深度解读:中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(附政策一览表).docx
-
资源ID:1189889
资源大小:28.85KB
全文页数:4页
- 资源格式: DOCX
下载积分:5金币
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
深度解读:中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(附政策一览表).docx
深度解读:中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(附政策一览表)作者:吴月琴(华诚律师事务所)闫冬馨(上海市华诚律师事务所)发布日期:2024.02.252024年2月8日,中国(上海)自由贸易试验区临港新片区(下称“临港新片区”)管理委员会正式发布了临港新片区数据跨境流动分类分级管理办法(试行)(下称“管理办法”)。临港新片区作为我国体制机制创新的“试验田”,其发布的管理办法旨在于数据跨境方面加快更大力度先行先试、更高水平对外开放,在我国数据跨境较强监管的背景下,对于数据跨境流动、跨境离岸金融等领域率先开展更大程度的压力测试。一、数据跨境监管的发展方向:强监管背景下的数据跨境流动便利性提升旗布日期法律法规/政策文件名称数据出境相关核心内容与意义2016年11月网络安全法明确了数据出境的基本定义与监管他IM.建立起了数据出境安全评估、个人信息2021年6月数据安全法出境标准合同和个人信息保护认证的数据旃境二选一合规监管机制,全面履差企业数据出境场景.2021年8月个人信息保护法监管方面.Ift数据、网络、国家安全,对数据出境的必要性要求严格;涉及备2021年12月网络安全审查办法案审批的.基本为实质审杳.审杳周期长、要求较高。2022年7月«数据出境安全评估办法对数据出境安全评估进行实践指引,对其程序性规则和实体评估内容进行了具体规定.2022年11月个人信息保护认证实能规则我国史上苜个关于个人信息保护认证的夕项制度,对个人信息保护认证进行实践指引,明确由国家市场监管总同和国家互联网信息办公室共同监管.2023年2月个人信息出境标准合同办法对个人信息出境标准合同的订立进行实践指引、明确开展个人信息保护影啕评估的场景、个人信息处理者和境外接收方的义务等.2023年7月关于进一步优化外商投资环境加大吸引外商投资力度的意见探索便利化的数据跨境流动安全管理机制,为符合条件的外商投资企业建立绿色通道.高效开展Ift要数据和个人信息出境安全评估.促进数据安全有序自由流动:支持北京、天津、上海、g港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中.试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据脖境流动介规服务.2023年9月«规柩和促进数据跨境流动燃定(征求意见稿)明确部分场景可以豁免数据出境三选一义务、申报安全刑占义务.自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范懈的数据清单(负面清单)负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标施合同、通过个人信息保护认证.2023年11月全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案按照数据分类分级保护制度.支持上海自贸试验区率先制定IR要数据目录:指导数据处理者开展数据出境风险自评估,探索建立合法安全便利的数据照境流动机制,提升数据脖境流动便利性。数据出境重点政策文件览表(按时间顺序排列)1/5自2016年11月的网络安全法,我国正式开启了数据保护的第一篇章。随着数据安全法、个人信息保护法的陆续出台,我国数据保护的法律框架已经确定。在数据出境方面,此三部法律明确了数据出境的基本定义与监管范围,建立起了数据出境安全评估、个人信息出境标准合同和个人信息保护认证的数据跨境三选一合规监管机制,全面覆盖了基本所有企业数据出境的场景。在监管方面,体现出重数据、网络、国家安全,对®WoltersKluwer威科先行Q法律信息库数据出境的“必要性”要求严格的特点;涉及备案审批的,基本为实质审查,审查周期长、要求较高。2022年7月到2023年2月,三部法律对应的具体实施规则与办法逐一颁布实施。数据出境安全评估办法、个人信息保护认证实施规则、个人信息出境标准合同办法的出台对数据出境需要履行的三选一义务数据出境安全评估、个人信息保护认证、个人信息出境标准合同进行了具体、明确的实践指引。至此,个人信息处理者向中国境外提供个人信息的三种路径的法律基础已经完备。在此阶段,我国的数据出境审查制度呈现出要求高、周期长、监管尺度模糊等特点,数据出境合规作为企业的一个必选项,带来的较大的不确定性。可以看出,此时的数据出境的具体监管机制仍有较多需要实践探索的未知点。对于监管的落地,我国仍处于尝试、平衡的探索阶段。识别到监管的挑战和企业的合规困境后,各政府部门也开始采取行动来提供解决方案。国务院于2023年7月发布的关于进一步优化外商投资环境加大吸引外商投资力度的意见中明确提出探索便利化的数据跨境流动安全管理机制,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动;支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。2023年9月,国家互联网信息办公室出台规范和促进数据跨境流动规定(征求意见稿),明确可以豁免数据出境三选一义务、申报安全评估义务的部分场景;还强调自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单)。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。2023年11月,全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案发布,方案指出按照数据分类分级保护制度,支持上海自贸试验区率先制定重要数据目录;指导数据处理者开展数据出境风险自评估,探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。