中國（上海）自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法（試行）

第一章 總則

第一條 指導思想

以習近平新時代中國特色社會主義思想為指導，以“五個重要”指示精神為統領，對標最高標準、最高水平，實行更大程度的壓力測試，深化“五自由一便利”制度型開放，充分發揮國際數據要素價值賦能實體經濟發展。全面深入對接國際高標準經貿規則，制定數據跨境流動分類分級管理辦法，推動數據安全、高效、自由有序跨境流動，實現高水平對外開放，打造國際一流營商環境，提升數字經濟的國際影響力。

第二條 目的和依據

為進一步指導和幫助數據處理者高效合規地開展數據跨境流動，中國（上海）自由貿易試驗區臨港新片區管理委員會（以下簡稱“臨港新片區管委會”）根據《網絡安全法》《數據安全法》《個人信息保護法》《國務院關于進一步優化外商投資環境加大吸引外商投資力度的意見》《全面對接國際高標準經貿規則推進中國（上海）自由貿易試驗區高水平制度型開放總體方案》《數據出境安全評估辦法》以及《上海市數據條例》等文件，制定本辦法。

第三條 適用范圍

本辦法適用于在臨港新片區范圍內登記注冊的，或在臨港新片區開展數據跨境流動相關活動的企業、事業單位、機構協會和組織等數據處理者。

第四條 基本原則

（一）安全有序：統籌發展與安全，保障國家安全、公共利益，釋放數據價值，促進數據產業國際化發展。

（二）正當必要：數據處理者開展數據跨境流動時需遵守法律法規的規定，采取對數據主體影響最小的方式處理數據， 不得損害數據主體的合法權益。

（三）需求導向：以問題為導向，案例為樣本，通過清單化方式管理，增強數據跨境流動的便利性和實用性。

（四）分類分級：遵循國家數據分類分級保護要求，按照數據所屬行業領域進行分類分級管理，通過建立數據跨境流動重要數據目錄、一般數據清單的模式，分類施策，分級管理。

（五）動態更新：根據有關法律、法規、規章和政策的要求，對清單進行動態更新。

第二章 職責及分工

第五條 管理部門職責

臨港新片區管委會負責建立數據跨境流動工作統籌推進協調機制，具體工作包括：

（一）建立數據跨境流動分類分級管理體系并統籌協調相關事宜；

（二）協調各行業主管部門，推動制定和更新數據跨境流動清單；

（三）對數據處理者的數據跨境流動進行日常監管，開展風險防范工作；

（四）接受市委網信辦及各行業主管部門對數據跨境流動工作進行指導、監督。

第六條 數據處理者職責

數據處理者應當按照相關規定，做好自身的數據分類分級管理，并積極參與臨港新片區相關數據跨境流動清單的研究制定。

數據處理者在開展數據跨境活動過程中，應開展數據出境風險自評估，主動識別申報重要數據。

第三章 數據跨境分類分級管理

第七條 數據跨境分類管理

結合上海“五個中心”建設，圍繞汽車、金融、航運、生物醫藥等重點領域以及臨港新片區相關行業的發展要求，以跨境需求最迫切的典型場景為切入口，對跨境數據進行分類管理。

第八條 數據跨境分級管理

按照《數據安全法》要求，跨境數據分級從高到低依次分為核心數據、重要數據、一般數據 3 個級別，核心數據禁止跨境，重要數據形成重要數據目錄，一般數據形成一般數據清單。

第四章 重要數據目錄管理

第九條 重要數據目錄制定

臨港新片區管委會負責制定納入數據出境安全評估管理范圍的重要數據目錄，并報相關部門備案。同時按照要求制定納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單，報經市委網絡安全和信息化委員會批準后，報相關部門備案。

第十條 重要數據目錄應用

數據處理者對重要數據目錄內的數據，可通過臨港新片區數據跨境服務中心申報數據出境安全評估。

第十一條 重要數據目錄更新機制

臨港新片區管委會負責對重要數據目錄進行更新，并報相關部門備案，經批準后及時告知數據處理者。

第五章 一般數據清單管理

第十二條 一般數據清單制定

在確保國家安全、公共利益和個人隱私的前提下，臨港新片區管委會負責制定一般數據清單。

第十三條 一般數據清單應用

數據處理者對在一般數據清單內的數據，可向臨港新片區管委會申請登記備案，并在滿足相關管理要求下自由流動。

第十四條 一般數據清單更新機制

臨港新片區管委會負責對一般數據清單進行更新，并及時告知數據處理者。若相關領域出臺場景化重要數據目錄，則該領域的一般數據清單自動失效。

第六章 監督管理及違規處置

第十五條 管理要求

開展數據跨境活動的數據處理者可向臨港新片區管委會申請備案，對納入臨港新片區管委會備案管理的數據跨境活動， 臨港新片區管委會依托“臨港新片區數據便捷流通公共服務管理平臺”，提供數據跨境流動合規服務。相關數據清單調整后，數據處理者應及時更新備案。

第十六條 監督檢查

臨港新片區管委會負責對數據處理者的數據跨境活動進行日常監督檢查以及抽查，數據處理者應予以積極配合。

第十七條 違規處置

若數據處理者在數據跨境流動過程中未嚴格履行相關承諾， 或出現其他違規行為的，臨港新片區管委會可立即暫停或終止 數據跨境流動。數據處理者需繼續開展數據跨境流動的，應按 照要求整改，整改完成后重新備案。

第十八條 違規追責

數據處理者對自身所提交材料的真實性、安全性、合規性等承擔法律責任，若發現故意違反有關法律、法規的行為，由相關單位依法追究其法律責任。

第七章 附則

第十九條 法律適用

（一）本辦法未明確規定的，若法律、行政法規或者國家網信部門、行業主管部門等有關部門和上海市出臺新的規定， 從其規定；

（二）我國締結或者參加的國際條約、協定有不同規定的， 適用該國際條約、協定，但我國聲明保留的條款除外。

第二十條 鼓勵與支持

臨港新片區管委會鼓勵企業、科研院所、高等院校以及行業協會等各方參與制定相關領域的重要數據目錄和一般數據清單，給予相應支持。

第二十一條辦法解釋及試行日期

本辦法由臨港新片區管委會負責解釋，自2024 年2月8日起試行，有效期至2025年2月7日。

附錄A? 相關名詞解釋

1.核心數據：對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據，一旦被非法使用或共享，可能直接影響政治安全。主要包括關系國家安全重點領域的數據，關系國民經濟命脈、重要民生、重大公共利益的數據，經國家有關部門評估確定的其他數據；

2.重要數據：特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。僅影響組織自身或公民個體的數據，一般不作為重要數據；

3.一般數據：核心數據、重要數據外的其他數據；

4.數據分類：按照數據具有的某種共同屬性或特征，采用一定原則和方法進行區分和歸類，以便于管理和使用數據；

5.數據分級：數據分級的目的是差異性保護數據安全，按照數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后對國家安全、公共利益、個人合法權益和組織合法權益的危害程度對跨境數據進行分級，為數據全生命周期管理的安全策略制定和分級監管提供支撐。

中國（上海）自由貿易試驗區臨港新片區管委會辦公室

2024年2月8日印發