数字安全 | 北京市互联网信息办公室等三部门关于印发负面清单及管理办法的通知政策解读 - 新鲜讯息

专家解读

北京自贸区探索高效便利安全数据跨境流动机制的创新举措

落实法律要求，近年国家网信办先后出台实施《数据出境安全评估办法》、《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》（以下简称《规定》）等政策，构建了我国数据跨境流动管理制度的基本框架。《规定》第6条明确“自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单）”。8月30日，北京市发布《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》及其配套的《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（以下简称《管理办法》），是我国政府积极探索提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制的重要举措，体现了北京市推动高质量发展和高水平安全良性互动的决心。

一、深入分析论证，科学制定负面清单

北京市高度重视数据跨境流动工作，将数据跨境便利化服务改革作为释放数据要素价值、推进高水平对外开放、助力数字经济高质量发展的重要举措，列入市政府工作报告和多个专项计划规划持续推进。《规定》发布后，北京市积极用好政策红利，第一时间启动负面清单及配套管理办法的研究制定工作，目标是探索建立既能便利数据流动又能保障安全的机制，北京市负面清单的科学性主要体现在以下方面：

一是结合北京自贸区产业实际，按照“急用先行、小步快跑”原则，分行业、分领域、分批次推进编制工作，成熟一批发布一批，不求大而全。负面清单编制是一项涉及行业面广、数据专业性强的创新性工作，北京市网信办在清单制定伊始曾组织专题会议研讨制定原则，是否需要全行业覆盖，考虑到《国民经济行业分类》中涉及行业门类20余个、大类近百个，各行业的业务场景和涉及数据均存在特异性，想要一步到位制定一份大而全又方便企业使用的负面清单的难度较大，且北京市各自贸组团当前和未来一个时期侧重发展的产业范围较为稳定，大而全的意义有限，因此确定了分批次、有重点、动态调整的科学路线。

二是充分参考借鉴前期数据出境安全评估、个人信息出境标准合同备案等工作基础。北京市网信办综合梳理已获批的40余家企业安全评估案例、150余家企业标准合同备案案例涉及的汽车、医药、民航、零售、人工智能等行业领域数据出境情况，深入研究上述5个行业领域数据出境目的、典型场景、数据类型、数据处理方式、出境个人信息数量及数据保护措施，综合研判、科学设定个人信息及敏感个人信息量级。

三是便利企业使用，不搞“拍脑袋”创新。目前企业梳理自身的数据出境活动往往都是按业务场景进行划分，因此使用“企业语言”制定负面清单对企业最为友好。根据前期工作基础，负面清单梳理了5个行业的典型数据出境场景和数据项，相较于《规定》在出境人数上进一步适度放宽，但各业务场景放宽的人数各不相同，并没有搞“一刀切”的阈值划定，这是因为各行业的监管要求不同，且通过大量企业调研发现，某个合理的业务当年出境个人信息的规模是较为稳定的，例如多家外资药企反馈药物临床试验场景每年出境人数一般不会超过5万人，因此放宽至100万人与放宽至5万人的意义是相同的，能够满足绝大多数药企的需求。同时，从安全风险角度考虑，在限定数据使用场景和目的的基础上，放宽至5万人显然风险更为可控。

四是政企共治数据安全，引导企业提升自身数据安全合规能力。数字经济发展的单元是企业，企业自身安全意识和合规能力提升将带来我国数据安全和个人信息保护能力的不断提升，因此负面清单不仅可以做到宽严相济，还可以起到正向引导作用。例如汽车行业的OTA在线升级场景明确，OTA类型、OTA主控模块、联网终端、可远程升级系统等数据原则应该申报数据出境安全评估，但“已在工业和信息化部备案，并通过相关安全技术措施处理，可确保升级包数据不被篡改的情形除外”，这些细节体现了更加便利合规意识强、技术能力强、管理措施规范的企业开展业务的科学管理导向。

二、直面企业诉求，确保负面清单便利可用

数据跨境流动管理制度施行以来，社会上讨论颇多，企业开展数据出境合规工作仍存在一些难点，普遍期望数据出境合规成本更低、数据出境渠道更加便利等，对于上述问题，负面清单给予了相应解答。

