2025年2月8日,上海网信办等联合发布《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》(以下简称“《负面清单》”),该清单基于《促进和规范数据跨境流动规定》第六条,旨在促进并规范数据跨境流动,同时提供负面清单外数据跨境传输的便利政策。此次发布的负面清单适用于在浦东或临港注册且开展数据出境活动的企业,涉及再保险、国际航运和商贸(零售与餐饮业、住宿业)。
原文链接
政策解读
1、数据出境负面清单的定义
数据出境负面清单是指需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。对于已纳入负面清单的行业和领域,若向境外提供的数据不在负面清单范围内,则可免于履行上述程序,即无需进行数据出境安全评估的申报、签订标准合同或进行保护认证。
2、数据出境负面清单的适用范围
上海数据出境负面清单适用于在上海自贸试验区及临港新片区内注册,并从事数据出境活动的数据处理者,不包括关键信息基础设施运营者。
具体而言,上海数据出境负面清单仅涉及再保险、国际航运以及商贸领域。在这些领域之外的,仍需遵循《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等现行法规规定执行。
3、餐饮企业数据出境负面清单解析
在负面清单中,餐饮企业的数据出境主要涉及会员管理场景。该场景下的数据子类仅包括个人信息,不涉及重要数据,因此餐饮企业无需履行关于重要数据的识别与申报义务,也不需指定数据安全负责人、开展风险评估等。
具体来说,会员管理数据包括:
敏感个人信息:如会员登录验证信息(会员账号密码)、信用卡信息(仅信用卡号码后四位和有效期)等。
一般个人信息:会员的姓名、昵称、联系方式、性别/称谓、纪念日、区域、电子邮箱、地址(含邮编,仅限消费者选择跨境物流或上门售后服务的情形)、用户ID、会员账号(可使用其他网络身份识别信息)或编号、国籍、年龄、婚姻状况(已婚/未婚/离异)、生日、订单编号、产品识别码/序列号、会员爱好偏好(仅限产品类型、编号数字、偏好语言、积分兑换方式、酒店类型/房型)、职位、工作单位、不能直接反映个人财产信息的交易和消费记录(含商品名称、购买时间、购买记录、金额、交易类型、会员支付积分、会员积分余额、货币类型)等。
对于会员的敏感个人信息,当年累计向境外提供100万人以上的,需要通过数据出境安全评估;当年累计向境外提供10万人以上且不满100万人的,需要通过个人信息出境标准合同备案、个人信息保护认证出境。
对于会员的一般个人信息,当年累计向境外提供1000万人以上的,需要通过数据出境安全评估;当年累计向境外提供100万人以上且不满1000万人的,需要通过个人信息出境标准合同备案、个人信息保护认证出境。
自2024年3月22日起,《促进和规范数据跨境流动规定》正式施行,赋予了各自由贸易试验区发布负面清单的权利,以监管数据跨境流动。
北京、天津、上海等地区已相继发布了各自的负面清单,标志着数据出境负面清单成为数据监管的新趋势。
本次上海数据出境负面清单放宽了对餐饮业会员管理场景下个人信息的出境要求,这一变化反映了当前监管趋势朝着减轻企业数据合规管理负担并促进商贸数据跨境流动的方向发展。