千山叠璋，百川赴海：北京自贸区数据出境负面清单解读（下篇）

作者：段志超丨王雨婷丨徐莲丨李雅琪

导言

2024年8月30日，北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会同有关部门制定发布了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（“《管理办法》”）、《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（“《负面清单》”），适用于在北京自贸试验区内登记注册、开展数据跨境流动等相关活动的企业、事业单位、机构、团体或其他组织。

我们在《千山叠璋，百川赴海：北京自贸区数据出境负面清单解读（上篇）》中，针对《管理办法》与《负面清单》内容进行简要介绍，并详细解读汽车行业、零售与现代服务业、人工智能训练数据三个行业领域的数据清单。

下文中，我们将针对医药行业、民航业数据清单进行解读，并分析其对医药行业、民航业企业的影响。

一、医药行业

根据《负面清单》，3类重要数据及5类个人信息需要通过安全评估开展数据出境；5类个人信息需要通过标准合同备案、个人信息保护认证出境。此外，《负面清单》特别强调，对于遗传信息和达到国家有关部门规定的规模或者精度的基因数据，无论何种场景，均需要通过其他合法合规路径出境，即履行人类遗传资源信息对外提供的报告和备份义务。

（一）重要数据出境

根据《负面清单》，如临床试验、药物研发、药物警戒、诊疗服务、医疗卫生专业人士管理、商业合作伙伴管理等场景下，医药企业处理如下特征的数据，将被认定为处理重要数据：

1.   一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据、特定药品实验数据等

根据《负面清单》，一定规模以上的群体是指10万人以上；诊疗数据示例包括病案、影像、病理、血液检测、基因检测数据；健康生理状况数据示例包括电子病历数据库、健康档案数据库，以及数据挖掘分析结果。此外，《负面清单》同样对医疗救援保障数据和特定药品实验数据进行了示例，前者包括重要疫苗、战略重要基础药物，后者包括国家战略安全的药品实验、药品生产流程、生产设施有关的试验数据。

2.   一定规模以上特定领域、特定群体、特定区域的生物特征数据、医疗资源数据

根据《负面清单》，生物特征数据是指包括身体、生理或行为等数据，而医疗资源数据则包括医疗卫生机构数、床位数、医疗卫生人员数量等。然而《负面清单》并没有明确在此类场景下，一定规模指代的具体阈值，也并未对特定领域、特定群体、特定区域作示例说明。对此，我们理解此处的留白是给予行业主管部门自由裁量空间。

3.   纳入出口管制或技术出口管理事项的数据

《负面清单》明确说明，是否纳入出口管制，取决于是否被现行版本的《中国禁止出口限制出口技术目录》涵盖。由于该目录可能会根据实际情况进行调整，因此企业在参考时应当注意是否为最新版本。

（二）个人信息出境

对于个人信息，《负面清单》采取的思路是针对医药企业常见业务场景对应的不同主体以及对应处理的个人信息类型，设置不同的适用门槛，以满足医药企业的实际需求，包括：

1.   对于临床试验和药物研发场景处理的受试者个人基本资料以及诊疗和健康生理信息，如果一年累计出境的人数超过5万人，则需要申报数据出境安全评估；如果一年累计出境的人数超过1万人且不满5万人的，则适用标准合同备案或个人信息保护认证。

按照《个人信息保护法》第28条的规定，个人医疗健康信息构成敏感个人信息，因此按照《促进和规范数据跨境流动规定》（“《数据出境新规》”），如果企业一年累计出境超过1万人的受试者诊疗和健康生理信息，则需要申报数据出境安全评估；如果一年累计出境不满1万人的受试者诊疗和健康生理信息，则需要完成标准合同备案或个人信息保护认证，这使得小规模的医药企业如果计划开展全球同步药物研发，哪怕只出境1人的受试者诊疗和健康生理信息，也需要考虑合规出境的问题。

然而《负面清单》将临床试验和药物研发场景下需要开展数据出境安全评估的门槛由1万提升至5万，并将需要开展标准合同备案或个人信息保护认证的门槛由1人提升至1万，放宽了临床试验和药物研发场景下的受试者个人信息出境限制，使得全球同步跨区域开发药物，特别是创新药企开展国际多中心临床试验受到数据出境掣肘的可能性降低，有利于全球新药的研发和上市。

需要说明的是，《负面清单》额外提出，医药企业应当按照《药物临床试验质量管理规范》的要求处理受试者个人基本资料、诊疗和健康生理信息，包括药物临床试验全过程符合法定的质量标准。此外，如果《负面清单》进一步规定，如果按照“卫生健康数据级别确定规则表”，经分析后认定，达到了社会秩序、经济运行和国家安全造成严重损害以上级别影响的数据，即使一年累计出境的数量不满5万人，也无法适用标准合同备案或个人信息保护认证的路径，仍然需要适用《数据出境新规》的规则。从这些规则来看，《负面清单》在放宽数据出境规制的同时，仍然尊重行业主管部门的特别裁量权。

