摘 要:数据跨境流动对于国家战略、经济发展和国际竞争至关重要。在数字经济时代,如何平衡数据价值的最大化与数据安全的保护已成为一个关键挑战。我国自由贸易试验区正积极对接国际经贸规则中关于数据跨境流动的要求,以促进更深层次的对外开放,并积累适合我国国情的管理经验。目前自由贸易试验区在数据跨境流动的治理上仍面临诸多挑战,需要进一步推动创新,化解结构性失衡,增强协同性和系统性,更好地与国际高标准对接。为了充分挖掘自由贸易试验区在数据跨境流动治理创新方面的潜力,需要为其监管创新提供坚实的法治基础,明确创新任务,建立协同创新机制,并利用自贸试验区的独特定位,扩大我国数据跨境流动监管模式的国际影响力。
关键词:数据跨境流动;自贸试验区;监管创新;高水平制度型开放
数据的跨境流动日益成为国际贸易和资源配置的基石,同时也是国际话语权争夺的新焦点,畅通有序的跨境数据流动对推动社会经济高质量发展、促进科技创新、提升产业竞争力具有十分重要的战略意义。自2017年以来,我国逐步建立了一套完整的数据跨境流动法律法规体系,包括《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》《数据出境安全评估办法》等。2023年12月,中央经济工作会议进一步强调对标国际高标准经贸规则,解决数据跨境流动等问题。2024年7月,党的二十届三中全会提出了“健全促进实体经济和数字经济深度融合制度”的方针,将其作为推动经济高质量发展的关键组成部分,为数据跨境流动机制的建立提供了顶层指导。2024年8月,国务院常务会议提出推进服务业扩大开放,促进各类要素资源包括数据的跨境流动,审议通过《网络数据安全管理条例》,进一步细化了数据安全管理的具体措施。这一系列政策的演进和落实,标志着我国正在构建一个既确保数据安全又促进数据有序流动的制度体系。
作为我国推进高水平对外开放的前沿阵地,各自由贸易试验区(以下简称“自贸试验区”)依托区位优势以及对区域内市场需求的敏锐洞察,在国家数据跨境流动监管框架内实施了创新性的制度安排。2023年国务院发布的《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》强调数据跨境流动的重要性,明确支持上海自贸试验区率先实施高标准数字贸易规则。其他自贸试验区也正在不断积累和提炼适应我国国情的数据跨境流动管理经验。例如,北京自贸试验区正在加强跨境数据保护规制合作,探索制定信息技术安全、数据隐私保护、跨境数据流动等规则。天津自贸试验区发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)》,旨在提升自贸试验区企业数据跨境流动的便利性。这些举措为全国范围内的数据跨境流动监管完善提供了有益的实践基础。
在这一背景下,系统梳理我国各自贸试验区在数据跨境流动监管方面的实践,总结自贸试验区在制度探索过程中面临的共性问题和挑战,并进一步探索可能的优化路径,对于构建更高水平的开放型经济体制、推动数字强国建设、提升国家在全球数字经济中的竞争力和影响力有着积极意义。
一、数据跨境流动监管与自贸试验区的制度创新契机
(一)数据跨境流动监管的重要性
在数字化转型日益深入的今天,数据跨境流动已成为推动国际交流与合作的重要驱动力。然而,伴随数据自由流动带来的机遇,其潜在风险也日益凸显。数据跨境流动的监管不仅关乎国家安全,还直接影响经济发展、个人隐私保护以及国际合作。面对不同国家和地区在数据保护方面的法律差异,推动建立统一的监管框架成为推动全球数据流动健康发展的关键。
1.数据跨境流动监管对于保障国家安全至关重要
数据跨境流动监管是维护国家主权和信息安全的重要手段。数据是国家基础资源之一,其中蕴含着大量的国家机密、商业秘密和个人隐私。数据跨境流动若缺乏有效监管,可能导致敏感信息泄露,给国家安全带来严重威胁。通过实施数据跨境流动监管,可以确保国家关键数据不被非法获取或滥用,维护国家主权和信息安全。
数据跨境流动监管是防范外部势力渗透与干预的重要举措。在数据跨境流动中,外部势力可能利用技术手段获取或修改数据,从而影响国家政治稳定、经济安全和社会秩序。通过加强数据跨境流动监管,可以有效识别和阻断这类活动,防止外部势力利用技术优势进行不正当干涉,保障国家内部环境的稳定和安全。
