编者按
关于我国数据跨境流动监管体制变革的系列文章:
今天和大家分享的是公号君关于上海自贸区临港新片区在前期出台《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的基础上,进一步发布的《数据跨境场景化一般数据清单》的一点观察和认识。原文发布在【【聚焦】专家解读:基于场景化的白名单路径,提升法律确定性节约合规资源】
我国推进高水平对外开放的决心从未改变。习近平总书记在2020年11月作出明确表示:“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定(CPTPP)。”2021年11月,中方正式提出加入《数字经济伙伴关系协定》(DEPA)申请,并于2024年5月完成了加入DEPA工作组第五次首席谈判代表会议。2023年底,国务院印发《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》,目的是在上海自贸试验区全面对接国际高标准经贸规则,打造国家制度型开放示范区。目前,中国正在参与世界贸易组织(WTO)电子商务章节的谈判。数据跨境流动正是上述国际协定谈判和高水平制度开放的核心内容之一。2024年3月22日,国家互联网信息办公室正式发布了《促进和规范数据跨境流动规定》(以下称《规定》)。《规定》增加了地方政府在数据出境安全管理体制中的角色和权重。最突出的就是第6条第1款规定:“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。”以及关于负面清单外数据出境的第6条第2款规定“自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”基于此规定,各个自贸区可以因地制宜,按照自身定位和发展战略、方向等,确定可以豁免“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的数据清单。换句话说,对于各个自贸区确立的发展方向(特别是数字化领域)所伴生的数据跨境流动需求,国家网信部门此次给各个地方作了监管适配性的授权。《规定》的出台,对我国数据跨境流通及自贸区的发展无疑是一项非常积极的举措。
近日,上海自贸区临港新片区在前期出台《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的基础上,进一步发布了《数据跨境场景化一般数据清单》(以下简称“一般数据清单”)。在笔者看来,“一般数据清单”具有两个突出的特点,一是提升法律确定性并节省合规资源的“公共品”,二是在不确定的安全环境中迈出的稳妥一步。以下分别阐释。
一、“一般数据清单”是提升法律确定性并节省合规资源的“公共品”
一般来说,一个法律规定中的概念在实际合规实践中的细化,需要经过以下来来回回数个步骤。以下以个人信息的界定为例子说明。
第一个步骤公司内部法务部门人员与业务人员合作,从业务视角的概念理解,转换成为法律规定中的概念界定。比如二手车状况监控或记录的APP,其业务中主要收集的是车架号,以及该车架号所属汽车的维修记录。一般来说,车架号是车辆的唯一标识码,而法务则要判断、明确车架号是否属于《个人信息保护法》中的个人信息。
第二个步骤是由于公司内部法务部门一般来说主要的关注是其组织内部的场景和业务模型,其往往对其他行业或业务场景中对车架号是否被认定为个人信息,不甚了解。此时,往往公司法务部门会求助具有跨行业、跨场景经验的第三方服务方(例如律师事务所、咨询公司等)。律师或者咨询人员往往需要根据自己过往的经验给出一次判断。这是第二次判断。
第三个步骤是监管部门给出判断。这其中存在两种形式。第一种形式是公司内部法务或律师咨询人员主动和监管部门沟通,试图从监管侧得到前两个步骤中自行做出的判断的确认。第二种形式是监管部门在实际开展审批、备案,或者开展监督检查过程中,确认或者推翻前两个步骤中法务人员或律师咨询人员所做出的判断。
四是当法务反对监管部门的判断或认定时,还可以诉诸于司法流程,去具有管辖权的法院起诉监管部门所做的判断,寻求法官的支持。在此过程中,还可能涉及到二审、三审等。
从上述实务层面情况的分解来看,不难得到一个看法:对一个不确定的法律概念从文本到落地,需要反复且冗长的过程,不仅涉及到的人员和层面非常多,而且其中所消耗的合规资源、以及监管和司法资源都非常显著。
对于数据出境安全管理中,恰恰存在很多不确定的法律概念。诚然,对于新技术、新领域来说,大量不确定法律概念的存在不可避免,但这些概念对于组织合规来说又至关重要,不仅决定了合规策略和路径的选择,合规资源的配置和消耗,更加决定了业务设计的选择和业务开展的调整。
从这个角度来看,上海自贸区临港新片区开全国之先河,首先提出了临港新片区“一般数据清单”,具有重大的意义。首先,“一般数据清单”直接且明确地列出了可以自由出境的数据字段,这些字段直接贴合了组织内部的业务人员、法务人员的认知体系和话语体系,此特点能够极大地减少在前述第一步骤和第二步骤中的合规成本。其次,“一般数据清单”中可以自由出境的数据字段的提出,据悉前期临港新片区管委会已经经过和包括上海和中央层面的各相关监管部门的沟通并获得确认和认可,换言之,前述的第三步骤和第四步骤中涉及的沟通、诉讼成本等,完全可以节省。最后,“一般数据清单”的发展是动态和变化的,是一份活的文件,也就是说,当企业在业务开展过程中存在对数据出境安全管理中不明确的问题时,都可以主动向临港新片区管委会寻求帮助,管委会将在条件具备和成熟的情况下,积极提供面相片区企业的“公共品”——即进一步更新、扩大“一般数据清单”。
二、“一般数据清单”是在不确定的安全环境中迈出的稳妥一步
