■ 国家网信办2024年3月22日公布的《促进和规范数据跨境流动规定》第六条规定,自由贸易试验区可自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单)。根据该文件精神,天津制定了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》,经天津市网络安全和信息化委员会批准,并报国家网信部门、国家数据管理部门备案后,于2024年5月9日公布。这是我国第一份自贸试验区数据出境负面清单。数据出境负面清单是一种重要的制度探索,内涵丰富,小贝说安全自今天开始,将刊发对该首份数据出境负面清单的系列解读。
天津自贸试验区数据出境负面清单系列解读之一:负面清单的背景、意义和定位
当今时代,数据已是重要生产要素,数据流动成为常态,由此带动了数字经济的繁荣。尤其对于全球经济而言,数据跨境流动是跨国贸易得以实现的前提条件和基础支撑。但作为国家战略资源,数据的跨境流动也可能会带来一系列安全风险,影响国家安全、公共利益和公民权益。为此,世界各国纷纷制定了本国的数据跨境流动安全管理政策,多个国际组织也针对数据跨境流动积极完善国际贸易规则。
一、我国的数据跨境流动安全管理制度
我国的数据跨境流动安全政策框架来源于三部法律。
2017年6月,我国《网络安全法》实施。该法第三十七条提出了个人信息和重要数据出境安全评估制度,并授权国家网信部门制定出境评估办法。但其只规范了关键信息基础设施运营者的数据出境。事实上,有相当多可能危害国家安全的数据出境行为,发生在商业领域的中小机构中,即非关键信息基础设施运营者。2021年下半年,我国《数据安全法》和《个人信息保护法》相继实施,将数据出境安全评估制度的范围作了扩展,不再局限于关键信息基础设施运营者。至此,历时四年,数据出境安全评估制度的上位法依据终告完善。法律同时也明确了三种需要纳入监管的数据出境途径:网信部门安全评估、个人信息出境标准合同备案、个人信息保护认证。
根据上位法要求,国家网信部门于2022年7月7日发布了《数据出境安全评估办法》,明确了需要进行出境安全评估的三类场景:第一类是重要数据出境;第二类是关键信息基础设施运营者收集和产生的个人信息出境;第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境,这个条件以处理的个人信息的人数规模来确定,具体又分为一般性个人信息和敏感个人信息。这之后,国家网信部门又相继发布了个人信息出境标准合同模板、个人信息保护认证实施规则。这意味着,我国数据跨境流动安全管理的细则也基本明确。
但数据跨境流动毕竟是新事物,全世界都在摸索。李强总理明确要求“探索构建跨境数据管理新模式”。为此,国家网信部门专门制定了《促进和规范数据跨境流动规定》,于2024年3月22日发布。文件释放了进一步加快开放、促进数字经济发展的政策导向,受到了全社会的欢迎。特别是,这一文件提出了很多创新性的政策措施,其中便包括数据出境负面清单制度。
《促进和规范数据跨境流动规定》第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
二、数据出境负面清单制度的内涵
“负面清单”制度起源于国际经贸场合,最初主要适用于一个国家对外商投资的准入监管。党的十八届三中全会决定提出,“在制定负面清单基础上,各类市场主体可依法平等进入清单之外领域”,由此将“负面清单”制度的适用范围从传统的外资市场准入领域扩大为内资和外资市场准入领域。自此以后,“负面清单”制度受到了更多关注。
为了更好理解“负面清单”概念,可以与“正面清单”一并分析。“正面清单”即“清单上的皆允许”,相应的,“负面清单”则是“清单上的禁止,清单之外的皆允许”。
那么,“禁止”和“允许”所为何来?这又不得不提到国际贸易规则。1834年,德意志关税同盟成员国共同贸易条约首创了“负面清单”制度,此后广泛适用于各种双多边经贸协定中。人们创造这一制度所希望解决的主要问题,是国与国之间信息不对称以及国民待遇和最惠国待遇最大化问题。每个国家都有庞杂的法律规定,内容各不相同。作为外商,在进入一个国家投资时,一般不可能全面了解这个国家有关市场管理的法律规定,也很难了解这个国家对于外资的各种或明或暗的特殊管制措施。这种信息不对称带来的是风险的不确定。为了解决这种信息不对称以及与之伴随的风险不确定的问题,人们在国际经贸协定中创造出了“国民待遇或最惠国待遇+负面清单”的制度,即在大前提上推定外资企业与内资企业享有同等的权利、接受同等程度的管制,在此基础上,以清单的方式列明对外资的特殊准入和管制规定,以便外资主体能够很简明地掌握相关信息,作出投资判断。