随着数据跨境流动的增加,跨国数据犯罪也日益猖獗。这类犯罪活动往往涉及多个国家和地区,给打击工作带来巨大困难。数据跨境流动监管的强化为建立跨国合作机制、共同打击数据犯罪活动提供了基础,有助于保护企业和个人的合法权益,维护国际社会的共同安全。
2.数据跨境流动监管有助于促进经济发展
数据跨境流动监管有助于实现全球数据资源的优化配置。有效监管可以确保数据在跨境流动过程中得到规范利用,避免数据资源的浪费和滥用。同时,监管还能推动数据在更广泛的地域和行业间有序流动,促进更大范围内的资源共享和整合,从而提升整体经济效率。
数据跨境流动监管为技术创新提供了有力保障。企业可以更加安全地开展基于跨境数据交换的研发活动,与域外企业更加安全、高效地探索新技术、新模式和新业态,从而加速技术创新进程,推动产业升级和转型。
数据跨境流动监管还有助于保障个人隐私和企业权益,增强消费者信心。通过加强监管,可以确保个人数据在跨境流动过程中得到妥善保护,防止个人隐私泄露和滥用。同时,监管还能保护企业的商业秘密和知识产权不受侵犯,维护企业的合法权益。这种保障措施有助于提升消费者对跨境数据服务的信任度和满意度,进而促进相关产业的发展和壮大。
3.数据跨境流动监管有助于推动国际合作
数据跨境流动的全球性特征要求其监管框架必须是国际性的,需要各国积极共同参与建构。我国积极推进数据跨境流动监管,参与数据跨境流动监管的国际规则制定,不仅体现了其作为负责任大国的担当,也为全球数据跨境流动治理贡献了中国智慧和中国方案,推动国际合作向更深层次发展。
不同国家在数据跨境流动监管方面存在不同的利益诉求和规则差异。这些差异可能导致数据流动受阻,影响国际经济合作和贸易往来。我国作为全球范围内重要的贸易国之一,积极推动数据跨境流动监管,确立明确有效的监管规则和制度,为我国参与国际合作营造更加稳定和可预测的环境。
数据跨境流动监管不仅关乎单个国家的利益,更是一个全球性的问题。例如,网络安全、数据隐私保护、跨境数据犯罪等全球性挑战需要各国共同应对。通过推进数据跨境流动监管,积极应对这些全球性挑战,为维护全球网络和数据安全秩序贡献中国力量。
(二)我国数据跨境流动监管的现状和问题
1.我国数据跨境流动监管的制度建设状况
在2017年《网络安全法》实施以前,我国在数据跨境流动方面的监管相对间接和片面,对数据跨境流动的管理要求分散在其他特定领域的法律、行政法规、部门规章和规范性文件之中。2017年以来我国相继出台《网络安全法》《数据安全法》《个人信息保护法》,为我国跨境数据流动管理构建了以保护数据安全和促进数据有序自由流动为核心目标的基本法律监管框架:(1)对数据进行分类分级管理,制定重要数据目录;(2)要求关键信息基础设施运营者对个人数据和重要数据的存储本地化;(3)确立跨境提供个人信息和重要数据的基本规则。在这一基本框架下,我国陆续通过《数据出境安全评估办法》《网络安全审查办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》《促进和规范数据跨境流动规定》等配套规章和规范性文件,以及《信息安全技术 个人信息安全规范》《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等标准指南为数据跨境流动监管体系提供支撑。
2024年3月国家网络安全和信息化委员会办公室颁布《促进和规范数据跨境流动规定》,不仅明确了重要数据的识别与申报流程,重申了《个人信息保护法》所规定的境内数据处理者在告知、获取个人明确同意,开展个人信息保护影响评估以及数据安全保护方面的职责,更为关键的是,该规定统一和细化了数据跨境传输数据出境安全评估、个人信息出境标准合同和个人信息保护认证三大路径的适用和豁免情形,化解了以往由多个制度文件共同构建的监管规则中可能存在的重叠与冲突,为数据处理者提供了更为清晰的指引。规则层面的明晰化反映出我国在坚守国家安全底线的基础上对跨境数据流动更为开放的态度转向。
2.我国数据跨境流动监管存在的问题
尽管我国在数据跨境流动监管的制度建设中已取得不少成就,但随着全球数据流动需求的不断增长,我们仍然面临一些挑战,主要体现在以下几个方面。
