上海版数据跨境一般数据清单政策解读

2024年5月17日，上海临港新片区管委会（下称“临港管委会”）正式发布《中国（上海〉自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单（试行）》、《中国（上海〉自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单（试行）》、《中国（上海〉自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单（试行）》三份文件（以下合称“上海版正面清单政策”），规定生物医药、智能网联汽车、公募基金三个领域的一般数据清单内数据在履行备案程序并符合相关管理要求的情况下自由出境。

即，与前几天天津自贸区发布的“负面清单”政策不同，上海发布的是“正面清单”。结合相关立法、监管趋势及行业实践，汇业律师事务所黄春林律师团队简要解读如下，仅供参考。

一、关于一般数据清单的理解

2023年8月13日，国务院正式发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》（下称“外资24条”），明确提出支持北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的“一般数据清单”。

2024年2月8日,临港管委会发布了《临港新片区数据跨境流动分类分级管理办法(试行)》，再次明确了建立“一般数据清单”。

2024年3月22日，国家网信办发布了《促进和规范数据跨境流动规定》，明确自贸区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，即“负面清单”。

结合前述规定及本次三份文件，“一般数据清单”是与“负面清单”相对应的概念，是指不含核心数据、重要数据的其他数据，无需履行出境安全评估、标准合同备案及保护认证三种标准合规责任，在向管委会备案并符合相关管理要求的情况下，可以自由出境，因此通常也被称为“正面清单”。自贸区的“一般数据清单”备案，也通常被称为中国数据出境的“第四条路径”。

二、关于“第四条路径”的适用范围

根据上海版正面清单政策规定，要适用“第四条路径”的企业必须满足如下两个前提条件：

（1）企业必须登记注册在上海自贸区及临港新片区范围内，且不属于CIIO。

（2）目前，出境数据必须为生物医药、智能网联汽车、公募基金3个领域、11个子场景、64个数据类、600余个数据项范围内，且这些范围不含有《促进和规范数据跨境流动规定》未豁免申报的场景涉及的个人信息，也不属于任何被明确识别为重要数据的目录内。

（3）数据跨境流动相关活动开展在临港新片区（不含片区外的上海自贸区其他地块），例如出境相关的网关、线路、服务器等资源在临港新片区。

我们理解，以上适用范围，要严于《临港新片区数据跨境流动分类分级管理办法(试行)》规定的适用范围。

三、关于不同领域正面清单的具体范围

结合区内实际业态分布，首批上海版正面清单包含生物医药、智能网联汽车、公募基金三个领域。后续，上海将结合法规更新及市场需求等情况，实时更新清单范围，具体领域将逐步扩大到银行国际贸易融资保函业务、国际贸易结算信用证业务、再保险业务、航运业务、消费零售等领域。

（一）生物医药

结合前期安全评估及标准合同备案实践，根据前期区内企业调研情况，首批上海版正面清单中的生物医药领域涉及5个子场景、30个数据类、148个数据项。具体的：

业界普遍关注的HCP管理相关的数据，并未列入本版正面清单范围。

（一）智能网联汽车