显然,“负面清单”是国际惯例,受到国际社会普遍欢迎。我国一些部门在早期曾制定“正面清单”,这实际上是“总体上限制,个别放开”。在特定领域当然可以这样做,但不符合全球贸易发展的大趋势,因为“国民待遇或最惠国待遇”是前提。
当负面清单制度从外资准入领域延伸到更大范围后,政府部门在行政监管中也开始使用这一手段。但负面清单制度不是唯一,正面清单制度也时有应用。那么,应当如何判断两种制度的使用条件?原则上要看谁是一般,谁是例外。如果一般允许,特殊情况下受限或禁止,则使用负面清单制度;反之,如果一般情况下要受限甚至禁止,只有例外情况才允许,则使用正面清单制度。由此可知,从开放度上看,正面清单要严格的多。
三、数据出境负面清单的作用
《促进和规范数据跨境流动规定》第六条规定了数据出境负面清单制度。这项制度的实质可以用一句话来概括:它明确了我国数据跨境流动安全监管的对象。从数字经济发展的客观需求,以及数据自身规律看,数据跨境流动都应当是受到鼓励和支持的,影响国家安全、公共利益、公民权益的数据跨境流动行为毕竟是少数,这符合负面清单制度的使用条件。
具体哪些数据的跨境流动要受到监管呢?《促进和规范数据跨境流动规定》已经明确:需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据。
《促进和规范数据跨境流动规定》进一步规定了这些数据的范围。其第七条规定,数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估(这即是“纳入数据出境安全评估管理范围”的数据):
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
此外,《促进和规范数据跨境流动规定》第八条规定,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。这即是“个人信息出境标准合同、个人信息保护认证管理范围”的数据。
需要指出,“纳入管理范围”不等于“禁止出境”,“负面清单”不等于“禁止清单”,而是指需要经过评估或标准合同、认证等途径。具体采用哪种途径,需视前述《促进和规范数据跨境流动规定》第七条和第八条而定。
制定负面清单有四个方面的重要意义。一是弥补了数据跨境流动安全管理制度的重要一环,明确了监管对象,有利于全社会更好的理解政策;二是企业有了清晰的参照,极大减少了模糊性,便于企业执行;三是为地方赋予了一定的自主权,使地方在处理复杂的数据出境场景时有了更多的灵活性和针对性;四是提升了数据跨境流动安全管理的效率,特别是通过明确出境安全评估的条件,简化了相关流程,回应了企业长期以来的诉求。
《促进和规范数据跨境流动规定》发布后,按照“经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案”的要求,天津市迅速按程序进行了报批。履行完所有程序后,即于5月9日发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》。这是《促进和规范数据跨境流动规定》实施以来,首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境负面清单。
天津市围绕解决自贸试验区企业数据出境诉求,积极提前谋划负面清单,主要目的就是探索数据领域制度型开放新路径,打造便利化数据跨境流动管理机制,形成可复制可推广的“天津经验”,为对接国际高标准经贸规则开展先行先试,为我国建立科学合理的数据跨境流动安全管理制度作出积极贡献。这是天津市推动数据安全有序跨境流动、扩大高水平对外开放的重要内容,也是解决辖区内跨国公司关切、提升自贸试验区开放水平的重要举措。
天津自贸试验区数据出境负面清单系列解读之二:负面清单的思路和主要内容
制定数据出境负面清单是一项开创性的工作。这里的“开创性”体现在两个方面。一是虽然国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》已于2024年3月15日发布,在国家层面给出了重要数据的识别规则,但多数行业主管部门尚未发布本行业具体的重要数据识别规则,造成地方在制定负面清单时往往缺乏参照,需要更多发挥主观能动性。二是数据出境负面清单如何使用?目前还缺乏先例,地方需制定配套办法,与国家的数据跨境流动安全管理政策充分衔接。
