2024年8月30日，北京自貿(mào)區(qū)發(fā)布《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境負(fù)面清單管理辦法（試行）》（以下分別簡稱《北京負(fù)面清單》《北京管理辦法》），是繼天津、上海后第三組自貿(mào)區(qū)根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》（以下簡稱《跨境新規(guī)》）第六條[1]規(guī)定制定的數(shù)據(jù)出境負(fù)面清單（簡稱“負(fù)面清單”）及配套管理政策。至此，各自貿(mào)區(qū)回應(yīng)數(shù)據(jù)出境監(jiān)管議題的思路初見雛形。

數(shù)據(jù)跨境流動(dòng)是全球經(jīng)貿(mào)合作的基礎(chǔ)，已成為優(yōu)化全球資源配置的關(guān)鍵紐帶，各自貿(mào)區(qū)對(duì)此先試先行的多元嘗試對(duì)于破解數(shù)據(jù)流動(dòng)和安全平衡的難題具有重大意義，體現(xiàn)了數(shù)據(jù)跨境便利化的趨勢，其試運(yùn)行的各種反饋對(duì)于國家層面數(shù)據(jù)分類分級(jí)管理以及數(shù)據(jù)出境監(jiān)管機(jī)制的改進(jìn)亦有參考價(jià)值。?

一、制度架構(gòu)：三地跨境流動(dòng)政策介紹

我們對(duì)于三地?cái)?shù)據(jù)跨境流動(dòng)政策進(jìn)行核心內(nèi)容總結(jié)，詳見下表：

點(diǎn)擊可查看大圖

二、各有千秋：政策比較分析

1、自貿(mào)區(qū)數(shù)據(jù)出境政策的適用范圍和效力

關(guān)于適用范圍，在前述對(duì)比表格中已進(jìn)行介紹，其中上海不僅包括注冊在自貿(mào)區(qū)內(nèi)的企業(yè)，亦包括在自貿(mào)區(qū)內(nèi)開展數(shù)據(jù)跨境流動(dòng)活動(dòng)的企業(yè)，范圍較北京、天津更為廣泛。

效力問題是諸多企業(yè)關(guān)注的重點(diǎn)，從政策文本層面來看，自貿(mào)區(qū)對(duì)于相關(guān)數(shù)據(jù)出境要求的強(qiáng)制性規(guī)定并未超出《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的基本框架，亦未強(qiáng)制要求適用范圍內(nèi)企業(yè)必須按照自貿(mào)區(qū)跨境監(jiān)管要求出境，呈現(xiàn)鼓勵(lì)企業(yè)主動(dòng)適用該等制度，與自貿(mào)區(qū)管理部門開展合作的態(tài)勢。

例如《北京管理辦法》要求數(shù)據(jù)處理者應(yīng)當(dāng)按照相關(guān)規(guī)定識(shí)別、申報(bào)重要數(shù)據(jù)。按照各自貿(mào)組團(tuán)相關(guān)要求開展數(shù)據(jù)出境活動(dòng)，并配合市級(jí)管理部門、各自貿(mào)組團(tuán)開展跟蹤核驗(yàn)和監(jiān)督檢查等工作。并在北京市網(wǎng)信辦發(fā)布的《北京市企業(yè)數(shù)據(jù)出境合規(guī)指引》中進(jìn)一步說明：在中國（北京）自貿(mào)試驗(yàn)區(qū)內(nèi)登記注冊、開展數(shù)據(jù)跨境流動(dòng)等相關(guān)活動(dòng)的企業(yè)，可按照本市自由貿(mào)易區(qū)數(shù)據(jù)出境負(fù)面清單相關(guān)要求開展數(shù)據(jù)出境活動(dòng)。

2、“負(fù)面清單”與“正面清單”之辯

（1）“負(fù)面清單”與“正面清單”

雖然根據(jù)《跨境新規(guī)》規(guī)定，自貿(mào)區(qū)可制定的是“負(fù)面清單”，但事實(shí)上三地的探索實(shí)踐有明顯區(qū)別。

