今天和大家分享的是北京德恒律师事务所王一楠律师和全婉晴律师的分析文章。
一、背景概述
(一)数据出境安全管理制度的建立和实践
数据跨境流动作为一项重要的数据处理活动,长期以来受到各国立法和监管部门的高度关注。在2016年至2021年期间,我国陆续颁布网络和数据安全法律体系的“三大基本法”——《网络安全法》《数据安全法》《个人信息保护法》为数据出境安全管理制度搭建了整体框架。这三部法律明确规定企业在特定条件下向境外提供数据时需要在以下“三条路径”中择一:数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证(统称“数据出境事前监管程序”)。
为落实上述框架性规定,国家互联网信息办公室(“国家网信办”)于2022年至2023年期间相继发布《数据出境安全评估办法》和《个人信息出境标准合同办法》,并与国家市场监督管理总局联合公布《关于实施个人信息保护认证的公告》,初步完成了我国数据出境安全管理制度的基础性建设。随后,全国各地陆续开展安全评估申报和标准合同备案等工作,为制度的持续完善积累了丰富的实践经验。
(二)数据跨境流动清单管理制度的出台
在前期工作实践基础上,国家持续探索构建跨境数据管理的创新模式。其中一项重要举措是在自由贸易试验区引入“数据清单”制度。2023年8月13日,国务院发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》(“外资意见”),明确“支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。”
2024年3月22日,国家网信办公布《促进和规范数据跨境流动规定》(“数据跨境新规”)。该规定第六条明确赋予自由贸易试验区在遵循国家数据分类分级保护制度框架下的制度创新空间,允许其“自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单……自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
随后,四个自由贸易试验区相继出台了数据跨境流动清单。具体发布情况如下表:
发布日期 | 发布机构 | 清单名称 |
5月9日 | 中国(天津)自由贸易试验区管理委员会、天津市商务局 | 《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(“天津清单”) |
5月16日 | 中国(上海)自由贸易试验区临港新片区管理委员会 | 《中国(上海)自由贸易试验区临港新片区公募基金、生物医药、智能网联汽车领域数据跨境场景化一般数据清单(试行)》(“上海清单”) |
8月26日 | 福建平潭综合实验区自贸试验与深化改革办公室 | 《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》(“福建清单”) |
8月30日 | 北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局 | 《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(“北京清单”) |
上述清单的发布标志着我国自贸区数据跨境流动清单管理制度的探索正式启动。本文先从清单管理制度整体设计入手,然后对津沪闽京四地清单进行比较分析,最后提出数据跨境流动清单管理制度的完善建议。
二、清单管理制度设计
(一)清单管理制度的作用
我国现行数据出境安全管理制度主要围绕关键信息基础设施运营者、重要数据、个人信息三个核心要素构建。具体而言,判断企业向境外提供数据是否需要履行数据出境事前监管程序,主要从以下三个维度入手:
处理者是否构成关键信息基础设施运营者,
出境数据是否构成重要数据,
出境数据是否构成个人信息(或敏感个人信息)且其规模是否达到法定标准。
在实践中,企业在数据出境自评估过程中面临的主要挑战是准确判断其拟出境数据的具体类型,尤其是重要数据的识别。鉴于国家层面的数据分类分级保护制度和重要数据识别规则尚在制定过程中,现阶段通过清单方式明确界定数据类型将对企业数据出境合规工作提供重要指引。
(一)清单管理制度的由来
