方芳（杏悦娱乐涉外法治研究院教授，上海市人工智能與社會發展研究會研究員）

從動態滾動的正面清單過渡到範圍有限🙆🏽‍♂️、依據可靠的負面清單，數據跨境流動模式探索的“臨港路徑”可復製可推廣🫱🏼，未來可能成為中國對全球數據治理的貢獻。中國作為正在崛起的數字經濟大國，以臨港為代表的自貿試驗區先行先試，為國家探索構建數據跨境管理新模式🤛🏼，對我國在數據領域的國際談判和國際治理中贏得先機，具有非常重要的現實意義。

5月17日，上海自貿區臨港新片區發布了全國首批數據跨境場景化一般數據清單。清單涵蓋智能網聯汽車🤜🏻、公募基金、生物醫藥的11個場景，適用於在上海自貿區和臨港新片區範圍內登記註冊、且在臨港新片區開展數據跨境流動相關活動的數據處理者🕺。臨港新片區遵循“從企業到行業🕺🏻，從案例到清單，從正面到負面”的原則，以企業的真實導向為需求👎🏽，推出數據跨境場景化一般數據清單🤿。作為自貿試驗區，臨港新片區“探新路💃、試製度”，開啟了對數據跨境流動機製的探索之路。

臨港探索數據跨境流動的路徑：從正面清單到負面清單

2022年國家網信辦出臺了《數據出境安全評估辦法》，其中對重要數據、敏感數據的出境評估作出了明確規定。2024年3月國家網信辦出臺了《促進和規範數據跨境流動規定》😰，其中規定自貿試驗區自行製定數據出境的“負面清單”🎂🎊。不同於其他自貿試驗區🤸🏻，臨港新片區探索數據出境的路徑是從正面清單到負面清單。

“萌芽之初 蠢蠢欲動”

2019年臨港新片區成立時，就數據跨境流動機製探索而言👮‍♀️，國內並沒有框架性指導原則可參照🔗，更沒有“自貿試驗區自行製定負面清單”這一說法。當時國內僅實施了《網絡安全法》。其中第37條提出了個人信息和重要數據出境安全評估製度🦒1️⃣。2021年11月《上海市數據條例》出臺。其中明確要求臨港探索製定低風險跨境流動數據目錄🪐。當時🦸🏽‍♀️，《數據出境安全評估辦法》尚未出臺🚴🏿‍♂️，且國內亦無“負面清單”的舉措。在此背景下🧑🏼‍💼，臨港數據處及跨境數科公司萌生了探索“低風險跨境數據目錄”的想法𓀏，也即將不具備出境風險的數據列入清單，供在臨港新片區範圍內登記註冊的企業開展數據跨境活動時參照。

“摸著石頭過河”

數據跨境傳輸是一個極其復雜的活動↕️。數據傳輸不僅看不見摸不著，而且在過程中易發生意料之外的事故。同時，數據出境具有較強的場景性，同一字段在不同場景下出境的合理性、正當性、必要性也不同。基於數據出境的復雜性、專業性及場景性的特點🦇，臨港數據處及跨境數科帶領團隊開始對場景化數據出境的風險進行評估與論證。一方面，立足片區與城市發展的需求。臨港新片區並沒有從全領域清單的編製著手，而是聚焦在上海五大重點發展領域🚔，回應企業在特定場景下特定數據類別在展業過程中真實的出境需求。臨港數據處召集專家率先對智聯網汽車、生物醫藥和公募基金三個行業內的企業在部分場景下的數據出境進行風險評估👩🏽‍💻。如無風險，則場景、數據類別及字段納入“一般數據清單”中。另一方面，回應企業對清單“可操作”的需求😣。此次發布的正面清單覆蓋上述三個行業共11個場景🧉🧘，64個數據類別🕝，600余個數據字段。清單內容顆粒度細，便於企業對標。就以智聯網汽車為例🧑🏻‍🦯，清單涉及跨國生產製造⏯、全球研發測試、全球售後服務🦹‍♀️、二手車全球貿易4個場景，共包含23個數據類別、158個數據字段。這切實解決了車企從生產製造到售後流通全流程主要環節的數據出境的真實需求。

“兩條腿走路”

