落實法律要求,，近年國家網(wǎng)信辦先后出臺實施《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》,、《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱《規(guī)定》）等政策,，構建了我國數(shù)據(jù)跨境流動管理制度的基本框架?！兑?guī)定》第6條明確“自由貿易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下,，可以自行制定區(qū)內需要納入數(shù)據(jù)出境安全評估、個人信息出境標準合同,、個人信息保護認證管理范圍的數(shù)據(jù)清單（以下簡稱負面清單）”,。8月30日，北京市發(fā)布《中國（北京）自由貿易試驗區(qū)數(shù)據(jù)出境管理清單（負面清單）（2024版）》及其配套的《中國（北京）自由貿易試驗區(qū)數(shù)據(jù)出境負面清單管理辦法（試行）》（以下簡稱《管理辦法》）,，是我國政府積極探索提升數(shù)據(jù)安全治理監(jiān)管能力,，建立高效便利安全的數(shù)據(jù)跨境流動機制的重要舉措，體現(xiàn)了北京市推動高質量發(fā)展和高水平安全良性互動的決心,。

一,、深入分析論證，科學制定負面清單

北京市高度重視數(shù)據(jù)跨境流動工作,，將數(shù)據(jù)跨境便利化服務改革作為釋放數(shù)據(jù)要素價值,、推進高水平對外開放、助力數(shù)字經(jīng)濟高質量發(fā)展的重要舉措,，列入市政府工作報告和多個專項計劃規(guī)劃持續(xù)推進,。《規(guī)定》發(fā)布后,，北京市積極用好政策紅利,，第一時間啟動負面清單及配套管理辦法的研究制定工作，目標是探索建立既能便利數(shù)據(jù)流動又能保障安全的機制,，北京市負面清單的科學性主要體現(xiàn)在以下方面：

一是結合北京自貿區(qū)產(chǎn)業(yè)實際,，按照“急用先行、小步快跑”原則,，分行業(yè),、分領域,、分批次推進編制工作，成熟一批發(fā)布一批,，不求大而全,。負面清單編制是一項涉及行業(yè)面廣、數(shù)據(jù)專業(yè)性強的創(chuàng)新性工作,，北京市網(wǎng)信辦在清單制定伊始曾組織專題會議研討制定原則，是否需要全行業(yè)覆蓋,，考慮到《國民經(jīng)濟行業(yè)分類》中涉及行業(yè)門類20余個,、大類近百個，各行業(yè)的業(yè)務場景和涉及數(shù)據(jù)均存在特異性,，想要一步到位制定一份大而全又方便企業(yè)使用的負面清單的難度較大,，且北京市各自貿組團當前和未來一個時期側重發(fā)展的產(chǎn)業(yè)范圍較為穩(wěn)定，大而全的意義有限,，因此確定了分批次,、有重點、動態(tài)調整的科學路線,。

二是充分參考借鑒前期數(shù)據(jù)出境安全評估,、個人信息出境標準合同備案等工作基礎。北京市網(wǎng)信辦綜合梳理已獲批的40余家企業(yè)安全評估案例,、150余家企業(yè)標準合同備案案例涉及的汽車,、醫(yī)藥、民航,、零售,、人工智能等行業(yè)領域數(shù)據(jù)出境情況，深入研究上述5個行業(yè)領域數(shù)據(jù)出境目的,、典型場景,、數(shù)據(jù)類型、數(shù)據(jù)處理方式,、出境個人信息數(shù)量及數(shù)據(jù)保護措施,，綜合研判、科學設定個人信息及敏感個人信息量級,。

三是便利企業(yè)使用,，不搞“拍腦袋”創(chuàng)新。目前企業(yè)梳理自身的數(shù)據(jù)出境活動往往都是按業(yè)務場景進行劃分,，因此使用“企業(yè)語言”制定負面清單對企業(yè)最為友好,。根據(jù)前期工作基礎，負面清單梳理了5個行業(yè)的典型數(shù)據(jù)出境場景和數(shù)據(jù)項,，相較于《規(guī)定》在出境人數(shù)上進一步適度放寬,，但各業(yè)務場景放寬的人數(shù)各不相同,，并沒有搞“一刀切”的閾值劃定，這是因為各行業(yè)的監(jiān)管要求不同,，且通過大量企業(yè)調研發(fā)現(xiàn),，某個合理的業(yè)務當年出境個人信息的規(guī)模是較為穩(wěn)定的，例如多家外資藥企反饋藥物臨床試驗場景每年出境人數(shù)一般不會超過5萬人,，因此放寬至100萬人與放寬至5萬人的意義是相同的,，能夠滿足絕大多數(shù)藥企的需求。同時,，從安全風險角度考慮,，在限定數(shù)據(jù)使用場景和目的的基礎上，放寬至5萬人顯然風險更為可控,。

四是政企共治數(shù)據(jù)安全,，引導企業(yè)提升自身數(shù)據(jù)安全合規(guī)能力。數(shù)字經(jīng)濟發(fā)展的單元是企業(yè),，企業(yè)自身安全意識和合規(guī)能力提升將帶來我國數(shù)據(jù)安全和個人信息保護能力的不斷提升,，因此負面清單不僅可以做到寬嚴相濟，還可以起到正向引導作用,。例如汽車行業(yè)的OTA在線升級場景明確,，OTA類型、OTA主控模塊,、聯(lián)網(wǎng)終端,、可遠程升級系統(tǒng)等數(shù)據(jù)原則應該申報數(shù)據(jù)出境安全評估，但“已在工業(yè)和信息化部備案,，并通過相關安全技術措施處理,，可確保升級包數(shù)據(jù)不被篡改的情形除外”，這些細節(jié)體現(xiàn)了更加便利合規(guī)意識強,、技術能力強,、管理措施規(guī)范的企業(yè)開展業(yè)務的科學管理導向。

