5月9日,天津自貿試驗區管委會、天津市商務局聯合公布《中國(天津)自由貿易試驗區數據出境管理清單(負面清單)(2024年版)》(以下簡稱《負面清單》)。有關單位負責人就《負面清單》相關問題回答了記者提問。
問1:請介紹一下《負面清單》制定的背景和意義?
答:推動數據安全有序跨境流動是高水平對外開放的重要內容,也是當前全球經貿發展的熱點議題。我國積極推動數據依法有序自由流動,相繼出臺實施《網絡安全法》《數據安全法》《個人信息保護法》,對數據出境活動作出明確規定。落實法律規定要求,先后公布《數據出境安全評估辦法》《個人信息出境標準合同辦法》《關于實施個人信息保護認證的公告》,基本構建了數據出境安全管理制度。2023年8月,國務院印發《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》,支持天津等地探索便利化的數據跨境流動安全管理機制。今年3月22日,國家網信辦公布《促進和規范數據跨境流動規定》,提出自貿試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(簡稱負面清單),按程序報批后實施。這為我們制定《負面清單》提供了政策遵循。
在國家網信辦、國家數據局等部委的大力支持和精心指導下,天津市委、市政府提前謀劃、超前部署數據跨境流動制度創新,著眼對接國際高標準經貿規則,打造市場化、法治化、國際化一流營商環境,履行天津自貿試驗區“為國家試制度”使命,探索具有天津特色的數據領域制度型開放路徑,天津自貿試驗區制定了《負面清單》,經市委網信委批準后,報國家網信辦、國家數據局備案同意,于5月9日正式公布,成為全國第一個自貿試驗區數據出境管理負面清單,為其他自貿試驗區提供了“天津經驗”、打造了“天津樣板”,發揮了數據跨境流動政策創新開路先鋒的重要作用。
《負面清單》代表著更大范圍的對外開放。《負面清單》列明了天津自貿試驗區內企業開展數據出境活動的管理范圍,《負面清單》之外的數據可以自由跨境流動,與之相對的是“正面清單”,即只有清單內的數據才可以自由跨境流動,本質上講,負面清單制度代表著更加開放的態度,也是對接CPTPP、DEPA等高標準國際經貿規則的積極探索。《負面清單》在劃出安全底線的前提下,有助于便利化企業數據跨境流動。近年來,隨著各部委協同發力,我國數據出境安全管理制度基本建立,但是企業在執行相關規定時仍然面臨一些不確定性,比如重要數據定義較為籠統、缺少具體識別標準等,企業難以判斷出境數據是否屬于重要數據。天津自貿試驗區在現有法律框架下制定實施《負面清單》,明確了包括重要數據在內的,需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單,填補了該領域制度空白,為有效解決企業數據出境難題、助力培育國際經濟合作和競爭新優勢提供了制度保障。
問2:《負面清單》的主要內容是什么?
答:《負面清單》主要包括以下幾部分內容:一是明確文件制定的目的意義。二是確立堅持統籌兼顧、便捷合規、簡明實用、動態調整的基本原則。三是說明《負面清單》的適用范圍。《負面清單》列明了天津自貿區企業向境外提供數據需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情形。天津自貿區企業向境外提供《負面清單》外的數據免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。涉及國家秘密的數據、核心數據、政務數據不納入《負面清單》管理,相關數據出境按照有關法律、法規和規定執行。四是提出《負面清單》主要考慮因素。要求落實數據分類分級管理要求、加強個人信息保護、服務企業高質量發展、規范數據出境行為。五是明確需要納入管理的數據清單。在天津自貿試驗區企業數據分類分級的基礎上,將出境數據分為13大類46子類,每個子類均對數據基本特征作出詳細描述,并給出具體示例。
問3:《負面清單》中提到的數據出境包括哪些場景?
答:根據國家網信辦發布的《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,數據出境行為包括:一是數據處理者將在境內運營中收集和產生的數據傳輸至境外。二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出。三是符合《個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他數據處理活動。
問4:《負面清單》中提到的重要數據是什么?
答:根據《數據出境安全評估辦法》,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
《數據安全法》規定,國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
問5:《負面清單》中提到的個人信息、敏感個人信息是什么,如何區分?