清单管理通常采用两种模式:一种是正面清单(或白名单),列举允许和鼓励的项目;另外一种是负面清单(或黑名单),列举禁止和限制的项目。这种管理模式最早应用于我国的外商投资准入机制。1995年《指导外商投资方向暂行规定》及配套的《外商投资产业指导目录》初步确立了我国外资准入清单管理制度的基本框架。经过近三十年的发展完善,该制度逐步形成了以《外商投资准入特别管理措施(负面清单)》和《自由贸易试验区外商投资准入特别管理措施(负面清单)》为代表的“负面清单”体系,以及以《鼓励外商投资产业目录》为代表的“正面清单”体系。
将清单管理制度引入数据跨境流动安全管理领域,其制度设计理念和功能与外资准入领域基本一致:在开放与安全之间寻求科学平衡点,既促进经济发展和国际合作,又确保国家安全和核心利益;通过明确规定提高政策透明度,降低不确定性,便于企业规划其投资或数据处理活动;在特定区域先行先试,待经验成熟后推广至全国。
(二)清单的分类和比较
本文讨论的四个自贸区数据清单分为“正面清单”和“负面清单”两类:
正面清单:上海清单和福建清单采用“一般数据清单”的表述,即《外资意见》中提及的“可自由流动的一般数据清单”。清单内数据可以免于履行数据出境事前监管行政手续,实现自由流动
负面清单:天津清单和北京清单直接采用“负面清单”表述,即《数据跨境新规》中规定的“纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单”。清单内数据需要履行数据出境事前监管程序。
从制度设计角度而言,正面清单和负面清单两种模式均有助于提升政策透明度和合规确定性。企业可将拟出境数据与清单进行对照,从而确定具体的合规路径:列入"正面清单"的数据可以自由跨境流动;列入“负面清单”的数据则需履行数据出境事前监管程序。然而,任何清单的覆盖范围都存在一定局限性,因此清单之外数据的监管定性是考验制度设计完整性的关键。
就清单外数据的处理而言,天津和北京采用的负面清单模式明确规定:未列入负面清单的数据可免予履行数据出境事前监管程序,实现自由流动。相比之下,上海清单对此未作明确规定,而福建清单第4条则要求正面清单外的数据需直接适用现行数据跨境相关法规。可见,这表明在正面清单模式下,清单外数据仍需依据现行法规重新进行合规判断,这种做法在确定性方面弱于负面清单模式监管程序。
从实务操作角度分析,考虑到现代产业中的数据类别和字段的庞杂性,通过正面清单穷尽列举所有可自由流动的数据存在较大困难。此外,负面清单模式与当前数据出境安全管理制度秉持的“法无禁止即自由”的原则更为契合。因此,虽然"正面清单"可在特定重点领域为企业提供便利的的“绿色通道”,但从长期制度建设的角度来看,负面清单模式具有更显著的制度优势。
三、四地清单的比较分析
(一)主体适用与操作流程
1.适用主体界定
在适用主体条件方面,上海、福建、北京三地清单均明确要求满足区内“登记注册”和“开展数据跨境流动活动”两个基本条件。其中,福建和北京将这两个条件设定为并列关系,而上海清单则采用选择关系,体现出更为灵活的主体准入标准。相比之下,天津清单仅笼统规定适用于“天津自贸区试验区企业”。四地清单均未对以下问题做出明确规定:分支机构是否属于适用主体范围、注册时间是否设有最低要求、实际经营地是否位于区内等。
2.操作流程设计
(1)正面清单
上海和福建清单均要求企业在数据跨境流动前履行备案程序。上海清单采用“登记备案”机制,福建清单要求“通过风险评估备案”。
(2)负面清单
北京清单通过《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(“北京清单管理办法”)及其配套《北京市数据跨境流动便利化服务指南(2024版)》(“服务指南”)建立了较为完备的操作流程体系,主要包括:提交申请、提交备案、合规出境。结合《服务指南》中的实施指南和服务流程图,我们理解企业在完成备案审核之后,如果出境数据在负面清单外则可自由流动,反之则仍需要履行事前监管程序。根据实践案例,2024年9月11日,拜耳医药保健有限公司和三星(中国)投资有限公司作为首批企业完成了北京清单的备案审核程序。基于审核程序的耗时推断,其数据内容应不在负面清单范围内。
(二)清单内容分析
1.聚焦领域
除天津清单采用全覆盖模式外,其他三地清单均立足区域产业优势,聚焦重点发展领域:上海清单重点关注:智能网联汽车、公募基金、生物医药;福建清单着重发展:跨境旅游、跨境电商、跨境直播、国际航运;北京清单重点布局:汽车、医药、民航、零售与现代服务业、人工智能训练数据。
2.结构设计特点
(1)正面清单