第一,法律法规不完善。当前我国跨境数据流动的法律法规体系尚不完善,缺乏统一协调的顶层设计和专门机构,导致在实际操作中存在法律适用的不确定性。此外,虽然已有《网络安全法》《数据安全法》等法律,但在具体执行层面仍面临挑战。
第二,存在国际规则适配性障碍。我国数据跨境流动监管规则与国际规则存在显著差异。例如,美国、欧盟等国家和地区对数据隐私保护的要求较高,而我国则更注重数据主权和安全。这种差异导致我国企业在国际市场上面临合规挑战。
第三,域外执法手段有限。我国跨境数据流动的域外执法手段存在局限性,难以有效应对跨国数据流动中的违法行为。这使得我国在保护数据安全和打击数据犯罪方面面临困难。
第四,监管协调不足。尽管中国在对外缔结的自由贸易协定中开始关注数据跨境流动监管问题,但在监管协调方面仍有许多不足,影响了我国在全球数据治理中的地位和影响力。
(三)自贸试验区开展数据跨境流动制度创新的积极意义
自贸试验区是实现与国际高标准数据治理规则对接、推动高水平制度型对外开放的平台。在自贸试验区内探索数据跨境流动的监管,畅通数据流动,能够助力数字经济和数字贸易的发展,还能通过构建监管沙盒机制实现风险防控,进一步完善符合我国国情的数据跨境流动制度。
1.留足数据流动通道,保障数字经济和数字贸易的发展
传统的数据跨境流动监管模式往往过于僵硬,难以适应快速变化的数字经济需求。《促进和规范数据跨境流动规定》明确赋予自贸试验区数据跨境监管探索的自主权,允许其自行制定区内需要纳入数据出境安全评估的数据清单。自贸试验区由此可以采取简化审批流程、优化监管机制等措施,为数据跨境流动开辟更加灵活多样的通道,使企业能够更加便捷地获取和利用全球数据资源。
传统监管模式下的数据传输往往受限于烦琐的审批程序和漫长的等待时间。自贸试验区的制度创新通过引入先进的技术手段和管理模式来保证数据传输的即时性和高效性,降低企业跨境数据合规的运营成本和时间成本。例如,北京自贸试验区采取了精准量化和适度放宽个人信息管理的创新措施,这不仅提高了数据传输的效率,还增强了数据的安全性。
自贸试验区的数据跨境流动制度创新还有助于促进数据资源的优化配置和共享利用。自贸试验区通过制度创新鼓励企业间开展数据合作与共享,打破数据孤岛现象,促进数据资源的优化配置和高效利用。
2.构建监管沙盒机制,防范制度风险
在自贸试验区开展数据跨境流动制度创新,本质上是构建一种将风险限定在一定范围内的监管沙盒机制。这一机制不仅为数据跨境流动提供了灵活的实验空间,更在保障数据安全与防范制度风险方面发挥了不可替代的作用。
监管沙盒机制将数据跨境流动的风险控制在一定范围内,有效防止了系统性风险的发生和蔓延。在传统监管模式下,数据跨境流动往往面临诸多不确定性和潜在风险,一旦出现问题,很可能迅速扩散并引发系统性风险。而监管沙盒机制通过设立特定的测试环境和规则,将数据跨境流动活动置于可控范围内进行观察和评估,从而有效降低了风险扩散的可能性。在数据跨境流动过程中,由于涉及多个国家和地区的法律法规、技术标准等方面的差异,很容易产生各种问题和风险。监管沙盒机制通过实时监测和数据分析等手段,能够迅速发现潜在的风险点和制度漏洞,并及时向相关部门和企业发出预警和提示,提高监管效能和水平。
在自贸试验区内开展数据跨境流动制度创新,需要不断探索和实践新的监管模式和方法。基于自贸试验区的沙盒场域为风险可控的探索和实践提供了重要的支持和保障。自贸试验区可以更加灵活地调整监管政策和措施,及时总结经验教训并不断优化完善监管手段。这不仅有助于提升自贸试验区的国际竞争力和影响力,还能够为全球数据跨境流动监管体系的完善和发展提供有益的借鉴和参考。
3.推进新举措的先行先试,为制度优化打下基础
2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,该规定专门增设了通过数据清单的形式在现有数据跨境传输机制上的灵活变通空间。各自贸试验区积极响应政策引导,试行有特色的新型数据跨境流动管理机制。例如,北京自贸试验区发布《中国(北京)自由贸易试验区总体方案》,提出加强跨境数据保护规制合作,促进数字证书和电子签名的国际互认;天津自贸试验区按照数据分类分级保护制度,率先实行清单化管理;江苏自贸试验区推动数字证书和电子签名国际互认,并探索推动国际贸易“单一窗口”与新加坡等《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)成员国“单一窗口”的互联互通;浙江自贸试验区杭州片区发布《中国(浙江)自由贸易试验区杭州片区数据跨境流动分类分级管理办法(试行)》,探索制定数据跨境流动分类分级制度、重要数据目录、负面清单及一般数据清单,构建一般数据规范便利出境的绿色通道。
