AI助理解读新法规（三）：上海临港新片区发布首批数据跨境一般数据清单

（本文系由自研AI助理应用生成，经律师审校）

数据跨境一般数据清单适用于在中国（上海）自由贸易试验区及临港新片区范围内登记注册的，且在临港新片区开展智能网联汽车领域、公募基金领域、生物医药领域数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。具体而言，针对智能网联汽车领域，适用于在上述范围内从事汽车制造、零部件和软件供应、经销、售后服务、出行和相关服务的企业、事业单位、机构协会和组织等数据处理者；针对公募基金领域，适用于在上述范围内从事公开募集证券投资基金管理公司等数据处理者；针对生物医药领域，适用于在上述范围内从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织等数据处理者。

该清单明确了不适用于在智能网联汽车领域、公募基金领域、生物医药领域关键信息基础设施运营者的数据跨境流动，不包括《促进和规范数据跨境流动规定》未予以豁免申报的场景的情况，且不适用于被明确认定为重要数据的数据。

（一）智能网联汽车领域

1. 适用场景

数据跨境一般数据清单在智能网联汽车领域主要涵盖了四个关键场景，包括跨国生产制造、全球研发测试、全球售后服务以及二手车全球贸易，这些场景反映了智能网联汽车行业在全球化运营中的核心需求。

2. 数据类别

上述场景中所涉数据具体包括：

• 跨国生产制造：生产制造管理数据、库存信息、零部件信息、再制造信息、物流供应链信息；

• 全球研发测试：研发设计数据、测试数据、研发管理数据；

• 全球售后服务：车辆信息、故障状态数据、诊断数据、客户服务、售后服务记录、售后订单、售后配件、售后跟踪、售后报表、售后网点、召回管理、质保与索赔等；

• 二手车全球贸易：车辆信息、维保信息、保险信息。

这些数据类别的详细规定，为智能网联汽车领域的数据跨境流动提供了明确的指导。

3. 传输要求

对于智能网联汽车领域的数据跨境流动，传输要求主要包括以下几点：

• 个人信息的脱敏处理：生产安全信息、产线监控等涉及的个人信息应进行脱敏处理，涉及的视频、图像数据不应包含人脸、车牌等个人信息，确保个人隐私的保护。

• VIN号的匿名化处理：所列场景中VIN号均未与个人信息关联，跨境传输至数据接收方后应无法直接或间接识别到个人。

• 确保数据安全保密性：（1）库存信息和物流供应链数据应不能反映国家经济运行情况，以避免可能对国家安全和经济稳定造成的风险；（2）生产安全信息不涉及重大事故和特别重大事故，避免敏感信息的跨境流动可能带来的风险（事故等级划分参见《生产安全事故报告和调查处理条例》）；（3）研发测试数据不涉及企业承担的国家重大攻关项目的关键核心技术、未公开的知识产权和其他需要保密的信息等，不涉及汽车研发中影响国家关键技术自主性安全的数据。

• 数据直接传输的限制：一般数据清单中的数据不应通过车辆直接向境外传输，以确保数据传输的安全性和可控性，且确保遵循最小必要原则。

（二）公募基金领域

1. 适用场景

数据跨境一般数据清单在公募基金领域主要涵盖了两大场景：市场研究和内部管理。这两个场景是公募基金领域数据跨境流动的关键领域，涉及到基金管理公司在进行全球化运营和管理时的核心活动。

2. 数据类别

上述场景中所涉数据具体包括：

• 市场研究：产业研究报告（如产业名称、产业分析）、宏观经济分析报告有关数据（如报告名称、宏观经济分析）；

• 内部管理：结算管理数据、供应商管理数据、投资者管理数据、营销服务管理数据、产品管理数据、风险管理数据、合规审计管理数据、财务管理数据、项目管理数据。

这些数据类别的设定，旨在确保公募基金领域的数据跨境流动能够高效、安全地进行，同时保护投资者的利益和市场的公平性。

3. 传输要求

对于公募基金领域的数据跨境流动，传输要求主要包括以下几点：

• 数据特征的限制：市场研究相关数据不涉及证券价值分析和市场走势数据。总体而言，通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用的数据。

• 确保数据安全性：采取必要的加密措施，防止数据在传输过程中被非法截获、篡改或泄露。

• 个人信息保护：对于涉及个人信息的数据，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务，确保个人信息的保护。