一是负面清单的使用对象是企业，北京市坚持问题导向，树立“企业认为好用才是好的负面清单”的制定原则，扎实开展企业调研和征求意见。在清单编制过程中，北京市网信办联合自贸区管理机构组织10余次重点行业领域头部企业座谈，深入调研走访近百家企业，悉心听取企业建议，摸排企业面临的难点问题。经仔细研究行业法规标准和监管现状，充分考虑行业数据敏感性和出境必要性等要素，广泛征询主管部门、行业专家及头部企业意见，分行业分场景科学测算划定需纳入负面清单的个人信息及敏感个人信息规模，提升自贸区数据出境便利度和负面清单实用性。

二是让企业看得懂、用得上。负面清单共包含5个领域48项内容，每项包括数据类别、数据基本特征、适用的企业业务场景及其数据项示例。根据相关行业领域数据出境特点，负面清单重点从重要数据、个人信息两个方面进行规定和说明，其中重要数据18项、个人信息30项。为进一步提升实用性，负面清单中列举了23个具体场景共198个数据字段为示例，帮助企业快速理解负面清单的管理要求。重要数据方面，以增加限定条件和示例说明等方式，进一步细化明确对于出境重要数据的认定条件，使清单更具备可操作性和可执行性。个人信息和敏感个人信息方面，负面清单对允许出境的个人信息和敏感个人信息规模进行精准量化和适度放宽，尽可能解决企业合理诉求，提升自贸区数据出境便利度和负面清单的实用性。

三是明确责任分工，细化实施流程，让企业清楚该找谁、如何办理。《管理办法》明确，负面清单由市网信办、市商务局、市政数局负责统筹管理，朝阳、海淀、昌平、通州、顺义、大兴、亦庄等7个自贸组团负责具体实施，组织指导本组团内数据处理者合规使用负面清单，制定出台负面清单配套实施指南、明确负面清单使用对象及申报流程、指导数据处理者开展使用申请和备案工作、加强数据出境活动的跟踪监督、形成事中存证与事后监管能力等。企业如需使用负面清单，按程序向所在自贸组团提交申请、提交备案并获批后，合规开展数据出境活动即可。

三、设立安全基线，数据出境安全不降级

数据出境便利化并不等同于安全责任的衰减，负面清单越短，安全责任越大，如何统筹好发展与安全的关系，是负面清单制定工作的重中之重。因此，北京市同步推出《管理办法》，探索构建与负面清单配套的数据出境安全管理与服务模式，做到安全不降级。

一是实施企业准入管理和出境数据备案，把控数据处理者合法合规经营状况，审核业务符合情况，这可以类比于金融领域的信用评价管理。

二是加强事中事后监管能力，各自贸组团采取一致性抽验的方式，验证数据处理者实际数据出境情况与备案内容的一致性，这可以类比于医药领域的飞行检查。

三是通过严格限定业务场景、出境字段等方式，对个人信息和敏感个人信息规模进行精准量化和适度放宽，最大化降低放宽范围内的个人信息出境风险，确保在安全可管可控的基础上，尽可能满足企业的合理必要的数据出境诉求。

四是建立负面清单动态管理机制，市级管理部门对于已出台的负面清单，跟踪评估实施情况和安全风险，统筹开展负面清单修订工作，根据安全风险高低情况将相应出境数据调入、调出负面清单管理。

总的来说，自贸区负面清单制度是构建数据出境流动管理高水平基础制度的创新举措，也是一项全新且充满挑战的工作，各地的相关工作均刚刚起步，未来可能还会有很多难点和问题需要进一步研究破解，让我们期待北京市的施行成效，为全国提供有益参考借鉴。

作者：卓子寒国家计算机网络应急技术处理协调中心正高级工程师

专家解读

跨境数据传输政策的三大创新为北京自由贸易试验区注入发展新动能

构建安全有序便捷的数据跨境流动管理机制，对于促进数字经济发展、防范数据安全风险具有重大意义。在建立于过去工作基础之上，国家网信办在3月22日出台实施《促进和规范数据跨境流动规定》（以下简称《规定》），对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境安全管理制度作出优化调整。由于建设自由贸易试验区是以习近平同志为核心的党中央在新时代推进改革开放的重要战略举措，在我国改革开放进程中具有里程碑意义，为此《规定》还特别允许自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称“负面清单”），自贸试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