2.   对于药物警戒、产品投诉、医学问询场景处理的患者个人基本资料以及诊疗和健康生理信息，如果一年累计出境的人数超过10万人，则需要申报数据出境安全评估；如果一年累计出境的人数超过1万人且不满10万人的，则适用标准合同备案或个人信息保护认证。

与临床试验和药物研发场景下受试者个人信息出境的处理情况类似，《负面清单》将药物警戒、产品投诉、医学问询场景下需要开展数据出境安全评估、标准合同备案或个人信息保护认证的门槛均予以提高，放宽了个人信息出境的限制。特别是《负面清单》考虑到临床试验和药物研发场景通常发生在药品上市前，因此涉及的受试者人数有限；但药物警戒、产品投诉、医学问询场景更多的发生在药品上市后，涉及的人数会更多，由此《负面清单》将此类场景下出境的人数提高到10万，更加切合药企处理个人信息的需求和实际。

3.   对于临床试验、药物研发、医疗卫生专业人士管理、药物警戒、产品投诉、医学问询场景处理的医疗卫生专业人士、研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的一般个人信息，如果一年累计出境的人数超过20万人，则需要申报数据出境安全评估；如果一年累计出境的人数超过1万人且不满20万人的，则适用标准合同备案或个人信息保护认证。此外，对于此类主体的敏感个人信息，如果一年累计出境的人数超过10万人，则需要申报数据出境安全评估；如果一年累计出境的人数超过1万人且不满10万人的，则适用标准合同备案或个人信息保护认证。

4.   对于无法涵盖在上述业务场景下处理的个人信息，仍然适用《数据出境新规》设置的1万敏感个人信息、100万一般个人信息的阈值门槛。对于医药企业而言，可能出境个人信息的场景通常还包括供应商联系人或者个人供应商个人信息的出境。

（三）小结

从《负面清单》规制的思路来看，其更多的是在既有的医药行业的法规（包括《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》《药物临床试验质量管理规范》《药物警戒质量管理规范》《卫生健康行业数据分类分级指南（试行）》等）的基础上，放宽了个人信息出境的限制，并将重要数据出境的规制裁量权交由行业主管部门。

这一方面体现了《数据安全法》对于重要数据的监管思路，另一方面也体现了对于行业自治的尊重。这是因为医药企业通常被认为是有强监管的领域，且早在《个人信息保护法》等规定出台以前，便已形成了一套涵盖受试者、患者隐私保护的监管规则。此外，相比于其他行业，医药企业的数据出境由于联动新药的全球同步开发、确保全球患者用药安全等目的，因此更加具备数据出境的必要性和正当性。从结果导向来看，《负面清单》的出台使得对北京自贸试验区的小型药企而言，在开展传统的临床研究、药物警戒等业务时，少量的个人信息出境无需再考虑沉重的数据出境合规负担，也使得监管机构能够将有限的执法资源更加集中，以应对中大型药企的数据出境审查需求。

二、民航业

根据《负面清单》，4类重要数据及2类个人信息需要通过安全评估开展数据出境；2类个人信息需要通过标准合同备案、个人信息保护认证出境。

（一）重要数据出境

根据《负面清单》，在航空器安全保障、航空器维修、研发、生产制造等场景下处理的如下数据将被认定为重要数据：

1.   涉及民用航空器事故的飞行数据记录器数据

具体字段包括仿真视频信息、飞机飞行参数信息、机舱通话信息、机舱内部声音信息、飞机机械声音信息等；

2.   涉及民用航空器事故的驾驶舱语音记录器数据

具体字段包括飞行员与地面指挥机构通话信息、正/副驾驶员之间的对话信息、陆空通话记录的文字和音频信息、航空器驾驶舱舱音的文字和音频信息、驾驶舱图像视频信息等；

3.   涉及民用航空器事故的航空器健康状况监测数据

具体字段包括飞行器维修信息、传感器故障信息、机载系统信息、飞行器飞行状态信息、涉及航空器损伤的图片或视频信息等；

4.   纳入出口管制或技术出口管理事项的数据

现阶段，国家出口管制清单以及《中国禁止出口限制出口技术目录》涉及民航领域的物项主要集中于航天器制造及其他非民用航空业务。而《负面清单》明确规定，该清单仅适用于民用航空运输业领域相关企业，包括航空旅客运输、航空货物运输、通用航空服务、民用航空器维修企业等，航空器制造以及其它非民用航空业务不适用本清单。因此，理解目前民航业企业根据这一规则认定重要数据的场景较少，但仍须持续关注有关清单目录的后续更新。

值得注意的是，据民用航空局官方介绍^[1]，《民航领域数据分类分级办法》已于2023年8月通过民航局局务会议审议，其中列举的民航领域重要数据示例中便涵盖了民用航空器事故相关的飞行数据记录器，驾驶舱语音记录器、航空器健康状况监测数据，《负面清单》在此基础上详细列举了该三类重要数据包括的具体字段，为民航业企业重要数据识别工作提供了实用参考。