为此,天津自贸试验区数据出境负面清单的制定始终坚持科学论证、力求实效,充分实现科学性和实用性的统一。
一、处理好四对关系
一是与其他政策和管理制度的关系。数据出境场景众多,国家数据跨境流动安全管理制度覆盖的是通用场景。但在此之前,已有多个部门针对特定类型数据(如基因数据、地理信息数据等)的出境作了专门规定,一些国际合作机制也涉及到特定的数据出境场景(如国际刑事司法合作)。负面清单的制定不能与之冲突,若其他政策和管理制度对数据出境有规定的,从其规定。如遇国家行业主管部门相关政策规定发生变化,负面清单内容与其不一致的,从其规定。
二是与其他数据的关系。负面清单列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。向境外提供负面清单外的数据无须申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。这里的“无须申报”指的是不受我国数据跨境流动安全管理制度的规范,并不是指不受限制地自由流动,因其他特殊类型的数据另有管理规定,例如涉及国家秘密的数据、核心数据。故负面清单未将涉及国家秘密的数据、核心数据纳入管理,相关数据出境按照有关法律、法规和规定执行。此外,负面清单遵循《促进和规范数据跨境流动规定》的精神,对《促进和规范数据跨境流动规定》第三、四、五条规定的情况作了豁免。
三是与辖区内各类组织的关系。自贸试验区数据出境负面清单不等于自贸试验区内所有数据出境的负面清单,其目的是在坚守安全底线的前提下促进跨境贸易。故该负面清单只覆盖自贸试验区企业收集、掌握的数据,且无出境可能的数据不在讨论之列。自贸试验区内政府部门本身也在收集、掌握大量数据,这些政务数据不纳入《负面清单》管理。
四是与辖区内产业的关系。自贸试验区数据出境负面清单针对的当然是自贸试验区内的产业,但是否应与之一一对应?这个答案是否定的。负面清单首先应该涵盖自贸试验区内的产业,但应当保持一定的开放性,因为各地的产业结构本身便处在快速调整中。特别是,自贸试验区数据出境负面清单本身负有吸引外资、活跃外向型经济的使命,当然应当为今后新的产业类型留出空间。此外,天津自贸试验区数据出境负面清单有一个独一无二的属性,即天津市启动这项研究时,《促进和规范数据跨境流动规定》尚未制定,故天津自贸试验区数据出境负面清单面向的是所有对外贸易场景,旨在为国家数据跨境流动安全管理制度先行先试,虽然需要反映天津市重点产业,但并不拘泥于一地一区。
二、把握四项原则
一是统筹兼顾。统筹发展和安全,坚守国家数据安全底线,在保障重要数据安全和维护个人信息权益的基础上,促进数据资源有序流动和开发利用,推动数字经济和数字贸易高质量发展。
二是便捷合规。发挥天津自贸试验区先行先试政策优势,研究建立依法有序的数据跨境流动管理模式,探索形成数据跨境流动的便利化管理机制。
三是简明实用。按照数据出境安全评估、个人信息出境标准合同、个人信息保护认证等国家数据出境管理制度要求,结合天津自贸试验区企业、机构数据出境的实际需求,制定可操作、可落地的负面清单,便于企业掌握和执行。
四是动态调整。根据国家数据安全形势和天津自贸试验区企业主体、数据出境场景等变化,动态调整负面清单内容,实现保障安全与促进发展相统一。
三、几点特殊考虑
负面清单的制定与重要数据的识别强关联。而后者自从在2021年由《数据安全法》提出后,历经三年仍在由各个部门、地区探索识别规则,显示出该问题的复杂性。天津自贸试验区数据出境负面清单在制定时,对三类重大问题进行了审慎研究,从而确立了负面清单的基本框架。
一是,为什么不完全按照产业类别划分?
重要数据本身是数据分类分级制度中的一个级别,但在对重要数据的任何标识方法中,均不得不对重要数据进行分类(这不是“分类分级”制度中的“分类”),否则无法展开。但按照传统思路,人们一般倾向于按照产业类别对重要数据进行分类,这便于企业“对号入座”。
但从实践看,这样做也有着明显的弊端。首先,产业分类很难穷尽,必然会挂一漏万;其次,产业分类交叉严重,特别是在互联网服务领域;第三,产业分类与数据重要性没有必然联系,重要数据之所以重要,不是由其所在的行业决定的,而在于其对国家安全、公共利益等产生的后果,故按照产业进行分类没有必要。
最终,天津自贸试验区数据出境负面清单采取的是后果分类法,即按照数据一旦被泄露、篡改、破坏、滥用后对国家安全、公共利益等产生的后果进行分类,这与国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》的思路是一致的。
二是,为什么不以清单式列明企业的具体数据?