二、我国自贸试验区数据跨境流动监管的现状检视
(一)自贸试验区先行先试的阶段成果
2023年6月,国务院印发《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放若干措施的通知》,要求在有条件的自由贸易试验区和自由贸易港聚焦若干重点领域试点对接国际高标准经贸规则,统筹开放和安全,构建与高水平制度型开放相衔接的制度体系和监管模式。2023年7月,国务院印发《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,强调要探索便利化的数据跨境流动安全管理机制,并支持在北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单,建设服务平台以提供数据跨境流动合规服务。北京、上海、天津、浙江、福建自贸试验区和海南自由贸易港率先在制度层面探索数据跨境流动安全管理试点。有关自贸试验区数据跨境流动管理的主要政策文件见表1。
数据跨境流动监管的制度探索是一个复杂的过程,涉及地方经济水平、资源禀赋、政府治理能力等多方面因素,并不是所有自贸试验区都在制度层面具备探索数据跨境流动监管框架的能力。因此不难发现,进行数据跨境流动管理制度探索的自贸试验区集中在沿边、沿海地区。尽管缺少体系化的政策构建,但大部分自贸试验区出于回应本区域内的数据出境迫切需求,从加强数据跨境流动的基础设施建设、提升数据出境便利度、营造开放性数据营商环境等方面入手,保障了数据跨境传输的安全性、便利性、友好性。各自贸试验区推动数据跨境流动的主要措施见表2。
(二)自贸试验区跨境数据流动监管探索的经验
1.发挥自贸试验区本地特色资源优势
充分利用和发挥自贸试验区本地特色资源和行业优势是自贸试验区监管创新的关键切入点。我国沿海、沿边地区相较于内陆地区普遍拥有更便捷的对外交往区位优势和更悠久的对外交流传统,数据的跨境流动需求相对更为旺盛,因而相应的监管规则和便利化措施也更加丰富。数据跨境流动监管的重点行业和领域在不同的自贸试验区也体现了鲜明的地区特色。
例如,北京自贸试验区针对外资企业集中的特点,推出了数据出境的“绿色通道”服务机制,针对性地解决外资企业反映的数据出境合规共性问题。上海自贸试验区临港新片区利用其在金融、科技等方面的资源优势,形成了智能网联汽车、公募基金、生物医药领域的清单化管理成果。海南自由贸易港肩负“国际数据特区”的战略目标,其数据跨境应用和监管的任务也相对更为艰巨:主动对接高标准国际经贸规则,在更广泛的贸易、航天、深海、医疗等领域形成一批跨境典型应用案例,发展中国国际数据服务外包基地、中国数据知识转化研究培训胜地、数据智慧(人工智能)产业应用创新高地。广东省拥有与港澳区位邻近、经济联系紧密的传统优势,近年来推进的粤港澳大湾区一体化建设构建了相较于自贸试验区更为广阔的跨境数据流动治理平台:港澳作为国际知名的自由贸易港,不仅是全球生产要素跨境流动的重要枢纽,也是中国与世界经济体系相连接的关键桥梁;在“一国两制”的框架下,数据跨境流动的测试与实践,无须跨越国家的界线,便能实现治理效果的检验与评估。基于此,广东省对于数据跨境流动治理的探索并未局限于自贸试验区的范畴,而是在更具制度优势的大湾区内展开。
2.体系化构建数据跨境流动监管规则
自我国在法律层面系统建立数据跨境流动监管的框架以来,部分自贸试验区在党中央、国务院及国家各部委发布的自贸试验区支持政策下,通过自贸试验区总体方案、规划及自贸试验区条例等方式,初步形成了“顶层部署—数据分类分级标准—清单化管理”的三层级数据跨境流动规范体系。
