專家解讀┃北京自貿(mào)區(qū)探索高效便利安全數(shù)據(jù)跨境流動(dòng)機(jī)制的創(chuàng)新舉措

落實(shí)法律要求，近年國家網(wǎng)信辦先后出臺實(shí)施《數(shù)據(jù)出境安全評估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》、《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》（以下簡稱《規(guī)定》）等政策，構(gòu)建了我國數(shù)據(jù)跨境流動(dòng)管理制度的基本框架�！兑�(guī)定》第6條明確“自由貿(mào)易試驗(yàn)區(qū)在國家數(shù)據(jù)分類分級保護(hù)制度框架下，可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證管理范圍的數(shù)據(jù)清單（以下簡稱負(fù)面清單）”。8月30日，北京市發(fā)布《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》及其配套的《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境負(fù)面清單管理辦法（試行）》（以下簡稱《管理辦法》），是我國政府積極探索提升數(shù)據(jù)安全治理監(jiān)管能力，建立高效便利安全的數(shù)據(jù)跨境流動(dòng)機(jī)制的重要舉措，體現(xiàn)了北京市推動(dòng)高質(zhì)量發(fā)展和高水平安全良性互動(dòng)的決心。

一、深入分析論證，科學(xué)制定負(fù)面清單

北京市高度重視數(shù)據(jù)跨境流動(dòng)工作，將數(shù)據(jù)跨境便利化服務(wù)改革作為釋放數(shù)據(jù)要素價(jià)值、推進(jìn)高水平對外開放、助力數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的重要舉措，列入市政府工作報(bào)告和多個(gè)專項(xiàng)計(jì)劃規(guī)劃持續(xù)推進(jìn)�！兑�(guī)定》發(fā)布后，北京市積極用好政策紅利，第一時(shí)間啟動(dòng)負(fù)面清單及配套管理辦法的研究制定工作，目標(biāo)是探索建立既能便利數(shù)據(jù)流動(dòng)又能保障安全的機(jī)制，北京市負(fù)面清單的科學(xué)性主要體現(xiàn)在以下方面：

一是結(jié)合北京自貿(mào)區(qū)產(chǎn)業(yè)實(shí)際，按照“急用先行、小步快跑”原則，分行業(yè)、分領(lǐng)域、分批次推進(jìn)編制工作，成熟一批發(fā)布一批，不求大而全。負(fù)面清單編制是一項(xiàng)涉及行業(yè)面廣、數(shù)據(jù)專業(yè)性強(qiáng)的創(chuàng)新性工作，北京市網(wǎng)信辦在清單制定伊始曾組織專題會(huì)議研討制定原則，是否需要全行業(yè)覆蓋，考慮到《國民經(jīng)濟(jì)行業(yè)分類》中涉及行業(yè)門類20余個(gè)、大類近百個(gè)，各行業(yè)的業(yè)務(wù)場景和涉及數(shù)據(jù)均存在特異性，想要一步到位制定一份大而全又方便企業(yè)使用的負(fù)面清單的難度較大，且北京市各自貿(mào)組團(tuán)當(dāng)前和未來一個(gè)時(shí)期側(cè)重發(fā)展的產(chǎn)業(yè)范圍較為穩(wěn)定，大而全的意義有限，因此確定了分批次、有重點(diǎn)、動(dòng)態(tài)調(diào)整的科學(xué)路線。

二是充分參考借鑒前期數(shù)據(jù)出境安全評估、個(gè)人信息出境標(biāo)準(zhǔn)合同備案等工作基礎(chǔ)。北京市網(wǎng)信辦綜合梳理已獲批的40余家企業(yè)安全評估案例、150余家企業(yè)標(biāo)準(zhǔn)合同備案案例涉及的汽車、醫(yī)藥、民航、零售、人工智能等行業(yè)領(lǐng)域數(shù)據(jù)出境情況，深入研究上述5個(gè)行業(yè)領(lǐng)域數(shù)據(jù)出境目的、典型場景、數(shù)據(jù)類型、數(shù)據(jù)處理方式、出境個(gè)人信息數(shù)量及數(shù)據(jù)保護(hù)措施，綜合研判、科學(xué)設(shè)定個(gè)人信息及敏感個(gè)人信息量級。

