海南自由贸易港数据出境管理清单呈现三大亮点

作者：左晓栋，中国科学技术大学公共事务学院教授

近日，海南省互联网信息办公室、海南省数据局等部门联合印发了《海南自由贸易港数据出境管理清单（负面清单）（2024版）》（以下简称《负面清单》），现就所发布文件的相关内容进行解读。

一、编制背景

2023年9月28日，国家互联网信息办发布了《规范和促进数据跨境流动规定（征求意见稿）》。其第七条提出：“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单……”。该规定对《关于进一步优化外商投资环境　加大吸引外商投资力度的意见》中的“一般数据清单”做出调整，创新性地提出建立数据出境负面清单制度的设想。在统筹安全与发展思想的指引下，为扩大制度性对外开放，海南省互联网信息办公室当即组织力量对《负面清单》开始研究，并及时将有关情况报告海南省委省政府。

2024年3月22日，《促进和规范数据跨境流动规定》正式发布后，在海南省互联网信息办公室的统筹领导和国家数据安全工作协调机制、国家互联网信息办公室、国家数据局等部门的支持指导下，以及海南省数据安全工作协调机制框架下，海南省互联网信息办公室联合海南省数据局，研究制定了《负面清单》，经国家数据安全工作协调机制会议审议，并通过国家网信办、国家数据局备案。

二、编制思路

一是以重要数据识别为文件起草重点和政策制定空间。相关部委已出台专门性的行业重要数据识别指导文件的，与其保持一致。根据《促进和规范数据跨境流动规定》的授权以及现有政策实践来看，识别、管控重要数据出境仍为各自贸区在统筹安全与发展前提下实现便利化数据跨境流动的首要任务之一。同时，考虑到重要数据分布于不同行业的天然特征，与部委文件保持一致，既具备科学性，也符合我国的制度安排。

二是紧密结合海南特色产业，如种业、深海、航空航天、免税等。《负面清单》不拟面面俱到，也不是将行政区域内的所有重要数据均列入其中，而是面向对外贸易，只涉及行政区域内企业收集掌握的数据。同时，考虑到对海南自贸港已经确定了一批重点产业，《负面清单》注重体现对这些产业的促进作用，对这些产业进行了单独列举。

三是以自由流动为一般，以禁止或限制流动为例外。重要数据识别以国标GB／T　43697－2024《数据安全技术　数据分类分级规则》为基础，确对总体国家安全观中任一方面国家安全有影响的，方列为重要数据，其他数据则为一般数据。

四是响应国家对海南自贸港对接国际高标准推进制度型开放的政策要求，《负面清单》在《促进和规范数据跨境流动规定》规定基础上，对旅游业、免税业等行业的个人信息阈值进行不同程度的调整。个人信息阈值的放开坚持以行业特征、个人信息类别、安全风险可能性、安全风险后果等为依据，将具体的安全出境要求予以科学量化，从而体现扩大制度性开放的海南自贸港优势。

五是，处理好与国家秘密信息、核心数据管理政策，及其他政策要求间的关系。国家秘密信息、核心数据、政务数据不纳入《负面清单》管理；国家法律法规和行业主管监管部门另有涉及数据跨境流动管理规定的，从其规定。

三、清单亮点

作为中国最大的经济特区、唯一的中国特色自由贸易港，海南在我国对外开放中发挥着重要的窗口作用。基于此，海南自贸港数据出境负面清单的设计坚持以统筹安全与发展为原则，以扩大对外开放、建立便利化的数据跨境流动传输机制为重要任务，以促进贸易、投资、跨境资金、人员进出、运输来往五个“自由流动”为基本目标，从而体现出海南自贸港“对外开放新高地”的战略定位。相较于国内其他自贸区发布的数据出境清单，海南自贸港数据出境负面清单具有以下几处亮点：

明确商业航天产业重要数据。海南作为拥有我国目前唯一商业航天发射场，致力于打造国际一流、市场化运营的航天发射场系统。为紧跟中央给予海南的产业机遇，实现自贸港产业升级，《负面清单》对商业航天产业的重要数据进行了明确划分，并将根据航天行业发展、国家战略需求和国际形势变化定期评估并更新。一是涉及国外卫星遥感、导航定位与地球观测数据，即卫星获取的高分辨率遥感影像数据、特定区域的连续地球观测数据。二是包括与境外航天机构开展技术合作过程中产生的商业数据，即民用无人驾驶航空器适航审定、运行许可以及飞行活动监管的重要数据。三是提出航天行业相关企业和机构应当建立健全数据分类分级制度，定期评估数据出境安全风险，确保数据出境活动合法合规。