人们对“穷尽式”的另一期望是,可否通过对自贸辖区内所有企业的调研,把每一家企业中符合条件的数据列到负面清单上去?这是一个美好的愿望,现实做不到。原因有三:首先,企业的数据分类本来就各不一致,不可能强求按照一个标准;其次,按照这一思路,列到负面清单上的不仅仅是企业的数据类型,还需包括具体的处理场景、处理目的等多维指标,这一清单将变得极为复杂而不可用;第三,更重要的是,目前世界上没有一个以列举式给出国家安全明确边界的案例,这是国家安全工作的特性决定的。
为此,天津自贸试验区数据出境负面清单采取的做法是对重要数据的特征进行描述,辅以举例以便于理解。如前所述,特征描述侧重于数据一旦被泄露、篡改、破坏、滥用后的后果,颗粒度较细,已经充分考虑了可操作性,不会带来概念的模糊和理解的二义性。
三是,如何处理保密与公开的关系?
负面清单的制定过程中,有个别观点认为一旦标明对重要数据的关切点,就会为国外攻击破坏我重要数据指明方向。实际上,这种观点不但难以真正保护数据,而且与我国的开放国策背道而驰。数据跨境流动安全管理面对的是社会领域,需要按照打造法治政府的要求依法行政。负面清单不是公开数据的内容,而是列明哪些数据需要保护。这恰恰是突出了保护重点,否则会陷于“什么都要保护,什么都保护不了”的怪圈。
四、主要内容
天津自贸试验区数据出境负面清单聚焦解决自贸企业数据出境实际需求,围绕生物医药、服务外包、金融、互联网平台、汽车、集成电路、气象、国际贸易等自贸试验区8大重点领域产业发展和监管需要,将企业出境数据分为战略物资和大宗商品类、自然资源和环境类、工业类、金融类、统计类、通信传播类、住房建设类、交通运输类、公共卫生类、公共安全类、互联网服务和电子商务类、科学技术类和个人信息等13个大类46个子类,每一类均对数据基本特征作出详细描述,使企业易于理解、便于操作。例如,自贸试验区内企业在经营过程中产生的涉及石油、石化、天然气类的数据,只有影响敏感政治外交事项的,如与相关国家的开采运输等国际合作情况、与相关国家或者组织的国际贸易情况等才需要申报数据出境安全评估。
天津自贸试验区数据出境负面清单系列解读之三:自贸试验区制定负面清单的政策空间
自贸试验区数据出境负面清单制度是我国的创举,其实施范围很明确——适用于自贸试验区,且由各个自贸试验区自行制定,按程序报批后实施。但既然负面清单是数据跨境流动安全管理的基础制度,那为什么不由国家统一规定而由各自贸试验区自己制定呢?另一个与之相关的问题是,自贸试验区之外的组织向外传输数据,没有负面清单怎么办?
这些问题涉及到了自贸试验区的自身定位和国家数据跨境流动安全管理制度的顶层设计考虑。由此推之,还会引出一个更加深刻而现实的问题:自贸试验区制定数据出境负面清单的政策空间有多大?这是自贸试验区开展这项工作的核心问题,也关系自贸试验区制定数据出境负面清单遵循什么样的方法学。
一、自贸试验区有何特殊性?
我国的自贸试验区脱胎于国际上通行的自由贸易区(Free Trade Zone,简称FTZ),后者是指在贸易和投资等方面比世贸组织有关规定更加优惠的贸易安排,在主权国家或地区的境内,海关辟出一个专门区域的准许外国商品豁免关税自由进出。同时,大部分出口的企业入驻,可以享受通关便捷,享受出口加工区特有的各种优惠政策。我国的自贸试验区多了“试验”两个字(全名为自由贸易试验区),强调了自贸试验区核心功能是制度创新,以进行深化改革和不断扩大开放的风险测试、压力测试。其目的是通过制度创新,加快商品、服务、人才、资本、信息等便利自由流动,从要素的开放上升到国际贸易投资规则的开放。
自贸试验区是新时期我国在探索投资、贸易、金融、外商投资服务和管理等方面,不断进行制度创新和扩大开放的高地。这一制度是以习近平同志为核心的党中央在新时代推进改革开放的重要战略举措,在我国改革开放进程中具有里程碑意义。从国际形势看,自贸试验区建设是主动适应经济全球化调整、推动加入高标准经贸协定的积极作为。2008年国际金融危机发生以后,经济全球化进入阶段性调整期,国际高标准经贸规则加速演变,谈判涉及议题从进出口关税、外商投资准入等边境措施不断向政府采购、国有企业、劳工、知识产权保护、环境保护、竞争政策等“边境后议题”延伸。为此,有必要通过自贸试验区充分发挥先行先试的优势,在相关领域进行压力测试,为参与和引领国际规则制定积累经验。从国内要求看,自贸试验区建设是全面深化改革开放、推动高质量发展的重要举措。党的十八大以来,我国经济发展进入新常态,经济发展的模式、动力、方式都在发生深刻变化,全面深化改革和扩大开放的任务更加艰巨。有必要在自贸试验区积极开展对比试验、互补试验,推动改革开放在重点领域、关键环节取得重大突破,努力形成有利于培育新的比较优势和竞争优势的制度安排,加快集聚优质要素资源、畅通经济循环,推动高质量发展。
