观韬解读 | “适时、适度、适配”——上海自贸区数据出境《负面清单》解读
作者:王渝伟 颜茜
2025年2月8日,上海市委网信办、上海市数据局、上海市发展和改革委员会、中国(上海)自由贸易试验区管委会、中国(上海)自由贸易试验区临港新片区管委会联合公布《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》(以下简称“《管理办法》”)《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》(以下简称“《负面清单》”)以及《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》(以下简称“《实施指南》”)。这标志着上海在数据跨境流动便利化服务创新改革方面迈出重要一步,有助于推动上海的高水平开放和高质量发展。
《负面清单》综合考虑行业主管监管部门要求、数据分类分级规则、数据敏感程度等因素,首批清单涵盖金融(再保险)、航运(国际航运)和商贸(零售与餐饮业、住宿业)3个关键领域,包括重要数据、个人信息2类数据,涉及6个具体场景,84个数据项。
一、发布背景
对于在上海自由贸易试验区及临港新片区(以下简称“上海自贸区”)注册并开展数据出境活动的数据处理者而言,此次《负面清单》等文件的发布及时回应了相关领域企业的数据跨境需求和服务需求,真正做到了适时、适度、适配。
(一)适时
2024年3月22日,《促进和规范数据跨境流动规定》正式施行,其中第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。随后,中国(天津)自由贸易试验区、中国(北京)自由贸易试验区分别于2024年5月和2024年8月发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“《(天津)负面清单》”)、《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“《(北京)负面清单》”)。
作为始终走在改革开放、锐意创新前沿的上海自贸区,并未在《促进和规范数据跨境流动规定》出台后第一时间着手制定负面清单,而是结合跨境场景细化至具体字段,经过充分的行业领域调研,凝练形成场景化、精细化、可操作的字段级别负面清单。同时,《管理办法》指出,其他自贸区正式发布的数据出境负面清单,上海自贸区及临港新片区可参照执行。因此,此次《负面清单》是在数据跨境合规监管经验充分沉淀以及对其他自贸区正式发布的数据出境负面清单灵活参考的情况下适时发布的“及时雨”,为企业高效合规履行数据跨境合规义务提供了明确指引。
(二)适度
此次发布的《负面清单》创新亮点较多,尤其是人身险再保险场景、财产险再保险场景和船员管理场景,以及零售与餐饮业、住宿业会员管理场景下数据出境活动须采取的合规义务对应的个人信息量级有了大胆突破,突破了《(北京)负面清单》规定的10倍甚至100倍。《负面清单》在勇于创新的同时也致力于控制风险,将适用范围限定为在上海自贸区及临港新片区内注册且在该区域内开展数据出境活动的数据处理者,将适用行业领域限定于金融(再保险)、航运(国际航运)和商贸(零售与餐饮业、住宿业)3个关键领域,并在行业领域下细分场景,仅在6个具体场景下进行适度突破。
(三)适配
相比《负面清单》的发布,企业更关注的是《负面清单》的要求如何在实践中落地。鉴于数据跨境领域新、涉及行业面广、专业性强,为做好《负面清单》适配工作,更好地提供精准政策指导服务,激发企业参与数据跨境流动机制共建的积极性,浦东新区以企业需求为导向,于2025年2月13日在外高桥保税区举行了上海自由贸易试验区数据跨境服务中心授牌仪式暨首场数据出境负面清单政策解读会,从规范流程、操作指南、专家队伍建设等方面为企业提供与《负面清单》相关的配套指导服务。
1.五大片区同步成立数据跨境服务中心
外高桥保税区、陆家嘴、金桥、张江、世博等上海自贸区五大片区同步成立数据跨境服务中心,联合临港新片区数据跨境服务中心建立网格化政务服务,面向企业提供数据跨境“一站式”服务,为企业提供数据跨境政策咨询、常见问题解答、负面清单使用材料初步核验等服务,具体来说,包括对于数据数量门槛和分级分类的识别、判断出境个人信息是否属于敏感个人信息等。目前各片区数据跨境服务中心均已开通咨询服务热线和现场咨询窗口,并向社会公开。