中国（北京）自贸试验区（以下简称北京自贸区）于8月30日发布了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（以下简称《管理办法》）和《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下简称2024版《负面清单》），在全国范围内成功地探索并落地了具有“北京特色”的自贸区数据跨境先行先试政策。在笔者看来，这个“北京方案”具有三大方面的鲜明、先进的特点。

第一是负面清单的分行业推进策略。北京自由贸易试验区在跨境数据传输政策中引入了负面清单的分行业推进策略，这是一个以企业需求为导向、兼具灵活性和前瞻性的创新措施。负面清单的编制以企业的实际业务场景为核心，通过细化和量化，按照“急用先行、小步快跑”的原则，分行业、分领域、分批次推进。这一策略的创新性体现在以下几个方面：

首先，以需求为导向的政策制定模式，使政策更具针对性。传统的政策制定往往采取一刀切的方式，无法充分考虑不同行业和领域的特殊需求。而北京自贸区的负面清单策略则通过广泛的行业调研和深入的需求分析，针对不同行业的实际情况进行定制化设计。通过针对不同领域的具体需求进行政策设计，可以更好地满足企业的实际运营需求，提高政策的适应性和有效性。

其次，动态调整机制确保政策的灵活性和持续性。随着技术的进步和市场环境的变化，企业的数据需求和风险状况也在不断变化。北京自贸区的负面清单采取动态调整机制，能够根据市场和技术的发展不断更新和优化。这种灵活性使政策能够更好地适应快速变化的市场环境，为企业提供了更大的操作空间和灵活性。不仅能够帮助企业更好地应对国际市场的变化，也有利于促进国内产业的创新发展和技术进步。

此外，“成熟一批发布一批”的策略提供了政策试点和示范的机会。在政策实施的初期，通过在特定行业或领域先行试点，能够积累实践经验，并对政策效果进行评估。这种试点性和示范性为其他行业的政策实施提供了宝贵的经验和参考。通过不断的反馈和调整，可以确保政策的实施效果最大化，并在更大范围内推广成功的做法。这种循序渐进的推进方式，能够降低政策实施的风险，提高政策执行的效率和效果。

最后，这种分行业推进策略有助于提升政策的透明度和公信力。在负面清单的制定和调整过程中，广泛吸纳各界意见和建议，特别是行业专家和企业代表的参与，能够增加政策制定的透明度。这种透明度有助于增强政策的公信力，赢得企业和社会的支持和信任。开放和透明的政策制定，能够更好地平衡政府监管与企业创新发展的关系，为自贸区的健康发展创造良好的政策环境。

北京自由贸易试验区在负面清单的分行业推进策略上，充分体现了以企业需求为导向的政策制定原则，并通过灵活的动态调整机制和试点示范作用，提升了政策的适应性和执行效果。这一创新措施不仅有助于提高跨境数据传输的效率和安全性，也为其他地区的数据管理提供了重要的参考和借鉴。

第二是个人信息的精准量化与放宽。北京自由贸易试验区在个人信息和敏感信息的管理方面，采取了精准量化和适度放宽的创新措施。这一举措在提升数据出境便利度的同时，也有效保障了数据安全和个人隐私。其创新性主要体现在以下几个方面：

首先，科学量化方法确保信息管理的精准性。通过科学的测算手段，北京自贸区对允许出境的个人信息和敏感信息进行了精准量化。这种量化不仅涉及到数据的规模和范围，还包括了对不同场景和字段的精确分析。通过对不同领域和场景的数据进行精确量化，能够确保数据管理的精细化和科学性，避免了过度或不足的管理情况。

其次，场景限定提升了政策的实用性。通过严格限定出境数据的使用场景和字段，北京自贸区能够更好地控制数据的使用范围和条件。这种场景限定不仅提高了数据管理的安全性，也增强了负面清单的实用性和操作性。例如，在客户管理方面，企业可能需要跨境传输大量的用户数据和市场信息，通过场景限定，能够确保这些数据在合理和安全的条件下进行传输，从而满足企业的实际业务需求。

此外，适度放宽政策显示出管理的灵活性。在遵循法律法规的前提下，北京自贸区对个人信息和敏感信息出境的限制进行了适度放宽。这种放宽根据行业需求和市场状况，范围为“新规”的5倍到10倍不等，体现了政策的灵活性和适应性。例如，对于某些行业，可能需要更大量的个人数据进行跨境传输，以支持全球化运营和市场拓展，通过适度放宽限制，能够帮助企业更好地实现国际化目标。