制定旅游与免税产业最简清单。《负面清单》确定“按照产业目录进行重要数据分类”的基本思路，根据数据分类分级规则对重要数据进行归纳，进一步加强保障海南省旅游业、免税业敏感数据的隐私性和完整性。一是涉及免税商品流量、物流等反映经济运行情况的数据，包括各口岸、免税店销售规模和流量数据、重要商品进出口数据、免税商品仓储和物流链条数据、跨境物流通道和节点运行数据。二是涉及在免税店安防监控、顾客身份识别、通关验证等过程中，采集的涉及人脸特征、证件信息等敏感信息的视频图像数据，包括重点区域安防监控记录、顾客身份核验影像、购物全流程监控数据、通关证件采集记录、异常行为预警数据等。三是涉及个人信息类重要数据，个人信息阈值的放开坚持以行业特征、个人信息类别、安全风险可能性、安全风险后果等为依据，其中具体参考依据有《促进与规范数据跨境流动规定》、各自贸区数据出境负面清单和《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》。

数据特征清晰化，海南战略特色化。《负面清单》通过场景化、字段级的设计模式，对适用主体、适用情形、术语定义进行阐明，清晰数据子类以及数据的基本特征与描述，为方便企业实际操作制定了一份能够精准体现海南省在国家战略布局中独特地位和区域特色的数据清单。一是结合各自贸区现已发布的数据出境清单，基于海南自贸港产业实践，细化每个产业的数据子类，清晰化数据的基本特征与描述。二是对各产业清单的适用主体、适用情形、术语定义进行阐明，与国家已有数据监管框架相适配。三是按照需要数据出境评估，以及需要个人信息出境标准合同条款、个人信息保护认证两种情形划分清单设计框架，国家秘密信息、核心数据、政务数据不纳入《负面清单》管理，国家法律法规和行业主管监管部门另有涉及数据跨境流动管理规定的，从其规定。这些举措既确保了数据安全，又促进了制度型开放，不仅为海南省的特色行业提供了政策支持，也为海南自贸港的国际化发展注入了新动力。

四、后续实施

海南自贸港数据出境管理清单的发布，将进一步优化已有的营商环境，更好的发挥对外开放新高地的战略优势，助力海南省经济高质量发展。考虑到政策的落地实施，将对海南自贸港能否在统筹安全与发展的基础上，建立自由、便利的数据跨境传输机制产生决定性影响。为此，在后续实施的过程中，海南自贸港将做好以下几项工作：

一是加强宣介。海南省互联网信息办公室等相关部门后续将针对《负面清单》举行一系列培训班，增强辖内企业合规意识，使企业更好地遵循数据跨境流动安全管理制度。

二是助力打造服务体系。目前，多数企业缺少数据保护和数据合规专业知识。有必要在政府推动下打造面向中小微企业的数据出境第三方社会服务体系，以合理价格、集约方式为自贸区内企业提供数据分类分级、数据安全风险评估、数据出境安全评估咨询、数据安全认证咨询等服务，将企业从繁重的合规压力中解放出来。

三是完善本省数据跨境流动安全管理相关流程，建立面向社会的答疑制度和咨询服务体系，便利企业的申报与备案。在此基础上，建立企业主动声明和政府部门通知双结合的机制。由企业自行对是否掌握清单上数据作出声明，政府部门定期组织抽查。凡与声明不符且有数据出境行为的，根据《网络安全》《数据安全法》《个人信息保护法》相关条款进行处罚。

四是与商务部门等相关委办局建立联动机制。根据《促进和规范数据跨境流动规定》的要求，由相关部门告知企业是否为重要数据处理者，故拟与省内相关委办局合作建立对重要数据处理者的通知程序。

五是探索技术支撑机制。目前在实践中，数据出境安全监管工作重点还主要是事前审批，对跨境流动的事中事后缺少关注；既有手段也主要停留在材料分析阶段，以技术手段主动发现非法跨境流动安全风险的能力尚不够。随着数据跨境流动活动的增多，地方最终需要承担起至少一部分数据出境安全评估任务，这也对地方的技术能力提出了较高要求。因此，海南将趁早布局，建立本地区数据非法跨境流动的监测平台，尽快着手开展相关技术能力的建设。