Het Lingang New Area van de Shanghai Pilot Free Trade Zone (FTZ) heeft de eerste batch proeflijsten van algemene gegevens voor drie sectoren vrijgegeven, waarmee grensoverschrijdende gegevensstromen voor bedrijven die in het gebied opereren worden gefaciliteerd. Deze aankondiging volgt kort na de vrijgave van de Tianjin FTZ's Negatieve Lijst, die eveneens streeft naar het faciliteren van grensoverschrijdende gegevensstromen voor bedrijven die in de FTZ opereren door de soorten gegevens te specificeren die niet zonder bepaalde goedkeuringsprocedures mogen worden geëxporteerd.
De eerste batch van algemene gegevenslijsten is verstrekt voor de velden van intelligente verbonden voertuigen, biofarmaceutica, en beleggingsfondsen, drie sectoren met een significante aanwezigheid in het Lingang New Area. De algemene gegevenslijsten zijn scenario-gebaseerd, wat betekent dat ze verschillende situaties schetsen waarin gegevensexport vereist en vrij toegestaan is. Deze omvatten scenario's zoals multinationale productie en fabricage van intelligente verbonden voertuigen, medische klinische proeven en R&D, en informatie-uitwisseling voor marktonderzoek naar fondsen.
Bedrijven die gegevens uit China moeten exporteren voor een van de doeleinden in de algemene gegevenslijsten, mogen dit doen zonder de aanvullende nalevingsprocedures die normaal vereist zijn. Echter, de export van persoonlijke informatie blijft onderworpen aan bepaalde volumebeperkingen.
De algemene gegevenslijsten zullen voor een proefperiode van één jaar worden geïmplementeerd vanaf hun implementatiedatum, 16 mei 2024.
In januari 2024 kondigde het Lingang New Area een nieuw systeem voor gegevensbeheer en -export in het gebied aan, dat de vrijgave van twee gegevenscatalogi omvatte, één voor "belangrijke" gegevens en één voor "algemene" gegevens. Dit nieuwe systeem zal helpen bij het faciliteren van grensoverschrijdende gegevensoverdracht (CBDT) voor belangrijke sectoren in het gebied door de soorten gegevens te schetsen die beperkt zijn of onderworpen aan aanvullende nalevingsmaatregelen om te worden geëxporteerd (via de belangrijke gegevenslijsten) en gegevens die gemakkelijker kunnen worden geëxporteerd (via de algemene gegevenslijsten).
In maart heeft het gebied de Maatregelen voor de Classificatie en Gelaagde Beheer van Gegevens Grensoverschrijdende Stroom in de China (Shanghai) Pilot Free Trade Zone Lingang Special Area (Proef) (de "Lingang CBDT Beheersmaatregelen"), die de regels en vereisten voor dit nieuwe systeem schetsten, inclusief hoe bedrijven de algemene gegevenslijsten kunnen gebruiken.
Deze ontwikkelingen volgen op vele maanden van inspanningen door de centrale Chinese overheid en lokale autoriteiten om het zakelijke klimaat voor buitenlandse bedrijven te verbeteren, waarvan een kernonderdeel het oplossen van hoofdbrekens rond gegevensexport is geweest.
Toepasselijkheid van de algemene gegevenslijsten
De algemene gegevenslijsten zijn alleen van toepassing op bedrijven en andere organisaties die zijn geregistreerd in en betrokken zijn bij CBDT in het Lingang New Area in een van de gespecificeerde velden. Specifiek omvatten deze:
- Bedrijven, openbare instellingen, verenigingen en organisaties die betrokken zijn bij het onderzoek, de productie en verkoop van geneesmiddelen, medische hulpmiddelen, diagnostische reagentia, biologische producten en aanverwante diensten.
- Openbaar opgehaalde effectenbeleggingsfondsbeheermaatschappijen.
- Bedrijven, openbare instellingen, verenigingen en organisaties die zich bezighouden met de productie van auto's, levering van onderdelen en software, distributie, after-sales services, mobiliteit en aanverwante diensten, die grensoverschrijdende gegevensstroomactiviteiten uitvoeren in de sector van intelligente en verbonden voertuigen.
Echter, het is niet van toepassing op exploitanten van kritieke informatie-infrastructuur (CIIO's) in de sectoren biofarmaceutica, intelligente en verbonden voertuigen, of beleggingsfondsen.
Regels en vereisten voor het exporteren van gegevens via de algemene gegevenslijsten
Bedrijven in het Lingang New Area zijn verplicht zich te houden aan de Lingang CBDT Beheersmaatregelen, specifiek het gedeelte over het beheer van de algemene gegevenslijsten.
Om de gegevens die op de algemene gegevenslijsten staan te mogen exporteren, moeten bedrijven zich eerst aanmelden bij het Lingang New Area Management Committee voor registratie en indiening van gegevens in de algemene gegevenslijst. De goedgekeurde gegevens kunnen dan vrij stromen, mits aan de relevante beheereisen wordt voldaan.