2.编制《数据跨境服务中心操作指南》
上海市委网信办、上海市数据局、上海自贸区管委会、临港新片区管委会联合编制《数据跨境服务中心操作指南》,详细梳理《负面清单》适用范围、申报核验流程和要求、常见问题解答等,并对各片区数据跨境服务中心进行岗前培训、畅通互动渠道,帮助相关工作人员提升专业知识储备,及时解答企业的具体诉求和疑难问题。
3.组建数据跨境便利化服务改革专家组
浦东新区专门邀请一批长期从事数据安全管理、数据合规研究,曾参与国家数据跨境政策法规和《负面清单》制定工作的专业人士,提供专业优质辅导解答服务,帮助企业提高数据出境安全风险自评估的工作效率。笔者作为上海市浦东新区数据跨境便利化服务改革专家组特聘专家,亦有幸受邀参与此次解答服务。
(上海自贸试验区数据跨境服务中心授牌仪式暨首场数据出境负面清单政策解读会具体报道https://mp.weixin.qq.com/s/4x0FbY0vlwVCizOQosR5tA)
二、适用范围
适用《负面清单》的数据处理者需要同时满足以下条件:
(1)在中国(上海)自由贸易试验区及临港新片区内注册;
(2)在中国(上海)自由贸易试验区及临港新片区内开展数据出境活动。
《促进和规范数据跨境流动规定》第七条要求其应当遵守更加严格的数据出境管理规定,而《负面清单》旨在简化数据出境合规要求、减轻数据出境合规义务,且《负面清单》亦明确指出,关键信息基础设施运营者(CIIO)不适用《负面清单》。
三、与其他法律法规的效力层级关系
《管理办法》明确,如相关行业、领域已发布操作指引,有出境需求的数据处理者可按照操作指引开展数据出境活动,操作指引与《负面清单》不一致的地方,以《负面清单》为准。《负面清单》解释说明指出,《负面清单》涉及行业领域若包括纳入出口管制事项、技术出口管理事项数据的,按照《中华人民共和国出口管制法》《中华人民共和国对外贸易法》《促进和规范数据跨境流动规定》等国家相关规定执行。
《负面清单》和操作指引未涉及的行业、领域数据,按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规、规章规定执行。而针对《负面清单》涉及的行业领域数据,《负面清单》的效力优先于上述法律法规。
我国缔结或者参加的国际条约、协定与《负面清单》有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
四、具体内容及主要亮点
《负面清单》主要有以下几大亮点:
(一)提供场景定义
在清单呈现形式方面,《负面清单》将“场景名称”前置单列,就场景增加解释说明,便于企业直接对应场景并适用。和《(天津)负面清单》《(北京)负面清单》相比,该《负面清单》涵盖行业领域及场景相对较少,集中在再保险领域、国际航运领域、商贸领域(零售与餐饮业、住宿业)三个关键领域,涉及六个具体场景,需要持续关注后续第二批负面清单的更新和发布。现将《负面清单》所涉具体场景整理如下:
1.再保险领域
《负面清单》适用于再保险领域的开展再保险业务的再保险公司、保险公司以及保险经纪人等数据处理者,涉及人身险再保险、财产险再保险两个场景。人身险再保险场景,是指对以人的寿命和身体为保险标的的原保单进行分入、分出的再保险业务;财产险再保险场景,是指对以财产及其有关利益为保险标的的原保单进行分入、分出的再保险业务。
2.国际航运领域
《负面清单》适用于国际及港澳台航运领域的企业,包括港口经营公司、船务公司、货运代理公司、船舶运输公司、航运数字化公司、第三方商业服务平台、数据服务平台等,涉及运输和港口作业生产相关场景和船员管理场景。船员管理场景,是指出于国际海员服务、海员外派等目的,结合各国出入境管理要求,船舶公司进行国际航运前对船员进行身份鉴别、资质审核等相关操作的场景。
3.商贸领域(零售与餐饮业、住宿业)
《负面清单》适用于商贸领域零售与餐饮业、住宿业的企业,包括面向消费者的零售企业、餐饮企业、住宿企业等,涉及会员管理场景。会员管理场景是指通过收集和分析顾客信息,提供个性化服务和优惠,以增强顾客忠诚度的一种管理活动。
(二)细化重要数据认定规则
