一、背景
近年来,我国在数据跨境流动治理方面已逐步建立起一套较为完善的体系。基于数据出境安全管理的实际需求,国家网信办在2024年3月22日正式推出了《促进和规范数据跨境流动规定》(以下简称“跨境流动规定”)。该规定对数据跨境流动机制进行了适度调整,旨在保障国家数据安全的前提下,促进数据的跨境流动。《跨境流动规定》还授权各自由贸易试验区在国家数据分类分级保护制度框架下,自主制定适用于本区的数据出境管理负面清单。
2024年8月26日,北京市互联网信息办公室、北京市商务局和北京市政务服务和数据管理局(以下合称“市级管理部门”)共同发布了《北京市数据跨境流动便利化服务管理若干措施》(以下简称“便利措施”),并将实施自由贸易试验区数据出境“负面清单”管理作为细化服务措施之一。2024年8月30日,《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称“北京自贸区管理办法”)和《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“北京自贸区负面清单2024版”)正式发布。同日,北京网信办还研究制定了《北京市数据跨境流动便利化服务指南》(以下简称“服务指南”)1并上线北京市数据跨境流动便利化服务平台(https://sjcj.bjcert.org.cn,以下简称“服务平台”)。
二、《北京自贸区管理办法》和《北京自贸区负面清单2024版》解读
1. 这两个文件会适用、影响哪些企业?
依据《北京自贸区管理办法》第二条和第六条,中国(北京)自由贸易试验区(以下简称“北京自贸试验区”)内登记注册、开展数据跨境流动等相关活动的企业、事业单位、机构、团队或其他组织(以下简称“数据处理者”),均适用《北京自贸区管理办法》。基于此,这两个文件主要适用的是在北京自贸试验区内登记注册、开展数据跨境流动的数据处理者。依据《中国(北京)自由贸易试验区总体方案》,北京自贸试验区的实施范围119.68平方公里,涵盖三个片区:科技创新片区、国际商务服务片区(含北京天竺综合保税区)及高端产业片区。
按照上述规定,只有北京自贸试验区内登记注册的企业、在自贸试验区内所开展的数据出境活动,才能适用负面清单制度。在区外登记注册的数据处理者的数据出境活动不能适用负面清单制度。
2. 这两个文件对于适用的企业有什么影响?
按照上述规定,符合适用范围的数据处理者如有任何数据出境需求,可对照《北京自贸区负面清单2024版》识别其拟出境数据是否在清单范围内。
(1)如果出境数据属于负面清单内的行业、领域,数据处理者可按照《北京自贸区管理办法》申请使用负面清单,并进行负面清单备案(具体流程请见下分析)。备案结果确认出境数据在负面清单内的,申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证;如备案结果确认出境数据不在负面清单范围内的,即未达到负面清单所规定应当进行数据出境安全评估、个人信息出境标准合同备案或个人信息保护认证的触发标准,则可以在完成负面清单备案后安全有序开展数据跨境活动。
(2)如果出境数据属负面清单外的行业、领域,则应当按《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》等国家相关规定执行。
3. 如何申请适用负面清单、审核期限多久?
依据《北京自贸区管理办法》第十条和第十一条,以及《中国(北京)自由贸易试验区数据出境管理清单(负面清单)实施指南(第一版)》(以下简称“实施指南”),2数据处理者使用负面清单出境数据时的流程以及每一流程所对应的审核期限如下。总的来说,目前规定的时限和程序较之安全评估和个人信息出境标准合同备案又进行了一定的优化和压缩,帮助企业可以更快、更便利的办理数据出境的合规手续。
(1)提交负面清单使用申请:数据处理者通过服务平台提交申请,申请材料包括统一社会信用代码证件、法定代表人身份证件、经办人身份证件、经办人授权委托书(模板)3以及数据出境负面清单使用申请表(模板)。
各自贸组团4在数据处理者提交申请材料之日起5个工作日内,通过服务平台进行审核并告知审核结果。各自贸组团可视情要求数据处理者补充履行我国相关法律法规及规定的证明材料等。
未通过审核的,自贸组团通过服务平台向数据处理者告知未通过负面清单使用申请的原因,数据处理者仍需开展数据出境活动的,按照《数据出境安全评估办法》、《个人信息出境标准合同办法》、《跨境流动规定》等相关规定执行。
(2)提交负面清单备案材料:通过审核的数据处理者应向服务平台提交负面清单备案材料,包括数据出境负面清单备案申报表(模板)、承诺书(模板)、《个人信息保护影响评估》(模板详见《个人信息出境标准合同备案指南(第二版)》)以及其他相关证明材料(如有)。
各自贸组团应在接收数据处理者备案材料之日起5个工作日内,将数据出境是否适用负面清单的初步意见报市商务部门,由市商务部门会同市网信部门、市数据部门研判确认后,向数据处理者反馈。