国务院在2023年12月发布的《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》中部署了加快服务贸易扩大开放、提升货物贸易自由化便利化水平、率先实施高标准数字贸易规则等任务。上海市政府在时隔两个月之后即出台《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,明确了便利金融跨境传输、建设跨境数据交换系统、制定重要数据目录、提升数据跨境流动便利性、形成数据安全管理认证制度的标准和最佳实践等数据跨境流动监管的总体任务和责任单位。上海自贸试验区临港新片区在参照经济特区管理的政策优势下,开启了重点领域和行业场景化的数据分类分级管理的探索:2024年1月发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法》,并于2024年5月发布了首批一般数据清单,覆盖智能网联汽车、公募基金、生物医药三个领域,包括智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景,涉及64个数据类别和600余个数据字段。
天津自贸试验区在上海自贸试验区之前率先完成了数据分类分级和清单化管理的探索。2024年5月,《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》发布,标志着自《促进和规范数据跨境流动规定》实施以来,我国首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境管理负面清单出炉,与《中国(天津)自由贸易试验区企业数据分类分级标准规范》共同构成了天津自贸试验区“双首个”数据跨境政策体系。在规则的具体内容上,天津自贸试验区的数据分类分级规则将数据划分为13个大类40个子类,相较上海自贸试验区临港新片区围绕汽车、金融、航运、生物医药等重点领域对跨境数据分类管理的部署更为全面。在清单化管理方式上,与上海自贸试验区临港新片区的正面清单不同,天津自贸试验区采取了负面清单的形式,对于纳入清单的数据,企业在向境外提供时需要申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。
与天津自贸试验区类似,北京自贸试验区于2024年8月发布的《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》和《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》同样采用了负面清单的形式对数据进行管理,提出了13个大类41个子类的数据分类分级参考规则,同时列举了汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据等5个行业48类数据对应的数据出境合规措施,提升企业数据出境便利度。
3.部署跨境数据传输基础设施和数据交换平台建设
为了确保数据跨境传输的安全性、稳定性以及传输效率,电信基础设施的巩固与加强必不可少。江苏自贸试验区、上海自贸试验区临港新片区等开通和扩容了国际互联网数据专用通道,自贸试验区内的企业数据可以通过自贸试验区数据中心直接向境外完成传输。
部署跨境传输通道,除自贸试验区自身的布局外,更需要地方政府、国家以及国际层面多层次、多维度的紧密协同与联动。因此,自贸试验区在部署跨境数据传输基础设施和数据交换平台建设时,通常会与该自贸试验区所在地省市的发展战略进行对接,共同服务于区域国际合作的目标。例如,在与新加坡政府合作的中新(重庆)战略性互联互通示范项目中,建设了我国首条针对单一国家的“点对点”国际数据专用通道——中新(重庆)国际互联网数据专用通道。通过该通道,重庆自贸试验区的企业与新加坡在远程医疗、远程教育、智慧旅游、智慧物流、超高清视频传输、跨境电商等领域开展广泛合作,形成了更安全的数据交换和更快捷的互动交流局面,共同服务于“一带一路”倡议、西部大开发战略和长江经济带发展战略,同时依托该通道开展数据跨境传输安全管理试点。
4.优化数据出境便利化服务
