2025-02-11

上海数据出境负面清单最新解读

一、什么是数据出境负面清单

数据出境负面清单是指根据相关政策法规，需要纳入【数据出境安全评估、个人信息出境标准合同、个人信息保护认证】管理范围的数据清单，以下简称负面清单。

二、关于数据出境负面清单的背景介绍

（一）数据出境负面清单发布情况

2024年3月22日生效的《促进和规范数据跨境流动规定》赋予了各自由贸易试验区对于本试验区范围内数据跨境流动以负面清单的方式进行监管的权利，在《促进和规范数据跨境流动规定》生效实施之后，天津、北京、上海陆续发布本自贸区的负面清单，具体情况如下：

（二）数据出境“正面清单”（一般数据清单）发布情况

除了上述列举的出境前需要履行数据出境安全评估、标准合同备案及保护认证三种合规路径的负面清单，上海、福建还发布了一般数据清单（又称“正面清单”）。“正面清单”（一般数据清单）是与“负面清单”相对应的概念，是指无需履行出境安全评估、标准合同备案及保护认证三种合规路径，在向管委会备案并符合相关管理要求的情况下，可以自由出境。

640 (1).jpg

三、上海数据出境负面清单的具体内容解读

（一）上海数据出境负面清单的适用范围

上海数据出境负面清单适用于在上海自贸试验区及临港新片区内注册且在中国（上海）自由贸易试验区及临港新片区内开展数据出境活动的数据处理者，关键信息基础设施运营者不适用本清单。

上海数据出境负面清单仅适用于再保险领域的人身险再保险场景、财产险再保险场景；国际航运领域的水路运输服务和港口作业生产相关场景、船员管理场景；商贸领域的会员管理场景。未涉及的行业、领域数据按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规执行。

（二）上海数据出境负面清单的具体内容

1.再保险领域数据

640 (2).png

深度解读：

（1）明确再保险业务中保单号、保额、保费、理赔号、理赔金额数据属于敏感个人信息。

在该负面清单出台前，根据2024年10月1日实施的《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录B个人信息分类示例，保单信息、理赔信息是个人信息的一级类别“个人财产信息”项下的二级类别“个人交易信息”中的典型示例，仅可依据上述规定判断相关信息属于个人信息，但是无法直接判断保单号、保额、保费、理赔号、理赔金额属于敏感个人信息。

（2）放宽再保险业务场景中承保、理赔类个人信息出境的规制，进一步促进再保险业务场景中承保、理赔类个人信息[1]的跨境流动。

640 (1).png

640 (3).png

2.国际航运领域数据

640 (4).png

640 (5).png

深度解读：

（1）明确国际航运领域中的重要数据认定。

截至目前，我国重要数据的具体认定细则尚不明晰，2024年10月1日实施的《数据安全技术数据分类分级规则》对重要数据的定义、重要数据识别的具体因素进行了规定，但是仅为笼统的概念性规定，该负面清单将水路运输服务和港口作业生产相关场景中的重要数据基本特征进行了描述，例如，明确了国际船舶运输公司的内部决策数据属于重要数据，系重要数据识别的进一步细化。

另外，航运领域企业包括港口经营公司、船务公司、货运代理公司、船舶运输公司、航运数字化公司、第三方商业服务平台、数据服务平台等。

（2）放宽船员管理业务场景中船员个人信息的规制，进一步促进船员管理业务场景中船员个人信息[4]的跨境流动。

注：船员管理场景，是指出于国际海员服务、海员外派等目的，结合各国出入境管理要求，船舶公司进行国际航运前对船员进行身份鉴别、资质审核等相关操作的场景。

640 (6).png