在信息技术、数据技术科技、人工智能、智能技术日新月异的当下,数据已经成为新型生产要素促进上述技术发展的核心要素。作为数字化、网络化、智能化发展的基础,数据在全球范围内正快速融入生产、分配、流通、消费和社会服务管理等方方面面,已经深刻改变了各国各地区的生产方式、生活方式和社会治理方式。著名的《外交事务》( Foreign Affairs)杂志在2021年第三期发表了一篇在国内广为传播的文章——《数据即是权力》(data is power)。两位作者直言:“与全球经济的其他要素相比,数据与权力更紧密地交织在一起。作为创新日益必要的投入、国际贸易迅速扩大的元素,企业成功的重要因素,以及国家安全的重要层面,数据为所有拥有它的人提供了难以置信的优势。它也很容易被滥用。寻求反竞争优势(anticompetitive advantages)的国家和公司试图控制数据,那些希望破坏自由和隐私的人也是如此”。因此,数据在开发利用的同时,必然也可能会各方面带来安全风险。
一方面数据便利化跨境流动是硬要求,另一方面安全风险具有高度的不确定性。“一般数据清单”给出了一种稳妥的方案。具体来说,与目前其他自贸区相关制度设计相比,临港新片区的“一般数据清单”的一个突出特点是通过“三要素”结合作为清单的基本框架——即传输目的、传输字段(配合描述)、传输后的要求。对熟悉国家层面建立的数据出境安全管理制度的读者来说,应该一下子能够看出这三个要素事实上契合了无论是出境安全评估、个人信息标准合同、个人信息保护认证的主要考量方面。传输目的限定了数据在境外的处理目的,也就同时建立了评价数据出境后是否合法处理的基线;传输字段实际上确立了某项传输目的之下,为完成特定业务而确需出境的数据字段,也就完成了数据出境安全管理中的必要性判断;传输后的要求,针对的是境外数据接收方的数据安全管理和技术措施,也就是对应的数据出境安全管理中对数据传输和使用的完整性、保密性、可用性的要求。
因此,“一般数据清单”是在“传输目的、传输字段(配合描述)、传输后的要求”三限定框架下的数据清单,其实质是将过去实践中已经被国家有关部门批准或已经被证明出境安全风险确实较低的场景或业务,形式固定下来和对外展示出来,对其他具有类似需求的企业给于明确的信号和指引。
据悉,临港新片区还将“一般数据清单”作为一份发展中的“活的文件”,聚焦存在广泛需求的典型场景,通过具体出境场景小切口的方式允许风险可控的数据跨境流动,积累数据跨境事中事后管理的实践经验,最终在未来合适的时机下,推动“精准化”的负面清单出台。
三、小结
在当前全球经济增长乏力背景下,数字经济成为撬动持续不断的、且分量越来越重的成为撬动经济增长的新杠杆,成为各国促进经济复苏、和稳定经济增长的稳定器,以及未来高质量发展的方向引领未来经济发展方向的新杠杆。数字经济数据跨境流动已经成为前述国际协定谈判和上海高水平制度开放的核心内容之一。临港新片区关于“一般数据清单”的积极尝试,在国家“自上而下”编制重要数据目录的前提下,更好发挥自贸区“自下而上”先行先试作用,通过收集梳理目前企业对数据跨境的实际需求,根据场景来编制一般数据清单且可操作可落地的做法,为编制数据跨境的负面清单和重要数据目录提供新的实践样本
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过400人。关于DPO社群和沙龙更多的情况如下:
DPO线下沙龙的实录见:
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
《网络数据安全管理条例(征求意见稿)》系列文章:
《数据安全法》的相关文章包括:
赴美上市的网络、数据安全方面的两国监管乃至冲突方:
个性化广告或行为定向广告(behavioral targeting advertising)系列的文章:
内容安全方面的文章如下:
关于健康医疗数据方面的文章有:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
数字贸易专题系列:
关于中国数据出境安全管理制度的文章
美国方面的个人信息保护立法的文章:
关于印度的数据保护和数据治理政策和技术文件的文章有:
关于数据的安全、个人信息保护、不正当竞争等方面的重大案例:
围绕供应链安全,本公众号曾发表文章:
围绕着出口管制,本公众号曾发表文章:
本公号发表过的关于数据执法跨境调取的相关文章:
通过技术增强对个人信息的保护的文章包括:
关于保护网络和信息系统安全的相关文章包括:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
地缘政治与跨国科技公司运营之间的互动影响:
关于个人信息安全影响评估的文章如下:
关于我国《个人信息保护法》相关文章包括:
关于业务场景中数据跨境流动的文章如下:
[盟-美国数据隐私框架”充分性决定草案(全文中译本)](http://mp.weixin.qq.com/s?__biz=MzIxODM0NDU4MQ==&mid=2247497575&idx=1&sn=d171ad4002ce54b744cc9c9a84c3457d&chksm=97e94a8da09ec39bb4fd005d1276aa87bc2a09eb59efd16c3eab5acfc59797404e89329df8de&scene=21#wechat_redirect)
关于数据要素治理的文章有:
人脸识别系列文章:
针对审计在数据安全、个人信息保护、A安全的作用与落地实操,本公众号发布过的文章:
针对已公开数据的个人信息保护研究,本公号发表过以下文章
关于中国的网络安全审查制度,本公号发表过的文章:
关于域外在数据、电信、外国投资方面所建立的国家安全相关的审查机制,本公号发布过以下文章:
美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)
人工智能安全和可信赖方面的文章:
关于我国人工智能算法监管的文章:
关于LLMs(大型语言模型)的风险和监管,本公号发布过以下文章:
关于AI与标准化工作,本公号发表的文章:
关于欧盟的人工智能监管方面的立法、政策和实践方面的文章:
关于欧盟技术主权相关举措的翻译和分析:
针对美国的人工智能监管政策发展,本公众号发表过如下文章: