落實(shí)法律要求,，近年國家網(wǎng)信辦先后出臺實(shí)施《數(shù)據(jù)出境安全評估辦法》,、《個人信息出境標(biāo)準(zhǔn)合同辦法》,、《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱《規(guī)定》）等政策，構(gòu)建了我國數(shù)據(jù)跨境流動管理制度的基本框架,。《規(guī)定》第6條明確“自由貿(mào)易試驗(yàn)區(qū)在國家數(shù)據(jù)分類分級保護(hù)制度框架下,，可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評估,、個人信息出境標(biāo)準(zhǔn)合同、個人信息保護(hù)認(rèn)證管理范圍的數(shù)據(jù)清單（以下簡稱負(fù)面清單）”,。8月30日,，北京市發(fā)布《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境管理清單（負(fù)面清單）（2024版）》及其配套的《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境負(fù)面清單管理辦法（試行）》（以下簡稱《管理辦法》），是我國政府積極探索提升數(shù)據(jù)安全治理監(jiān)管能力,，建立高效便利安全的數(shù)據(jù)跨境流動機(jī)制的重要舉措,，體現(xiàn)了北京市推動高質(zhì)量發(fā)展和高水平安全良性互動的決心。

一,、深入分析論證,，科學(xué)制定負(fù)面清單

北京市高度重視數(shù)據(jù)跨境流動工作，將數(shù)據(jù)跨境便利化服務(wù)改革作為釋放數(shù)據(jù)要素價值,、推進(jìn)高水平對外開放,、助力數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的重要舉措，列入市政府工作報告和多個專項(xiàng)計劃規(guī)劃持續(xù)推進(jìn),?！兑?guī)定》發(fā)布后，北京市積極用好政策紅利,，第一時間啟動負(fù)面清單及配套管理辦法的研究制定工作,，目標(biāo)是探索建立既能便利數(shù)據(jù)流動又能保障安全的機(jī)制，北京市負(fù)面清單的科學(xué)性主要體現(xiàn)在以下方面：

一是結(jié)合北京自貿(mào)區(qū)產(chǎn)業(yè)實(shí)際,，按照“急用先行,、小步快跑”原則，分行業(yè),、分領(lǐng)域,、分批次推進(jìn)編制工作,，成熟一批發(fā)布一批，不求大而全,。負(fù)面清單編制是一項(xiàng)涉及行業(yè)面廣,、數(shù)據(jù)專業(yè)性強(qiáng)的創(chuàng)新性工作，北京市網(wǎng)信辦在清單制定伊始曾組織專題會議研討制定原則,，是否需要全行業(yè)覆蓋,，考慮到《國民經(jīng)濟(jì)行業(yè)分類》中涉及行業(yè)門類20余個、大類近百個,，各行業(yè)的業(yè)務(wù)場景和涉及數(shù)據(jù)均存在特異性,，想要一步到位制定一份大而全又方便企業(yè)使用的負(fù)面清單的難度較大，且北京市各自貿(mào)組團(tuán)當(dāng)前和未來一個時期側(cè)重發(fā)展的產(chǎn)業(yè)范圍較為穩(wěn)定,，大而全的意義有限,，因此確定了分批次、有重點(diǎn),、動態(tài)調(diào)整的科學(xué)路線,。

二是充分參考借鑒前期數(shù)據(jù)出境安全評估、個人信息出境標(biāo)準(zhǔn)合同備案等工作基礎(chǔ),。北京市網(wǎng)信辦綜合梳理已獲批的40余家企業(yè)安全評估案例,、150余家企業(yè)標(biāo)準(zhǔn)合同備案案例涉及的汽車、醫(yī)藥,、民航,、零售、人工智能等行業(yè)領(lǐng)域數(shù)據(jù)出境情況,，深入研究上述5個行業(yè)領(lǐng)域數(shù)據(jù)出境目的,、典型場景、數(shù)據(jù)類型,、數(shù)據(jù)處理方式,、出境個人信息數(shù)量及數(shù)據(jù)保護(hù)措施，綜合研判,、科學(xué)設(shè)定個人信息及敏感個人信息量級,。