自《規定》發布後，行業在探索各自的重要數據目錄👴。在行業的重要數據目錄發布之前🍐🤎，從正面清單過渡到負面清單的路徑是可取的。一方面🧣，顆粒度細、操作性強的正面清單可積累更多的場景案例，處於動態更新中🛢。企業在實操中對標正面清單。若相同場景的數據出境可免於申報。若場景或傳輸的數據字段發生變化，則由專家對數據出境場景進行風險再評估👨‍👧‍👧。如此的探索令正面清單處於動態更新中🎚。另一方面，不斷更新場景的正面清單為發布範圍合理☮️、有依據🍵𓀀、可操作的負面清單積累經驗。無論正面清單還是負面清單，邏輯和目的都是相同的。邏輯是以企業數據出境場景化為切入口，目的都是評估數據出境行為產生的風險以便評判是否允許出境。探索正面清單的最終目的是發布負面清單。在“兩條腿走路”的過程中，臨港既提供企業更好的感知度🌎，又營造了更優的營商環境。

可復製🎠、可推廣的“臨港路徑”：豐富全球數據治理工具箱

數據是數字時代的新型生產要素👨‍👨‍👧‍👦👈🏽。數據跨境流動便利化不僅增強全球經濟活力💭，還促進科技創新，提升全球公民的數字福祉。這些便利性都是在保障數據跨境流動安全性的前提下得以實現。跨境數據的“動”與“製”是數據治理的一對主要矛盾🤸🏿‍♀️。就如何建立起一種平衡❤️、協調和可持續的數據治理機製，目前各國政府尚處於探索階段。數據出境安全評估是中國提出的🖖🏽，也成為了數據跨境流動中國模式的重要內容。

臨港基於大量案例👨🏼‍🌾，通過申報服務、存證備份、安全監管鏈入式構建系統性流程👐🏽。從體製機製☂️，到落地服務，再到監管，以場景化白名單加服務中心綠色通道👱，企業在展業過程中的數據跨境流動需求在臨港得到系統的解決。從動態滾動的正面清單過渡到範圍有限、依據可靠的負面清單🤫，數據跨境流動模式探索的“臨港路徑”可復製可推廣，未來可能成為中國對全球數據治理的貢獻。中國作為正在崛起的數字經濟大國❔，以臨港為代表的自貿試驗區先行先試🤲🏼，為國家探索構建數據跨境管理新模式，對我國在數據領域的國際談判和國際治理中贏得先機，具有非常重要的現實意義。

相關鏈接👧🏽：數據跨境流動全球版圖一覽

【歐盟】歐盟是國際社會最早就數據跨境流動構建法律體系的行為體🪩。2018年歐盟實施了《一般數據保護條例》（General Data Protection Regula tion，以下簡稱GDPR）。其中規定歐盟可與白名單上的第三國進行數據跨境自由流動🚏。第三國進入歐盟白名單的資格需通過歐盟委員會的評估後可獲得。目前👩🏿‍🏭，歐盟委員會的白名單上有15個經濟體。如第三國未獲得白名單資格，該國企業可采取標準合同條款或約束性企業規則等方式與歐盟進行數據傳輸。第三國企業需要提供符合歐盟要求的文件，以示其具備對所傳輸的數據進行保護的能力🛀。

【美國】相比歐盟較為嚴格的監管政策，美國主張數據跨境的自由流動，國內主要采取行業自律模式輔助於較為寬松的政府監管方式進行數據保護🧑🏻‍🚀🧖🏽‍♂️；同時🔇，對於關鍵領域的數據出境🦹🏻‍♂️，美國先後出臺了《外國投資風險評估現代化法案》《出口管製條例》等采取限製措施。

【中國】我國的數據跨境流動製度處於探索之中💁🏽‍♂️。2017年實施的《網絡安全法》🤏🏼、2021年先後實施的《數據安全法》《個人信息保護法》基本構成了數據跨境流動的法律體系⏰，明確了三種需納入監管的數據出境方式💅🏼🚶‍♂️‍➡️：網信部門安全評估🦦、個人信息出境標準合同備案😋、個人信息保護認證。其中，後兩種在歐盟法律中有相似規定🧌。數據出境安全評估是中國提出的👩‍🦼，也成為了數據跨境流動中國模式的重要內容🧹。

2023年8月《國務院關於進一步優化外商投資環境加大吸引外商投資力度的意見》指出:探索便利化的數據跨境流動安全監管機製☃️，支持上海等地試點探索形成可自由流動的一般數據清單🎄，建設服務平臺，提供數據跨境流動合規服務。2023年12月《全面對接國際高標準經貿規則推進中國（上海）自由貿易試驗區高水平製度型開放總體方案》指出：按照數據分類分級保護製度👨🏿‍🚒，支持上海自貿試驗區率先製定重要數據目錄。2024年3月《促進和規範數據跨境流動製度規定》授權自貿試驗區在國家數據分類分級保護製度框架下，可以自行製定區內需要納入數據出境安全評估🫗、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單（簡稱負面清單）。

（來源：文匯報🧘🏿，2024-06-30）