自2013年9月我国批准设立第一个自贸试验区——上海自贸试验区开始,目前我国已经批准了22个自贸试验区。
党的二十大报告提出“实施自由贸易试验区提升战略”,明确了自贸试验区在我国改革开放全局中的重要定位,对新征程上自贸试验区建设工作提出了新的更高要求。自贸试验区服务加快构建新发展格局、着力推动高质量发展的主题主线更加清晰,其必然要在全面深化改革、推动高水平开放、引领高质量发展中发挥更大作用,为实现中国式现代化贡献更大力量。
二、授权自贸试验区制定数据出境负面清单的特殊意义
从自贸试验区定位看,其承担数据跨境流动安全管理制度先行先试职责实属天经地义,也是历史赋予的光荣使命。首先,其本身就有制度创新的核心职能;其次,数据跨境流动是跨境贸易的基础,天然属于国际贸易领域,自贸试验区对此责无旁贷。
正因为如此,我国很早便对自贸试验区探索数据跨境流动安全管理制度作出了安排。
2020年6月,新华社报道,中共中央、国务院印发了《海南自由贸易港建设总体方案》。方案提出,在确保数据流动安全可控的前提下,扩大数据领域开放,创新安全制度设计,实现数据充分汇聚,培育发展数字经济;在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制。
2020年8月,商务部印发了《全面深化服务贸易创新发展试点总体方案》(商服贸发〔2020〕165号)。方案要求,在条件相对较好的试点地区开展数据跨境传输安全管理试点。具体是,探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。支持试点地区聚焦集成电路、人工智能、工业互联网、生物医药、总部经济等重点领域,试点开展数据跨境流动安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。鼓励有关试点地区参与数字规则国际合作,加大对数据的保护力度。
2021年9月,中共中央、国务院印发了《横琴粤澳深度合作区建设总体方案》。方案要求,在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,研究建设固网接入国际互联网的绿色通道,探索形成既能便利数据流动又能保障安全的机制。
2022年,随着《网络安全法》《数据安全法》和《个人信息保护法》相继实施,以及《数据出境安全评估办法》等细则的发布,我国正式开始了对数据跨境流动活动的管理。但在实践中,也逐步显现出了一些需要进一步解决的新问题。为此,如何优化已有政策,成为数据跨境流动安全管理制度的焦点。
李强总理2023年7月26日至27日在上海调研自贸试验区建设时强调,数据跨境流动和管理是当前各方都十分关切的问题,要探索构建跨境数据管理新模式。
2023年8月21日,国务院以“加快发展数字经济,促进数字经济与实体经济深度融合”为主题进行专题学习。李强总理发言指出,要积极探索跨境数据管理新模式,主动参与数字经济国际合作。
2023年8月,国务院印发了《关于进一步优化外商投资环境加大吸引外商投资力度的意见》(国发〔2023〕11号),要求探索便利化的数据跨境流动安全管理机制,落实网络安全法、数据安全法、个人信息保护法等要求,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。
2024年2月,国务院办公厅印发了《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》的通知(国办发〔2024〕9号),要求健全数据跨境流动规则:科学界定重要数据的范围。全面深入参与世界贸易组织电子商务谈判,推动加快构建全球数字贸易规则。探索与《数字经济伙伴关系协定》成员方开展数据跨境流动试点,加快与主要经贸伙伴国家和地区建立数据跨境流动合作机制,推动构建多层次全球数字合作伙伴关系网络。
作为对以上一系列要求的回应,2024年3月,国家网信办发布了《促进和规范数据跨境流动规定》,对我国数据跨境流动安全管理制度作了重大调整和优化,并在第六条授权各自贸试验区自行制定数据出境负面清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
