引言
2025年2月8日,上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、中国(上海)自由贸易试验区管委会、中国(上海)自由贸易试验区临港新片区管委会会同有关部门制定了《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》("管理办法")、《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》("负面清单"),以及《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》("实施指南")(前述三文件以下统称"负面清单制度",自由贸易试验区及临港新片区以下简称"自贸区")。
负面清单制度是对《促进和规范数据跨境流动规定》第6条 [1]的落实,上海自贸区自此成为继中国(天津)自由贸易试验区、中国(北京)自由贸易试验区之后,我国第三个发布数据出境负面清单的自贸区。
本文将聚焦国际航运领域,总结归纳负面清单制度在该领域的适用范围、敏感个人信息示例、重要数据特征描述以及数据处理者的报备义务,分析负面清单制度在何种程度上降低了企业合规义务以及负面清单相较其他规范性文件的效力层级,以期为自贸区内的国际航运企业提供合规指引,同时为自贸区外的国际航运企业提供重要参考。
一、适用范围
负面清单制度适用于在上海自贸试验区及临港新片区内注册且在上海自贸试验区及临港新片区内开展数据出境活动的数据处理者,关键信息基础设施运营者不适用本清单。在上海自由贸易试验区及临港新片区注册的数据处理者,属于已公布负面清单的行业、领域,向境外提供负面清单外的数据可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
具体到国际航运领域:负面清单适用于国际及港澳台航运领域的航运领域企业,包括港口经营公司、船务公司、货运代理公司、船舶运输公司、航运数字化公司、第三方商业服务平台、数据服务平台等。此外,负面清单所称国际航运仅涉及运输和港口作业生产相关场景,数据参照《公路水路交通运输数据分类分级指南》所列水路交通领域港口生产、水路运输服务等数据类别。其中涉及国家自然资源、基础地理信息等影响国家安全的核心数据不在允许数据跨境流动范围之内。
二、船员管理场景下的敏感个人信息示例
负面清单所称船员管理场景,是指出于国际海员服务、海员外派等目的,结合各国出入境管理要求,船舶公司进行国际航运前对船员进行身份鉴别、资质审核等相关操作的场景。该场景下的敏感个人信息包括海员证号码、适任证书编号、银行卡号、体检报告等;一般个人信息包括姓名、性别、出生日期、出生地点、国籍、有效期、签发日期、签发机关、签发国代码、持证人签名、航区、等级、职务、职能、签发官员、签发日期等。
虽有适用范围限制,但船员管理场景下的敏感个人信息示例对于自贸区外的航运企业亦有借鉴意义。
三、水路运输服务和港口作业生产相关场景下重要数据特征
数据处理者向境外提供重要数据的,应当申报数据出境安全评估,这是《数据出境安全评估办法》确定的规则。重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。这是《数据出境安全评估办法》的定义,主要是从"存在直接危害后果可能性"的角度来认定重要数据。至于如何在抽象的概念下具体认定重要数据,《数据安全法》、《网络数据安全管理条例》、GB/T43697-2024《数据安全技术 数据分类分级规则》等共同确立了自上而下推动制定具体目录的重要数据保护原则。
对企业来说:
最直接的识别方式为(尤其对于内部数据分类分级流程、标准尚不成熟的企业而言),本地、本行业主管部门已经制定了重要数据具体目录的,企业可以以此识别公司的相关经营数据是否落入目录范围,重要数据目录未对外公开的,企业可向主管部门进行核实确认。
最安全的识别方式为,企业主动申报、主管部门审定。对确认为重要数据的,相关地区、部门应当及时向企业告知或者公开发布。未被相关部门、地区告知或者公开发布为重要数据的,企业不需要作为重要数据申报数据出境安全评估。
管理办法的第14条[2]基本延续了前述重要数据识别原则,即主管机关形成目录与企业自行识别、申报重要数据相结合,并对水路运输服务和港口作业生产相关场景下的重要数据有如下描述:
- 日常生产经营中的基础地理信息,包括达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的港口定位、地名地址、地形地貌等数据。
- 港口日常生产经营中的港口设施设备数据,包括港口设施设备的基础数据,及其在运行管理过程中产生的数据。
- 港口日常生产经营中的港口系统运行和安全数据,包括港口重要网络与系统资源、系统运维数据,及港口网络安全管理类数据。
