适用场景
本指南适用于在中国(天津)自由贸易试验区或中国(上海)自由贸易试验区临港新片区内注册运营,且有跨境数据传输需求的企业,特别是生物医药、智能网联汽车、公募基金等特定行业企业。企业在规划或执行跨境数据传输时,需关注本指南以确保合规。
核心要点
1. 自贸区跨境数据流动新机制
中国网信办新规允许自贸区制定跨境数据传输豁免清单,作为现有“三机制”(安全评估、标准合同备案、个人信息保护认证)之外的第四种合规路径,旨在促进数据在特定区域内的自由流动。
2. 天津负面清单模式解析
天津自贸区率先发布负面清单,明确清单外数据可免于“三机制”限制,主要针对区内企业。企业需对拟出境数据进行自评估,若数据未列入负面清单,则无需额外履行“三机制”义务。
3. 上海正面清单模式解析
上海临港新片区采用正面清单,针对生物医药、智能网联汽车、公募基金等特定行业和区域,列明可豁免“三机制”的数据类型。企业需满足特定条件并完成备案手续方可适用豁免。
4. 企业合规义务差异化
两种模式下,企业需履行的义务有所不同。天津模式侧重企业自评估,上海模式则要求在满足特定条件后向临港新片区跨境数据服务中心进行备案,并强调即使豁免“三机制”仍需履行个人信息保护基本义务。
5. 重要数据识别与持续关注
两份清单为企业识别“重要数据”提供了初步指引,但企业仍需严格遵循《数据出境安全评估办法》等上位法。同时,企业应持续关注自贸区政策的动态更新,以适应不断变化的合规要求。
实务建议
- 明确企业是否位于天津自贸区或上海临港新片区,并核实是否属于上海正面清单所列的特定行业。
- 细致梳理拟出境数据类型和传输场景,对照天津负面清单或上海正面清单,判断是否符合豁免条件。
- 若适用天津模式,需进行内部自评估;若适用上海模式,则需按要求向临港新片区跨境数据服务中心提交备案申请及相关材料。
- 即使数据传输豁免“三机制”,企业仍需确保已履行告知、取得个人同意、开展个人信息保护影响评估(PIPIA)等基本合规义务。
- 建立动态合规管理机制,密切关注自贸区政策更新及清单调整,及时更新内部合规流程,确保数据出境活动持续符合最新要求。
风险提示
- 豁免并非全面放开:自贸区清单仅针对特定数据和场景提供豁免,并非所有跨境数据传输都可免除合规义务,企业仍需对未列入清单的数据进行合规评估。
- 上海模式限制严格:上海正面清单对适用主体、数据处理活动发生地、行业领域均有严格限定,且不适用于关键信息基础设施运营者(CIIO)。
- 备案时效与追溯问题:上海模式的备案有有效期,且若在备案前已发生敏感信息跨境传输,仍需遵循原“三机制”要求。
- 重要数据识别挑战:尽管清单提供指引,但“重要数据”的最终认定仍具复杂性,企业需谨慎判断,必要时寻求专业意见。
- 上位法合规底线:自贸区新规不降低《网络安全法》、《数据安全法》、《个人信息保护法》等上位法规定的合规底线,企业仍需全面遵守。