答:根據《個人信息保護法》,個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。敏感個人信息,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
關于個人信息和敏感個人信息的識別與區分,可以參考國家標準《信息安全技術 個人信息安全規范》(GB/T 35273—2020)。
問6:《負面清單》與日前國家網信辦出臺的《促進和規范數據跨境流動規定》關系是什么?
答:國家網信辦制定《促進和規范數據跨境流動規定》,對現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,適當放寬數據跨境流動條件,在保障國家數據安全的前提下,便利數據跨境流動,降低企業合規成本,充分釋放數據要素價值,擴大高水平對外開放,為數字經濟高質量發展提供法律保障。《負面清單》是《規定》制度框架下的地方實踐。一方面,《促進和規范數據跨境流動規定》為《負面清單》的制定出臺提供了政策依據。另一方面,《負面清單》嚴格落實《規定》要求,《負面清單》劃定的天津自貿試驗區納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理的數據,已排除了《規定》中的豁免情形。即符合《規定》中免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據,不納入《負面清單》管理。
問7:《負面清單》與《中國(天津)自由貿易試驗區企業數據分類分級標準規范》關系是什么?
答:推動數據分類分級,是《數據安全法》的明確要求,也是促進和規范數據跨境流動的基礎性、先導性工作。前期,在國家數據分類分級框架下,我們結合天津自貿試驗區實際,制定出臺了《中國(天津)自由貿易試驗區企業數據分類分級標準規范》,適用于天津自貿試驗區內企業在生產經營過程中產生、收集、存儲、傳輸和處理的數據的分類分級,將企業數據分成13大類40子類,從高到低分為核心、重要、一般3個級別,明確了重要數據的識別標準。
《標準規范》聚焦天津自貿試驗區企業數據的分類分級,不論企業相關數據是否出境,均需按照規定程序開展分類分級工作,而《負面清單》則是在天津自貿試驗區的企業有數據出境需求時使用。《負面清單》在《標準規范》基礎上,對各行業領域的需跨境流動的重要數據識別給出了更加詳細具體的識別標準,同時給出了示例,便于企業判斷。此外,《負面清單》提出,“國家行業主管部門或本市認定的重要數據,自動納入本清單管理”,所以依據《標準規范》識別確定的重要數據納入《負面清單》管理,在出境時需申報數據出境安全評估。
問8:天津自貿試驗區的企業如何使用《負面清單》?
答:根據《負面清單》的適用范圍,天津自貿試驗區內有數據出境需求的企業,應當對照《負面清單》識別其擬出境數據是否在清單范圍內,在清單范圍內的數據按照國家規定、根據實際情況申報數據出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證,清單外數據可以自由跨境流動。比如,化學工業領域某企業計劃向境外某公司傳輸某危化品的運輸路線規劃信息,根據《負面清單》中工業類的化學工業子類數據基本特征與描述,該信息應當納入需要申報數據出境安全評估的數據清單管理,該信息出境應當申報數據出境安全評估。
問9:如何理解《負面清單》中需要申報數據出境安全評估的數據清單和需要訂立個人信息出境標準合同、通過個人信息保護認證的數據清單?
答:《促進和規范數據跨境流動規定》第七條明確了兩種應當申報數據出境安全評估的條件:一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬于《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。《負面清單》將《規定》第七條中涉及個人信息的情形總結為第44、45兩項子類,將涉及重要數據的情形,結合天津自貿試驗區實際,細化為12大類43子類數據,符合其數據基本特征與描述的數據,按照重要數據管理,納入需要申報數據出境安全評估的數據清單。該清單中的數據出境,需要申報數據出境安全評估。
關于需要訂立個人信息出境標準合同、通過個人信息保護認證的數據清單,其內容表述與《規定》第八條一致。該清單中的數據出境,需要訂立個人信息出境標準合同或者通過個人信息保護認證。
問10:如何理解《負面清單》中的備注?
