榫卯相合 | 各自贸区数据出境负面清单的协同治理机制
榫卯相合 | 各自贸区数据出境负面清单的协同治理机制
2023年8月13日,国务院发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,要求探索便利化的数据跨境流动安全管理机制,支持北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单。2024年3月22日,国家网信办发布《促进和规范数据跨境流动规定》,第6条明确授权自贸区自行制定区内数据出境负面清单,自贸区内数据处理者向境外提供负面清单外的数据,可免予申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。
在此背景下,我国多地自贸区纷纷启动数据出境清单建设。上海自贸区临港新片区和福建自贸区平潭片区已发布一般数据清单(正面清单);天津、北京、上海、海南和浙江的自贸区已发布2024年版的数据出境管理清单(负面清单)。本文将以各地自贸区的数据出境负面清单为观察对象(参见图1),对各地的负面清单共性进行系统梳理,并从实体与程序两个层面分别介绍负面清单的要点。
图1:各地自贸区负面清单的出台时间表
一、各地负面清单框架与所反映的监管顶层设计
当前,北京、上海、海南以及浙江(以下简称“京沪琼浙”)的负面清单呈现出趋同的规制逻辑:聚焦特定行业领域与出境场景实施精准化管控。在这种监管思路下,对于自贸区企业而言,未纳入清单的行业与场景数据出境合规义务不受影响;而对纳入清单内的行业与场景而言,一方面,部分场景将适用更宽松的合规义务触发阈值,这在一定程度上对自贸区企业而言带来了较为宽松的监管要求;另一方面,清单也将部分行业中的特定数据明确认定为重要数据,明确了该等数据出境时需适用的监管要求,而此前根据数据出境新规,未被明确认定为重要数据的数据无需作为重要数据履行相关监管要求,因此对于控制这些特定数据的企业来说,监管要求又有所加强。
这种“宽严相济”的负面清单立法思路,使得自贸区内相关行业/场景中的不同数据的出境监管要求有了更宽的“带宽”,针对不同数据的监管力度呈显出更强的差异化,从而相关自贸区企业可以更加有的放矢地管理不同类别及/或等级的数据。特别值得一提的是,在我国尚且缺乏统一重要数据目录的背景下,这些自贸区负面清单中针对特定行业/场景中重要数据认定的实践或许反映了监管的特定政策考量——以自贸区为试验田,由点带面,反向构建重要数据的识别框架。
2025年4月9日,国家网信办在数据出境安全管理政策问答中指出[1],针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定。这一问答内容印证了我们在上文的观点。因此,对待自贸区数据出境负面清单,企业不应当“看山是山,看水是水”,孤立地理解各地负面清单,或简单认为其只在相应辖区内有意义,而应在差异的表象下认识监管侧的统筹布局。以重要数据为例,企业拟出境数据如果落入其他自贸区的负面清单范围,应注意当地监管部门可能会参考适用其他地区的负面清单来框定重要数据。
二、实体性规制:各地负面清单覆盖范围全景图
在实体性内容层面,各地负面清单反映了行业聚焦与重要数据构建的两大特征。不同行业领域与重要数据示例在拼合汇总后将形成一幅全景图,为企业开展数据分类分级工作提供有益指导。
1. 重点行业领域
除天津自贸区外,各地负面清单均结合自身经济发展的重心与特色,选择了重点行业领域,自贸区内企业仅在满足特定行业领域与数据出境场景的前提下,达到较高数据量级或落入重要数据范畴,才需要履行数据出境合规义务。以零售业为例,京沪琼自贸区均对零售企业的个人信息出境合规义务进行了减免。例如,根据《促进和规范数据跨境流动规定》,非关键基础设施运营者的企业自当年1月1日起出境个人信息达到100万人次(不包括敏感个人信息)即需履行数据出境安全评估义务,而北京自贸区负面清单规定,在会员管理场景下只有达到500万人次(不包括敏感个人信息)才需要履行数据出境安全评估。虽然北京、上海和海南都规定了零售行业,但各地在具体细分场景上也有所侧重,北京和上海主要针对的是会员管理场景,而海南主要针对的是免税店身份验证、通关购物场景和顾客管理场景。
图2:各地自贸区负面清单所涉行业与领域
2. 重要数据识别