三是便利企業(yè)使用，不搞“拍腦袋”創(chuàng)新,。目前企業(yè)梳理自身的數(shù)據(jù)出境活動往往都是按業(yè)務(wù)場景進(jìn)行劃分,，因此使用“企業(yè)語言”制定負(fù)面清單對企業(yè)最為友好。根據(jù)前期工作基礎(chǔ),，負(fù)面清單梳理了5個行業(yè)的典型數(shù)據(jù)出境場景和數(shù)據(jù)項(xiàng),，相較于《規(guī)定》在出境人數(shù)上進(jìn)一步適度放寬，但各業(yè)務(wù)場景放寬的人數(shù)各不相同,，并沒有搞“一刀切”的閾值劃定,，這是因?yàn)楦餍袠I(yè)的監(jiān)管要求不同，且通過大量企業(yè)調(diào)研發(fā)現(xiàn),，某個合理的業(yè)務(wù)當(dāng)年出境個人信息的規(guī)模是較為穩(wěn)定的,，例如多家外資藥企反饋藥物臨床試驗(yàn)場景每年出境人數(shù)一般不會超過5萬人，因此放寬至100萬人與放寬至5萬人的意義是相同的,，能夠滿足絕大多數(shù)藥企的需求,。同時，從安全風(fēng)險角度考慮,，在限定數(shù)據(jù)使用場景和目的的基礎(chǔ)上,，放寬至5萬人顯然風(fēng)險更為可控。

四是政企共治數(shù)據(jù)安全,，引導(dǎo)企業(yè)提升自身數(shù)據(jù)安全合規(guī)能力,。數(shù)字經(jīng)濟(jì)發(fā)展的單元是企業(yè)，企業(yè)自身安全意識和合規(guī)能力提升將帶來我國數(shù)據(jù)安全和個人信息保護(hù)能力的不斷提升,，因此負(fù)面清單不僅可以做到寬嚴(yán)相濟(jì),，還可以起到正向引導(dǎo)作用。例如汽車行業(yè)的OTA在線升級場景明確,，OTA類型,、OTA主控模塊、聯(lián)網(wǎng)終端,、可遠(yuǎn)程升級系統(tǒng)等數(shù)據(jù)原則應(yīng)該申報數(shù)據(jù)出境安全評估,，但“已在工業(yè)和信息化部備案，并通過相關(guān)安全技術(shù)措施處理,，可確保升級包數(shù)據(jù)不被篡改的情形除外”,，這些細(xì)節(jié)體現(xiàn)了更加便利合規(guī)意識強(qiáng)、技術(shù)能力強(qiáng),、管理措施規(guī)范的企業(yè)開展業(yè)務(wù)的科學(xué)管理導(dǎo)向,。

二、直面企業(yè)訴求,，確保負(fù)面清單便利可用

數(shù)據(jù)跨境流動管理制度施行以來,，社會上討論頗多，企業(yè)開展數(shù)據(jù)出境合規(guī)工作仍存在一些難點(diǎn),，普遍期望數(shù)據(jù)出境合規(guī)成本更低,、數(shù)據(jù)出境渠道更加便利等，對于上述問題,，負(fù)面清單給予了相應(yīng)解答,。

一是負(fù)面清單的使用對象是企業(yè)，北京市堅持問題導(dǎo)向,，樹立“企業(yè)認(rèn)為好用才是好的負(fù)面清單”的制定原則,，扎實(shí)開展企業(yè)調(diào)研和征求意見,。在清單編制過程中，北京市網(wǎng)信辦聯(lián)合自貿(mào)區(qū)管理機(jī)構(gòu)組織10余次重點(diǎn)行業(yè)領(lǐng)域頭部企業(yè)座談,，深入調(diào)研走訪近百家企業(yè),，悉心聽取企業(yè)建議，摸排企業(yè)面臨的難點(diǎn)問題,。經(jīng)仔細(xì)研究行業(yè)法規(guī)標(biāo)準(zhǔn)和監(jiān)管現(xiàn)狀,，充分考慮行業(yè)數(shù)據(jù)敏感性和出境必要性等要素，廣泛征詢主管部門,、行業(yè)專家及頭部企業(yè)意見,，分行業(yè)分場景科學(xué)測算劃定需納入負(fù)面清單的個人信息及敏感個人信息規(guī)模，提升自貿(mào)區(qū)數(shù)據(jù)出境便利度和負(fù)面清單實(shí)用性,。