自贸试验区的主管部门及地方政府部门积极发挥主观能动性,通过各种便利化措施,为有数据跨境合规需求的企业提供全面协助和服务,显著提升了数据出境的效率。例如,北京自贸试验区(大兴)数据跨境服务中心为北京、上海等7省市70余家企业的近百种复杂数据出境业务场景提供合规出境的精准化指导,在外资药企、人工智能、跨境清算、征信查询等领域形成全国首例合规出境案例。在总结全国首例外资药企数据安全评估经验的基础上,北京市网信办与大兴区共同协作,探索外企数据出境的“绿色通道”,企业经“绿色通道”通过数据出境安全评估平均时长缩短50%。2024年5月,福建自贸试验区平潭综合实验区数据跨境运营中心挂牌成立,并在行政服务中心内设立了专门的服务窗口。中心构建了“一条专用通道(国际互联网数据专用通道)、一个支撑体系(一体化应用支撑)、两个平台(数据跨境服务平台和监管平台)、一套标准(数据跨境流动标准)”的服务体系,设立仅一周便已为60多家企业提供前期咨询服务,为21家企业完成登记,并为1家外资银行机构提供了数据跨境合规申报的全流程服务。
三、我国自贸试验区数据跨境流动监管的主要问题和挑战
(一)自贸试验区数据跨境流动监管的制度创新有待进一步推进
截至2013年,我国自贸试验区已历经十年的探索与实践,累计向全国或特定区域复制推广了多达302项具有里程碑意义的制度创新成果。这些成果涵盖了投资自由化便利化、贸易便利化、金融开放创新、全过程监管、产业开放发展、要素资源保障以及区域联动创新等多个关键领域,显著推动了我国经济的国际化进程与高质量发展。然而,在数据跨境流动监管这一新兴且至关重要的领域,自贸试验区的制度创新进程却显得相对滞后。
1.创新成果数量不足
尽管北京自贸试验区、上海自贸试验区、天津自贸试验区在数据跨境流动监管的清单化管理方面率先迈出了步伐,通过实施分类分级管理办法和数据出境清单等措施,为其他自贸试验区树立了标杆,但整体来看,这一领域的创新成果数量仍然有限。更多自贸试验区尚未充分发掘自身潜力开展具有区域特色的数据跨境流动监管制度创新,整体创新氛围不够浓厚,创新步伐有待加快。
2.创新成果质量偏低
许多自贸试验区在数据跨境流动监管方面的制度创新仍停留在总体规划或概念性框架阶段,缺乏深入实施的具体方案和有效执行机制。例如,虽有部分自贸试验区制定了数据出境负面清单管理办法,但这些办法的具体实施效果和推广程度仍有待检验。同时,创新成果同质化现象较为突出,未能充分体现出各自贸试验区的差异化特色和优势。“重规划、轻实践”的现象严重制约了制度创新成果的实效性和可推广性,亟须通过加强实践探索、优化政策设计、强化监管执行等手段,提升创新成果的质量与水平。
3.成果的复制推广进程缓慢
数据跨境流动监管的制度创新不仅需要自贸试验区自身的努力,更需要形成全国范围内的联动机制,实现创新成果的快速复制与广泛推广。然而,目前部分自贸试验区因受限于自身条件或政策环境等因素,未能将重心有效聚焦于数据跨境流动监管的制度创新,导致可复制推广的制度创新成果相对较少。此外,即使部分自贸试验区取得了较为显著的创新成果,但由于经验不够成熟、顶层设计尚不完善,这些成果也难以在全国范围内迅速普及和应用。
(二)自贸试验区数据跨境流动监管探索和创新的结构失衡
1.数据出境路径的多样性和数量不足
天津自贸试验区、上海自贸试验区和北京自贸试验区通过实施数据分类分级管理办法和数据清单,为数据处理者提供了明确的指导,帮助其识别数据属性并选择合适的出境路径。北京自贸试验区推出的外企数据出境“绿色通道”以及福建自贸试验区平潭实验区提供的“一站式”出境服务,进一步提高了数据处理者的申报效率和便利性。这些措施虽然提高了数据出境的便利性,但它们主要集中于提高操作的便利性,而没有从根本上解决如何建立多样化和丰富的数据出境路径的问题。目前,各自贸试验区缺乏一个系统性的框架来指导如何建立一个梯度化的、多元化的数据出境路径体系,以确保数据跨境传输的顺畅和高效。
2.标准合同和个人信息保护认证的制度单薄
我国在管理一般数据跨境流动方面采用了与欧盟类似的方法,主要通过标准合同和个人信息保护认证两种方式进行。但与欧盟相比,我国的这两种制度安排仍显不足。
在标准合同方面,欧盟的标准合同条款针对不同数据传输场景(如控制者到控制者、控制者到处理者等)提供了详细的合同内容,并包含第三方受益人权利。相比之下,我国的《个人信息出境标准合同》在场景定制化和细节方面还不够完善。此外,我国的合同备案程序透明度不足,备案失败后合同的效力也有待进一步明确。在个人信息保护认证方面,欧盟通过欧洲数据保护委员会、监管机构和认证机构构建了多层次的认证体系。而我国的认证机构由国家市场监督管理总局和国家互联网信息办公室共同推动,带有单一性和行政管理色彩,主要承担技术检测和实施性工作。此外,我国现有制度中未能明确认证流程耗时、认证对象等诸多细节。