《促进和规范数据跨境流动规定》作上述要求,实际上是在已经对数据跨境流动安全管理作出重大探索的背景下,要求自贸试验区发挥政策先行先试优势,在特定问题上作进一步探索。
三、自贸试验区所获授权的实质
《促进和规范数据跨境流动规定》的确为自贸试验区“自行”制定数据出境负面清单作了授权,但这个授权不是无边界的。一些人认为,自贸试验区可以任意制定负面清单的内容,即任意规定哪些数据需要通过申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证进行出境。有的人甚至认为,《促进和规范数据跨境流动规定》虽然通过第七、八条规定了申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证进行出境的条件,但却同时又对自贸试验区的数据出境负面清单作了豁免,即自贸试验区制定的数据出境条件可以与《促进和规范数据跨境流动规定》及其他有关规定不一致。
这种认识是不正确的,《促进和规范数据跨境流动规定》对自贸试验区的授权必然是有边界的,自贸试验区只能在有限的政策空间内作探索。那么这个政策空间如何确定呢?这需要回到政策初衷去理解。
《促进和规范数据跨境流动规定》之所以对自贸试验区作授权,原因在于两点:
一是政策本身还有不清晰、不确定的地方,需要自贸试验区先行先试。否则,已经确定的为什么要你试呢?那么,哪些政策不清晰、不确定?《促进和规范数据跨境流动规定》已经明确了需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的条件,在这个问题上并没有争议,对批量个人信息的阈值也规定得很细致,这里面没有政策空间,也不必要有政策空间。但再向下一级则出现了挑战——重要数据需要申报数据出境安全评估,但企业掌握的哪些属于重要数据尚无定论。鉴于我国数据跨境流动安全管理制度的政策目标首要是维护国家安全,故重要数据识别难已经成为一个基础性和全局性问题,严重制约了数据跨境流动安全管理制度的落地。这是最大的不清晰、不确定所在,故自贸试验区数据出境负面清单首先要解决本辖区企业的重要数据识别问题。这应当是负面清单的主体。
二是自贸试验区有些特殊的业务场景,需要对此场景下的数据出境进一步便利化。那么这个问题便转化为,什么是特殊业务场景?是否构成特例?如果这种情况不存在,自贸试验区便不应当另起炉灶。
以上才是自贸试验区数据出境负面清单的政策空间。《促进和规范数据跨境流动规定》第六条有一个重要的限定词不可忽视:在国家数据分类分级保护制度框架下。这实际上是阐明了负面清单和重要数据的关系。
天津自贸试验区数据出境负面清单系列解读之四:负面清单的使用及未来展望
天津自贸试验区是我国北方第一个自贸试验区,被国家定位为京津冀协同发展高水平对外开放平台、全国改革开放先行区和制度创新试验田、面向世界的高水平自由贸易园区。自2015年4月挂牌运行以来,已累计实施600余项制度创新举措。天津自贸试验区数据出境负面清单的发布又一次创造了“首次”,与前期经国家数据安全工作协调机制审核备案印发的《中国(天津)自由贸易试验区企业数据分类分级标准规范》形成了全国自贸试验区“双首个”数据跨境政策优势。下一步,建议抓好以下几项工作。
一是加强宣介。
数据出境固然是个热点话题,但主要停留在学术界、律师界、大型跨国企业热切讨论的层面。经调研了解到,即使在自贸试验区内,很多企业对相关规定并不了解,或认为与己无关。因此,再科学完善的制度设计——即使其对企业有益,也还需要长期、细致的宣介。制定负面清单只是第一步,后续有必要开展一系列宣传解读工作,增强企业合规意识,切实使负面清单发挥作用。
二是打造服务体系。
所有企业在生产经营过程中都会产生各式各样的数据,这意味着数据议题有广泛渗透性。但与之相对的是,数据安全专业性很强,多数企业缺少数据保护和数据合规专业知识。即使企业愿意主动了解政策,有时也很难把握其中的细节。为此,有必要在政府推动下打造面向中小微企业的数据出境第三方社会服务体系,以合理价格、集约方式为自贸试验区内企业提供数据分类分级、数据安全风险评估、数据出境安全评估咨询、数据安全认证咨询等服务,为企业减轻合规压力。
三是建立企业主动声明和政府部门通知双结合的机制。
天津自贸试验区数据出境负面清单发布后,可能会存在几种情况:企业不了解,对此置之不理;企业吃不准自己是否掌握清单上的数据;企业对照后认为自己不掌握清单上的数据;企业对照后认为自己掌握清单上的数据。此外,即使企业作出了初步判断,还可能存在判断出错的情况。
