5月17日,上海自贸区临港新片区发布了全国首批数据跨境场景化一般数据清单。清单涵盖智能网联汽车、公募基金、生物医药的11个场景,适用于在上海自贸区和临港新片区范围内登记注册、且在临港新片区开展数据跨境流动相关活动的数据处理者。临港新片区遵循“从企业到行业,从案例到清单,从正面到负面”的原则,以企业的真实导向为需求,推出数据跨境场景化一般数据清单。作为自贸试验区,临港新片区“探新路、试制度”,开启了对数据跨境流动机制的探索之路。
临港探索数据跨境流动的路径:从正面清单到负面清单
2022年国家网信办出台了《数据出境安全评估办法》,其中对重要数据、敏感数据的出境评估作出了明确规定。2024年3月国家网信办出台了《促进和规范数据跨境流动规定》,其中规定自贸试验区自行制定数据出境的“负面清单”。不同于其他自贸试验区,临港新片区探索数据出境的路径是从正面清单到负面清单。
“萌芽之初 蠢蠢欲动”
2019年临港新片区成立时,就数据跨境流动机制探索而言,国内并没有框架性指导原则可参照,更没有“自贸试验区自行制定负面清单”这一说法。当时国内仅实施了《网络安全法》。其中第37条提出了个人信息和重要数据出境安全评估制度。2021年11月《上海市数据条例》出台。其中明确要求临港探索制定低风险跨境流动数据目录。当时,《数据出境安全评估办法》尚未出台,且国内亦无“负面清单”的举措。在此背景下,临港数据处及跨境数科公司萌生了探索“低风险跨境数据目录”的想法,也即将不具备出境风险的数据列入清单,供在临港新片区范围内登记注册的企业开展数据跨境活动时参照。
“摸着石头过河”
数据跨境传输是一个极其复杂的活动。数据传输不仅看不见摸不着,而且在过程中易发生意料之外的事故。同时,数据出境具有较强的场景性,同一字段在不同场景下出境的合理性、正当性、必要性也不同。基于数据出境的复杂性、专业性及场景性的特点,临港数据处及跨境数科带领团队开始对场景化数据出境的风险进行评估与论证。一方面,立足片区与城市发展的需求。临港新片区并没有从全领域清单的编制着手,而是聚焦在上海五大重点发展领域,回应企业在特定场景下特定数据类别在展业过程中真实的出境需求。临港数据处召集专家率先对智联网汽车、生物医药和公募基金三个行业内的企业在部分场景下的数据出境进行风险评估。如无风险,则场景、数据类别及字段纳入“一般数据清单”中。另一方面,回应企业对清单“可操作”的需求。此次发布的正面清单覆盖上述三个行业共11个场景,64个数据类别,600余个数据字段。清单内容颗粒度细,便于企业对标。就以智联网汽车为例,清单涉及跨国生产制造、全球研发测试、全球售后服务、二手车全球贸易4个场景,共包含23个数据类别、158个数据字段。这切实解决了车企从生产制造到售后流通全流程主要环节的数据出境的真实需求。
“两条腿走路”
自《规定》发布后,行业在探索各自的重要数据目录。在行业的重要数据目录发布之前,从正面清单过渡到负面清单的路径是可取的。一方面,颗粒度细、操作性强的正面清单可积累更多的场景案例,处于动态更新中。企业在实操中对标正面清单。若相同场景的数据出境可免于申报。若场景或传输的数据字段发生变化,则由专家对数据出境场景进行风险再评估。如此的探索令正面清单处于动态更新中。另一方面,不断更新场景的正面清单为发布范围合理、有依据、可操作的负面清单积累经验。无论正面清单还是负面清单,逻辑和目的都是相同的。逻辑是以企业数据出境场景化为切入口,目的都是评估数据出境行为产生的风险以便评判是否允许出境。探索正面清单的最终目的是发布负面清单。在“两条腿走路”的过程中,临港既提供企业更好的感知度,又营造了更优的营商环境。
可复制、可推广的“临港路径”:丰富全球数据治理工具箱
数据是数字时代的新型生产要素。数据跨境流动便利化不仅增强全球经济活力,还促进科技创新,提升全球公民的数字福祉。这些便利性都是在保障数据跨境流动安全性的前提下得以实现。跨境数据的“动”与“制”是数据治理的一对主要矛盾。就如何建立起一种平衡、协调和可持续的数据治理机制,目前各国政府尚处于探索阶段。数据出境安全评估是中国提出的,也成为了数据跨境流动中国模式的重要内容。
临港基于大量案例,通过申报服务、存证备份、安全监管链入式构建系统性流程。从体制机制,到落地服务,再到监管,以场景化白名单加服务中心绿色通道,企业在展业过程中的数据跨境流动需求在临港得到系统的解决。从动态滚动的正面清单过渡到范围有限、依据可靠的负面清单,数据跨境流动模式探索的“临港路径”可复制可推广,未来可能成为中国对全球数据治理的贡献。中国作为正在崛起的数字经济大国,以临港为代表的自贸试验区先行先试,为国家探索构建数据跨境管理新模式,对大陆在数据领域的国际谈判和国际治理中赢得先机,具有非常重要的现实意义。
相关链接:数据跨境流动全球版图一览
【欧盟】欧盟是国际社会最早就数据跨境流动构建法律体系的行为体。2018年欧盟实施了《一般数据保护条例》(General Data Protection Regula tion,以下简称GDPR)。其中规定欧盟可与白名单上的第三国进行数据跨境自由流动。第三国进入欧盟白名单的资格需通过欧盟委员会的评估后可获得。目前,欧盟委员会的白名单上有15个经济体。如第三国未获得白名单资格,该国企业可采取标准合同条款或约束性企业规则等方式与欧盟进行数据传输。第三国企业需要提供符合欧盟要求的文件,以示其具备对所传输的数据进行保护的能力。
【美国】相比欧盟较为严格的监管政策,美国主张数据跨境的自由流动,国内主要采取行业自律模式辅助于较为宽松的政府监管方式进行数据保护;同时,对于关键领域的数据出境,美国先后出台了《外国投资风险评估现代化法案》《出口管制条例》等采取限制措施。
【中国】大陆的数据跨境流动制度处于探索之中。2017年实施的《网络安全法》、2021年先后实施的《数据安全法》《个人信息保护法》基本构成了数据跨境流动的法律体系,明确了三种需纳入监管的数据出境方式:网信部门安全评估、个人信息出境标准合同备案、个人信息保护认证。其中,后两种在欧盟法律中有相似规定。数据出境安全评估是中国提出的,也成为了数据跨境流动中国模式的重要内容。
2023年8月《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》指出:探索便利化的数据跨境流动安全监管机制,支持上海等地试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。2023年12月《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》指出:按照数据分类分级保护制度,支持上海自贸试验区率先制定重要数据目录。2024年3月《促进和规范数据跨境流动制度规定》授权自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单)。
(作者为华东政法大学涉外法治研究院教授,上海市人工智能与社会发展研究会研究员)