(3)补正或更正材料:数据处理者应及时关注服务平台上的审核进度,需要补充或者更正备案材料的,于收到告知要求之日起10个工作日内通过服务平台提交补充或者更正备案材料。逾期未补充或者无正当理由不补充更正备案材料的,各自贸组团可以终止负面清单备案。
(4)负面清单备案结果通知:备案审核完成后,由所在地自贸组团向数据处理者开具负面清单备案结果通知书,通知书有效期为3年。
出境数据在负面清单内的,数据处理者应按照《北京自贸区管理办法》和备案结果通知书的要求,申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。申报时应将负面清单备案结果通知书作为其他证明材料一起提交。
出境数据在负面清单外的,即未达到负面清单所规定应当进行数据出境安全评估、个人信息出境标准合同备案的触发标准,数据处理者应按照《北京自贸区管理办法》和备案结果通知书的要求,安全有序开展数据出境活动。
(5)数据出境情况报告:按照负面清单备案结果通知书要求仍需申报数据出境安全评估、标准合同备案或个人信息保护认证的数据处理者,应当在收到结果通知书之日起3个月内向所在地自贸组团报告数据出境合规情况,有特殊情况不能见报告的,需要向所在地自贸组团说明延期报告的理由,经同意后可延期报告。
4. 适用负面清单后是否可能终止或者变更?
根据《实施指南》,以下情况数据处理者需要申请负面清单备案的更新、或者终止负面清单备案:
(1)负面清单备案变更:一是负面清单备案的数据出境情况发生变化,数据处理者应于15个工作日内提出更新备案申请并通过服务平台重新提交材料。二是负面清单动态更新影响备案结果的,所在地自贸组团应及时告知数据处理者更新备案。
(2)负面清单备案终止:数据处理者受到相关部门处罚、注册地迁出北京自贸试验区等情况,不再符合负面清单管理要求的,经市网信部门、市商务部门确认后由所在地自贸组团告知数据处理者终止备案。数据处理者仍需继续开展数据出境活动的,应当按照《数据出境安全评估办法》、《个人信息出境标准合同办法》、《跨境流动规定》等相关规定执行。
5.《北京自贸区负面清单2024版》包括哪些行业?
《北京自贸区负面清单2024版》共涵盖汽车行业、医药行业、民航业、零售与现代服务业和人工智能训练数据这5个行业和领域。同时列明了每一个行业和领域进行数据出境安全评估以及个人信息出境标准合同备案/个人信息保护认证所对应的数据类型(重要数据/个人信息)和细化后的数据子项,并就每一数据子类的数据基本特征作出了具体描述。
对于《北京自贸区负面清单2024版》未涉及的行业和领域的数据出境,应按照《数据出境安全评估办法》、《个人信息出境标准合同办法》、《跨境流动规定》等相关规定执行5。也就是说,对于未在《北京自贸区负面清单2024版》所列示的行业和领域,还是需要按照现有规定评估自身的出境合规路径。
此外,市级管理部门后续也将根据检查评估情况进一步更新《北京自贸区负面清单2024版》6。
6.《北京自贸区负面清单2024版》的参考意义是什么?
(1)为重要数据识别提供了重要参考和依据。《北京自贸区负面清单2024版》对汽车行业、医药行业、民航业和人工智能训练数据这4个行业和领域触发数据出境安全评估的重要数据,都规定了细化的数据子项,并对每一个重要数据子项所涉及到出境场景、出境数据类型、数量和其他特征作出了一定的解释和说明。此等对4个行业的重要数据的识别和说明,对于北京自贸试验区外的企业而言,也有一定的参考价值,特别是在相关行业主管部门尚未发布本行业重要数据目录的情况下。
(2)放宽了不同行业和领域中触发数据出境安全评估以及个人信息出境标准合同备案的个人信息场景、字段、量级。针对不同行业,《北京自贸区负面清单2024版》没有采取一刀切的方式统一设定数据出境标准,而是针对不同的个人信息出境场景、字段、量级分别进行具体规定。
例如,针对零售和现代服务业企业,就其会员管理场景而言,《北京自贸区负面清单2024版》将数据出境安全评估的个人信息触发数量,从100万人以上(不含敏感个人信息)提高至500万人以上(不含敏感个人信息),并将1万人以上敏感个人信息提高到100万人以上敏感个人信息。
针对医药行业企业,特别是就实践中常见的临床试验、药物研发、药物警戒、医疗卫生专业人士管理等出境场景,《北京自贸区负面清单2024版》放宽了《跨境流动规定》项下敏感个人信息出境的数量标准,例如,临床试验和药物研发场景下,受试者个人基本资料、诊疗和健康生理信息出境,自当年1月1日起累计向境外提供1万人以上且不满5万人的,可以适用个人信息出境标准合同,放宽了《跨境流动规定》项下个人信息出境标准合同不满1万人敏感个人信息的标准。就药物警戒、产品投诉、医学问诊场景,患者个人信息基本资料、诊疗和健康生理信息出境,自当年1月1日起累计向境外提供1万人以上且不满10万人的,也可以适用个人信息出境标准合同。
《北京自贸区负面清单2024版》对个人信息出境场景、字段、量级的放宽,也体现了监管部门对不同行业的监管要求和重点。
7.《北京自贸区负面清单2024版》对每个行业的具体规定是什么?