另外，根据《管理办法》附件《中国（北京）自由贸易试验区数据分类分级参考规则》，民用航空等领域影响生产安全的控制类数据、施工建设过程中获取的自然资源类数据、未公开的线路图、关键站点等数据，以及被泄露、篡改可能造成重大交通事故的数据也应当被认定为重要数据。因此，试验区内企业在识别重要数据时还需注意这一规则，如涉及该类数据出境则需要申报安全评估。

（二）个人信息出境

《负面清单》规定在客户服务场景（包括代理人/分销商管理、客服服务、会员管理、会员合作、航空公司与非航空公司间合作等）下，

• 若自当年1月1日起累计向境外提供500万人以上的个人信息（不含敏感个人信息），或10万人以上的敏感个人信息，则需要开展安全评估；

• 若自当年1月1日起累计向境外提供50万人以上且不满500万人的个人信息（不含敏感个人信息），或不满10万人的敏感个人信息，则需要开展标准合同备案或个人信息保护认证。

在该场景下，相比《数据出境新规》，《负面清单》将需要开展安全评估的门槛由100万（不含敏感个人信息）/1万（敏感个人信息）提升至500万（不含敏感个人信息）/10万（敏感个人信息）；将需要开展标准合同备案或个人信息保护认证的门槛由10 – 100万（不含敏感个人信息）/0 – 1万（敏感个人信息）提升至50 – 500万（不含个人信息）/0 – 10万（敏感个人信息），大幅提升了客户服务场景下的个人信息出境数量门槛。

而对于客户服务场景以外的其他场景，需通过安全评估、标准合同备案、个人信息保护认证的数量门槛均与《数据出境新规》一致。由于在整体排除客户服务场景后，其他场景达到个人信息跨境合规机制数量门槛的可能性将显著降低。因此，理解《负面清单》在《数据出境新规》的基础上整体放宽了民航业的个人信息出境限制。

值得注意的是，《民航领域数据分类分级办法》（2023年8月民航局局务会议审议通过版）拟将“超过100万人的旅客数据”定义为重要数据，但《负面清单》并未将该类数据认定为重要数据。因此，在客户服务场景以及《数据出境新规》规定的机票预订等其他豁免场景下，自贸区企业通过《负面清单》出境个人信息时，不会因所涉旅客超过100万人而需要申报数据出境安全评估。

（三）小结

自2022年以来，民航领域相继发布《关于民航大数据建设发展的指导意见》《智慧民航建设数据管理政策标准体系》等政策标准文件，确立了“1+3+4+N”（1部指导意见，3部管理办法，4项制度，N部细则）的四层级智慧民航建设数据管理政策框架。其中，第2层级的《民航数据管理办法》、《民航数据共享管理办法》已于2024年3月发布征求意见稿，第3层级的《民航领域数据分类分级办法》也已于2023年8月通过民航局局务会议审议，民航业数据管理体系正在不断完善中。

其中，《民航数据管理办法》（征求意见稿）明确，民航局数据统筹管理部门将组织制定民航领域重要数据和核心数据目录，统筹编制、发布包含具体数据安全等级的《民航数据资源目录》。根据本次北京自贸试验区《管理办法》，如行业主管部门已公开发布或已在行业内部发布本行业、本领域数据分类分级标准规范，应当优先按照其规定识别重要数据。因此，试验区内民航业企业在依据《负面清单》识别重要数据、实施数据出境合规机制的同时，还需持续关注有关目录编制动态，待正式发布后及时调整重要数据识别与数据出境合规措施。试验区外的民航业企业也可参考《负面清单》在《民航领域数据分类分级办法》（2023年8月民航局局务会议审议通过版）基础上列举的细化字段，尝试开展重要数据识别工作。

三、结语

《负面清单》结合不同行业企业实际需求，在实践中数据出境需求迫切、流动频繁的特定场景下放宽了个人信息出境限制，也为其他未被直接放宽或豁免的场景提供了更大的个人信息跨境流动空间，整体上有效减轻了北京自贸试验区内企业的数据跨境合规负担。同时，《负面清单》在重要数据出境方面尊重行业主管部门的特别裁量空间，与有关行业既有或后续规定灵活衔接，体现了高效、便利、安全的数据出境监管思路。

继天津自贸试验区数据出境负面清单、上海临港新片区数据跨境场景化一般数据清单之后，北京自贸试验区通过《管理办法》、《负面清单》为数据跨境便利化提供了“北京实践”，进一步落实了《数据出境新规》第六条明确的自贸区数据出境政策红利。作为从业者，我们乐见北京试验区在守牢安全底线的前提下解决企业数据出境合理诉求，为优化营商环境、扩大高水平对外开放、助力数字经济高质量发展提供了又一重要举措。

[1]中国民用航空局人事科教司副司长在2023智慧民航发展论坛的演讲http://www.caacnews.com.cn/2023live/zhmhfzlt/20xxhltlm3/202310/t20231024_1371501_sj.html。