尽管天津负面清单并未区分特定行业与场景,但天津率先出台的《中国(天津)自由贸易试验区企业数据分类分级标准规范》提出了重要数据识别标准,就战略物资和大宗商品类、自然资源和环境类、工业类等十四个数据类别制定了重要数据的识别参考规则。随后,北京和浙江的负面清单也配套发布了《数据分类分级参考规则》,其内容与天津的分类分级框架基本一致,但新增了重要数据示例(参见图3)。
图3:北京与浙江自贸区重要数据统一识别参考规则及示例(部分截图)
除制定通用的数据分类分级参考规则外,京沪琼浙负面清单还采取了行业细分模式,就特定行业领域列举了重要数据示例(参见图4)。以汽车行业为例,我国2021年出台的《汽车数据安全管理若干规定(试行)》曾列举过汽车行业的重要数据,而北京自贸区负面清单在此基础上对汽车行业的重要数据进行了补充与细化,具体包括以下内容:
图4:北京自贸区负面清单中的汽车行业重要数据示例
此外,值得一提的是,北京自贸区负面清单中还针对当下火热的人工智能行业,将特定数据识别为重要数据,具体包括以下三个子类:
(1)在研发设计过程中,收集和产生的与行业竞争力相关的高价值敏感数据;
(2)内容中涉及一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全的音频、图像及文本数据;
(3)纳入出口管制或技术出口管理事项的数据。
就以上每个子类中包含的数据的特征和描述,北京自贸区负面清单中还进行了更细致的列举,篇幅所限在此不再展开。
如同本文开头分析的,这些自贸区负面清单中针对特定行业/场景中重要数据的识别规则,对相应自贸区之外的其他地区也有重要参考意义,企业应当充分重视自贸区负面清单的价值。伴随着更多自贸区负面清单的出台和完善,由点带面,我国重要数据识别规则将得到进一步的完善。对企业而言,开展数据分类分级工作,不仅可以参考中央法律法规及国家标准,也需参考各地自贸区负面清单中列明的行业重要数据示例。
三、程序性衔接:适用负面清单机制解析
在程序性内容层面,我们注意到目前北京、浙江和上海的负面清单采用了企业可自主选择是否适用的灵活机制,因而对企业来说,并未在与现行国家级数据出境监管机制的链接方面带来实质性压力。但天津和海南负面清单的适用机制则不是非常清晰,仍有待明确。
根据北京、浙江和上海的自贸区负面清单管理办法,北京、浙江和上海的自贸区注册登记企业如需使用负面清单,需要主动申请或报告。北京和浙江自贸区企业首先需向相应的自贸组团/片区提交申请,在通过审核后进行负面清单使用备案,最后根据自贸组团/片区出具的研判意见开展数据出境活动,并配合市级管理部门、各自贸组团开展监督、核验等工作。上海自贸区企业如果拟使用负面清单开展数据出境活动,也需要向上海自贸试验区管委会、临港新片区管委会报告数据出境情况,并配合主管监管部门的监督检查。
这种灵活适用机制,给企业提供了极大的灵活性,企业可以自主决定是适用自贸区负面清单机制,还是继续根据此前已成形的统一数据出境监管机制来管理和推进其数据合规管理工作。
另一方面,目前天津和海南尚未发布公开的负面清单管理办法。根据我们所了解到的监管动态,海南自由贸易港的注册登记企业暂时无需履行负面清单申报、备案或报告等手续,如果不涉及负面清单中特殊行业或场景,或者没有达到特殊行业及场景的合规义务触发阈值,可直接免予履行合规义务。然而,由于负面清单制度仍处于探索和更新中,不排除未来天津与海南也可能在适用程序上引入事前告知或备案登记等要求,企业仍需密切关注各地自贸区的最新动态。
四、结语:企业的发展机遇与合规应对策略
如前所述,我们建议企业充分重视自贸区负面清单的价值与参考性意义。对于位于自贸区内的企业而言,可根据自身情况及相应自贸区的相关规则决定是否主动适用自贸区负面清单监管机制。对于相关自贸区以外的企业而言,也不应当孤立地理解各地负面清单,或简单认为其只在相关自贸区内有意义,而与自身并无关系。企业应在差异的表象下认识监管侧的统筹布局。我们建议企业全面梳理各区域负面清单所涉及的应用场景、阈值标准及重要数据字段,定期开展拟出境数据的盘点和对照,并及时识别自身处理的数据是否包含重要数据,在不断演进和优化的监管框架下,充分利用利好政策,同时也妥善把好数据安全关,在企业经营发展和数据合规监管要求之间寻求平衡之道。
[注]
[1] 网信中国,数据出境安全管理政策问答(2025年4月),访问链接:https://mp.weixin.qq.com/s/iYVkA0u2I26kZww2TItEgQ.