三是便利企業(yè)使用，不搞“拍腦袋”創(chuàng)新。目前企業(yè)梳理自身的數(shù)據(jù)出境活動(dòng)往往都是按業(yè)務(wù)場景進(jìn)行劃分，因此使用“企業(yè)語言”制定負(fù)面清單對企業(yè)最為友好。根據(jù)前期工作基礎(chǔ)，負(fù)面清單梳理了5個(gè)行業(yè)的典型數(shù)據(jù)出境場景和數(shù)據(jù)項(xiàng)，相較于《規(guī)定》在出境人數(shù)上進(jìn)一步適度放寬，但各業(yè)務(wù)場景放寬的人數(shù)各不相同，并沒有搞“一刀切”的閾值劃定，這是因?yàn)楦餍袠I(yè)的監(jiān)管要求不同，且通過大量企業(yè)調(diào)研發(fā)現(xiàn)，某個(gè)合理的業(yè)務(wù)當(dāng)年出境個(gè)人信息的規(guī)模是較為穩(wěn)定的，例如多家外資藥企反饋藥物臨床試驗(yàn)場景每年出境人數(shù)一般不會(huì)超過5萬人，因此放寬至100萬人與放寬至5萬人的意義是相同的，能夠滿足絕大多數(shù)藥企的需求。同時(shí)，從安全風(fēng)險(xiǎn)角度考慮，在限定數(shù)據(jù)使用場景和目的的基礎(chǔ)上，放寬至5萬人顯然風(fēng)險(xiǎn)更為可控。

四是政企共治數(shù)據(jù)安全，引導(dǎo)企業(yè)提升自身數(shù)據(jù)安全合規(guī)能力。數(shù)字經(jīng)濟(jì)發(fā)展的單元是企業(yè)，企業(yè)自身安全意識和合規(guī)能力提升將帶來我國數(shù)據(jù)安全和個(gè)人信息保護(hù)能力的不斷提升，因此負(fù)面清單不僅可以做到寬嚴(yán)相濟(jì)，還可以起到正向引導(dǎo)作用。例如汽車行業(yè)的OTA在線升級場景明確，OTA類型、OTA主控模塊、聯(lián)網(wǎng)終端、可遠(yuǎn)程升級系統(tǒng)等數(shù)據(jù)原則應(yīng)該申報(bào)數(shù)據(jù)出境安全評估，但“已在工業(yè)和信息化部備案，并通過相關(guān)安全技術(shù)措施處理，可確保升級包數(shù)據(jù)不被篡改的情形除外”，這些細(xì)節(jié)體現(xiàn)了更加便利合規(guī)意識強(qiáng)、技術(shù)能力強(qiáng)、管理措施規(guī)范的企業(yè)開展業(yè)務(wù)的科學(xué)管理導(dǎo)向。

二、直面企業(yè)訴求，確保負(fù)面清單便利可用

數(shù)據(jù)跨境流動(dòng)管理制度施行以來，社會(huì)上討論頗多，企業(yè)開展數(shù)據(jù)出境合規(guī)工作仍存在一些難點(diǎn)，普遍期望數(shù)據(jù)出境合規(guī)成本更低、數(shù)據(jù)出境渠道更加便利等，對于上述問題，負(fù)面清單給予了相應(yīng)解答。

一是負(fù)面清單的使用對象是企業(yè)，北京市堅(jiān)持問題導(dǎo)向，樹立“企業(yè)認(rèn)為好用才是好的負(fù)面清單”的制定原則，扎實(shí)開展企業(yè)調(diào)研和征求意見。在清單編制過程中，北京市網(wǎng)信辦聯(lián)合自貿(mào)區(qū)管理機(jī)構(gòu)組織10余次重點(diǎn)行業(yè)領(lǐng)域頭部企業(yè)座談，深入調(diào)研走訪近百家企業(yè)，悉心聽取企業(yè)建議，摸排企業(yè)面臨的難點(diǎn)問題。經(jīng)仔細(xì)研究行業(yè)法規(guī)標(biāo)準(zhǔn)和監(jiān)管現(xiàn)狀，充分考慮行業(yè)數(shù)據(jù)敏感性和出境必要性等要素，廣泛征詢主管部門、行業(yè)專家及頭部企業(yè)意見，分行業(yè)分場景科學(xué)測算劃定需納入負(fù)面清單的個(gè)人信息及敏感個(gè)人信息規(guī)模，提升自貿(mào)區(qū)數(shù)據(jù)出境便利度和負(fù)面清單實(shí)用性。

