》第七条中涉及个人信息的情形总结为第44、45两项子类,将涉及重要数据的情形,结合天津自贸试验区实际,细化为12大类43子类数据,符合其数据基本特征与描述的数据,按照重要数据管理,纳入需要申报数据出境安全评估的数据清单。该清单中的数据出境,需要申报数据出境安全评估。
关于需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单,其内容表述与《规定》第八条一致。该清单中的数据出境,需要订立个人信息出境标准合同或者通过个人信息保护认证。
问10:如何理解《负面清单》中的备注?
答:《负面清单》中的备注是对其相应子类的补充说明,大致可分为3类:一是免予管理备注,比如,气象子类的备注为“已由气象等相关部门公开发布的数据除外”,将行业领域主管部门已公开发布的数据免予纳入需要申报数据出境安全评估的数据清单,《负面清单》中大部分备注属于此类;二是纳入管理备注,比如,环保子类的备注为“已单项公开但未按照区域、行业统计整理后公开的数据纳入清单管理”,明确了需要纳入申报数据出境安全评估数据清单的特殊情形;三是解释说明备注,比如,应急管理子类的备注为“‘一定精度’‘一定范围’‘一定规模’的具体要求以应急管理等相关部门发布的政策文件为准”,进一步解释说明了子类描述中较为笼统的概念。
问11:天津自贸试验区的企业开展数据出境活动,哪些数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
答:对天津自贸试验区的企业来说,以下七种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。七是向境外提供《负面清单》外的数据。其中,第三种至第七种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
问12:天津自贸试验区的企业如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
答:天津自贸试验区的企业,与天津行政区域内其他数据处理者一样,申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:https://sjcj.cac.gov.cn。具体方式可以查看国家网信办公布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:https://data.isccc.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式申报数据出境安全评估。天津市互联网信息办公室开通了数据出境管理咨询专线022-88355322,为数据处理者提供指导服务。
问13:评估、备案、认证过程中如何保障企业的商业秘密等合法权益?
答:《数据出境安全评估办法》规定,参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。《个人信息出境标准合同办法》规定,网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。《中华人民共和国认证认可条例》规定,从事认证认可活动的机构及其人员,对其所知悉的国家秘密和商业秘密负有保密义务。
问14:天津自贸试验区将如何加强政策指导,保障企业数据跨境合规流动?
答:天津自贸试验区将重点做好对政策的宣传解读和对企业的服务指导。一是提供便利化咨询。通过设立数据跨境服务窗口、公布咨询电话(022-66707689)、网络互动等方式,全方位为企业提供问询服务,使企业知晓、掌握政策,对企业遇到的典型问题加以梳理总结,以问答形式公布。二是做好精准化宣讲。一方面广泛宣传政策,发动各个片区,通过媒体宣传、政策宣讲会、各类企业政策服务平台及政策服务应用APP等,多渠道、多形式宣传解读政策,扩大政策宣传覆盖面,提高中小企业政策知晓率;另一方面精准推送政策,针对前期我们调研走访的重点行业和重点领域企业,通过专场政策推介会、上门服务等方式,结合业务进行详细政策解读,提供专业辅导。三是开展常态化服务。加强对招商、政务服务、商促等相关部门的政策培训辅导,将数据跨境合规作为一项重要内容,融入到企业日常工作中,开展常态化服务。
问15:《负面清单》实施后,如何做好天津自贸试验区数据出境活动的安全监管?
答:《负面清单》提出坚持统筹兼顾,统筹发展和安全,坚守国家数据安全底线,在保障重要数据安全和维护个人信息权益的基础上,促进数据资源有序流动和开发利用,推动数字经济和数字贸易高质量发展。下一步,天津市各相关单位将重点做好以下几方面工作:一是强化宣传引导。通过多种形式深入企业,加强对天津自贸区数据出境政策制度的宣传解读,提升企业合规意识。二是做好服务指导。积极帮助指导企业做好数据出境安全评估申报、个人信息出境标准合同备案、个人信息保护认证等工作,提升事前合规监管能力,及时将问题隐患消灭在萌芽状态。三是健全监管体系。加快构建数据出境事中事后监管体系,提升异常出境行业的监测预警能力,做好现场检查抽查,及时发现处置违法违规数据出境行为,守牢数据安全底线。
点击附件查看相关清单原文。