1. 首页
  2. 热点

浙江省自贸区数据出境负面清单管理办法及2024版印发(附课件)

《数据出境负面清单管理办法(试行)》通过详细的条款和流程,明确了浙江自贸试验区数据出境的管理要求和操作步骤,旨在保障数据安全和促进数据有序流动。

浙江省自贸区数据出境负面清单管理办法及2024版印发

《国家网信办就数据出境安全管理相关问题的权威解答(附课件)》一文中,关于数据出境管理的规定,旨在保证在华企业因业务需要的数据跨境安全、自由流动,同时对涉及国家安全和公共政策目标的个人信息和重要数据跨境流动进行必要的监管。

2025年4月10日,为贯彻落实党的二十届三中全会关于“建立高效便利安全的数据跨境流动机制”的部署要求,依据《促进和规范数据跨境流动规定》等有关文件规定,浙江省互联网信息办公室、省商务厅、省数据局会同有关部门制定了《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》。

《数据出境负面清单管理办法(试行)》通过详细的条款和流程,明确了浙江自贸试验区数据出境的管理要求和操作步骤,旨在保障数据安全和促进数据有序流动。

01 总则

1. 制定目的

  • 保障数据安全:确保数据出境过程中的安全性和个人信息的保护。
  • 促进企业发展:便利企业数据出境活动,推动跨境业务发展。
  • 法律依据:依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规。

2. 适用范围

  • 适用对象:浙江自贸试验区内开展数据出境负面清单制定审批和使用管理等活动。
  • 原则:坚持安全底线、促进企业发展、分批分类管理。
02 职责及分工

1. 省级管理部门职责

  • 管理机构:浙江省互联网信息办公室、浙江省商务厅、浙江省数据局等。
  • 主要职责:建立负面清单管理体系,统筹协调相关事宜,指导监督数据跨境流动活动。

2. 自贸片区职责

  • 管理机构:浙江自贸试验区舟山片区、宁波片区、杭州片区和金义片区的管理部门。
  • 主要职责:组织数据处理者开展负面清单实施工作,配合省级管理部门制定负面清单。

3. 数据处理者职责

  • 识别和申报:识别、申报重要数据,按照相关规定实施出境。
  • 配合监督:配合省级管理部门、行业主管部门、自贸片区开展跟踪核验和监督检查。
03 负面清单制定及管理

1. 制定流程

  • 需求调研:组织筛选重点行业、领域开展需求调研。
  • 重要数据识别:依据相关法律法规,组织行业数据处理者对数据进行分类分级。
  • 业务分析:分析数据出境的规模、范围和频率,合理设置数据项及数据量级。
  • 论证与征求意见:邀请专家评审论证,征求行业主管部门意见。
  • 审批报备:负面清单经批准后报国家相关部门备案。

2. 负面清单内容

  • 需安全评估的数据:关键信息基础设施运营者向境外提供个人信息或重要数据。
  • 需标准合同备案的数据:关键信息基础设施运营者以外的数据处理者向境外提供个人信息。

3. 动态管理

  • 动态调整:省级管理部门对负面清单进行动态管理,跟踪评估实施情况和安全风险。
  • 更新扩充:及时研判数据出境需求,更新和扩充负面清单。
04 负面清单实施

1. 实施流程

  • 提交申请:数据处理者向自贸片区提交申请材料。
  • 提交备案:通过审核的数据处理者提交备案材料。
  • 合规出境:完成备案的数据处理者可开展数据出境活动。
  • 备案变更:数据处理者数据出境情况发生变更时,需重新申请备案或登记变更内容。

2. 自贸片区工作

  • 审核申请:自贸片区对申请材料进行审核,并在5个工作日内告知结果。
  • 出具意见:自贸片区出具出境数据是否适用负面清单的初步意见,并报省级管理部门确认。
  • 咨询服务:提供负面清单咨询服务,优化数据出境便利化服务举措。
05 监督管理

1. 指导监督

  • 省级管理部门:加强对数据出境活动的指导监督,建立风险研判和安全事件发现通报机制。
  • 全链条监管:统筹开展安全风险监测预警能力建设,强化事前事中事后全链条监管。