Merk op dat als een bedrijf persoonlijke informatie uit China wil exporteren, het moet voldoen aan de regelgeving van de Wet Bescherming Persoonsgegevens (PIPL) en relevante implementatiemaatregelen, met name de Regelgeving ter Bevordering en Normalisering van Grensoverschrijdende Gegevensstromen. Dit betekent dat om persoonlijke informatie vrij te kunnen exporteren, het sinds 1 januari van het huidige jaar de persoonlijke informatie (exclusief gevoelige persoonlijke informatie) van minder dan 100.000 mensen naar het buitenland moet hebben verstrekt.
Bedrijven die deze drempel overschrijden, moeten een van de drie nalevingsprocedures voor de export van persoonlijke informatie ondergaan.
Andere specifieke verplichtingen bij het verstrekken van persoonlijke informatie naar het buitenland zijn onder meer het informeren van individuen over grensoverschrijdende activiteiten, het verkrijgen van individuele toestemming en het uitvoeren van effectbeoordelingen van de bescherming van persoonlijke informatie.
Ten slotte bevatten de algemene gegevenslijsten een voorbehoud dat stelt dat alle gegevens die de nationale belangen kunnen schaden of beïnvloeden, inclusief (maar niet beperkt tot) nationale politieke, territoriale, militaire, economische, culturele, sociale, technologische of nucleaire belangen, niet zijn opgenomen in het beheer van de algemene gegevenslijst. Dit betekent dat voor deze soorten gegevens aanvullende goedkeuringen nodig zijn om te worden geëxporteerd, hoewel deze nog niet zijn verduidelijkt.
Specifieke regels voor biofarmaceutica
Naast de algemene regels bepaalt de algemene gegevenslijst voor biofarmaceutica dat het verstrekken of verlenen van toegang tot informatie over menselijke genetische bronnen aan buitenlandse organisaties, individuen of instellingen die door hen zijn opgericht of gecontroleerd, de volksgezondheid, nationale veiligheid of sociale openbare belangen niet mag schaden.
Bovendien moeten gegevensverwerkers voor alle gegevens die menselijke genetische bronnen in de algemene gegevenslijst betreffen, vooraf rapporteren aan en informatieback-ups indienen bij de bevoegde gezondheidsautoriteit van de Staatsraad. Als er potentieel is voor impact op de volksgezondheid, nationale veiligheid of sociale openbare belangen, is een veiligheidsbeoordeling georganiseerd door de bevoegde gezondheidsautoriteit van de Staatsraad vereist.
Specifieke vereisten voor beleggingsfondsen
In het veld van beleggingsfondsen specificeert de algemene gegevenslijst dat bepaalde soorten gegevens niet zijn opgenomen in de algemene gegevenslijst. Dit omvat alle gegevens die de nationale economische orde en financiële veiligheid beïnvloeden of in gevaar brengen, evenals gegevens die voornamelijk worden gebruikt door grote of zeer grote financiële instellingen en belangrijke zakelijke knooppunten in financiële transacties, die over het algemeen worden bekendgemaakt aan specifiek personeel en alleen worden geraadpleegd of gebruikt door degenen die het moeten weten.
Specifieke vereisten voor intelligente en verbonden voertuigen
De algemene gegevenslijst voor intelligente en verbonden voertuigen stelt aanvullende vereisten voor de verwerking van de gegevens op de lijst:
- Video- en afbeeldingsgegevens in de algemene gegevenslijst mogen geen persoonlijke informatie bevatten, zoals gezichten of kentekenplaten.
- Voertuig-VIN-nummers die over de grenzen heen worden verzonden naar gegevensontvangers mogen individuen niet direct of indirect kunnen identificeren.
- Gegevens in de algemene gegevenslijst mogen niet rechtstreeks van voertuigen naar buitenlandse ontvangers worden verzonden.
- De algemene gegevenslijst volgt het principe van minimale noodzaak, wat betekent dat alleen gegevens die strikt noodzakelijk zijn voor het specifieke scenario of de activiteit worden opgenomen.
Scenario's en gegevens opgenomen in de algemene gegevenslijsten
De drie algemene gegevenslijsten dekken samen 11 specifieke scenario's die zijn onderverdeeld in 64 gegevenstypen. De lijst van beleggingsfondsen omvat twee scenario's en 11 gegevenscategorieën, de lijst van intelligente en verbonden voertuigen heeft vier scenario's en 23 gegevenstypen, en de lijst van farmaceutica omvat vijf scenario's en 30 gegevenstypen.