再次，管理措施与国际接轨提升竞争力。北京自贸区在个人信息和敏感信息管理中，积极借鉴国际先进做法，并与国际标准接轨。这种国际化的管理思路，不仅提高了政策的国际化程度，也增强了自贸区的全球竞争力。

最后，保障措施完善提升了数据安全性。在适度放宽数据出境的同时，北京自贸区也加强了对数据安全的保障措施。通过完善的数据安全管理机制和技术保障能力，确保数据在出境过程中的安全性。这种双管齐下的管理模式，既满足了企业的合理需求，又有效防范了数据安全风险。

北京自由贸易试验区在个人信息和敏感信息的管理中，通过精准量化、场景限定、适度放宽等多种措施，提升了数据管理的科学性和实用性。这些创新措施不仅提高了数据出境的便利度，也为自贸区的国际化发展提供了有力支持，为其他地区的数据管理提供了有益的借鉴。

第三是负面清单的规范使用与管理。为确保负面清单的有效实施，北京自贸区对负面清单的使用和管理进行了规范化。这种规范化管理措施确保了政策的有效性和数据安全，体现了管理的科学性和严谨性。其创新性主要体现在以下几个方面：

首先，严谨的准入机制保障数据出境的安全性。负面清单的使用需经过严格的准入程序，各自贸组团根据企业的申请材料进行审核。这种严谨的准入机制确保了只有符合条件的企业才能使用负面清单进行数据出境，极大地提高了数据出境的安全性和合规性。例如，在企业申请数据出境时，需提交详细的申请材料，包括数据出境的业务场景、出境数据目录、境外接收方等信息，通过严格的审核程序，确保每一次出境数据的合法性和安全性。

其次，规范的备案管理机制提升了数据管理的透明度。通过备案管理机制，各自贸组团能够动态掌握企业数据出境的实际情况。这种规范性的备案管理不仅有助于对数据出境活动进行有效的监督和管理，也能够为政策的进一步优化提供数据支持和决策依据。例如，企业在完成数据出境后，需及时向各自贸组团更新备案，确保数据出境活动的透明性和可追溯性。

再次，科学的风险评估机制确保数据出境的安全。北京自贸区在负面清单的使用过程中，通过科学的风险评估机制，及时识别和应对潜在的安全风险。这种科学性的风险评估机制不仅能够保障数据出境的安全性，也能够提高政策的应急响应能力。例如，通过对数据出境活动的风险监测和评估，能够及时发现和应对可能出现的安全隐患，确保数据出境的安全性和合规性。

此外，多层次的监管机制增强了政策的执行力。北京自贸区通过建立多层次的监管机制，确保负面清单的使用和管理的有效性。这种多层次的监管机制包括自贸区管理机构、市级管理部门以及各自贸组团的联动合作，确保政策的执行力和效果。例如，各自贸组团在数据出境活动中，需与市级管理部门进行密切合作，共同开展监督和核验工作，确保负面清单的有效使用。

最后，完善的反馈机制提升了政策的优化能力。在负面清单的实施过程中，北京自贸区通过完善的反馈机制，积极收集企业和社会的意见和建议。这种反馈机制不仅能够帮助政策制定者及时了解政策实施的效果和问题，也能够为政策的进一步优化和调整提供参考和依据。例如，通过定期的政策评估和反馈收集，能够不断优化和改进负面清单的管理措施，提高政策的执行效果和企业的满意度。

综上所述，北京自由贸易试验区在负面清单的使用与管理中，通过严谨的准入机制、规范的备案管理、科学的风险评估、多层次的监管以及完善的反馈机制，提升了数据出境的安全性和管理的有效性。这些创新措施不仅保障了数据出境的便利度、合规性和安全性，也为自贸区的国际化发展提供了坚实的政策支持，为其他地区的数据管理提供了重要的参考和借鉴。这些创新措施在促进产业发展的同时，也为自贸区的国际化和现代化进程注入了新的活力。