2. 抽验与整改

  • 一致性抽验:组织专业技术机构对数据实际出境情况进行抽验。
  • 违规处理:对未严格履行承诺或出现违规行为的数据处理者,责令暂停数据出境活动,要求限期整改。

3. 监督检查

  • 联合监督检查:省级管理部门联合行业主管部门对自贸片区、数据处理者落实本办法要求情况进行监督检查。
  • 补救措施:发现数据处理活动存在较大安全风险的,立即采取补救措施,消除隐患。
06 2024版负面清单

《数据出境管理清单(负面清单)(2024版)》详细列出了浙江自贸试验区在电子商务和清结算行业中的数据出境管理要求,明确了不同类型数据的出境条件和备案流程,旨在规范数据跨境流动,保障数据安全和隐私。

电子商务(企业对企业)行业数据出境管理

1. 需要通过数据出境安全评估的数据清单

  • 个人信息:
    • 累计向境外提供500万人以上的个人信息(不含敏感个人信息)。
    • 累计向境外提供200万人以上的敏感个人信息。
    • 累计向境外提供100万人以上个人信息(不含敏感个人信息),或1万人以上敏感个人信息。

2. 需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单

  • 个人信息:
    • 累计向境外提供100万人以上且不满500万人的个人信息(不含敏感个人信息)。
    • 累计向境外提供50万人以上且不满200万人的敏感个人信息。
    • 累计向境外提供10万人以上且不满100万人的个人信息(不含敏感个人信息),或不满1万人的敏感个人信息。

清结算行业数据出境管理

1. 需要通过数据出境安全评估的数据清单

  • 重要数据:
    • 包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的不受控数据、网络设备、服务器、信息系统等有关漏洞信息。
    • 反映全局性或重点领域经济运行、金融活动状况的数据。
  • 个人信息:
    • 累计向境外提供200万人以上的个人信息(不含敏感个人信息)。
    • 累计向境外提供100万人以上的敏感个人信息。
    • 累计向境外提供100万人以上个人信息(不含敏感个人信息),或1万人以上敏感个人信息。

2. 需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单

  • 个人信息:
    • 累计向境外提供50万人以上且不满200万人的个人信息(不含敏感个人信息)。
    • 累计向境外提供50万人以上且不满100万人的敏感个人信息。
    • 累计向境外提供10万人以上且不满100万人的个人信息(不含敏感个人信息),或不满1万人的敏感个人信息。

数据定义及相关规定

  1. 个人信息定义:以电子或者其他方式记录的与已识别或者可识别的商家等有关的各种信息,不包括匿名化处理后的信息。
  2. 敏感个人信息定义:一旦泄露或者非法使用,可能导致商家等受到歧视或者人身、财产安全受到严重危害的个人信息,包括证件号码、银行卡号等信息。
  3. 合规指引:行业主管部门发布数据跨境流动相关合规指引的,以行业主管部门发布的合规指引为准。
热点问答

问:浙江自贸试验区数据出境负面清单管理办法中提到的“分批分类管理”具体是如何实施的?

答:浙江自贸试验区数据出境负面清单管理办法中提到的“分批分类管理”主要体现在以下几个方面:

  1. 分批制定:负面清单按照行业、领域分批次制定,逐步完善数据出境管理政策体系。
  2. 分类管理:负面清单中的数据项采取分类管理,按照敏感程度可分为两类:
    • 适用数据出境安全评估的数据,主要包括关键信息基础设施运营者向境外提供个人信息或重要数据,以及其他数据处理者向境外提供重要数据或达到负面清单要求的申报数据出境安全评估的个人信息。
    • 适用个人信息出境标准合同备案或个人信息保护认证的数据,主要包括关键信息基础设施运营者以外的数据处理者向境外提供达到负面清单要求订立个人信息出境标准合同或通过个人信息保护认证的个人信息。

问:浙江自贸试验区数据出境负面清单管理办法中提到的“动态管理”具体包括哪些内容?

答:浙江自贸试验区数据出境负面清单管理办法中提到的“动态管理”包括以下内容:

  1. 动态调整:省级管理部门应对已出台的负面清单采取动态管理模式,跟踪评估实施情况和安全风险。
  2. 更新扩充:对于尚未出台负面清单的行业、领域,应及时研判数据出境需求,对负面清单进行动态更新和扩充。
  3. 研究制定:研究制定相应行业、领域负面清单,不断完善浙江自贸试验区数据跨境流动管理政策体系。
  4. 备案变更:已完成备案的数据处理者数据出境情况发生变更时,需重新申请备案或登记变更内容,确保负面清单的时效性和适应性。

问:在电子商务(企业对企业)行业中,哪些具体场景下的数据需要通过数据出境安全评估?

