便利数据跨境流动的新尝试——临港新片区出台数据跨境流动分类分级管理办法｜mhp君悦评论

2024年1月19日，中国（上海）自由贸易试验区临港新片区（下称“临港新片区”）召开了国际数据经济产业创新大会。《临港新片区数据跨境流动分类分级管理办法（试行）》（“《管理办法》”）在大会上正式发布，目前《管理办法》全文还未正式公布。据介绍，《管理办法》旨在指导和帮助在临港新片区注册登记的或在该片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。

一、数据跨境流动监管不断加强，数据跨境流动便利性需要提升

在过去的几年时间里，我国不断探索数据跨境流动监管模式，加强数据跨境流动监管，在《网络安全法》、《数据安全法》和《个人信息保护法》的基础上陆续出台了《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息保护认证实施规则》等配套规定，建立起了数据出境安全评估、个人信息出境标准合同和个人信息保护认证的数据跨境流动监管机制。不过，监管机制尚处于摸索和平衡阶段：数据出境安全评估、个人信息出境标准合同、个人信息保护认证几乎囊括了所有数据出境情形；监管侧重“数据安全”、“国家安全”，强调对数据出境“必要性”的严格审查；无论是数据出境安全评估审查还是个人信息出境标准合同备案，实践中倾向于实质性审批，要求高，耗时长。而相关规定的缺失或模糊也造成了实际申报的不确定性，如如何界定重要数据及其出境。总体而言，企业数据出境的效率较低、合规成本较高是目前实施的痛点和堵点。

各级政府部门已经注意到问题所在。国务院《关于进一步优化外商投资环境加大吸引外商投资力度的意见》明确提出探索便利化的数据跨境流动安全管理机制，为符合条件的外商投资企业建立绿色通道，高效开展重要数据和个人信息出境安全评估，促进数据安全有序自由流动；支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中，试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务。国家互联网信息办公室于2023年9月发布的《规范和促进数据跨境流动规定（征求意见稿）》提出，自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（负面清单），负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》进一步提出，按照数据分类分级保护制度，支持上海自贸试验区率先制定重要数据目录；指导数据处理者开展数据出境风险自评估，探索建立合法安全便利的数据跨境流动机制，提升数据跨境流动便利性。2024年1月中共中央办公厅国务院办公厅印发的《浦东新区综合改革试点实施方案（2023－2027年）》特别点名临港新片区开拓创新，支持临港新片区探索建立安全便利的数据流动机制，允许在符合法律法规要求、确保安全前提下提升数据跨境流动的便利性。

二、《管理办法》对跨境流动的数据分类管理，探索合法安全便利的数据跨境流动机制

1、数据分类

基于以上提及的政策文件，临港新片区颁布《管理办法》对跨境流动的数据进行分类管理：将跨境流动数据从高到低依次分为核心数据[1]、重要数据[2]和一般数据三个级别。

《管理办法》进一步明确，核心数据禁止开展跨境流动，重要数据形成重要数据目录，一般数据形成一般数据清单。

2、编制重要数据目录和一般数据清单

临港新片区计划遵循“从企业到行业，从案例到清单，从正面到负面”的原则，以行业为维度，以企业数据跨境流动需求场景为切入点，循序渐进推进一般数据清单和重要数据目录的编制。

据悉，临港新片区将先从智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景组织龙头企业和专家组成工作组，编制并陆续发布一批一般数据清单和重要数据目录。预计2024年3月将发布第一批清单。特斯拉（上海）有限公司、上海汽车集团股份有限公司、保时捷（中国）汽车销售有限公司等14家汽车行业代表企业已经成立工作组，共同推进清单和目录的编制工作。[3]

《管理办法》提出的上述清单，是《关于进一步优化外商投资环境加大吸引外商投资力度的意见》鼓励探索的可自由流动的一般数据清单，属于正面清单。这与《规范和促进数据跨境流动规定（征求意见稿）》提出的自由贸易区实施数据出境负面清单管理存在距离。相信临港新片区将在正面清单管理的基础上，不断调整和扩大清单和目录内容，为最终采用负面清单管理做好准备。

3、基于一般数据清单与重要数据目录管理数据跨境流动

根据《管理办法》：

(1) 如果企业需要将一般数据内的数据传输出境，需要按照临港新片区管委会的管理要求，通过“临港新片区数据便捷流通公共服务管理平台”申请备案，备案完成之后，企业即可将数据传输出境。

(2) 如果企业拟向境外传输重要数据目录所列明的重要数据，则企业需要按照《数据出境安全评估办法》的要求，通过临港新片区数据跨境服务中心进行申报材料初验后，向上海市网信办申报数据出境安全评估。

值得注意的是，临港新片区目前仅公布了依一般数据清单和重要数据目录管理数据传输出境活动的基本原则和管理机制，具体《管理办法》和实施细则仍有待临港新片区管委会进一步明确。

【1】《数据安全法》第21条规定，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

【2】《数据出境安全评估办法》第19条规定，本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

【3】观察｜跨境数据流动管理如何落地？临港新片区出台办法先行先试_自贸区连线_澎湃新闻-The Paper