Hieronder volgt een voorbeeld van de scenario's en gegevenstypen die zijn uiteengezet in de algemene gegevenslijsten.
| Voorbeeld van scenario's en gegevenstypen in de algemene gegevenslijsten | ||
|---|---|---|
| Sectie | Scenario | Gegevenstype |
| Beleggingsfondsen | Marktonderzoek: Om de efficiëntie en kwaliteit van binnenlands onderzoek te verbeteren en buitenlandse investeringen in de Chinese markt aan te trekken, is het noodzakelijk dat marktonderzoeksgegevens over de grenzen heen stromen. Dit omvat voornamelijk gegevens met betrekking tot industrieonderzoeksrapporten en macro-economische analysenrapporten. | Industrieonderzoeksrapporten |
| Macro-economische analysenrapporten | ||
| Farmaceutica | Klinische proeven en R&D: Om internationale multicenter klinische proeven en andere R&D-activiteiten uit te voeren en om innovatieve geneesmiddelen, apparaten, enzovoort te ontwikkelen, is het noodzakelijk dat klinische proef- en R&D-gegevens over de grenzen heen stromen. Dit omvat voornamelijk geanonimiseerde basispersoonlijke informatie en fysiologische gezondheidsinformatie van proefpersonen, evenals basispersoonlijke informatie, opleidings- en werkgegevens van onderzoekers. | Gedeïdentificeerde basis persoonlijke informatie van proefpersonen |
| Gezondheids- en fysiologische informatie van het onderwerp | ||
| Basis persoonlijke informatie van de onderzoeker | ||
| Onderwijsinformatie van de onderzoeker | ||
| Intelligente en verbonden voertuigen | Grensoverschrijdende productie en fabricage: Om productkwaliteitsconsistentie te waarborgen, de veiligheid van de productielijn te garanderen, de productiviteit te verbeteren en de productiekosten te verlagen, hebben intelligente en verbonden voertuigen de grensoverschrijdende stroom van wereldwijde productie- en fabricagegegevens nodig tijdens het grensoverschrijdende productieproces. Dit omvat voornamelijk gegevens met betrekking tot productiebeheer, inkoop van onderdelen en materialen, voorraadbeheer, kwaliteitsbeheer, herfabricage van defecte onderdelen en de logistieke toeleveringsketen. | Productiebeheer |
| Voorraad | ||
| Onderdelen | Onderdelen||
| Herfabricage | ||
| Logistieke toeleveringsketen |
Merk op dat het Lingang New Area Management Committee belast is met het continu bijwerken van de algemene gegevenslijsten en het informeren van de gegevensverwerker over de updates. Dit betekent dat de gegevenslijsten in de toekomst kunnen worden uitgebreid.
Bovendien vermelden de gegevenslijsten dat als een scenario-gebaseerde "belangrijke gegevens" catalogus wordt vrijgegeven voor een bepaalde sector, de algemene gegevenslijst in die sector automatisch ongeldig wordt.
Potentiële impact van de gegevenslijsten op bedrijven in de Lingang New Area
Zoals het geval is met de negatieve lijst van de Tianjin FTZ, zijn de algemene gegevenslijsten voor de Lingang New Area een nuttig hulpmiddel omdat ze verduidelijken welke soorten gegevens bedrijven over het algemeen mogen exporteren zonder veel administratieve hindernissen. In de afwezigheid van dergelijke lijsten was het voor bedrijven moeilijk om te beoordelen welke gegevens als "belangrijk" worden beschouwd en daarom onderworpen zijn aan strengere nalevingsvereisten.
Tegelijkertijd is het mechanisme van de Lingang New Area voor het omgaan met grensoverschrijdende gegevensstromen restrictiever dan het model van de Tianjin FTZ, dat de soorten gegevens schetst die niet vrij kunnen worden geëxporteerd, met de implicatie dat alle gegevens die niet op de lijst staan vrij kunnen worden geëxporteerd (met enkele beperkingen). Dit betekent dat meer soorten gegevens in feite op de witte lijst staan in het Tianjin FTZ-model dan in het Lingang New Area-model.
Desalniettemin wordt verwacht dat de eerste batch van algemene gegevenslijsten zal worden uitgebreid en dat de algehele omgeving voor gegevensexport daardoor minder restrictief zal worden in de loop van de tijd.
Tegelijkertijd zullen bedrijven die gegevens verwerken die zijn opgenomen in de algemene gegevenslijsten nog steeds verplicht zijn om een aanvraag in te dienen bij het Lingang New Area Management Committee en goedkeuring te krijgen voor de specifieke gegevensexportsituaties, wat betekent dat er nog steeds een administratieve last op bedrijven rust, zij het kleiner. Na goedkeuring zal CBDT voor de gespecificeerde activiteiten aanzienlijk eenvoudiger zijn.
Ten slotte behouden de algemene gegevenslijsten de beperkingen op het volume van persoonlijke informatie dat een bedrijf kan exporteren voordat een van de drie nalevingsprocedures wordt geactiveerd - het ondergaan van een beveiligingsbeoordeling door de Cybersecurity Administration of China (CAC), het ondertekenen van een standaardcontract met de buitenlandse ontvanger van de gegevens, of het ondergaan van gegevensexportbeveiligingscertificering door een derde partij. Dit betekent dat, zoals het er nu uitziet, de regelgeving over de export van persoonlijke informatie in de Lingang New Area niet soepeler is dan elders in China.
Lingang New Area is de thuisbasis van een aantal grote multinationals die kunnen profiteren van de nieuwe regelgeving en in staat zullen zijn om de administratieve taak van het aanvragen van goedkeuring voor gegevensexport gemakkelijk af te handelen. Deze omvatten onder andere Tesla, BMW, Ford en Novo Nordisk.