- 港口日常生产经营中的港口运营数据,包括港区作业数据、港口服务数据、港口物流数据及其他港口运营过程中产生的视频、音频、文档等半结构化、非结构化数据;装卸船、进出道口作业状态外的数据除外。
- 港口日常生产经营中的港口经营管理数据,包括港口发展战略与重大决策、能源环保、技术研发、客户与供应商、统计数据等经营管理数据;上市公司年报披露数据除外。
- 水路运输服务数据,国际船舶运输公司的内部决策数据(上市公司财报等披露的数据除外)。
除国际船舶运输公司的内部决策数据(上市公司财报等披露的数据除外)外,涉及的重要数据均为港口相关数据。虽然负面清单下的重要数据仅适用于上海自贸区内企业,但我们认为这对自贸区之外的数据处理者也具有一定参考价值。
四、安全评估/标准合同/认证的门槛
相较于《促进和规范数据跨境流动规定》,负面清单对不同报批流程适用的个人信息量级进行了突破,在风险可控前提下,可有效降低企业数据出境合规成本。
需要注意的是,计算人数时应当去重且已经落入豁免范围的无需计入,即属于《促进和规范数据跨境流动规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
五、数据处理者的报备义务
相较《个人信息保护法》、《个人信息出境标准合同办法》、《数据出境安全评估办法》等法律法规确定的事前报批的原则,负面清单作出了较大的突破。数据处理者按照负面清单开展数据出境活动,应在使用负面清单开展出境活动之日起15个工作日内及时报备。有特殊情况无法及时报备的,须向所在自贸区管委会说明延期报备理由,经同意后可延期报备。
另值得一提的是,报备材料有了进一步的简化。实施指南明确数据处理者应向数据跨境服务中心(保税区、陆家嘴、金桥、张江、世博和临港新片区数据跨境服务中心)提交的材料包括统一社会信用代码证件、法定代表人身份证件、经办人身份证件,经办人授权委托书、数据出境负面清单使用情况说明、承诺书。其中仅《数据出境负面清单使用情况说明》稍复杂,但比起申报安全评估和标准合同备案所需的个人信息出境影响评估报告,难度已大大降低。
尽管负面清单区分了需要通过数据出境安全评估的数据清单以及需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单,但不同量级的数据处理者在按照实施指南履行报备义务时初步提交的材料并无区别。后续是否需要按照不同的个人信息处理量级补充提交材料或者整改,有待实践证明。
六、负面清单的效力层级
1、优先于操作指引:如相关行业、领域已发布操作指引,有出境需求的数据处理者可按照操作指引开展数据出境活动。操作指引与负面清单不一致的地方,以负面清单为准。国家法律法规对数据出境另有规定的,依照其规定执行。
下一步,临港新片区将在负面清单的框架下,出台航运等相关领域的数据出境操作指引,进一步细化负面清单相关场景的数据字段,值得期待。
2、国际条约优先:我国缔结或者参加的国际条约、协定与国内法律法规有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
3、出口管制特别法优先:负面清单和操作指引涉及的行业、领域中,如涉及《出口管制法》规定的管制物项相关技术资料或《对外贸易法》规定的技术出口管理事项等数据出境的,按照相关法律法规、规章规定执行。
4、可参照执行其他自贸区的负面清单:其他自贸区正式发布的数据出境负面清单,上海自贸试验区及临港新片区可参照执行。这无疑是对现有负面清单管理制度的一次重大创新,有助于构建全国统一的负面清单管理制度,提升对数据出境的管理效率。截至2025年2月20日,已经出台的自贸区负面清单如下。除上海自贸区负面清单外,尚无其他清单提及国际航运领域,我们也将持续关注。
注释:
1 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,......,自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
2 在上海市数据安全工作协调机制的统筹协调下,市级管理部门及各市级行业主管监管部门依据《中华人民共和国数据安全法》及相关法律、法规和规定,按照相关重要数据识别标准,组织行业数据处理者开展数据分类分级和重要数据目录备案,形成上海自贸试验区及临港新片区重要数据目录,并按程序向国家数据安全工作协调机制办公室备案。
数据处理者应当按照相关规定识别、申报重要数据。未被各市级行业主管监管部门,上海自贸试验区管委会、临港新片区管委会告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
3 指申报数据出境安全评估、订立个人信息出境标准合同或者通过个人信息保护认证。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