以下我们仅针对这5个行业和领域的适用范围以及部分出境场景、出境数据类型和数量标准进行简要总结,供大家参考:
(1)汽车行业
《北京自贸区负面清单2024版》适用的汽车企业包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等,但自动驾驶领域相关企业不适用本清单。
《北京自贸区负面清单2024版》规定了7类重要数据子项,对《汽车数据安全管理若干规定(试行)》中所规定的5个汽车重要数据的范围进行了补充和细化,特别补充了车辆研发、测试和车联网信息服务场景中的路牌信息、包含车辆远程操控、车辆工况等的关键车联网信息服务数据、OTA在线升级数据、包含电控单元等到售后数据、涉及车联网关键设备和系统组件供应链安全、交通行业关键信息基础设施保护情况的数据、以及涉及车联网信息服务的关键信息基础设施的相关数据。
但《北京自贸区负面清单2024版》并没有把《汽车数据安全管理若干规定(试行)》规定的“涉及个人信息主体超过10万人的个人信息”列为重要数据的子项之一。因此,就北京自贸试验区内汽车行业的数据处理者而言,对外传输10万个人信息主体的情况,依据《北京自贸区负面清单2024版》,并不直接触发重要数据的出境评估,而需根据个人信息出境情况判断其适用安全评估还是标准合同备案。
针对汽车行业的个人信息出境的数量标准,《北京自贸区负面清单2024版》的规定与《跨境流动规定》保持一致。
(2)医药行业
《北京自贸区负面清单2024版》适用的医药制造业企业包括化学药品原料药制造、化学药品制剂制造、生物药品制造企业等。
《北京自贸区负面清单2024版》规定了医药行业数据出境的常见场景,包括临床试验、药物研发、诊疗服务、医疗卫生专业人士管理、商业合作伙伴管理、药物警戒、产品投诉、医学问询场景,并明确了数据出境安全评估以及个人信息出境标准合同备案/个人信息保护认证所分别对应的具体场景、数据类型、出境规模以及数据基本特征,为医药企业数据出境提供了非常具有操作性的指引。特别是针对实践中常见的临床试验、药物研发、药物警戒、医疗卫生专业人士管理等出境场景,《北京自贸区负面清单2024版》放宽了《跨境流动规定》项下敏感个人信息出境的数量标准,便利北京自贸试验区内医药行业的数据处理者可以通过个人信息出境标准合同备案/个人信息保护认证进行数据出境。
(3)民航业
《北京自贸区负面清单2024版》适用于民用航空运输业领域相关企业,包括航空旅客运输、航空货物运输、通用航空服务、民用航空器维修企业等,但航空器制造以及其它非民用航空业务不适用本清单。
《北京自贸区负面清单2024版》主要规定了民航业的航空器安全保障场景、航空器维修场景、客户服务场景等。特别是,针对客户服务场景,基于航空业的特殊性,《北京自贸区负面清单2024版》对数据出境安全评估以及个人信息出境标准合同备案/个人信息保护认证都分别作出了比《跨境流动规定》更宽松的规定,将触发数据出境安全评估的个人信息触发数量,从100万人以上(不含敏感个人信息)提高至500万人以上(不含敏感个人信息),并将1万人以上敏感个人信息提高到10万人以上敏感个人信息。
(4)零售与现代服务业
《北京自贸区负面清单2024版》适用于主要包括面向消费者的零售、住宿、餐饮、软件和信息技术服务、互联网信息服务等相关企业。但是,本清单仅适用于零售与现代服务业中会员管理场景下涉及的个人信息。
就会员管理场景而言,《北京自贸区负面清单2024版》将数据出境安全评估的个人信息触发数量,从100万人以上(不含敏感个人信息)提高至500万人以上(不含敏感个人信息),并将1万人以上敏感个人信息提高到100万人以上敏感个人信息。
同时,个人信息出境标准合同备案/个人信息保护认证的个人信息触发数量,也从10万人以上、不满100万人个人信息(不含敏感个人信息)调整为50万人以上且不满500万人个人信息(不含敏感个人信息),并将不满1万人敏感个人信息提高到10万人以上且不满100万人的敏感个人信息。
