基于场景化的白名单路径，提升法律确定性节约合规资源——评临港《数据跨境场景化一般数据清单》

我国推进高水平对外开放的决心从未改变。习近平总书记在2020年11月作出明确表示：“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定（CPTPP）。”2021年11月，中方正式提出加入《数字经济伙伴关系协定》（DEPA）申请，并于2024年5月完成了加入DEPA工作组第五次首席谈判代表会议。2023年底，国务院印发《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》，目的是在上海自贸试验区全面对接国际高标准经贸规则，打造国家制度型开放示范区。目前，中国正在参与世界贸易组织（WTO）电子商务章节的谈判。数据跨境流动正是上述国际协定谈判和高水平制度开放的核心内容之一。2024年3月22日，国家互联网信息办公室正式发布了《促进和规范数据跨境流动规定》（以下称《规定》）。《规定》增加了地方政府在数据出境安全管理体制中的角色和权重。最突出的就是第6条第1款规定：“自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。”以及关于负面清单外数据出境的第6条第2款规定“自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”基于此规定，各个自贸区可以因地制宜，按照自身定位和发展战略、方向等，确定可以豁免“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的数据清单。换句话说，对于各个自贸区确立的发展方向（特别是数字化领域）所伴生的数据跨境流动需求，国家网信部门此次给各个地方作了监管适配性的授权。《规定》的出台，对我国数据跨境流通及自贸区的发展无疑是一项非常积极的举措。

近日，上海自贸区临港新片区在前期出台《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》的基础上，进一步发布了《数据跨境场景化一般数据清单》（以下简称“一般数据清单”）。在笔者看来，“一般数据清单”具有两个突出的特点，一是提升法律确定性并节省合规资源的“公共品”，二是在不确定的安全环境中迈出的稳妥一步。以下分别阐释。

一般来说，一个法律规定中的概念在实际合规实践中的细化，需要经过以下来来回回数个步骤。以下以个人信息的界定为例子说明。

第一个步骤公司内部法务部门人员与业务人员合作，从业务视角的概念理解，转换成为法律规定中的概念界定。比如二手车状况监控或记录的APP，其业务中主要收集的是车架号，以及该车架号所属汽车的维修记录。一般来说，车架号是车辆的唯一标识码，而法务则要判断、明确车架号是否属于《个人信息保护法》中的个人信息。

第二个步骤是由于公司内部法务部门一般来说主要的关注是其组织内部的场景和业务模型，其往往对其他行业或业务场景中对车架号是否被认定为个人信息，不甚了解。此时，往往公司法务部门会求助具有跨行业、跨场景经验的第三方服务方（例如律师事务所、咨询公司等）。律师或者咨询人员往往需要根据自己过往的经验给出一次判断。这是第二次判断。

第三个步骤是监管部门给出判断。这其中存在两种形式。第一种形式是公司内部法务或律师咨询人员主动和监管部门沟通，试图从监管侧得到前两个步骤中自行做出的判断的确认。第二种形式是监管部门在实际开展审批、备案，或者开展监督检查过程中，确认或者推翻前两个步骤中法务人员或律师咨询人员所做出的判断。

四是当法务反对监管部门的判断或认定时，还可以诉诸于司法流程，去具有管辖权的法院起诉监管部门所做的判断，寻求法官的支持。在此过程中，还可能涉及到二审、三审等。

从上述实务层面情况的分解来看，不难得到一个看法：对一个不确定的法律概念从文本到落地，需要反复且冗长的过程，不仅涉及到的人员和层面非常多，而且其中所消耗的合规资源、以及监管和司法资源都非常显著。

对于数据出境安全管理中，恰恰存在很多不确定的法律概念。诚然，对于新技术、新领域来说，大量不确定法律概念的存在不可避免，但这些概念对于组织合规来说又至关重要，不仅决定了合规策略和路径的选择，合规资源的配置和消耗，更加决定了业务设计的选择和业务开展的调整。