一個(gè)科學(xué)合理、范圍清晰的負(fù)面清單對(duì)于企業(yè)數(shù)據(jù)跨境合規(guī)治理有重大意義，負(fù)面清單的難度在于“非黑即白”，在數(shù)據(jù)安全管理基本制度框架歷時(shí)尚短，且國家層面的重要數(shù)據(jù)清單尚未發(fā)布的情況下，如何保證負(fù)面清單之外的數(shù)據(jù)出境是安全可控的？對(duì)此，天津采取的是“大清單”的思路，借鑒《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》內(nèi)對(duì)于各行業(yè)重要數(shù)據(jù)識(shí)別規(guī)則的規(guī)定，配套區(qū)域內(nèi)企業(yè)全面數(shù)據(jù)分類分級(jí)工作的排查與報(bào)送工作，力爭與整體的數(shù)據(jù)分類分級(jí)規(guī)則對(duì)齊。北京采取的是“小清單”思路，對(duì)于數(shù)據(jù)特征的描述結(jié)合特定行業(yè)、場景和目的進(jìn)行細(xì)化，對(duì)于數(shù)量閾值的設(shè)定進(jìn)行具體調(diào)整，同時(shí)在制度層面中設(shè)定負(fù)面清單迭代機(jī)制，并建立自貿(mào)組團(tuán)的反饋機(jī)制以適時(shí)調(diào)整。

相較于負(fù)面清單，上海發(fā)布的正面清單回避了上面的問題，從確認(rèn)企業(yè)特定出境數(shù)據(jù)的合法性方面有積極作用，但也引發(fā)了一個(gè)新問題：從法理上，對(duì)于個(gè)人、組織等私主體，法無禁止即可為，針對(duì)本身就沒有出現(xiàn)在重要數(shù)據(jù)目錄或者其他特定行業(yè)限制出境規(guī)定的數(shù)據(jù)，還需要額外的正面清單來確認(rèn)合法性嗎？對(duì)于沒有出現(xiàn)在正面清單里的數(shù)據(jù)，其出境合法性如何評(píng)價(jià)?當(dāng)然，拋開此處不提，就上海正面清單文本而言，其為企業(yè)日常經(jīng)營涉及的數(shù)據(jù)處理場景的界定和分類分級(jí)從業(yè)務(wù)視角提供了思路，同時(shí)也反向提供了降低數(shù)據(jù)敏感性的參考，具備一定參考意義。

（2）“負(fù)面清單”是否等于“重要數(shù)據(jù)”？

如前文分析，“負(fù)面清單”的制度設(shè)計(jì)出發(fā)點(diǎn)在于便利數(shù)據(jù)跨境流動(dòng)，并未直接將該等數(shù)據(jù)類型與重要數(shù)據(jù)進(jìn)行對(duì)應(yīng)，只是《跨境新規(guī)》中關(guān)于重要數(shù)據(jù)出境需要進(jìn)行安全評(píng)估前置性規(guī)定與“負(fù)面清單”中特定數(shù)據(jù)出境需進(jìn)行安全評(píng)估的規(guī)定一同考量，會(huì)帶來負(fù)面清單中提及的需要進(jìn)行數(shù)據(jù)安全評(píng)估的數(shù)據(jù)即為自貿(mào)區(qū)認(rèn)定的重要數(shù)據(jù)的印象。事實(shí)上，負(fù)面清單為探索數(shù)據(jù)跨境流動(dòng)管理的試點(diǎn)性措施，本身并沒有直接與重要數(shù)據(jù)一一對(duì)應(yīng)，如果解釋成等同概念，則限制了自貿(mào)區(qū)結(jié)合自身經(jīng)貿(mào)發(fā)展特點(diǎn)進(jìn)行數(shù)據(jù)流動(dòng)管理的自由度和創(chuàng)新的可能性。

