專家解讀┃北京自貿區探索高效便利安全數據跨境流動機制的創新舉措
(原標題:專家解讀┃北京自貿區探索高效便利安全數據跨境流動機制的創新舉措)
落實法律要求,近年國家網信辦先後出臺實施《數據出境安全評估辦法》、《個人信息出境標準合同辦法》、《促進和規範數據跨境流動規定》(以下簡稱《規定》)等政策,構建了我國數據跨境流動管理制度的基本框架。《規定》第6條明確“自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(以下簡稱負面清單)”。8月30日,北京市發佈《中國(北京)自由貿易試驗區數據出境管理清單(負面清單)(2024版)》及其配套的《中國(北京)自由貿易試驗區數據出境負面清單管理辦法(試行)》(以下簡稱《管理辦法》),是我國政府積極探索提升數據安全治理監管能力,建立高效便利安全的數據跨境流動機制的重要舉措,體現了北京市推動高質量發展和高水平安全良性互動的決心。
一、深入分析論證,科學制定負面清單
北京市高度重視數據跨境流動工作,將數據跨境便利化服務改革作爲釋放數據要素價值、推進高水平對外開放、助力數字經濟高質量發展的重要舉措,列入市政府工作報告和多個專項計劃規劃持續推進。《規定》發佈後,北京市積極用好政策紅利,第一時間啓動負面清單及配套管理辦法的研究制定工作,目標是探索建立既能便利數據流動又能保障安全的機制,北京市負面清單的科學性主要體現在以下方面:
一是結合北京自貿區產業實際,按照“急用先行、小步快跑”原則,分行業、分領域、分批次推進編制工作,成熟一批發布一批,不求大而全。負面清單編制是一項涉及行業面廣、數據專業性強的創新性工作,北京市網信辦在清單制定伊始曾組織專題會議研討制定原則,是否需要全行業覆蓋,考慮到《國民經濟行業分類》中涉及行業門類20餘個、大類近百個,各行業的業務場景和涉及數據均存在特異性,想要一步到位制定一份大而全又方便企業使用的負面清單的難度較大,且北京市各自貿組團當前和未來一個時期側重發展的產業範圍較爲穩定,大而全的意義有限,因此確定了分批次、有重點、動態調整的科學路線。
二是充分參考借鑑前期數據出境安全評估、個人信息出境標準合同備案等工作基礎。北京市網信辦綜合梳理已獲批的40餘家企業安全評估案例、150餘家企業標準合同備案案例涉及的汽車、醫藥、民航、零售、人工智能等行業領域數據出境情況,深入研究上述5個行業領域數據出境目的、典型場景、數據類型、數據處理方式、出境個人信息數量及數據保護措施,綜合研判、科學設定個人信息及敏感個人信息量級。
三是便利企業使用,不搞“拍腦袋”創新。目前企業梳理自身的數據出境活動往往都是按業務場景進行劃分,因此使用“企業語言”制定負面清單對企業最爲友好。根據前期工作基礎,負面清單梳理了5個行業的典型數據出境場景和數據項,相較於《規定》在出境人數上進一步適度放寬,但各業務場景放寬的人數各不相同,並沒有搞“一刀切”的閾值劃定,這是因爲各行業的監管要求不同,且通過大量企業調研發現,某個合理的業務當年出境個人信息的規模是較爲穩定的,例如多家外資藥企反饋藥物臨牀試驗場景每年出境人數一般不會超過5萬人,因此放寬至100萬人與放寬至5萬人的意義是相同的,能夠滿足絕大多數藥企的需求。同時,從安全風險角度考慮,在限定數據使用場景和目的的基礎上,放寬至5萬人顯然風險更爲可控。
四是政企共治數據安全,引導企業提升自身數據安全合規能力。數字經濟發展的單元是企業,企業自身安全意識和合規能力提升將帶來我國數據安全和個人信息保護能力的不斷提升,因此負面清單不僅可以做到寬嚴相濟,還可以起到正向引導作用。例如汽車行業的OTA在線升級場景明確,OTA類型、OTA主控模塊、聯網終端、可遠程升級系統等數據原則應該申報數據出境安全評估,但“已在工業和信息化部備案,並通過相關安全技術措施處理,可確保升級包數據不被篡改的情形除外”,這些細節體現了更加便利合規意識強、技術能力強、管理措施規範的企業開展業務的科學管理導向。