为此,建议建立企业主动声明和政府部门通知双结合的机制。由企业自行对是否掌握清单上数据作出声明,政府定期组织抽查。凡与声明不符且有违法数据出境行为的,根据《网络安全》《数据安全法》《个人信息保护法》相关条款责令改正乃至进行处罚。但处罚不是目的,政府在其间要做好对企业的辅导和服务,通过设立热线电话等对企业诉求及时回应,引导企业提升合规水平。此外,数据处理者应当按照相关规定识别、申报重要数据。相关部门、地区认为企业掌握重要数据、应当申报出境安全评估的,及时联系企业进行告知。。
四是以负面清单为契机,加大对外贸易支持力度,打造北方数据港。
数据跨境高效便捷流动是跨国公司经营业务和实施管理的基础,企业希望在一个政策透明度高、可预期性强以及具备服务精神和法治意识的地方开展业务,科学的数据出境负面清单显然已经构成评判一个地方营商环境优劣的重要指标。下一步,建议天津市利用好先发优势,扎实推进负面清单发布后的各项工作,创建市场化、法治化、国际化一流营商环境,吸引更多外向型企业、跨国公司来津落地发展,打造北方数据港,为天津经济高质量发展注入强大动能。
天津自贸试验区数据出境负面清单系列解读之五:澄清对负面清单的几个认识
国内第一份自贸试验区数据出境负面清单已由天津市发布,这将开创我国跨境数据流动安全管理的新局面,为优化营商环境、促进对外贸易、支持企业“走出去”作出积极贡献。与此同时,也有更多的自贸试验区已行动起来,抓紧制定本自贸试验区的数据出境负面清单。这项制度是2024年3月22日发布的国家网信办文件《促进和规范数据跨境流动规定》刚刚正式提出的,总体还处在探索阶段,尚需一定时间深入研究制度的性质和规律。基于前期参与天津市相关工作积累的经验,这里提出几个观点供讨论,目的是澄清近期对负面清单的几个模糊认识。
一是,自贸试验区数据出境负面清单是必经环节,不是例外环节。
自贸试验区的确因“自由贸易”“试验区”而体现出一定的特殊性。故一些人认为,自贸试验区数据出境负面清单是国家给予自贸试验区的特殊政策,是正常的数据跨境流动安全管理流程之外为自贸试验区留出的特殊空间。
这个问题的关键在于如何理解“负面清单”。该词产生于外经贸领域,故而天然容易被理解为是自贸试验区“专属”。但本质上,数据出境负面清单不是一种面向自贸试验区的特殊设计,其定义是“需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单”。无论有没有自贸试验区,难道不应该制定这份清单吗?否则数据跨境流动安全管理管什么?目前,需要纳入个人信息出境标准合同、个人信息保护认证管理范围的数据清单已经明确,《促进和规范数据跨境流动规定》给出了个人信息数量的具体阈值,但需要纳入数据出境安全评估的重要数据的识别标准还不明确(已发布的国家标准仅为原则性规定),这则需要各地区、各行业给出细则。如果没有自贸试验区的负面清单,这项工作也是要做的,事实上各行业的主管监管部门早就已经在制定各自的重要数据识别标准规范了。只是相关工作进展较慢,且需研究解决的问题比较多,故优先安排在自贸试验区这种外向型企业聚集、数据处理场景相对具体和有限的区域先行探索。本质上,“负面清单”是任何地区、任何行业在管理数据跨境流通时都需要的。
二是,自贸试验区数据出境负面清单是规定动作,不是自选动作。
《促进和规范数据跨境流动规定》第七条列出了应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估的条件;第八条列出了应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。按理说,从可操作性上看这已经讲得比较明确了。
但凡事皆有例外,为了促进数据跨境流动,有必要对一些特定的数据出境活动进行豁免,以在严守安全底线的前提下减轻数据处理者的压力。故《促进和规范数据跨境流动规定》在第七、八条的描述中还对第三、四、五条作了豁免。这个逻辑是很清晰的。
但问题是,《促进和规范数据跨境流动规定》第七、八条同时也对第六条作了豁免。而第六条,恰恰是规定了自贸试验区数据出境负面清单制度。这自然会给人一种印象,自贸试验区制定数据出境负面清单时,不用遵循《促进和规范数据跨境流动规定》列出的“需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围”条件。即自贸试验区不需要有规定动作,全部自选即可。
这种认识值得商榷,需要从两个角度去分析。
首先,自贸试验区完全采取自选动作有没有必要?《促进和规范数据跨境流动规定》第八条列出的个人信息数量阈值在自贸试验区需要变更吗?为什么要变更?自贸试验区在这方面有特殊性吗?