上海和福建两地正面清单采用相似的层级结构:领域-场景-数据类别-典型示例,并附加传输要求说明。以上海清单公募基金领域为例,其下设“市场研究”和“内部管理”两个场景,在“市场研究”场景下,“数据类别”下列产业研究报告,“对应典型示例和说明”是与报告相关数据(如产业名称、分析),“传输要求”中明确将证券价值分析和市场走势数据排除。
(2)负面清单
天津和北京的负面清单在结构设计上既有联系也有显著区别。
天津清单采用“地毯式”覆盖策略:不限定特定领域,设置13个数据类别,包括45个数据子类,配备相应的数据基本特征与描述、备注。
北京清单则采用更为精细的结构设计,结合了正面清单的场景分类思路和天津清单的基本格式。在内容方面,北京清单与之前三个清单区别均较大,虽与天津清单同为负面清单,但因其聚焦较少具体领域,所以更加详细。而且,北京清单的数据类别含义不同于之前所有清单,而分为重要数据和个人信息两个大类。特别值得注意的是,《北京清单管理办法》附件《中国(北京)自由贸易试验区数据分类分级参考规则》继承和发展了《中国(天津)自由贸易试验区企业数据分类分级标准规范》第七(一)条"统一识别规则",并结合天津清单的内容要素。这点具体体现在如下几个方面:(a)分类体系的差异,例如北京清单在一级类别中单独设置国防科技工业类;而天津清单将国防工业数据纳入工业类范畴;(b)颗粒度的区别,例如北京清单对地理信息数据等进行更细致的划分,提供更多专题性的数据分类,而天津清单相对较简洁;(c)制度设计逻辑,天津的参考规则承担全行业、全领域的重要数据识别基准作用,北京清单则在此基础上针对重点领域进行更精细的刻画,通过“点面结合”,为企业提供更清晰的合规指引。
(三)各地清单特色分析
1.天津清单
天津清单作为《促进和规范数据跨境流动规定》实施以来首个获省级网信部门批准并经国家相关部门备案的自贸试验区数据出境负面清单,具有重要的示范意义。然而,其在数据描述的精确度方面仍有提升空间,部分描述过于原则性或结果导向,很多内容借鉴了《信息安全技术 重要数据识别指南》中的“重要数据识别因素”。
2. 上海清单
上海清单的制度设计体现出渐进式改革思路,通过正面清单积累实践经验,为后续负面清单的制定奠定基础。其在具体规则设计上注重解决实践问题。例如,外资汽车企业在业务过程中需要将车辆产品的VIN号(车辆识别号码Vehicle Identification Number)向境外总部传输。在前期数据出境实践中,有些地方监管部门一刀切地按照将该类数据直接归为个人信息。而上海清单对VIN号采取差异化处理方式,明确只有在与具体个人建立关联后才构成个人信息,这样更符合个人信息认定的基本原理。
3. 福建清单
福建清单以其广泛的覆盖范围和详细的示例说明为特色,涵盖4大领域、15个场景、111个数据类别及1400多个具体的示例和说明。清单还详细解释了几个重要概念的含义,如“在境内运营中收集和产生的数据”和“一般数据”。但在个人信息处理方面存在一定矛盾,部分数据类别难以同时满足业务需求和个人信息保护要求。例如,传输要求中虽明确“在本场景中数据应无法直接或间接识别到个人”,但典型示例和说明中很多字段天然具有个人信息的特性,且所处场景也要求识别到个人,如导游的联系方式、法定代表人、船长信息、直播者编号和昵称等。
4. 北京清单
北京清单的一个显著特征是针对不同应用场景采用了差异化的个人信息数量阈值管理机制。例如,在民航业领域,将阈值上调到原有标准的五倍至十倍不等;而在医疗行业,将阈值进行下调。这种差异化管理机制使得区内企业适用的数据出境监管标准与区外企业形成明显区别。举例而言,当某民航企业在客户服务场景下需要向境外传输200万条个人信息时,若其位于北京自贸区,仅需履行相对简化的标准合同备案或认证程序;而区外企业则要必须进行更为严格的安全评估。显然,较高的阈值为区内企业提供了数据出境便利。相对而言,区内医疗企业可能因较低的阈值面临更严格监管要求(不过实践表明,此类企业在相关场景下的实际数据出境需求可能通常低于清单阈值)。
以下是现行法规中的个人信息数量阈值与北京清单相关规定的对比:
领域 | 场景 | 安全评估 | 标准合同备案或认证 |
现行法规 | |||
全领域 | 全场景 | 100万以上; 1万以上(敏感个人信息) | 10万-100万; 1万以下(敏感个人信息) |
北京清单 | |||
汽车 | 全场景 | 同上 | 同上 |
医疗 | 临床试验、药物研发 | 5万以上 受试者个人基本资料、诊疗和健康生理信息 | 1万-5万 受试者个人基本资料、诊疗和健康生理信息 |