从这个角度来看，上海自贸区临港新片区开全国之先河，首先提出了临港新片区“一般数据清单”，具有重大的意义。首先，“一般数据清单”直接且明确地列出了可以自由出境的数据字段，这些字段直接贴合了组织内部的业务人员、法务人员的认知体系和话语体系，此特点能够极大地减少在前述第一步骤和第二步骤中的合规成本。其次，“一般数据清单”中可以自由出境的数据字段的提出，据悉前期临港新片区管委会已经经过和包括上海和中央层面的各相关监管部门的沟通并获得确认和认可，换言之，前述的第三步骤和第四步骤中涉及的沟通、诉讼成本等，完全可以节省。最后，“一般数据清单”的发展是动态和变化的，是一份活的文件，也就是说，当企业在业务开展过程中存在对数据出境安全管理中不明确的问题时，都可以主动向临港新片区管委会寻求帮助，管委会将在条件具备和成熟的情况下，积极提供面相片区企业的“公共品”——即进一步更新、扩大“一般数据清单”。

在信息技术、数据技术科技、人工智能、智能技术日新月异的当下，数据已经成为新型生产要素促进上述技术发展的核心要素。作为数字化、网络化、智能化发展的基础，数据在全球范围内正快速融入生产、分配、流通、消费和社会服务管理等方方面面，已经深刻改变了各国各地区的生产方式、生活方式和社会治理方式。著名的《外交事务》( Foreign Affairs)杂志在2021年第三期发表了一篇在国内广为传播的文章——《数据即是权力》（data is power）。两位作者直言：“与全球经济的其他要素相比，数据与权力更紧密地交织在一起。作为创新日益必要的投入、国际贸易迅速扩大的元素，企业成功的重要因素，以及国家安全的重要层面，数据为所有拥有它的人提供了难以置信的优势。它也很容易被滥用。寻求反竞争优势（anticompetitive advantages）的国家和公司试图控制数据，那些希望破坏自由和隐私的人也是如此”。因此，数据在开发利用的同时，必然也可能会各方面带来安全风险。

一方面数据便利化跨境流动是硬要求，另一方面安全风险具有高度的不确定性。“一般数据清单”给出了一种稳妥的方案。具体来说，与目前其他自贸区相关制度设计相比，临港新片区的“一般数据清单”的一个突出特点是通过“三要素”结合作为清单的基本框架——即传输目的、传输字段（配合描述）、传输后的要求。对熟悉国家层面建立的数据出境安全管理制度的读者来说，应该一下子能够看出这三个要素事实上契合了无论是出境安全评估、个人信息标准合同、个人信息保护认证的主要考量方面。传输目的限定了数据在境外的处理目的，也就同时建立了评价数据出境后是否合法处理的基线；传输字段实际上确立了某项传输目的之下，为完成特定业务而确需出境的数据字段，也就完成了数据出境安全管理中的必要性判断；传输后的要求，针对的是境外数据接收方的数据安全管理和技术措施，也就是对应的数据出境安全管理中对数据传输和使用的完整性、保密性、可用性的要求。

因此，“一般数据清单”是在“传输目的、传输字段（配合描述）、传输后的要求”三限定框架下的数据清单，其实质是将过去实践中已经被国家有关部门批准或已经被证明出境安全风险确实较低的场景或业务，形式固定下来和对外展示出来，对其他具有类似需求的企业给于明确的信号和指引。

据悉，临港新片区还将“一般数据清单”作为一份发展中的“活的文件”，聚焦存在广泛需求的典型场景，通过具体出境场景小切口的方式允许风险可控的数据跨境流动，积累数据跨境事中事后管理的实践经验，最终在未来合适的时机下，推动“精准化”的负面清单出台。

在当前全球经济增长乏力背景下，数字经济成为撬动持续不断的、且分量越来越重的成为撬动经济增长的新杠杆，成为各国促进经济复苏、和稳定经济增长的稳定器，以及未来高质量发展的方向引领未来经济发展方向的新杠杆。数字经济数据跨境流动已经成为前述国际协定谈判和上海高水平制度开放的核心内容之一。临港新片区关于“一般数据清单”的积极尝试，在国家“自上而下”编制重要数据目录的前提下，更好发挥自贸区“自下而上”先行先试作用，通过收集梳理目前企业对数据跨境的实际需求，根据场景来编制一般数据清单且可操作可落地的做法，为编制数据跨境的负面清单和重要数据目录提供新的实践样本

15. 
    
36. 
    
50. 
    
67. 欧

针对审计在数据安全、个人信息保护、A安全的作用与落地实操，本公众号发布过的文章：

针对已公开数据的个人信息保护研究，本公号发表过以下文章

关于欧盟的人工智能监管方面的立法、政策和实践方面的文章：

关于欧盟技术主权相关举措的翻译和分析：