二,、直面企業(yè)訴求,，確保負面清單便利可用

數(shù)據(jù)跨境流動管理制度施行以來，社會上討論頗多,，企業(yè)開展數(shù)據(jù)出境合規(guī)工作仍存在一些難點,，普遍期望數(shù)據(jù)出境合規(guī)成本更低、數(shù)據(jù)出境渠道更加便利等,，對于上述問題,，負面清單給予了相應解答。

一是負面清單的使用對象是企業(yè)，北京市堅持問題導向,，樹立“企業(yè)認為好用才是好的負面清單”的制定原則,，扎實開展企業(yè)調研和征求意見。在清單編制過程中,，北京市網(wǎng)信辦聯(lián)合自貿區(qū)管理機構組織10余次重點行業(yè)領域頭部企業(yè)座談,，深入調研走訪近百家企業(yè)，悉心聽取企業(yè)建議,，摸排企業(yè)面臨的難點問題,。經(jīng)仔細研究行業(yè)法規(guī)標準和監(jiān)管現(xiàn)狀，充分考慮行業(yè)數(shù)據(jù)敏感性和出境必要性等要素,，廣泛征詢主管部門,、行業(yè)專家及頭部企業(yè)意見，分行業(yè)分場景科學測算劃定需納入負面清單的個人信息及敏感個人信息規(guī)模,，提升自貿區(qū)數(shù)據(jù)出境便利度和負面清單實用性。

二是讓企業(yè)看得懂,、用得上,。負面清單共包含5個領域48項內容，每項包括數(shù)據(jù)類別,、數(shù)據(jù)基本特征,、適用的企業(yè)業(yè)務場景及其數(shù)據(jù)項示例。根據(jù)相關行業(yè)領域數(shù)據(jù)出境特點,，負面清單重點從重要數(shù)據(jù),、個人信息兩個方面進行規(guī)定和說明，其中重要數(shù)據(jù)18項,、個人信息30項,。為進一步提升實用性，負面清單中列舉了23個具體場景共198個數(shù)據(jù)字段為示例,，幫助企業(yè)快速理解負面清單的管理要求,。重要數(shù)據(jù)方面，以增加限定條件和示例說明等方式,，進一步細化明確對于出境重要數(shù)據(jù)的認定條件,，使清單更具備可操作性和可執(zhí)行性。個人信息和敏感個人信息方面,，負面清單對允許出境的個人信息和敏感個人信息規(guī)模進行精準量化和適度放寬,，盡可能解決企業(yè)合理訴求，提升自貿區(qū)數(shù)據(jù)出境便利度和負面清單的實用性,。

三是明確責任分工,，細化實施流程，讓企業(yè)清楚該找誰、如何辦理,?！豆芾磙k法》明確，負面清單由市網(wǎng)信辦,、市商務局,、市政數(shù)局負責統(tǒng)籌管理，朝陽,、海淀,、昌平、通州,、順義,、大興、亦莊等7個自貿組團負責具體實施,，組織指導本組團內數(shù)據(jù)處理者合規(guī)使用負面清單,，制定出臺負面清單配套實施指南、明確負面清單使用對象及申報流程,、指導數(shù)據(jù)處理者開展使用申請和備案工作,、加強數(shù)據(jù)出境活動的跟蹤監(jiān)督、形成事中存證與事后監(jiān)管能力等,。企業(yè)如需使用負面清單,，按程序向所在自貿組團提交申請、提交備案并獲批后,，合規(guī)開展數(shù)據(jù)出境活動即可,。

三、設立安全基線,，數(shù)據(jù)出境安全不降級

數(shù)據(jù)出境便利化并不等同于安全責任的衰減,，負面清單越短，安全責任越大,，如何統(tǒng)籌好發(fā)展與安全的關系,，是負面清單制定工作的重中之重。因此,，北京市同步推出《管理辦法》,，探索構建與負面清單配套的數(shù)據(jù)出境安全管理與服務模式，做到安全不降級,。

一是實施企業(yè)準入管理和出境數(shù)據(jù)備案,，把控數(shù)據(jù)處理者合法合規(guī)經(jīng)營狀況，審核業(yè)務符合情況,，這可以類比于金融領域的信用評價管理,。

二是加強事中事后監(jiān)管能力，各自貿組團采取一致性抽驗的方式，驗證數(shù)據(jù)處理者實際數(shù)據(jù)出境情況與備案內容的一致性,，這可以類比于醫(yī)藥領域的飛行檢查,。

三是通過嚴格限定業(yè)務場景、出境字段等方式,，對個人信息和敏感個人信息規(guī)模進行精準量化和適度放寬,，最大化降低放寬范圍內的個人信息出境風險，確保在安全可管可控的基礎上,，盡可能滿足企業(yè)的合理必要的數(shù)據(jù)出境訴求,。

四是建立負面清單動態(tài)管理機制，市級管理部門對于已出臺的負面清單,，跟蹤評估實施情況和安全風險,，統(tǒng)籌開展負面清單修訂工作，根據(jù)安全風險高低情況將相應出境數(shù)據(jù)調入,、調出負面清單管理,。

總的來說，自貿區(qū)負面清單制度是構建數(shù)據(jù)出境流動管理高水平基礎制度的創(chuàng)新舉措,，也是一項全新且充滿挑戰(zhàn)的工作,，各地的相關工作均剛剛起步，未來可能還會有很多難點和問題需要進一步研究破解,，讓我們期待北京市的施行成效,，為全國提供有益參考借鑒,。

作者：卓子寒國家計算機網(wǎng)絡應急技術處理協(xié)調中心正高級工程師