落实法律要求,近年国家网信办先后出台实施《数据出境安全评估办法》、《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》(以下简称《规定》)等政策,构建了我国数据跨境流动管理制度的基本框架。《规定》第6条明确“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单)”。8月30日,北京市发布《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》及其配套的《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》),是我国政府积极探索提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制的重要举措,体现了北京市推动高质量发展和高水平安全良性互动的决心。
一、深入分析论证,科学制定负面清单
北京市高度重视数据跨境流动工作,将数据跨境便利化服务改革作为释放数据要素价值、推进高水平对外开放、助力数字经济高质量发展的重要举措,列入市政府工作报告和多个专项计划规划持续推进。《规定》发布后,北京市积极用好政策红利,第一时间启动负面清单及配套管理办法的研究制定工作,目标是探索建立既能便利数据流动又能保障安全的机制,北京市负面清单的科学性主要体现在以下方面:
一是结合北京自贸区产业实际,按照“急用先行、小步快跑”原则,分行业、分领域、分批次推进编制工作,成熟一批发布一批,不求大而全。负面清单编制是一项涉及行业面广、数据专业性强的创新性工作,北京市网信办在清单制定伊始曾组织专题会议研讨制定原则,是否需要全行业覆盖,考虑到《国民经济行业分类》中涉及行业门类20余个、大类近百个,各行业的业务场景和涉及数据均存在特异性,想要一步到位制定一份大而全又方便企业使用的负面清单的难度较大,且北京市各自贸组团当前和未来一个时期侧重发展的产业范围较为稳定,大而全的意义有限,因此确定了分批次、有重点、动态调整的科学路线。
二是充分参考借鉴前期数据出境安全评估、个人信息出境标准合同备案等工作基础。北京市网信办综合梳理已获批的40余家企业安全评估案例、150余家企业标准合同备案案例涉及的汽车、医药、民航、零售、人工智能等行业领域数据出境情况,深入研究上述5个行业领域数据出境目的、典型场景、数据类型、数据处理方式、出境个人信息数量及数据保护措施,综合研判、科学设定个人信息及敏感个人信息量级。
三是便利企业使用,不搞“拍脑袋”创新。目前企业梳理自身的数据出境活动往往都是按业务场景进行划分,因此使用“企业语言”制定负面清单对企业最为友好。根据前期工作基础,负面清单梳理了5个行业的典型数据出境场景和数据项,相较于《规定》在出境人数上进一步适度放宽,但各业务场景放宽的人数各不相同,并没有搞“一刀切”的阈值划定,这是因为各行业的监管要求不同,且通过大量企业调研发现,某个合理的业务当年出境个人信息的规模是较为稳定的,例如多家外资药企反馈药物临床试验场景每年出境人数一般不会超过5万人,因此放宽至100万人与放宽至5万人的意义是相同的,能够满足绝大多数药企的需求。同时,从安全风险角度考虑,在限定数据使用场景和目的的基础上,放宽至5万人显然风险更为可控。
四是政企共治数据安全,引导企业提升自身数据安全合规能力。数字经济发展的单元是企业,企业自身安全意识和合规能力提升将带来我国数据安全和个人信息保护能力的不断提升,因此负面清单不仅可以做到宽严相济,还可以起到正向引导作用。例如汽车行业的OTA在线升级场景明确,OTA类型、OTA主控模块、联网终端、可远程升级系统等数据原则应该申报数据出境安全评估,但“已在工业和信息化部备案,并通过相关安全技术措施处理,可确保升级包数据不被篡改的情形除外”,这些细节体现了更加便利合规意识强、技术能力强、管理措施规范的企业开展业务的科学管理导向。
二、直面企业诉求,确保负面清单便利可用
数据跨境流动管理制度施行以来,社会上讨论颇多,企业开展数据出境合规工作仍存在一些难点,普遍期望数据出境合规成本更低、数据出境渠道更加便利等,对于上述问题,负面清单给予了相应解答。
一是负面清单的使用对象是企业,北京市坚持问题导向,树立“企业认为好用才是好的负面清单”的制定原则,扎实开展企业调研和征求意见。在清单编制过程中,北京市网信办联合自贸区管理机构组织10余次重点行业领域头部企业座谈,深入调研走访近百家企业,悉心听取企业建议,摸排企业面临的难点问题。经仔细研究行业法规标准和监管现状,充分考虑行业数据敏感性和出境必要性等要素,广泛征询主管部门、行业专家及头部企业意见,分行业分场景科学测算划定需纳入负面清单的个人信息及敏感个人信息规模,提升自贸区数据出境便利度和负面清单实用性。
二是让企业看得懂、用得上。负面清单共包含5个领域48项内容,每项包括数据类别、数据基本特征、适用的企业业务场景及其数据项示例。根据相关行业领域数据出境特点,负面清单重点从重要数据、个人信息两个方面进行规定和说明,其中重要数据18项、个人信息30项。为进一步提升实用性,负面清单中列举了23个具体场景共198个数据字段为示例,帮助企业快速理解负面清单的管理要求。重要数据方面,以增加限定条件和示例说明等方式,进一步细化明确对于出境重要数据的认定条件,使清单更具备可操作性和可执行性。个人信息和敏感个人信息方面,负面清单对允许出境的个人信息和敏感个人信息规模进行精准量化和适度放宽,尽可能解决企业合理诉求,提升自贸区数据出境便利度和负面清单的实用性。
三是明确责任分工,细化实施流程,让企业清楚该找谁、如何办理。《管理办法》明确,负面清单由市网信办、市商务局、市政数局负责统筹管理,朝阳、海淀、昌平、通州、顺义、大兴、亦庄等7个自贸组团负责具体实施,组织指导本组团内数据处理者合规使用负面清单,制定出台负面清单配套实施指南、明确负面清单使用对象及申报流程、指导数据处理者开展使用申请和备案工作、加强数据出境活动的跟踪监督、形成事中存证与事后监管能力等。企业如需使用负面清单,按程序向所在自贸组团提交申请、提交备案并获批后,合规开展数据出境活动即可。
三、设立安全基线,数据出境安全不降级
数据出境便利化并不等同于安全责任的衰减,负面清单越短,安全责任越大,如何统筹好发展与安全的关系,是负面清单制定工作的重中之重。因此,北京市同步推出《管理办法》,探索构建与负面清单配套的数据出境安全管理与服务模式,做到安全不降级。
一是实施企业准入管理和出境数据备案,把控数据处理者合法合规经营状况,审核业务符合情况,这可以类比于金融领域的信用评价管理。
二是加强事中事后监管能力,各自贸组团采取一致性抽验的方式,验证数据处理者实际数据出境情况与备案内容的一致性,这可以类比于医药领域的飞行检查。
三是通过严格限定业务场景、出境字段等方式,对个人信息和敏感个人信息规模进行精准量化和适度放宽,最大化降低放宽范围内的个人信息出境风险,确保在安全可管可控的基础上,尽可能满足企业的合理必要的数据出境诉求。
四是建立负面清单动态管理机制,市级管理部门对于已出台的负面清单,跟踪评估实施情况和安全风险,统筹开展负面清单修订工作,根据安全风险高低情况将相应出境数据调入、调出负面清单管理。
总的来说,自贸区负面清单制度是构建数据出境流动管理高水平基础制度的创新举措,也是一项全新且充满挑战的工作,各地的相关工作均刚刚起步,未来可能还会有很多难点和问题需要进一步研究破解,让我们期待北京市的施行成效,为全国提供有益参考借鉴。
作者:卓子寒 国家计算机网络应急技术处理协调中心正高级工程师
来源:北京市互联网信息办公室
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
