优化数据跨境流动机制的北京方案

为促进中国(北京)自由贸易试验区(以下简称“北京自贸试验区”)数据依法有序跨境流动,推进产业高水平对外开放,加快构建新发展格局,依照《数据安全法》《个人信息保护法》及配套的《数据出境安全评估办法》《个人信息出境标准合同办法》等法规制度的宗旨和内容,结合《支持北京深化国家服务业扩大开放综合示范区建设工作方案》和国家互联网信息办公室《促进和规范数据跨境流动规定》的指导精神,北京市制定出台《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》),为北京自贸试验区的企业在数据跨境流动方面提供了明确的合规框架与业务指引,《管理办法》在制度思路、机制创新和细化实现等多个方面,结合数据跨境需求和首都实践经验做出科学规定,能为相关业务主体带来进一步的业务便利和工作指引。

《管理办法》的制度思路

《管理办法》的基本思路是通过规定负面清单的方式,划定数据跨境流动中应受到严格监管的特定领域场景和数据类型,通过明确安全底线来保障国家安全、经济运行和各方权益。《管理办法》与N个领域的负面清单共同构成“1+N”总体思路,赋予自由贸易试验区的数据出境更多便利,达到积极促进数据依法有序自由流动的目的。其中负面清单遵循的是“法无禁止即可为”的原则,即清单之外的数据可以自由跨境流动,以此鼓励推进数据安全出境的进程。

这一设计思路的制度优势明显:一方面,“1+N”的总体思路既规定了制定负面清单和开展日常监管的基本规范,发挥总体性规则的作用,又通过负面清单对企业实际业务场景进行细化量化,结合具体行业领域进行针对性规定,实现了总体与具体的有机结合。另一方面,采用负面清单的具体化规定不仅提升了自贸区内数据管理和利用的灵活性与自主性,而且有助于建立一个更为透明、可预测的数据跨境流动环境,助力营商环境的优化,也有助于企业更精确地理解和把握并遵循数据出境的相关规则,进而减轻合规负担,并提升其在国际市场上的竞争力。

《管理办法》的机制创新

国家互联网信息办公室《促进和规范数据跨境流动规定》第六条特别赋予各自由贸易试验区更大的自主权,允许其根据实际情况自行制定区内数据出境的负面清单。通过对各自贸区的充分授权,支持各自贸区的制度创新和机制创新。而《管理办法》的制定就是对该规定的具体落实,对其授权内容的进一步细化,体现了首都在数据出境负面清单制定和使用管理等方面的锐意创新。《管理办法》瞄准企业迫切需要,探索设计适合首都的具体机制:首先,在负面清单的行业领域选择方面,综合考虑首都国际科创中心等功能定位,首批选择汽车、医药、零售、民航、人工智能五个领域率先制定负面清单,更具针对性和可行性;其次,在个人信息和敏感个人信息方面,负面清单对需纳入管理的出境数据规模作出进一步的精准量化和适度放宽,尽可能满足企业合理诉求,提升自贸区数据出境便利度和负面清单的实用性。

《管理办法》的细化实现

“1+N”管理体系下的负面清单根据相关行业领域数据出境特点,重点从重要数据、个人信息两个方面进行规定和说明,落实《数据安全法》中的数据分类分级保护制度,并且在《促进和规范数据跨境流动规定》的指导下结合首都实践,为本区域跨境数据管理政策的制定和落地提供了坚实的基础。负面清单与目前各地的制度探索相比较,在保持其先进经验的同时,进一步细化了清单的具体内容:其一,《管理办法》中增加了“重要数据统一识别参考规则”,为负面清单的具体化规定提供统一规则;其二,在互联网服务和电子商务领域强调人工智能训练数据、算法源代码、关键组件数据、控制程序等数据,对于影响国家安全和社会公共利益的人工智能训练数据、算法源代码、关键组件数据、控制程序等数据的管理作出了强调,反映了对于人工智能发展的深刻洞察。

“满眼生机转化钧,天工人巧日争新”。《管理办法》的制定在现有法律法规政策的基础上,结合区域实践经验,为首都数据跨境管理提供可操作性规定,通过负面清单的方式划定数据跨境制度基线,探索适合产业发展的创新性规定。毋庸置疑,《管理办法》的推进落地,可以在保障数据安全的前提下,助力企业发展,便利数据出境活动,进一步发挥北京方案的价值潜力。(作者吴沈括 系中国互联网协会研究中心副主任)

（编辑：索朗次仁）