答:在电子商务(企业对企业)行业中,以下具体场景下的数据需要通过数据出境安全评估:

  1. 商家入驻及信息展示场景:包括个人姓名、生日、国籍、个人电话号码、住址、电子邮件地址、个人信息主体账号、跨境电商平台账号、职位等。
  2. 境外买家退货场景:包括个人姓名、退货地址、个人电话号码等。
  3. 境内卖家开设电子钱包及境外收付款场景:包括个人姓名、性别、生日、国籍、国家/地区、邮编、省份、城市、个人电话号码、住址、电子邮件地址、个人信息主体账号、跨境电商平台账号、IP地址、设备标识码、持股比例、证件类型、证件所属地区、证件有效期、发证国家、户籍地址、账户类型、开户银行名称、开户银行地址、账号发行机构代码、账号银行分行名、账号银行分行编码、账号银行地址、银行账号所在国家等。
  4. 清关和打印电子面单场景:包括个人姓名、个人电话号码、电子邮件地址、地址、快递单号等。

问:在清结算行业中,哪些具体场景下的数据需要通过个人信息出境标准合同备案、个人信息保护认证出境?

答:在清结算行业中,以下具体场景下的数据需要通过个人信息出境标准合同备案、个人信息保护认证出境:

  1. 银行卡清算场景:包括卡有效期等个人信息和银行账户、个人身份识别码、交易识别码、系统跟踪号、交易金额、结算金额、账单金额、净费用金额、交易费用金额、扣款金额、交易日期、交易时间、本地交易时间、本地交易日期、支付授权日期、欺诈交易金额、欺诈交易日期、欺诈交易时间、扣款日期等敏感个人信息。
  2. 会员权益服务场景:包括个人姓名、电子邮箱地址、邮寄地址、用户ID、会籍ID、积分兑换数量等个人信息和去标识化的银行卡ID等敏感个人信息。
  3. 商务卡服务场景:包括个人姓名、邮寄地址、工作单位等个人信息和商务卡卡号、交易金额、交易日期、交易汇总信息、信用卡剩余额度信息等敏感个人信息。
  4. 全球收付款场景:包括个人姓名、生日、国籍、性别、邮编、省份、城市、电子邮件地址、个人电话号码、登录ID、用户ID、个人银行账号银行名称、地址、证件类型、账号银行所在地区、账号银行地址、账号银行分行编码、账号银行分行名、账号银行机构代码、账号银行名称、账户类型、发证国家、证件所属地区、证件有效期(止)、证件有效期(起)、住址等个人信息和证件号、银行卡号、身份证正面、身份证反面、银行户名、交易金额、结算金额、账单金额、净费用金额、交易费用金额、扣款金额、交易日期、交易时间、本地交易时间、本地交易日期等敏感个人信息。

问:在数据出境管理中,哪些数据被视为重要数据?

答:在数据出境管理中,以下数据被视为重要数据:

  1. 宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的不受控数据、网络设备、服务器、信息系统等有关漏洞信息。
  2. 反映全局性或重点领域经济运行、金融活动状况的数据,包括未公开的统计数据、重点企业商业秘密等。
管理办法附则

涉及《中华人民共和国出口管制法》《中华人民共和国对外贸易法》等法律、法规的数据出境,按相关规定执行。本办法由浙江省互联网信息办公室会同相关部门负责解释。本办法自发布之日起施行。

  • 出口管制法:涉及《中华人民共和国出口管制法》规定的管制物项相关技术资料,按相关规定执行。
  • 对外贸易法:涉及《中华人民共和国对外贸易法》规定的技术出口管理事项,按相关规定执行。