二是讓企業(yè)看得懂,、用得上。負(fù)面清單共包含5個領(lǐng)域48項(xiàng)內(nèi)容,，每項(xiàng)包括數(shù)據(jù)類別,、數(shù)據(jù)基本特征、適用的企業(yè)業(yè)務(wù)場景及其數(shù)據(jù)項(xiàng)示例,。根據(jù)相關(guān)行業(yè)領(lǐng)域數(shù)據(jù)出境特點(diǎn),，負(fù)面清單重點(diǎn)從重要數(shù)據(jù)、個人信息兩個方面進(jìn)行規(guī)定和說明,，其中重要數(shù)據(jù)18項(xiàng),、個人信息30項(xiàng)。為進(jìn)一步提升實(shí)用性,，負(fù)面清單中列舉了23個具體場景共198個數(shù)據(jù)字段為示例,，幫助企業(yè)快速理解負(fù)面清單的管理要求。重要數(shù)據(jù)方面,，以增加限定條件和示例說明等方式,，進(jìn)一步細(xì)化明確對于出境重要數(shù)據(jù)的認(rèn)定條件，使清單更具備可操作性和可執(zhí)行性,。個人信息和敏感個人信息方面,，負(fù)面清單對允許出境的個人信息和敏感個人信息規(guī)模進(jìn)行精準(zhǔn)量化和適度放寬，盡可能解決企業(yè)合理訴求,，提升自貿(mào)區(qū)數(shù)據(jù)出境便利度和負(fù)面清單的實(shí)用性,。

三是明確責(zé)任分工，細(xì)化實(shí)施流程,，讓企業(yè)清楚該找誰,、如何辦理?！豆芾磙k法》明確,，負(fù)面清單由市網(wǎng)信辦,、市商務(wù)局、市政數(shù)局負(fù)責(zé)統(tǒng)籌管理,，朝陽,、海淀、昌平,、通州、順義,、大興,、亦莊等7個自貿(mào)組團(tuán)負(fù)責(zé)具體實(shí)施，組織指導(dǎo)本組團(tuán)內(nèi)數(shù)據(jù)處理者合規(guī)使用負(fù)面清單,，制定出臺負(fù)面清單配套實(shí)施指南,、明確負(fù)面清單使用對象及申報流程、指導(dǎo)數(shù)據(jù)處理者開展使用申請和備案工作,、加強(qiáng)數(shù)據(jù)出境活動的跟蹤監(jiān)督,、形成事中存證與事后監(jiān)管能力等。企業(yè)如需使用負(fù)面清單,，按程序向所在自貿(mào)組團(tuán)提交申請,、提交備案并獲批后，合規(guī)開展數(shù)據(jù)出境活動即可,。

三,、設(shè)立安全基線，數(shù)據(jù)出境安全不降級

數(shù)據(jù)出境便利化并不等同于安全責(zé)任的衰減,，負(fù)面清單越短,，安全責(zé)任越大，如何統(tǒng)籌好發(fā)展與安全的關(guān)系,，是負(fù)面清單制定工作的重中之重,。因此，北京市同步推出《管理辦法》,，探索構(gòu)建與負(fù)面清單配套的數(shù)據(jù)出境安全管理與服務(wù)模式,，做到安全不降級。

一是實(shí)施企業(yè)準(zhǔn)入管理和出境數(shù)據(jù)備案,，把控數(shù)據(jù)處理者合法合規(guī)經(jīng)營狀況,，審核業(yè)務(wù)符合情況，這可以類比于金融領(lǐng)域的信用評價管理,。

二是加強(qiáng)事中事后監(jiān)管能力,，各自貿(mào)組團(tuán)采取一致性抽驗(yàn)的方式，驗(yàn)證數(shù)據(jù)處理者實(shí)際數(shù)據(jù)出境情況與備案內(nèi)容的一致性,，這可以類比于醫(yī)藥領(lǐng)域的飛行檢查,。

三是通過嚴(yán)格限定業(yè)務(wù)場景,、出境字段等方式，對個人信息和敏感個人信息規(guī)模進(jìn)行精準(zhǔn)量化和適度放寬,，最大化降低放寬范圍內(nèi)的個人信息出境風(fēng)險,，確保在安全可管可控的基礎(chǔ)上，盡可能滿足企業(yè)的合理必要的數(shù)據(jù)出境訴求,。

四是建立負(fù)面清單動態(tài)管理機(jī)制,，市級管理部門對于已出臺的負(fù)面清單，跟蹤評估實(shí)施情況和安全風(fēng)險,，統(tǒng)籌開展負(fù)面清單修訂工作,，根據(jù)安全風(fēng)險高低情況將相應(yīng)出境數(shù)據(jù)調(diào)入、調(diào)出負(fù)面清單管理,。

總的來說,，自貿(mào)區(qū)負(fù)面清單制度是構(gòu)建數(shù)據(jù)出境流動管理高水平基礎(chǔ)制度的創(chuàng)新舉措，也是一項(xiàng)全新且充滿挑戰(zhàn)的工作,，各地的相關(guān)工作均剛剛起步,，未來可能還會有很多難點(diǎn)和問題需要進(jìn)一步研究破解，讓我們期待北京市的施行成效,，為全國提供有益參考借鑒,。

作者：卓子寒國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心正高級工程師