《促进和规范数据跨境流动规定》第二条明确“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。《负面清单》中列出了在金融、航运领域的行业重要数据条目供企业参考,对重要数据进一步细化,帮助企业自主识别重要数据,但仅仅是提供了所涉场景较为宽泛的重要数据识别规则,具体重要数据识别仍以行业主管监管部门的意见为准,企业可能仍然需要向相关主管部门进行咨询。《实施指南》亦明确,在《负面清单》适用过程中遇到的法律、政策、技术等问题,数据处理者可向所在地数据跨境服务中心等机构咨询并寻求支持。《负面清单》所涉3个行业领域的重要数据基本特征与描述整理如下:
1.再保险领域
2.国际航运领域
3.商贸领域(零售与餐饮业、住宿业)
此次《负面清单》未列出零售与餐饮业、住宿业的重要数据清单。根据《促进和规范数据跨境流动规定》第六条,自贸区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。除有关主管部门另行通知或后续法律法规另有规定外,商贸领域企业可持续关注自贸区关于重要数据的进一步规定。
(三)突破个人信息量级
相较于《促进和规范数据跨境流动规定》,《负面清单》对个人信息量级进行了突破,在风险可控前提下,有效降低企业数据出境合规成本。《负面清单》涉及的三个行业领域的个人信息量级及其对应数据出境合规义务与《促进和规范数据跨境流动规定》规定比较如下:
与标准合同备案、数据出境安全评估相比,《负面清单》的申报材料大幅简化,除了公司及经办人相关证件、授权委托书、承诺书等常规文件外,企业需要额外准备的文件仅为《数据出境负面清单使用情况说明》,简述近两年企业在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况,并根据数据出境场景分别填写具体的业务场景、数据类型、内容描述及示例、数据数量、境外接收方情况,列明适用《负面清单》的依据、数据子类、出境情形。
(四)提供敏感个人信息示例
提供敏感个人信息示例的重要意义不在于全面涵盖,而在于对一些可能引起混淆和争议的个人信息进行强调和说明。
1.再保险领域
《负面清单》在人身险再保险场景、财产险再保险场景中列举的敏感个人信息包括承保、理赔过程中涉及的敏感个人信息,如保单号、保额、保费、理赔号、理赔金额等数据。
2.国际航运领域
《负面清单》在国际航运领域船员管理场景中列举的敏感个人信息包括海员证号码、适任证书编号、银行卡号、体检报告等数据,持证人签名不属于敏感个人信息。
3.商贸领域(零售与餐饮业、住宿业)
《负面清单》在商贸领域(零售与餐饮业、住宿业)会员管理场景中列举的敏感个人信息包括会员登录验证信息(会员账号密码)、信用卡信息(仅信用卡号码后四位和有效期)等数据。
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的附录B将婚史、“交易和消费记录”作为敏感个人信息进行举例,而《负面清单》则将地址(含邮编,仅限消费者选择跨境物流或上门售后服务的情形)、婚姻状况(已婚/未婚/离异)、会员爱好偏好(仅限产品类型、编号数字、偏好语言、积分兑换方式、酒店类型/房型)、不能直接反映个人财产信息的交易和消费记录(含商品名称、购买时间、购买记录、金额、交易类型、会员支付积分、会员积分余额、货币类型)等数据列为一般个人信息,更加符合实际情况,与敏感个人信息的定义和范围更为一致。零售企业在会员管理场景中向境外提供个人信息时,无需将上述地址、婚姻状况、会员爱好偏好、不能直接反映个人财产信息的交易和消费记录等字段纳入敏感个人信息的管理范畴,合规要求进一步降低。
五、《负面清单》的使用
数据处理者按照《负面清单》开展数据出境活动,申报流程如下:
数据处理者有以下情形之一的,终止使用《负面清单》:
·受到相关部门处罚;
·注册地迁出上海自贸试验区及临港新片区;
·数据出境情况发生重大变化,不再符合《负面清单》管理要求。
经上海自贸试验区管委会、临港新片区管委会确认后,数据处理者终止使用《负面清单》,需要继续开展数据出境活动的,按照《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行。
六、总结
此次《负面清单》等文件的发布及时回应了自贸区内企业的数据跨境服务需求,真正做到了适时、适度、适配,在创新清单呈现形式、细化重要数据认定规则、突破个人信息量级、强化敏感个人信息识别等多方面均有亮点,为促进上海自贸区数据出境合规高效提供明确指引。笔者在参与《负面清单》的起草工作过程中,进一步深化了对行业实践的认识以及对《负面清单》适用的理解,未来也将持续关注后续《负面清单》的落地实践,并进行相应解读。