数据分类分级参考规则

1. 重要数据识别

  • 个人信息:浙江自贸试验区企业掌握的1000万人以上个人信息。
  • 关键信息基础设施:被国家认定为关键信息基础设施的运营者掌握的10万人以上个人信息。

2. 行业类别

  • 战略物资和大宗商品:包括石油、石化、天然气、农产品等领域的数据。
  • 自然资源和环境类:包括地理信息、气象、海洋、环保、水利等领域的数据。

3. 工业类

  • 钢铁、有色金属:包括储量、产量、冶炼装备等数据。
  • 稀土:包括储量与开采数据、行业使用数据等。

4. 国防科技工业类

经营管理:包括经营管理、研发设计、生产制造等数据。

5. 其他类别

  • 电信:参照《电信领域重要数据识别指南》识别。
  • 广播电视和网络视听:包括节目采集拍摄、制作播出等环节处理的数据。

6. 金融类

银行、保险、证券期货:包括客户数据、业务数据、经营管理数据等。

7. 交通运输类

铁路、公路、水路:包括影响生产安全的控制类数据、施工建设过程中获取的自然资源类数据等。

8. 卫生健康和食品药品

  • 遗传资源:包括自然人基因数据、人类遗传资源信息等。
  • 健康医疗:包括医疗服务、电子病历、医学研究等各类数据。

9. 公共安全类

  • 物理安全:包括建筑基础数据、安保装备数据等。
  • 网络安全:包括企业信息系统设计运行数据、网络设施拓扑架构数据等。

10. 互联网服务和电子商务类

  • 互联网平台服务:包括提供互联网服务过程中产生的各类数据。
  • 人工智能服务:包括人工智能训练数据、算法源代码等数据。

11. 科学技术类

  • 知识产权和重大发现:包括涉及国防、国家安全或其他非公开的知识产权等数据。
  • 禁止出口限制出口技术:包括《中国禁止出口限制出口技术目录》所列技术有关的数据。

12. 其他数据类

  • 出口管制法管制的相关数据:包括《中华人民共和国出口管制法》规定的管制物项相关资料等数据。
  • 其他可能影响国家安全的数据:包括符合重要数据定义的数据。
有关机构

浙江省互联网信息办公室(浙江省互联网信息办公室):负责管理和监督浙江省内的互联网信息,确保信息的合法性和安全性,推动互联网行业的健康发展。

负责建立浙江自贸试验区数据出境负面清单管理体系并统筹协调相关事宜,指导监督浙江自贸试验区范围内的数据跨境流动活动,分行业、分领域、分批次推动开展负面清单制定工作。

浙江省商务厅:负责制定和实施浙江省的商务政策,促进对外贸易和经济合作,推动电子商务和自由贸易试验区的发展。

参与浙江自贸试验区数据出境负面清单的管理工作,与其他部门共同负责制定和实施相关政策,确保数据出境的安全和合规。

浙江省数据局:负责管理和监督浙江省内的数据资源,制定数据管理和保护的政策,推动数据的合理利用和安全保障。

负责浙江自贸试验区数据出境负面清单的具体管理工作,与其他部门协同推进数据出境的安全评估和监管工作。

免费领取你的数智第一课

2025年3月开学季起,数治网院iDigi围绕“数字ABC:分析、业务转型及以客户为中心”推出体系化课程,我们基于知识CGC▲、能力CCV▲与实用EPI▲,通过《数据跨境治理实务》系列课程深入探讨数据跨境流动的全球发展现状、治理体系、政策法规、实践应用等多方面内容,全面掌握数据跨境相关知识,了解行业动态并提升应对数据跨境问题的能力。

以下《企业跨境数据合规管理全攻略》课件示例,点击图片查看高清大图

同时,聚焦企业跨境数据合规管理领域的最新法规、标准和落地方法,帮助企业深入理解跨境数据流动过程中的合规要求,有效防范潜在风险。

  • 全球数据跨境流动治理与实践
  • 企业跨境数据合规管理全攻略
  • 跨境电商数据合规与风险管理
  • 生成式人工智能数据跨境风险与治理
  • 重点行业数据出境合规管理实务
  • 个人信息跨境安全治理与实施
  • 个人信息保护认证解析与合规

升级你的职业“防护盾”,扫码申请素养测评,即可15分钟AI适配搭建微学习、微专业,开启“一人一表”“一人一课”。即日起只需¥199开卡体验单课时即赠《AI 商业进化论》一本,激活完成自主学习、预约导师开讲、Q小治答疑、实操练习、分享心得等任务,参与评选“学习显眼包”赢数治Pro学习卡、盲盒!

来源:浙江网信网,本篇结合生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Samantha Gades,Unsplash

打赏微海报分享

标签:个人信息个人信息保护分类分级敏感个人信息数据出境数据安全电子商务负面清单重要数据

发条评论

你的电邮不会被公开。有*标记为必填。