答:《負面清單》中的備注是對其相應子類的補充說明,大致可分為3類:一是免予管理備注,比如,氣象子類的備注為“已由氣象等相關部門公開發布的數據除外”,將行業領域主管部門已公開發布的數據免予納入需要申報數據出境安全評估的數據清單,《負面清單》中大部分備注屬于此類;二是納入管理備注,比如,環保子類的備注為“已單項公開但未按照區域、行業統計整理后公開的數據納入清單管理”,明確了需要納入申報數據出境安全評估數據清單的特殊情形;三是解釋說明備注,比如,應急管理子類的備注為“‘一定精度’‘一定范圍’‘一定規模’的具體要求以應急管理等相關部門發布的政策文件為準”,進一步解釋說明了子類描述中較為籠統的概念。
問11:天津自貿試驗區的企業開展數據出境活動,哪些數據免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證?
答:對天津自貿試驗區的企業來說,以下七種數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
一是國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的。三是為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。七是向境外提供《負面清單》外的數據。其中,第三種至第七種條件所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布為重要數據的個人信息。
問12:天津自貿試驗區的企業如何申報數據出境安全評估、備案個人信息出境標準合同、申請個人信息保護認證?
答:天津自貿試驗區的企業,與天津行政區域內其他數據處理者一樣,申報數據出境安全評估、備案個人信息出境標準合同可以登錄數據出境申報系統,網址:https://sjcj.cac.gov.cn。具體方式可以查看國家網信辦公布的《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》。已經通過線下方式提交安全評估申報、標準合同備案材料的,不需要通過數據出境申報系統進行重新提交。申請個人信息保護認證可以登錄個人信息保護認證管理系統,網址:https://data.isccc.gov.cn。關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的,采用線下方式申報數據出境安全評估。天津市互聯網信息辦公室開通了數據出境管理咨詢專線022-88355322,為數據處理者提供指導服務。
問13:評估、備案、認證過程中如何保障企業的商業秘密等合法權益?
答:《數據出境安全評估辦法》規定,參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供、非法使用。《個人信息出境標準合同辦法》規定,網信部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得泄露或者非法向他人提供、非法使用。《中華人民共和國認證認可條例》規定,從事認證認可活動的機構及其人員,對其所知悉的國家秘密和商業秘密負有保密義務。
問14:天津自貿試驗區將如何加強政策指導,保障企業數據跨境合規流動?
答:天津自貿試驗區將重點做好對政策的宣傳解讀和對企業的服務指導。一是提供便利化咨詢。通過設立數據跨境服務窗口、公布咨詢電話(022-66707689)、網絡互動等方式,全方位為企業提供問詢服務,使企業知曉、掌握政策,對企業遇到的典型問題加以梳理總結,以問答形式公布。二是做好精準化宣講。一方面廣泛宣傳政策,發動各個片區,通過媒體宣傳、政策宣講會、各類企業政策服務平臺及政策服務應用APP等,多渠道、多形式宣傳解讀政策,擴大政策宣傳覆蓋面,提高中小企業政策知曉率;另一方面精準推送政策,針對前期我們調研走訪的重點行業和重點領域企業,通過專場政策推介會、上門服務等方式,結合業務進行詳細政策解讀,提供專業輔導。三是開展常態化服務。加強對招商、政務服務、商促等相關部門的政策培訓輔導,將數據跨境合規作為一項重要內容,融入到企業日常工作中,開展常態化服務。
問15:《負面清單》實施后,如何做好天津自貿試驗區數據出境活動的安全監管?
答:《負面清單》提出堅持統籌兼顧,統籌發展和安全,堅守國家數據安全底線,在保障重要數據安全和維護個人信息權益的基礎上,促進數據資源有序流動和開發利用,推動數字經濟和數字貿易高質量發展。下一步,天津市各相關單位將重點做好以下幾方面工作:一是強化宣傳引導。通過多種形式深入企業,加強對天津自貿區數據出境政策制度的宣傳解讀,提升企業合規意識。二是做好服務指導。積極幫助指導企業做好數據出境安全評估申報、個人信息出境標準合同備案、個人信息保護認證等工作,提升事前合規監管能力,及時將問題隱患消滅在萌芽狀態。三是健全監管體系。加快構建數據出境事中事后監管體系,提升異常出境行業的監測預警能力,做好現場檢查抽查,及時發現處置違法違規數據出境行為,守牢數據安全底線。