（三）生物医药领域

1. 适用场景

数据跨境一般数据清单在生物医药领域主要涵盖了临床试验和研发、药物警戒和医疗器械不良事件监测、医学问询、产品投诉以及商业合作伙伴管理五个主要场景。

2. 数据类别

上述场景中所涉数据具体包括：

• 临床试验和研发：去标识化受试者个人基本资料、受试者健康生理信息、研究者个人基本资料、研究者教育工作信息。

• 药物警戒和医疗器械不良事件监测：去标识化患者的个人基本资料、患者基础生理状况信息、患者用药记录、患者医疗记录、患者不良反应信息、去标识化报告人的个人基本资料、事件总结描述。

• 医学问询：去标识化问询人的个人基本资料、问询人的工作信息（要求问询人为医疗卫生专业人士）、问询人的问询信息。

• 产品投诉：去标识化投诉人的个人基本资料、投诉人的工作信息（要求投诉人为医疗卫生专业人士）、投诉中涉及的去标识化患者个人基本资料（如投诉人/患者主动提供）、投诉人的投诉信息、投诉汇总信息。

• 商业合作伙伴管理：涉及组织商业合作伙伴的背景信息、建档信息、合同管理信息，、个人商业合作伙伴的个人基本资料、银行账户信息、资质信息等数据。

3. 传输要求

对于生物医药领域的数据跨境流动，传输要求主要包括以下几点：

• 去标识化处理：对于涉及个人信息的数据，如临床试验和研发中的受试者个人基本资料、健康生理信息等，必须进行去标识化处理，以确保数据接收方无法直接或间接识别到个人。

• 个人信息保护：对于涉及个人信息的数据，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务，确保个人信息的保护。

• 跨境传输的目的限制：在药物警戒和医疗器械不良事件监测场景下，跨境数据的使用范围仅限于安全性评价。

• 人类遗传资源信息的特殊管理：对于涉及人类遗传资源信息的数据，数据处理者在跨境提供或开放使用前，必须遵守《中华人民共和国人类遗传资源管理条例》的规定，向国务院卫生健康主管部门事先报告并提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院卫生健康主管部门组织的安全审查。

根据《临港新片区数据跨境流动分类分级管理办法（试行）》的要求，数据处理者对在一般数据清单内的数据，可向临港新片区管委会申请登记备案，并在满足相关管理要求下自由流动。与一般数据清单一同出台的《中国（上海）自由贸易试验区临港新片区数据跨境流动一般数据清单操作指南（试行）》详细阐述了向临港新片区管委会申请登记备案的具体流程：

（一）备案方式

电子版材料提交至临港新片区数据便捷流通公共服务管理平台备案，平台链接为：https://sjkj.lingang.gov.cn/。

（二）备案材料

• 统一社会信用代码证件

• 法定代表人身份证件

• 经办人身份证件

• 经办人授权委托书

• 自律合规承诺书

• 备案申请表

• 拟出境场景和拟出境一般数据情况说明

• 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件

• 其他相关证明材料

（三）备案流程

开始备案后需先进行备案登记申请，如果不符合要求则应进行补充/更正，如果符合要求则备案成功，有效期为一年。如需进行备案延续需要在到期前两个月开始进行备案延续流程，如需清单内容发生变更，则需进行备案变更流程。

（四）责任义务

数据处理者对自身所提交材料的真实性、安全性、合规性等承担责任。备案成功后，数据处理者应对出境的一般数据进行存证和备份，备份时间应不少于1年。

（五）备案咨询

一般数据清单备案过程中遇到的法律、政策、技术等问题，数据处理者均可向临港新片区数据跨境服务中心咨询并寻求支持。联系电话：021-68281168。

此次数据跨境一般数据清单的发布，是对数据跨境流动机制的一次重要尝试和创新，通过明确数据跨境流动的场景、数据类别和传输要求，为企业提供了清晰的合规指引，有助于促进数据安全、高效、自由有序跨境流动，推动数字经济的发展。

我们建议企业在开展数据跨境流动活动前，仔细研读一般数据清单及相关管理办法，明确自身数据处理活动是否适用于一般数据清单，以及是否满足数据传输的具体要求。同时，企业应及时完成数据跨境流动的备案工作，确保数据跨境流动的合规性。此外，企业还应关注临港新片区管委会发布的一般数据清单的动态更新，及时调整自身的数据处理和跨境流动活动，确保运营的持续合规。

没有被设置“星标”的微信公众号

收到的推送极其有限，时间也会大大延迟

如果您想要收到我们的第一手推送

请为我们设个“星标”吧！

设星标，不迷路！