我們理解，重要數(shù)據(jù)是《數(shù)據(jù)安全法》項(xiàng)下數(shù)據(jù)分類分級(jí)保護(hù)制度的重要組成部分，一旦認(rèn)定為重要數(shù)據(jù)，不止會(huì)影響數(shù)據(jù)出境，對(duì)于其全生命周期的數(shù)據(jù)安全保護(hù)亦提出了更高要求。自貿(mào)區(qū)的負(fù)面清單措施及實(shí)施效果可能會(huì)對(duì)下一步相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄確定提供參考，但并不能直接等同于重要數(shù)據(jù)。

（3）“負(fù)面清單”中數(shù)據(jù)范圍界定的問題

數(shù)據(jù)范圍的界定一直是各類監(jiān)管數(shù)據(jù)類型界定的難點(diǎn)問題，自貿(mào)區(qū)回應(yīng)的路徑是從行業(yè)、領(lǐng)域到數(shù)據(jù)大類、數(shù)據(jù)子類、數(shù)據(jù)基本特征及描述的角度逐層界定，然而該等嘗試依然存在難以落實(shí)之處，從行業(yè)角度而言，三地政策中出現(xiàn)了不同的范圍界定措辭：“行業(yè)”“領(lǐng)域”，但其定義和規(guī)定并未完全依據(jù)國民經(jīng)濟(jì)行業(yè)分類的要求，可能存在部分企業(yè)難以判定行業(yè)/領(lǐng)域歸屬的問題。

其中對(duì)于數(shù)據(jù)范圍界定，“場景”、“字段”等概念的引入可以使關(guān)注點(diǎn)更為聚焦，我們理解監(jiān)管對(duì)于字段展開細(xì)致的描述，具象化解釋數(shù)據(jù)類型可以明確受限數(shù)據(jù)的邊界，切實(shí)發(fā)揮負(fù)面清單的作用，達(dá)到為參與企業(yè)減負(fù)，提高政策預(yù)期性的效果。但現(xiàn)今，數(shù)據(jù)盤點(diǎn)和治理并未普遍進(jìn)入成熟期，該等設(shè)計(jì)難以避免會(huì)存在監(jiān)管不到位或者與企業(yè)實(shí)踐不符的情況，由此，北京、上海、天津三地在數(shù)據(jù)范圍清單化的同時(shí)，依然沒有放棄整體的數(shù)據(jù)分類分級(jí)工作安排，配套進(jìn)行推進(jìn)和不斷調(diào)整以達(dá)到較好的實(shí)施效果。

三、“合理且必要”的經(jīng)貿(mào)數(shù)據(jù)交互界定：以汽車行業(yè)多地政策比較為例

汽車行業(yè)是近幾年數(shù)據(jù)監(jiān)管的重點(diǎn)行業(yè)，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》出臺(tái)后，汽車數(shù)據(jù)年報(bào)和數(shù)據(jù)本地化工作對(duì)于車企的影響重大，汽車行業(yè)是全球經(jīng)貿(mào)分工合作的密集行業(yè)，自貿(mào)區(qū)三地均就汽車行業(yè)設(shè)置了要求，具有典型意義。

根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》以及多地自貿(mào)區(qū)政策，就需進(jìn)行數(shù)據(jù)出境安全評(píng)估的數(shù)據(jù)類型梳理如下：

點(diǎn)擊可查看大圖

• 對(duì)于車企較為普遍的基礎(chǔ)業(yè)務(wù)場景（研發(fā)、測試、生產(chǎn)、銷售、售后），除了上海正面清單提及之外，其他法規(guī)及政策都未涉及，同時(shí)結(jié)合上海的限制條件來看，強(qiáng)調(diào)不與個(gè)人相關(guān)聯(lián)亦無法識(shí)別，進(jìn)一步降低了與個(gè)人信息的聯(lián)系；從北京負(fù)面清單的角度而言，如果上表中其他業(yè)務(wù)場景（如車輛運(yùn)行及衍生分析）中涉及車輛研發(fā)、測試環(huán)節(jié)處理車外視頻圖像等負(fù)面清單提及的數(shù)據(jù)類型，亦會(huì)進(jìn)入負(fù)面清單范圍，呈現(xiàn)出更深入的與業(yè)務(wù)場景結(jié)合的特征。