二、直面企業訴求,確保負面清單便利可用
數據跨境流動管理制度施行以來,社會上討論頗多,企業開展數據出境合規工作仍存在一些難點,普遍期望數據出境合規成本更低、數據出境渠道更加便利等,對於上述問題,負面清單給予了相應解答。
一是負面清單的使用對象是企業,北京市堅持問題導向,樹立“企業認爲好用纔是好的負面清單”的制定原則,紮實開展企業調研和徵求意見。在清單編制過程中,北京市網信辦聯合自貿區管理機構組織10餘次重點行業領域頭部企業座談,深入調研走訪近百家企業,悉心聽取企業建議,摸排企業面臨的難點問題。經仔細研究行業法規標準和監管現狀,充分考慮行業數據敏感性和出境必要性等要素,廣泛徵詢主管部門、行業專家及頭部企業意見,分行業分場景科學測算劃定需納入負面清單的個人信息及敏感個人信息規模,提升自貿區數據出境便利度和負面清單實用性。
二是讓企業看得懂、用得上。負面清單共包含5個領域48項內容,每項包括數據類別、數據基本特徵、適用的企業業務場景及其數據項示例。根據相關行業領域數據出境特點,負面清單重點從重要數據、個人信息兩個方面進行規定和說明,其中重要數據18項、個人信息30項。爲進一步提升實用性,負面清單中列舉了23個具體場景共198個數據字段爲示例,幫助企業快速理解負面清單的管理要求。重要數據方面,以增加限定條件和示例說明等方式,進一步細化明確對於出境重要數據的認定條件,使清單更具備可操作性和可執行性。個人信息和敏感個人信息方面,負面清單對允許出境的個人信息和敏感個人信息規模進行精準量化和適度放寬,儘可能解決企業合理訴求,提升自貿區數據出境便利度和負面清單的實用性。
三是明確責任分工,細化實施流程,讓企業清楚該找誰、如何辦理。《管理辦法》明確,負面清單由市網信辦、市商務局、市政數局負責統籌管理,朝陽、海淀、昌平、通州、順義、大興、亦莊等7個自貿組團負責具體實施,組織指導本組團內數據處理者合規使用負面清單,制定出臺負面清單配套實施指南、明確負面清單使用對象及申報流程、指導數據處理者開展使用申請和備案工作、加強數據出境活動的跟蹤監督、形成事中存證與事後監管能力等。企業如需使用負面清單,按程序向所在自貿組團提交申請、提交備案並獲批後,合規開展數據出境活動即可。
三、設立安全基線,數據出境安全不降級
數據出境便利化並不等同於安全責任的衰減,負面清單越短,安全責任越大,如何統籌好發展與安全的關係,是負面清單制定工作的重中之重。因此,北京市同步推出《管理辦法》,探索構建與負面清單配套的數據出境安全管理與服務模式,做到安全不降級。
一是實施企業准入管理和出境數據備案,把控數據處理者合法合規經營狀況,審覈業務符合情況,這可以類比於金融領域的信用評價管理。
二是加強事中事後監管能力,各自貿組團採取一致性抽驗的方式,驗證數據處理者實際數據出境情況與備案內容的一致性,這可以類比於醫藥領域的飛行檢查。
三是通過嚴格限定業務場景、出境字段等方式,對個人信息和敏感個人信息規模進行精準量化和適度放寬,最大化降低放寬範圍內的個人信息出境風險,確保在安全可管可控的基礎上,儘可能滿足企業的合理必要的數據出境訴求。
四是建立負面清單動態管理機制,市級管理部門對於已出臺的負面清單,跟蹤評估實施情況和安全風險,統籌開展負面清單修訂工作,根據安全風險高低情況將相應出境數據調入、調出負面清單管理。
總的來說,自貿區負面清單制度是構建數據出境流動管理高水平基礎制度的創新舉措,也是一項全新且充滿挑戰的工作,各地的相關工作均剛剛起步,未來可能還會有很多難點和問題需要進一步研究破解,讓我們期待北京市的施行成效,爲全國提供有益參考借鑑。
作者:卓子寒 國家計算機網絡應急技術處理協調中心正高級工程師