(5)人工智能训练数据
《北京自贸区负面清单2024版》适用于人工智能领域相关企业训练数据出境场景,包括文本、语音、图像模态的训练数据,但不包括视频等上述未明确列出的其他模态的训练数据。
《北京自贸区负面清单2024版》主要针对人工智能领域的模型训练、算法开发以及产品测试场景。在这些场景中,与行业竞争力相关的高价值敏感数据,包括人工智能的算法源代码、关键组件数据、控制程序、基础模型数据、数据挖掘分析数据、测试数据等,以及可能涉及的特定领域、特定群体、特定区域、达到一定精度和规模的共健康和安全的音频、图像及文本数据,都将落入重要数据的范围,需要履行数据出境安全评估手续。
就个人信息而言,在上述三个场景下,如果出境1万人以上且不满5万人敏感个人信息的音频或视频,或出境1万人以上且不满10万人敏感个人信息的文本数据,数据处理者仅需要进行个人信息出境标准合同备案/个人信息保护认证。
8. 北京自贸区如何对数据出境进行监督管理?
《北京自贸区管理办法》第五章要求市级管理部门强化对负面清单使用过程中的事前事中事后全链条全领域综合监管。特别是,各自贸组团应组织专业技术机构就数据实际出境情况与备案材料进行一致性抽验,对于数据处理者在数据出境活动中未严格履行相关承诺,或出现瞒报、虚报、故意造成实际出境数据与备案数据不一致等违规行为的,各自贸组团可责令其暂停数据出境活动,要求限期整改,整改完成后重新履行负面清单申请、备案程序;情节严重的,终止其数据出境活动,对其采取重点监管措施,并及时向市级管理部门上报有关情况。
三、我们的观察和建议
相较于《跨境流动规定》,《北京自贸区负面清单2024版》结合常见行业的情况和数据出境需求做出了针对性的规定,进一步贴合、便利自贸区内企业的实际需求。一方面,《北京自贸区负面清单2024版》所梳理出的5个行业和领域,确实是实践中数据出境的常见和典型场景;另一方面,《北京自贸区负面清单2024版》对不同场景均根据不同的监管要求规定了不同的放宽条件,并对适用的具体场景以及数据类型进行了具体说明,对企业理解和适用《北京自贸区负面清单2024版》提供了指导和便利。
另外,两份规定所体现的监管趋势和要求,既需要北京自贸试验区内的企业予以关注,也对北京自贸区外的企业具有一定的启示和参考。
1. 识别重要数据、强化重要数据的出境保护。虽然《北京自贸区负面清单2024版》放宽了特定行业和领域的部分个人信息场景的出境合规路径的规模限定标准,但对于这些行业和领域的重要数据,《北京自贸区负面清单2024版》提供了更全面和具体的认定方式和标准。同时《便利措施》也提出重点行业主管部门加快推进数据分类分级管理,指导企业开展重要数据识别、申报工作,加强对重要数据出境的安全保护。企业可以参考和对照《中国(北京)自由贸易试验区数据分类分级参考规则》以及《北京自贸区负面清单2024版》对重要数据以及出境重要数据进行核查,并密切关注相关行业主管部门的要求,做好数据分类分级工作、并履行必要的数据出境安全评估手续。
2. 进一步完善内部合规措施、满足数据出境合规要求。针对负面清单的实施,《北京自贸区管理办法》规定了多层次的监管要求,既涉及企业所在自贸组团的跟踪监督以及合规抽查,也涉及北京网信办等市级管理部门的事前事中事后全链条全领域综合监管以及定期检查评估。因此,企业在数据出境过程中应更加注重合规制度及措施的落地,并留存相关记录。
就《北京自贸区负面清单2024版》的实施情况,我们也会紧密跟踪。
1. 下载地址https://mp.weixin.qq.com/s/7hhtqpDkr5cYPqsNrqa0LA
2. 下载地址https://mp.weixin.qq.com/s/7hhtqpDkr5cYPqsNrqa0LA
3. 模板包含在《服务指南》中,下同。
4. 目前有7个自贸组团,即朝阳、海淀、昌平、通州、顺义、大兴、亦庄。
5.《北京自贸区管理办法》第十九条
6.《北京自贸区管理办法》第十条