• 除了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》所提及的類型之外，天津和北京的負(fù)面清單均顯示出對(duì)OTA數(shù)據(jù)的關(guān)注，北京的負(fù)面清單中詳細(xì)規(guī)定了OTA數(shù)據(jù)的具體字段，結(jié)合我們對(duì)于數(shù)據(jù)出境安全評(píng)估的實(shí)踐觀察，OTA數(shù)據(jù)很可能成為數(shù)據(jù)出境監(jiān)管的重點(diǎn)，未來可能出現(xiàn)在全國范圍內(nèi)汽車行業(yè)的重要數(shù)據(jù)目錄中。同時(shí)結(jié)合OTA功能本身需要向工信部門完成備案的要求，北京負(fù)面清單中提出了工信部備案的例外，避免重復(fù)監(jiān)管，加重企業(yè)負(fù)擔(dān)。

• 北京的負(fù)面清單中還額外提及了車聯(lián)網(wǎng)信息服務(wù)以及車聯(lián)網(wǎng)關(guān)鍵設(shè)備、關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)類型，相較《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》更進(jìn)一步關(guān)注到重?cái)?shù)據(jù)需求的車聯(lián)網(wǎng)信息服務(wù)安全以及供應(yīng)鏈安全的問題。

• 最后，關(guān)于《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》中一直爭議頗多的10萬個(gè)人信息即構(gòu)成重要數(shù)據(jù)的規(guī)定，天津負(fù)面清單限縮為10萬智能汽車消費(fèi)者敏感個(gè)人信息，北京負(fù)面清單則直接引用《跨境新規(guī)》規(guī)定回避了這一問題，我們理解《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》的規(guī)定很有可能結(jié)合負(fù)面清單的試點(diǎn)情況后續(xù)發(fā)生調(diào)整。

此外，就出境前需要訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證的數(shù)據(jù)清單，結(jié)合《跨境新規(guī)》規(guī)定與天津、北京自貿(mào)區(qū)政策對(duì)比，總結(jié)如下：

點(diǎn)擊可查看大圖

通過對(duì)比發(fā)現(xiàn)，天津負(fù)面清單和北京負(fù)面清單就需訂立個(gè)人信息出境標(biāo)準(zhǔn)合同/通過個(gè)人信息保護(hù)認(rèn)證的規(guī)定與《跨境新規(guī)》保持一致。結(jié)合兩表，我們理解在實(shí)操中有不少問題仍待澄清，就非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的汽車企業(yè)A的不涉及人力資源管理、履行合同以及緊急情況的跨境傳輸活動(dòng)，假設(shè)以下場景：

1、A注冊在非自貿(mào)區(qū)且并未在自貿(mào)區(qū)開展任何數(shù)據(jù)處理活動(dòng)，自當(dāng)年1月1日起累計(jì)對(duì)外提供10萬客戶的個(gè)人信息（不含敏感個(gè)人信息）

按照《跨境新規(guī)》，應(yīng)當(dāng)訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證；按照《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。實(shí)操中如何確定目前并沒有統(tǒng)一口徑。

2、A注冊在天津自貿(mào)區(qū)，自當(dāng)年1月1日起累計(jì)對(duì)外提供10萬客戶的個(gè)人信息（不含敏感個(gè)人信息）

按照天津負(fù)面清單，如果不屬于智能汽車的客戶則應(yīng)當(dāng)訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。但是，如果該等個(gè)人信息落入OTA等場景，則可能需要開展數(shù)據(jù)出境安全評(píng)估。

3、A注冊在北京自貿(mào)區(qū)，自當(dāng)年1月1日起累計(jì)對(duì)外提供10萬客戶的個(gè)人信息（不含敏感個(gè)人信息）

按照北京負(fù)面清單，應(yīng)當(dāng)訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。但是，如果該等個(gè)人信息落入車聯(lián)網(wǎng)信息服務(wù)、OTA等場景，則可能需要開展數(shù)據(jù)出境安全評(píng)估。

