- 文件名称:
- 中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)
- 文件编号:
- 沪自贸临管规范〔2024〕3号
- 文件状态:
- 有效
- 公布日期:
- 2024-02-08
- 施行日期:
- 2024-02-08
正文
中国(上海)自由贸易试验区临港新片区
数据跨境流动分类分级管理办法(试行)
第一章 总则
第一条 指导思想
以习近平新时代中国特色社会主义思想为指导,以“五个重要”指示精神为统领,对标最高标准、最高水平,实行更大程度的压力测试,深化“五自由一便利”制度型开放,充分发挥国际数据要素价值赋能实体经济发展。全面深入对接国际高标准经贸规则,制定数据跨境流动分类分级管理办法,推动数据安全、高效、自由有序跨境流动,实现高水平对外开放,打造国际一流营商环境,提升数字经济的国际影响力。
第二条 目的和依据
为进一步指导和帮助数据处理者高效合规地开展数据跨境流动,中国(上海)自由贸易试验区临港新片区管理委员会(以下简称“临港新片区管委会”)根据《网络安全法》《数据安全法》《个人信息保护法》《国务院关于进一步优化外商投资环境 加大吸引外商投资力度的意见》《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》《数据出境安全评估办法》以及《上海市数据条例》等文件,制定本办法。
第三条 适用范围
本办法适用于在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。
第四条 基本原则
(一)安全有序:统筹发展与安全,保障国家安全、公共利益,释放数据价值,促进数据产业国际化发展。
(二)正当必要:数据处理者开展数据跨境流动时需遵守法律法规的规定,采取对数据主体影响最小的方式处理数据,不得损害数据主体的合法权益。
(三)需求导向:以问题为导向,案例为样本,通过清单化方式管理,增强数据跨境流动的便利性和实用性。
(四)分类分级:遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,通过建立数据跨境流动重要数据目录、一般数据清单的模式,分类施策,分级管理。
(五)动态更新:根据有关法律、法规、规章和政策的要求,对清单进行动态更新。
第二章 职责及分工
第五条 管理部门职责
临港新片区管委会负责建立数据跨境流动工作统筹推进协调机制,具体工作包括:
(一)建立数据跨境流动分类分级管理体系并统筹协调相关事宜;
(二)协调各行业主管部门,推动制定和更新数据跨境流动清单;
(三)对数据处理者的数据跨境流动进行日常监管,开展风险防范工作;
(四)接受市委网信办及各行业主管部门对数据跨境流动工作进行指导、监督。
第六条 数据处理者职责
数据处理者应当按照相关规定,做好自身的数据分类分级管理,并积极参与临港新片区相关数据跨境流动清单的研究制定。
数据处理者在开展数据跨境活动过程中,应开展数据出境风险自评估,主动识别申报重要数据。
第三章 数据跨境分类分级管理
第七条 数据跨境分类管理
结合上海“五个中心”建设,围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求,以跨境需求最迫切的典型场景为切入口,对跨境数据进行分类管理。
第八条 数据跨境分级管理
按照《数据安全法》要求,跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
第四章 重要数据目录管理
第九条 重要数据目录制定
临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录,并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经市委网络安全和信息化委员会批准后,报相关部门备案。
第十条 重要数据目录应用
数据处理者对重要数据目录内的数据,可通过临港新片区数据跨境服务中心申报数据出境安全评估。
第十一条 重要数据目录更新机制
临港新片区管委会负责对重要数据目录进行更新,并报相关部门备案,经批准后及时告知数据处理者。
第五章 一般数据清单管理
第十二条 一般数据清单制定
在确保国家安全、公共利益和个人隐私的前提下,临港新片区管委会负责制定一般数据清单。
第十三条 一般数据清单应用
数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。
第十四条 一般数据清单更新机制
临港新片区管委会负责对一般数据清单进行更新,并及时告知数据处理者。
若相关领域出台场景化重要数据目录,则该领域的一般数据清单自动失效。
第六章 监督管理及违规处置
第十五条 管理要求
开展数据跨境活动的数据处理者可向临港新片区管委会申请备案,对纳入临港新片区管委会备案管理的数据跨境活动,临港新片区管委会依托“临港新片区数据便捷流通公共服务管理平台”,提供数据跨境流动合规服务。相关数据清单调整后,数据处理者应及时更新备案。
第十六条 监督检查
临港新片区管委会负责对数据处理者的数据跨境活动进行日常监督检查以及抽查,数据处理者应予以积极配合。
第十七条 违规处置
若数据处理者在数据跨境流动过程中未严格履行相关承诺,或出现其他违规行为的,临港新片区管委会可立即暂停或终止数据跨境流动。数据处理者需继续开展数据跨境流动的,应按照要求整改,整改完成后重新备案。
第十八条 违规追责
数据处理者对自身所提交材料的真实性、安全性、合规性等承担法律责任,若发现故意违反有关法律、法规的行为,由相关单位依法追究其法律责任。
第七章 附则
第十九条 法律适用
(一)本办法未明确规定的,若法律、行政法规或者国家网信部门、行业主管部门等有关部门和上海市出台新的规定,从其规定;
(二)我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
第二十条 鼓励与支持
临港新片区管委会鼓励企业、科研院所、高等院校以及行业协会等各方参与制定相关领域的重要数据目录和一般数据清单,给予相应支持。
第二十一条 办法解释及试行日期
本办法由临港新片区管委会负责解释,自2024年2月8日起试行,有效期至2025年2月7日。
附录A 相关名词解释
1.核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据;
2.重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据,一般不作为重要数据;
3.一般数据:核心数据、重要数据外的其他数据;
4.数据分类:按照数据具有的某种共同属性或特征,采用一定原则和方法进行区分和归类,以便于管理和使用数据;
5.数据分级:数据分级的目的是差异性保护数据安全,按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益、个人合法权益和组织合法权益的危害程度对跨境数据进行分级,为数据全生命周期管理的安全策略制定和分级监管提供支撑。