二是讓企業(yè)看得懂、用得上。負(fù)面清單共包含5個(gè)領(lǐng)域48項(xiàng)內(nèi)容，每項(xiàng)包括數(shù)據(jù)類別、數(shù)據(jù)基本特征、適用的企業(yè)業(yè)務(wù)場景及其數(shù)據(jù)項(xiàng)示例。根據(jù)相關(guān)行業(yè)領(lǐng)域數(shù)據(jù)出境特點(diǎn)，負(fù)面清單重點(diǎn)從重要數(shù)據(jù)、個(gè)人信息兩個(gè)方面進(jìn)行規(guī)定和說明，其中重要數(shù)據(jù)18項(xiàng)、個(gè)人信息30項(xiàng)。為進(jìn)一步提升實(shí)用性，負(fù)面清單中列舉了23個(gè)具體場景共198個(gè)數(shù)據(jù)字段為示例，幫助企業(yè)快速理解負(fù)面清單的管理要求。重要數(shù)據(jù)方面，以增加限定條件和示例說明等方式，進(jìn)一步細(xì)化明確對于出境重要數(shù)據(jù)的認(rèn)定條件，使清單更具備可操作性和可執(zhí)行性。個(gè)人信息和敏感個(gè)人信息方面，負(fù)面清單對允許出境的個(gè)人信息和敏感個(gè)人信息規(guī)模進(jìn)行精準(zhǔn)量化和適度放寬，盡可能解決企業(yè)合理訴求，提升自貿(mào)區(qū)數(shù)據(jù)出境便利度和負(fù)面清單的實(shí)用性。

三是明確責(zé)任分工，細(xì)化實(shí)施流程，讓企業(yè)清楚該找誰、如何辦理。《管理辦法》明確，負(fù)面清單由市網(wǎng)信辦、市商務(wù)局、市政數(shù)局負(fù)責(zé)統(tǒng)籌管理，朝陽、海淀、昌平、通州、順義、大興、亦莊等7個(gè)自貿(mào)組團(tuán)負(fù)責(zé)具體實(shí)施，組織指導(dǎo)本組團(tuán)內(nèi)數(shù)據(jù)處理者合規(guī)使用負(fù)面清單，制定出臺負(fù)面清單配套實(shí)施指南、明確負(fù)面清單使用對象及申報(bào)流程、指導(dǎo)數(shù)據(jù)處理者開展使用申請和備案工作、加強(qiáng)數(shù)據(jù)出境活動(dòng)的跟蹤監(jiān)督、形成事中存證與事后監(jiān)管能力等。企業(yè)如需使用負(fù)面清單，按程序向所在自貿(mào)組團(tuán)提交申請、提交備案并獲批后，合規(guī)開展數(shù)據(jù)出境活動(dòng)即可。

三、設(shè)立安全基線，數(shù)據(jù)出境安全不降級

數(shù)據(jù)出境便利化并不等同于安全責(zé)任的衰減，負(fù)面清單越短，安全責(zé)任越大，如何統(tǒng)籌好發(fā)展與安全的關(guān)系，是負(fù)面清單制定工作的重中之重。因此，北京市同步推出《管理辦法》，探索構(gòu)建與負(fù)面清單配套的數(shù)據(jù)出境安全管理與服務(wù)模式，做到安全不降級。

一是實(shí)施企業(yè)準(zhǔn)入管理和出境數(shù)據(jù)備案，把控?cái)?shù)據(jù)處理者合法合規(guī)經(jīng)營狀況，審核業(yè)務(wù)符合情況，這可以類比于金融領(lǐng)域的信用評價(jià)管理。

二是加強(qiáng)事中事后監(jiān)管能力，各自貿(mào)組團(tuán)采取一致性抽驗(yàn)的方式，驗(yàn)證數(shù)據(jù)處理者實(shí)際數(shù)據(jù)出境情況與備案內(nèi)容的一致性，這可以類比于醫(yī)藥領(lǐng)域的飛行檢查。

三是通過嚴(yán)格限定業(yè)務(wù)場景、出境字段等方式，對個(gè)人信息和敏感個(gè)人信息規(guī)模進(jìn)行精準(zhǔn)量化和適度放寬，最大化降低放寬范圍內(nèi)的個(gè)人信息出境風(fēng)險(xiǎn)，確保在安全可管可控的基礎(chǔ)上，盡可能滿足企業(yè)的合理必要的數(shù)據(jù)出境訴求。

四是建立負(fù)面清單動(dòng)態(tài)管理機(jī)制，市級管理部門對于已出臺的負(fù)面清單，跟蹤評估實(shí)施情況和安全風(fēng)險(xiǎn)，統(tǒng)籌開展負(fù)面清單修訂工作，根據(jù)安全風(fēng)險(xiǎn)高低情況將相應(yīng)出境數(shù)據(jù)調(diào)入、調(diào)出負(fù)面清單管理。

總的來說，自貿(mào)區(qū)負(fù)面清單制度是構(gòu)建數(shù)據(jù)出境流動(dòng)管理高水平基礎(chǔ)制度的創(chuàng)新舉措，也是一項(xiàng)全新且充滿挑戰(zhàn)的工作，各地的相關(guān)工作均剛剛起步，未來可能還會(huì)有很多難點(diǎn)和問題需要進(jìn)一步研究破解，讓我們期待北京市的施行成效，為全國提供有益參考借鑒。

作者：卓子寒  國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心正高級工程師

來源：北京市互聯(lián)網(wǎng)信息辦公室