其次,《促进和规范数据跨境流动规定》第六条与第三、四、五条的性质一样吗?第三、四、五条是特定数据出境场景,当然可以作为例外。但第六条是“先行先试”,不是特定例外场景,怎么可能整体“豁免”呢?即,自贸试验区负面清单中有可能存在一些特殊的场景需要豁免,但不能认为整个负面清单可以豁免。
而且,自贸试验区要通过负面清单确定应当纳入评估的重要数据清单,这是一种清晰化过程,而不是豁免过程,是在一个大范围的、相对模糊的集合中划出一个小的、具体的子集,而非在这个集合之外另外划出一个新的集合,这显然不能解释为“豁免”。
三是,自贸试验区数据出境负面清单是场景数据,不是静态数据。
如前所述,自贸试验区在制定数据出境负面清单时,依然应当遵循上位法及《促进和规范数据跨境流动规定》设定的应当纳入监管的条件,且负面清单是存在与是否自贸试验区没有必然关系。
但这不意味着自贸试验区便无所作为。作为我国加快改革开放的特殊安排,自贸试验区先行制定数据出境负面清单有着特殊意义,也有着灵活的空间。
这种灵活空间首先体现为自贸试验区要根据本辖区企业的实际情况明确重要数据的具体识别规则和清单,此处不再赘述。
其次体现为自贸试验区存在着一些涉及对外贸易的特定数据处理场景,这些场景可能超出了上位法和国家有关政策规定最初设计时的考虑范围,需要进行单独规定。例如,自贸试验区内有的制药企业需要到国外办理批文,外国政府机关这时会要求企业提交临床试验数据(一般为敏感个人信息)。这种临床试验数据涉及的人数一般较少,远达不到需要进行出境评估的阈值,但这时候不可能要求要求外国政府机关与国内药企签署经我国审定的标准合同,更不可能由国内认证机构出国去对外国政府机关进行个人信息保护认证。那么这不就堵死药企数据出境的道路了吗?恰恰这个时候,自贸试验区数据出境负面清单可以大有作为,例如规定此种场景下的数据应当经过评估后方可出境。
故而,自贸试验区数据出境负面清单所列数据应与数据处理场景(特别是数据接收方和数据跨境流动目的)密切相关,必要时需要对特定的数据处理场景作出特殊安排,不能脱离场景去简单列举数据内容,否则便浪费了国家给自贸试验区的授权。
四是,自贸试验区数据出境负面清单是结果数据,不是过程数据。
众所周知,数据在流动过程中可能会频繁发生变化,甚至经处理后变为新的不同的数据。那么,在数据跨境流动安全管理过程中,以数据的何种状态作为被监管对象呢?
这个问题似乎是毫无争议的,当然应当以最终出境的数据为监管对象,数据在出境之前无论做何种处理,都与数据出境的决定无关。
但在实践中,前些年一些自贸试验区受到数据安全企业或科研机构的影响,将试点的精力放到了数据处理上去。即,通过对数据作预处理,使数据在满足使用方(在出境场景下即指境外接收方)需求的前提下尽可能降低原始数据被传输的可能性,从而最大限度减轻数据安全风险。这样做当然是有益的,但必须指出,这属于数据要素流通领域的问题,可以用作数据跨境流动的解决方案,但并不能决定数据最终是否允许出境以及通过何种方式出境,因为出境的根本就不是处理之前的数据。
为此,要避免混淆出境前的待处理数据与最终实际出境的数据。就负面清单而言,没有必要引入出境前数据的预处理状态,这只会认为增加问题的复杂性,而对于主管部门作出监管决定没有帮助。
五是,自贸试验区数据出境负面清单是类型数据,不是目录数据。
“清单”和“目录”是两个相近但容易混淆的词汇。至少对数据安全而言,由于《数据安全法》已要求各地区、各部门制定重要数据目录并按程序上报,故所谓的数据目录必然是具体的,即涉及数据处理者、数据量、数据内容、数据使用目的、数据存储地、数据来源、数据流动方式、数据安全保护措施等。
那么,负面数据清单能否列到这样详细呢?或者说,可否至少把数据处理者、数据内容列清呢?
这当然很好,可便于企业“按图索骥”,使企业清楚知道自己收集掌握的数据是否位于负面清单上。
但在实践中,这样做并不可行,至少在现阶段无法实现。从全球范围看,清单在任何时候都是描述某类对象的共性特征,而不是给出产品列表,否则连动态性都不能应对,管理成本过高。所以自贸试验区数据出境负面清单只能分门别类给出重要数据的识别规则,以及特定场景下的数据特征。待经过一段时间的试行后,不排除可以尝试给出每家企业应当纳入出境监管的数据目录,但现阶段还不能作出结论,不必将制定目录作为负面清单相关工作的重点。
作者|中国科学技术大学 左晓栋
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。