作者：洪延青北京理工大学法学院教授、全国信息安全技术标准化委员会委员

专家解读

优化数据跨境流动机制的北京方案

为促进中国（北京）自由贸易试验区（以下简称“北京自贸试验区”）数据依法有序跨境流动，推进产业高水平对外开放，加快构建新发展格局，依照《数据安全法》《个人信息保护法》及配套的《数据出境安全评估办法》《个人信息出境标准合同办法》等法规制度的宗旨和内容，结合《支持北京深化国家服务业扩大开放综合示范区建设工作方案》和国家互联网信息办公室《促进和规范数据跨境流动规定》的指导精神，北京市制定出台《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（以下简称《管理办法》），为北京自贸试验区的企业在数据跨境流动方面提供了明确的合规框架与业务指引，《管理办法》在制度思路、机制创新和细化实现等多个方面，结合数据跨境需求和首都实践经验做出科学规定，能为相关业务主体带来进一步的业务便利和工作指引。

一、《管理办法》的制度思路

《管理办法》的基本思路是通过规定负面清单的方式，划定数据跨境流动中应受到严格监管的特定领域场景和数据类型，通过明确安全底线来保障国家安全、经济运行和各方权益。《管理办法》与N个领域的负面清单共同构成“1+N”总体思路，赋予自由贸易试验区的数据出境更多便利，实现积极促进数据依法有序自由流动的目的。其中负面清单遵循的是“法无禁止即可为”的原则，即清单之外的数据可以自由跨境流动，以此鼓励数据安全出境的进程推进。

这一设计思路的制度优势明显：一方面，“1+N”的总体思路既规定了制定负面清单和开展日常监管的基本规范，发挥总体性规则的作用，又通过负面清单对企业实际业务场景进行细化量化，结合具体行业领域进行针对性规定，实现了总体与具体的有机结合。另一方面，采用负面清单的具体化规定不仅提升了自贸区内数据管理和利用的灵活性与自主性，而且有助于建立一个更为透明、可预测的数据跨境流动环境，助力营商环境的优化，也有助于企业更精确地理解和把握并遵循数据出境的相关规则，进而减少合规负担，并提升其在国际市场上的竞争力。

二、《管理办法》的机制创新

国家互联网信息办公室《促进和规范数据跨境流动规定》第六条特别赋予各自由贸易试验区更大的自主权，允许其根据实际情况自行制定区内数据出境的负面清单。通过对各自贸区的充分授权，支持各自贸区的制度创新和机制创新。而《管理办法》的制定就是对该《规定》的具体落实，对其授权内容的进一步细化，体现了首都在数据出境负面清单制定和使用管理等方面的锐意创新。《管理办法》瞄准企业迫切需要，探索设计适合首都的具体机制：首先，在负面清单的行业领域选择方面，综合考虑首都国际科创中心等功能定位，首批选择汽车、医药、零售、民航、人工智能五个领域率先制定负面清单，更具针对性和可行性；其次，在于个人信息和敏感个人信息方面，负面清单对需纳入管理的出境数据规模作出进一步的精准量化和适度放宽，尽可能解决企业合理诉求，提升自贸区数据出境便利度和负面清单的实用性。

三、《管理办法》的细化实现

“1+N”管理体系下的负面清单根据相关行业领域数据出境特点总结，重点从重要数据、个人信息两个方面进行规定和说明，落实《数据安全法》中的数据分类分级保护制度，并且在《促进和规范数据跨境流动规定》的指导下结合首都实践，为本区域跨境数据管理政策的制定和落地提供了坚实的基础。负面清单的内容，与目前各地的制度探索相比较，在保持其先进经验的同时，进一步细化了清单的具体内容：其一，《管理办法》中增加了“重要数据统一识别参考规则”，为负面清单的具体化规定提供统一规则；其二，在互联网服务和电子商务类中强调人工智能训练数据、算法源代码、关键组件数据、控制程序等数据，对于影响国家安全和社会公共利益的人工智能训练数据、算法源代码、关键组件数据、控制程序等数据的管理作出了强调，反映了对于人工智能发展的深刻洞察。

“满眼生机转化钧，天工人巧日争新”。《管理办法》的制定在现有法律法规政策的基础上，结合区域实践经验，为首都数据跨境管理提供可操作性规定，通过负面清单的方式划定数据跨境制度基线，探索适合产业发展的创新性规定。毋庸置疑，《管理办法》的推进落地，可以在保障数据安全的前提下，助力企业发展，便利数据出境活动，进一步发挥北京方案的价值潜力。

作者：吴沈括北京师范大学法学院博士生导师、中国互联网协会研究中心副主任

扫码进星球下载公众号文件

■

责编：梓玥

审核：晓洁