自贸区（港）数据跨境流动制度创新探索正当时

    产经新闻网：（周念利，于美月）数据跨境流动是支撑数字贸易和数字经济发展的关键，但同时也会给国家数据安全及个人隐私保护等带来一定挑战。如何统筹平衡数据跨境流动治理中的“发展目标”和“安全目标”非常重要。早在2020年8月，国家商务部便提出在北京、上海、海南等条件相对较好的自贸区（港）开展数据跨境传输安全管理试点。今年十四届全国人大一次会议又提出要组建国家数据局，高效统筹数据资源的共享及开发利用。国家对于数据治理工作一贯高度重视。今年的政府工作报告已明确指出2023年政府工作重点是稳步扩大制度型开放水平。在数据跨境流动问题上如何稳步推进构建制度型开放体系值得思考。

 

    事实上，由于我国一些自贸区（港）已拥有较完善的产业生态和市场应用基础，企业有着较迫切和多元的数据出境需求。另一方面，自2022年以来，我国国家层面有关数据跨境流动的法律法规和规范指南已陆续出台，我国以“安全评估、标准合同、个人信息保护认证和其他”为主要机制的数据出境监管制度体系已初步搭建。在此背景下，在自贸区（港）进行制度型开放体系构建的创新探索也是恰逢其时。

 

    笔者认为，自贸区（港）开展数据跨境流动制度创新工作，要在兼顾“安全目标”的基础上更偏重“发展目标”。另外，要在明确审批权边界基础上更注重推进国家相关监管制度体系的落地实施。因为数据出境审批属于国家事权，自贸区（港）进行制度创新，其工作重点在于推进国家层级相关监管制度的落地实施，提升现有法律法规的可操作性和可执行性。此外围绕数据跨境流动治理，大国展开了激烈博弈。自贸区（港）在进行相关制度创新时，应及时关注国际数据治理前沿动态，还有必要结合自身的产业基础、地缘生态、政经特点等进行创新探索，为总结提炼符合我国国情的所谓“中式”数据跨境流动治理方案做出贡献。

 

    在秉持这些基本原则的基础上，自贸区（港）从事数据跨境流动制度创新需循序渐进，抓住各阶段的主要矛盾来进行。目前，可围绕如下四个方面的核心抓手展开：

 

    一是协助数据出境安全评估机制平稳落地。根据国家数据出境监管法律体系，重要数据和规模以上的个人数据需经过安全评估才能出境，但国家目前尚未出台统一的重要数据目录。各自贸区（港）应配合国家尤其是在自身具有比较优势的相关产业和业务领域（如：北京的生物医疗、社交媒介领域，上海自贸区的金融、汽车产业、工业互联网领域等）帮助出台重要数据清单。具体而言，可结合针对重点企业实地调研和吸取行业专家建议，以《信息安全技术重要数据识别指南（征求意见稿）》中的14条重要识别因素对每一类数据进行判断，形成该自贸区（港）特定领域的潜在重要数据“正面清单”，为国家制定统一重要数据目录提供参考。

 

    二是先行探索自贸区（港）的个人信息保护认证机制。虽然我国的个人信息保护认证规范已经出台，但其中仍有需澄清之处，目前也尚未有可参考的成功案例，因此自贸区（港）可先从重点领域挑选企业，从以下几方面着手进行小范围试点：一是保障认证机构的“专业性”和“独立性”；二是尝试探索“技术验证”和“现场审核”等环节如何适用于境外接收方；三是明确“技术验证”的内涵以及要点，为国家相关部门制定统一的技术验证标准提供参考；四是建立认证反馈机制，包括且不限于督促数据出境方自查、定期核查数据出境方资质等。

 

    三是优化服务于贸易情境下个人数据出境的标准格式合同。个人数据出境可基于“标准格式合同”方式。根据“标准合同附件中可加入双方协商拟定的其他条款”的规定，自贸区（港）可对现有标准格式合同进行适当调整和优化，使其更符合贸易情境下的个人数据的出境监管，尤其是确保数据出境标准合同与商业主合同不冲突。

 

    四是同主体同类数据的高频出境的便捷化处理。对于已达到数据出境安全评估门槛，且属于同主体同类数据高频出境的情形，可尝试申请国家授权建立“同主体同类数据高频出境白名单制度”。即数据第一次出境时仍须完整执行安全评估流程，同时对数据处理者、数据接收方、数据条目、数据出境频次和数据用途等进行备案，后续同主体同类数据再次出境时，可省去繁琐的评估流程。另外，可采取“事前备案+事后监管”相结合的监管机制以防范风险。（中国贸易报）