药物警戒、产品投诉、医学问询 | 10万以上 患者个人基本资料、诊疗 和健康生理信息 | 1万-10万 患者个人基本资料、诊疗 和健康生理信息 | |
临床试验、药物研发、医疗卫生专业人士管理、药物警戒、产品投诉、医学问询 | 20万人以上 医疗卫生专业人士、临床试验研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的个人信息 10万人以上(上述人士的敏感个人信息) | 1万-20万 医疗卫生专业人士、临床试验研究者、以及非患者的不良反应报告人、产品投诉人、医学问询人的个人信息 1万-10万(上述人士的敏感个人信息) | |
民航业 | 客户服务 | 500万以上; 10万以上(敏感个人信息) | 50万-500万; 10万以下(敏感个人信息) |
零售与现代服务业 | 会员管理 | 500万以上; 100万以上(敏感个人信息) | 50万-500万; 10万-100万(敏感个人信息) |
人工智能训练数据 | 模型训练、算法开发、产品测试 | 5万以上(敏感个人信息)音频、图像数据; 10万以上(敏感个人信息)文本数据 | 1万-5万(敏感个人信息)音频、图像数据; 1万-10万(敏感个人信息)文本数据 |
四、制度完善建议
通过对上述四个数据跨境流动清单的比较分析,我们发现各个自由贸易试验区在数据跨境流动清单制度建设过程中,均开展了多维度、全方位的制度创新探索,取得了显著成效。作为一项新型治理机制,数据跨境流动清单管理制度仍处于初期阶段,需要在实践中不断完善。为此,本文提出以下建议。
1. 优化操作流程
目前,除天津清单外,其他三个自贸区清单对于免予履行数据出境事前监管程序的数据出境活动(即正面清单范围内或负面清单范围外的数据)均要求完成区内备案程序,且将其设置为前置程序。以福建清单为例,要求一般数据出境前必须“通过风险评估备案”。这种设计可能削弱清单制度的便利化效应。例如,某企业在跨境旅游推广场景下向境外传输“景区类型、景区级别、门票信息”等基本信息时,若在福建自贸区外可依据现行法规则直接开展,而在区内则需先行完成风险评估和备案程序,这与制度设计初衷似有偏差。
建议参照个人信息出境标准合同备案制度的经验,将一般数据出境的备案程序调整为后置程序,以实现监管手段与风险程度的动态平衡,既确保必要的监管效能,又保障数据流动效率。
2. 加强法规协同
鉴于全国性重要数据目录尚未发布,现行法规采用“未确认重要数据则免评估申报”的过渡性监管方式,有效降低了企业合规负担。然而,自贸区负面清单通过明确重要数据范围,在某些情况下可能会扩大安全评估的适用范围。这种情况可能导致企业规避在自贸区开展数据出境活动,与制度初衷相悖。
建议在全国重要数据目录正式出台前,赋予企业“最惠待遇选择权”,即允许区内企业在现行法规提供更为便利的数据出境路径时,可选择适用区外现行法规。同时,应关注《网络数据安全管理条例》对千万级以上个人信息的特殊要求,在未来清单修订时做好制度衔接。
3. 分阶段推进
我国现有22个自由贸易试验区。津沪闽京四区作为首批试点区域,为其他自贸区的清单制度建设积累了宝贵经验。后续工作任重道远,建议采取以下三阶段推进策略:
(1)短期:采用"正负清单双轨制"。考虑到我国数据分类分级体系尚在完善中,且各行业数据特征差异显著,双轨制有助于积累更多实践经验。可根据区域特点对某些行业采用正面清单,其他领域采用负面清单。
(2)中期:逐步过渡至负面清单制。负面清单不仅符合"法无禁止即可为"原则,也与国际通行做法接轨,更有利于数据要素市场化发展。建议先在部分成熟自贸区开展试点,总结经验后逐步推广。
(3)长期:最终建立统一的国家级负面清单。随着各自贸区清单范围向更多行业领域拓展,建议探索建立清单互认机制,避免制度重复建设。待全国数据分类分级体系完善后,整合形成统一的国家级负面清单,配套相应的实施细则和操作指南。
五、结语
数据跨境流动清单管理制度是我国数据治理体系的重要创新,与数据分类分级保护制度形成良性互动。该制度的实施不仅有助于优化跨境数据流动管理,也为全国重要数据目录的制定提供了实践参考。
随着试点范围的扩大和实践案例的积累,清单制度将在促进数据有序流动、保障数据安全方面发挥更大作用。期待通过持续总结企业反馈和监管经验,不断完善跨境数据治理机制,推动构建更加开放、安全、有序的数据流通环境,为数字经济发展和国际合作提供制度保障。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