以上體現(xiàn)出同一數(shù)據(jù)集在不同場景、不同監(jiān)管規(guī)則中的多重特性，尤其在目前多項(xiàng)監(jiān)管規(guī)定出臺(tái)的情況下，企業(yè)如何開展合規(guī)工作是我們持續(xù)關(guān)注的重點(diǎn)。

四、實(shí)施與前瞻：自貿(mào)區(qū)便利措施的落地及未來

自貿(mào)區(qū)的數(shù)據(jù)分類分級(jí)與跨境的監(jiān)管嘗試剛剛起步，我們理解各地自貿(mào)區(qū)會(huì)結(jié)合當(dāng)?shù)亟?jīng)貿(mào)特色進(jìn)一步探索，對(duì)于國家層面的重要數(shù)據(jù)認(rèn)定以及數(shù)據(jù)跨境監(jiān)管有重大借鑒意義。目前自貿(mào)區(qū)普遍從企業(yè)自身的數(shù)據(jù)出境場景出發(fā)進(jìn)行界定，呈現(xiàn)出與企業(yè)業(yè)務(wù)結(jié)合度更為深入的趨勢，相較之前國家層面宏觀的國家安全、社會(huì)公益視角提供的數(shù)據(jù)分類分級(jí)規(guī)則操作性增強(qiáng)。然而數(shù)據(jù)跨境監(jiān)管是一個(gè)系統(tǒng)工程，為了實(shí)現(xiàn)“管得住，放得開”的目的，可能還可以從企業(yè)自身的數(shù)據(jù)安全保護(hù)能力以及出境接收方及接收方所在地等角度出發(fā)，結(jié)合跨境數(shù)據(jù)流動(dòng)安全管控狀態(tài)制定別具特色的負(fù)面清單，我們很期待下一步的監(jiān)管進(jìn)展。

對(duì)于企業(yè)而言，我們理解可從如下方面推進(jìn)工作，以更好地利用各自貿(mào)區(qū)數(shù)據(jù)監(jiān)管政策：

• 對(duì)于企業(yè)自身而言，結(jié)合所處行業(yè)、業(yè)務(wù)領(lǐng)域與自貿(mào)區(qū)規(guī)定判斷適用性，同時(shí)對(duì)于自貿(mào)區(qū)政策適用流程進(jìn)行研判，抓住自貿(mào)區(qū)的出境確定性利好機(jī)會(huì)；

• 對(duì)于集團(tuán)公司而言，加強(qiáng)自身的數(shù)據(jù)治理工作，提升數(shù)據(jù)安全能力，基于自貿(mào)區(qū)政策情況，結(jié)合注冊地和數(shù)據(jù)處理活動(dòng)開展地狀況，靈活確定集團(tuán)公司內(nèi)部的數(shù)據(jù)跨境策略；

• 結(jié)合自貿(mào)區(qū)各類清單審視內(nèi)部數(shù)據(jù)分類分級(jí)策略，對(duì)于敏感數(shù)據(jù)進(jìn)行打標(biāo)并持續(xù)關(guān)注；

• 關(guān)注自貿(mào)區(qū)監(jiān)管動(dòng)態(tài)，與自貿(mào)區(qū)政府就數(shù)據(jù)跨境工作積極展開交流和溝通。

[注]?

[1] 《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第六條 自由貿(mào)易試驗(yàn)區(qū)在國家數(shù)據(jù)分類分級(jí)保護(hù)制度框架下，可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證管理范圍的數(shù)據(jù)清單（以下簡稱負(fù)面清單），經(jīng)省級(jí)網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，報(bào)國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案。

自由貿(mào)易試驗(yàn)區(qū)內(nèi)數(shù)據(jù)處理者向境外提供負(fù)面清單外的數(shù)據(jù)，可以免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。