5月17日,上海自貿區臨港新片區釋出了全國首批資料跨境場景化一般資料清單。清單涵蓋智能網聯汽車、公募基金、生物醫藥的11個場景,适用于在上海自貿區和臨港新片區範圍内登記注冊、且在臨港新片區開展資料跨境流動相關活動的資料處理者。臨港新片區遵循“從企業到行業,從案例到清單,從正面到負面”的原則,以企業的真實導向為需求,推出資料跨境場景化一般資料清單。作為自貿試驗區,臨港新片區“探新路、試制度”,開啟了對資料跨境流動機制的探索之路。
臨港探索資料跨境流動的路徑:從正面清單到負面清單
2022年國家網信辦出台了《資料出境安全評估辦法》,其中對重要資料、敏感資料的出境評估作出了明确規定。2024年3月國家網信辦出台了《促進和規範資料跨境流動規定》,其中規定自貿試驗區自行制定資料出境的“負面清單”。不同于其他自貿試驗區,臨港新片區探索資料出境的路徑是從正面清單到負面清單。
“萌芽之初 蠢蠢欲動”
2019年臨港新片區成立時,就資料跨境流動機制探索而言,國内并沒有架構性指導原則可參照,更沒有“自貿試驗區自行制定負面清單”這一說法。當時國内僅實施了《網絡安全法》。其中第37條提出了個人資訊和重要資料出境安全評估制度。2021年11月《上海市資料條例》出台。其中明确要求臨港探索制定低風險跨境流動資料目錄。當時,《資料出境安全評估辦法》尚未出台,且國内亦無“負面清單”的舉措。在此背景下,臨港資料處及跨境數科公司萌生了探索“低風險跨境資料目錄”的想法,也即将不具備出境風險的資料列入清單,供在臨港新片區範圍内登記注冊的企業開展資料跨境活動時參照。
“摸着石頭過河”
資料跨境傳輸是一個極其複雜的活動。資料傳輸不僅看不見摸不着,而且在過程中易發生意料之外的事故。同時,資料出境具有較強的場景性,同一字段在不同場景下出境的合理性、正當性、必要性也不同。基于資料出境的複雜性、專業性及場景性的特點,臨港資料處及跨境數科帶領團隊開始對場景化資料出境的風險進行評估與論證。一方面,立足片區與城市發展的需求。臨港新片區并沒有從全領域清單的編制着手,而是聚焦在上海五大重點發展領域,回應企業在特定場景下特定資料類别在展業過程中真實的出境需求。臨港資料處召集專家率先對智聯網汽車、生物醫藥和公募基金三個行業内的企業在部分場景下的資料出境進行風險評估。如無風險,則場景、資料類别及字段納入“一般資料清單”中。另一方面,回應企業對清單“可操作”的需求。此次釋出的正面清單覆寫上述三個行業共11個場景,64個資料類别,600餘個資料字段。清單内容顆粒度細,便于企業對标。就以智聯網汽車為例,清單涉及跨國生産制造、全球研發測試、全球售後服務、二手車全球貿易4個場景,共包含23個資料類别、158個資料字段。這切實解決了車企從生産制造到售後流通全流程主要環節的資料出境的真實需求。
“兩條腿走路”
自《規定》釋出後,行業在探索各自的重要資料目錄。在行業的重要資料目錄釋出之前,從正面清單過渡到負面清單的路徑是可取的。一方面,顆粒度細、操作性強的正面清單可積累更多的場景案例,處于動态更新中。企業在實操中對标正面清單。若相同場景的資料出境可免于申報。若場景或傳輸的資料字段發生變化,則由專家對資料出境場景進行風險再評估。如此的探索令正面清單處于動态更新中。另一方面,不斷更新場景的正面清單為釋出範圍合理、有依據、可操作的負面清單積累經驗。無論正面清單還是負面清單,邏輯和目的都是相同的。邏輯是以企業資料出境場景化為切入口,目的都是評估資料出境行為産生的風險以便評判是否允許出境。探索正面清單的最終目的是釋出負面清單。在“兩條腿走路”的過程中,臨港既提供企業更好的感覺度,又營造了更優的營商環境。
可複制、可推廣的“臨港路徑”:豐富全球資料治理工具箱
資料是數字時代的新型生産要素。資料跨境流動便利化不僅增強全球經濟活力,還促進科技創新,提升全球公民的數字福祉。這些便利性都是在保障資料跨境流動安全性的前提下得以實作。跨境資料的“動”與“制”是資料治理的一對主要沖突。就如何建立起一種平衡、協調和可持續的資料治理機制,目前各國政府尚處于探索階段。資料出境安全評估是中國提出的,也成為了資料跨境流動中國模式的重要内容。
臨港基于大量案例,通過申報服務、存證備份、安全監管鍊入式建構系統性流程。從體制機制,到落地服務,再到監管,以場景化白名單加服務中心綠色通道,企業在展業過程中的資料跨境流動需求在臨港得到系統的解決。從動态滾動的正面清單過渡到範圍有限、依據可靠的負面清單,資料跨境流動模式探索的“臨港路徑”可複制可推廣,未來可能成為中國對全球資料治理的貢獻。中國作為正在崛起的數字經濟大國,以臨港為代表的自貿試驗區先行先試,為國家探索建構資料跨境管理新模式,對大陸在資料領域的國際談判和國際治理中赢得先機,具有非常重要的現實意義。
相關連結:資料跨境流動全球版圖一覽
【歐盟】歐盟是國際社會最早就資料跨境流動建構法律體系的行為體。2018年歐盟實施了《一般資料保護條例》(General Data Protection Regula tion,以下簡稱GDPR)。其中規定歐盟可與白名單上的第三國進行資料跨境自由流動。第三國進入歐盟白名單的資格需通過歐盟委員會的評估後可獲得。目前,歐盟委員會的白名單上有15個經濟體。如第三國未獲得白名單資格,該國企業可采取标準合同條款或限制性企業規則等方式與歐盟進行資料傳輸。第三國企業需要提供符合歐盟要求的檔案,以示其具備對所傳輸的資料進行保護的能力。
【美國】相比歐盟較為嚴格的監管政策,美國主張資料跨境的自由流動,國内主要采取行業自律模式輔助于較為寬松的政府監管方式進行資料保護;同時,對于關鍵領域的資料出境,美國先後出台了《外國投資風險評估現代化法案》《出口管制條例》等采取限制措施。
【中國】大陸的資料跨境流動制度處于探索之中。2017年實施的《網絡安全法》、2021年先後實施的《資料安全法》《個人資訊保護法》基本構成了資料跨境流動的法律體系,明确了三種需納入監管的資料出境方式:網信部門安全評估、個人資訊出境标準合同備案、個人資訊保護認證。其中,後兩種在歐盟法律中有相似規定。資料出境安全評估是中國提出的,也成為了資料跨境流動中國模式的重要内容。
2023年8月《國務院關于進一步優化外商投資環境加大吸引外商投資力度的意見》指出:探索便利化的資料跨境流動安全監管機制,支援上海等地試點探索形成可自由流動的一般資料清單,建設服務平台,提供資料跨境流動合規服務。2023年12月《全面對接國際高标準經貿規則推進中國(上海)自由貿易試驗區高水準制度型開放總體方案》指出:按照資料分類分級保護制度,支援上海自貿試驗區率先制定重要資料目錄。2024年3月《促進和規範資料跨境流動制度規定》授權自貿試驗區在國家資料分類分級保護制度架構下,可以自行制定區内需要納入資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證管理範圍的資料清單(簡稱負面清單)。
(作者為華東政法大學涉外法治研究院教授,上海市人工智能與社會發展研究會研究員)