2023年12月举行的中央经济工作会议指出,必须坚持依靠改革开放增强发展内生动力,并强调了包括“深化重点领域改革”“扩大高水平对外开放”在内的多项重点工作,并提出“认真解决数据跨境流动”的具体任务。二、管理办法:分类管理、范围明确、需求导向基于以上法规及文件,临港新片区召开了国际数据经济产业创新大会,于2024年2月8日正式发布了临港新片区数据跨境流动分类分级管理办法(试行)。管理办法采用行业+场景的形式,结合上海“五个中心”建设,即国际经济中心、金融中心、贸易中心、航运中心、科技创新中心,围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求,以跨境需求最迫切的典型场景为切入口,对跨境数据进行分类管理。1、五大分类:经验行业先试先行据悉,临港新片区今年将率先围绕智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景,组织行业龙头企业和专家组成工作组,陆续发布一批一般数据清单和重要数据目录。在智能网联汽车领域,特斯拉(上海)有限公司、上海汽车集团股份有限公司、保时捷(中国)汽车销售有限公司等14家汽车行业代表企业已成立工作组,共同推进清单和目录的编制工作。新片区将充分依托前期开展数据跨境流动试点积累的经验,遵循“从企业到行业,从案例到清单,从正面到负面”的原则,以行业为维度,以企业数据跨境需求场景为切入口,有序推进一般数据清单和重要数据目录的编制工作。2、三大分级:数据分级管理跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境;重要数据形成重要数据目录,安全评估后出境;一般数据形成一般数据清单,备案后出境。数据分类出境燃定出境手馔核心数据禁止跨境/IR鬟数据安全评估后出境通过恰港新片区数据跨境服务中心申报数据出境安全评估般数据备案后出境向临港新片区管委会申请登记备案.并在濡足相关管理要求下自由流动管理办法对跨境数据的分类及对应出境规定、手续1)核心数据核心数据是对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。核心数据禁止跨境。2)重要数据重要数据是特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据,一般不作为重要数据。重要数据的目录由临港新片区管委会负责制定、进行更新,并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经市委网络安全和信息化委员会批准后,报相关部门备案。数据处理者对重要数据目录内的数据,可通过临港新片区数据跨境服务中心申报数据出境安全评估。3) 一般数据般数据是核心数据、重要数据外的其他数据。般数据清单由临港新片区管委会负责制定、进行更新。若相关领域出台场景化重要数据目录,则该领域的一般数据清单自动失效。数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。三、解读与展望除了五分类三分级以外,我们还可以看到,管理办法中也对此前规范和促进数据跨境流动规定(征求意见稿)(“征求意见稿")中遗留下的部分疑问进行了解答。征求意见稿第七条中规定,自由贸易试验区可自行制定本自贸区需要纳入管理范围的数据清单,但并未对可以适用本条的企业范围进行明确规定。对于此,管理办法第三条对适用的企业范围做了明确规定,不仅包括在临港新片区范围内登记注册的主体,还包括在片区开展数据跨境流动相关活动的主体,很大程度上鼓励了各类企业于临港新片区进行数据跨境流动活动的积极性。此外,基于现有管理办法,在实践中,企业还需要进一步关注的问题如下:1)负面清单与一般数据清单管理办法第五章提到的i般数据清单,是对可以自由流动的数据进行列举的正面清单模式,与征求意见稿中提出的负面清单外的数据可以不进行数据出境三选一义务有些不同。相信在先试先行过程中,临港新片区将会逐步扩大一般数据清单的范围,做好最终与负面清单模式的衔接。但在此过程中,关于既不在核心、重要数据清单,也不在一般数据清单中的数据出境程序规定,有望在规范和促进数据跨境流动规定或管理办法的实施细则出台时进一步明确。2)一般数据的“相关管理要求”对于一般数据的管理规定,管理办法第十三条提到的“满足相关管理要求”具体是指哪些程序尚未有明确的政策文件规定。预计在未来的实施细则中,临港新片区会对这些“相关管理要求”给出具体化的指导和标准,以便数据处理者有更明确的依据和方向。3)企业内部数据分级分类管理制度的建设随着具有引导参考性的临港新片区数据分级分类的出台,同步地,企业也要持续做好对应自身数据的分类分级的管理,识别好于企业自身而言的重要数据,以便更好地融入新政策的管理体系当中。4)汽车、金融、航运、生物医药等重点行业企业高度关注管理办法在其数据跨境分类管理中明确了办法制定围绕的汽车、金融、航运、生物医药等的重点行业。正如上文所提到的,汽车行业已经联合14家企业,共同推进清单和目录的编制工作。可见不久的将来,五大行业相关的具体清单与规定也会紧锣密鼓地落实下来。我们建议,相关企业要对此提前进行数据梳理、重点数据分类等举措,为在片区开展数据跨境流动活动进行准备。整体而言,管理办法以企业共性需求最迫切的细分领域为切入口,为建立合法安全便利的数据跨境流动机制迈出了具有示范性的一步。我们期待临港新片区后续对管理办法具体实施细则的进一步明确和落实。吴月琴(华诚律师事务所)邮箱:cathy.wuwatson-华诚合伙人律师吴律师执业领域为信息安全与知识产权、金融以及公司商事,担任多家跨国集团公司、国有企业、大型机构、创新企业的常年法律顾问,提供全方位的法律合规意见,包括商业模式、经营资质、运营风险评估、合规建议等。吴律师近期与国外事务所合作,为多家企业提供涉及跨境数据合规(包括GDPR)、网络安全、个人信息保护、知识产权保护的综合法律服务,涵盖互联网、金融、汽车、医疗、快消、软件、咨询培训行业。吴律师是ITECHLaw的会员以及INTAChinaBUlletin分委会的主席。华诚律师事务所自1995年成立以来,华诚已经发展成为一家拥有超过200名专业人士、能够提供全方位服务的律师事务所。华诚的高品质服务理念以及全方位服务范围,使得众多世界知名公司在寻求各类法律意见时,将华诚作为首选。一向秉持提供优质服务的华诚,拥有专业化的团队,能为客户提供多样化的服务,享有全国最优秀律师事务所的美赞。