这些方面为自贸试验区提供了探索创新和开展试点的切入点,然而目前尚未观察到相关领域的积极尝试。
3.科学数据等场景下的数据出境监管探索薄弱
数据跨境流动监管探索和创新的结构失衡还表现在已有的监管措施几乎都聚焦于企业业务场景下的数据出境,对科学数据等场景下的数据出境监管探索还稍显薄弱。尽管首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目作为我国首个数据合规出境案例,标志着我国在科研合作领域数据跨境流动监管方面迈出了积极的一步,但目前尚未观察到这一实践在更广泛的领域得到规模化推广。这也是自贸试验区在数据跨境流动监管方面可以进一步探索和创新的方向。
(三)自贸试验区数据跨境流动监管协同性和体系性不足
1.战略定位与监管措施不匹配
自贸试验区的设立旨在通过差异化试点任务,推动区域经济合作与创新发展。各自贸试验区依据其独特的区位条件和产业基础,承担了包括区域协同发展、深化国际合作在内的多项使命。然而,在数据跨境流动监管领域,当前实践普遍未能充分反映这种差异化战略定位,监管措施多呈现“一刀切”现象,缺乏针对各自贸试验区特定需求的定制化探索。例如,江苏自贸试验区已经探索了数据跨境流动管理的“江苏方案”,但这种探索并未完全反映自贸试验区独特的区位条件和产业基础。北京自贸试验区的数据出境负面清单管理办法显示了对数据分类分级保护制度的初步尝试,但监管措施并未充分反映其服务于“探索京津冀一体化协同发展新路径”这一战略定位。这类问题不仅削弱了监管的有效性,还可能阻碍试验区数据跨境流动的潜力释放。
2.跨区域统筹协调机制匮乏
自贸试验区的制度创新往往聚焦于解决本区域内的实际问题,这种以问题为导向的方法论确保了政策制定的针对性和实效性,然而,在数据跨境流动监管领域,跨区域协调机制的缺失成为监管效能提升的瓶颈。各自贸试验区在监管探索上各自为战,难以形成合力,导致监管措施碎片化、重复建设现象严重,这不仅增加了监管成本,还限制了整体治理能力的提升。因此,构建一套高效、协同的跨区域统筹协调机制显得尤为重要。
(四)与高标准的国际经贸规则对接不充分
1.价值取向的冲突
随着DEPA与《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)等高标准国际经贸协定的提出,全球数字经济合作与亚太地区自由贸易的高标准框架日益清晰。我国主动申请加入这些协定,彰显了我国对于融入全球数字经济治理体系的坚定决心。
在数据治理领域,我国坚持以数据安全和个人信息保护为核心,强调在数字经济发展中维护国家安全和社会公共利益的重要性。这种价值取向是由我国独特的政治、经济和社会环境所决定的,具有深厚的现实基础和长远的战略考量。相比之下,DEPA和CPTPP则更加注重数据流动的自由化和便利化,倡导建立一个市场化的数字经济环境。这种差异不仅体现在文本内容上,更深刻地反映了数字经济发展道路上差异化的价值取向。如何使我国数据跨境流动监管体系的价值取向顺应高标准国际经贸规则的要求,仍是自贸试验区开展数据跨境流动监管创新时面临的重要课题。
2.监管措施引入的挑战
自贸试验区和自由贸易港作为制度开放的重要平台,需要探索如何对接数字经济领域高标准国际经贸规则,尤其是应当及时应对数据安全和跨境流动自由化方面的新挑战。2024年4月28日,中央政治局会议强调了支持有条件的自由贸易试验区和自由贸易港与国际高标准经贸规则对接的重要性,并鼓励开展改革开放的先行先试。国务院在2024年6月发布了《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放的若干措施》,着力推动自贸试验区和自由贸易港等高水平开放平台进行先行先试。
CPTPP和DEPA等国际协定对数据跨境流动的规定较为严格,我国在对接这些协定时将面临更大的合规挑战和安全风险。如何在确保数据安全的同时,实现数据跨境流动的自由化,以及如何在中国的制度框架内实施DEPA和CPTPP中的监管措施,特别是针对数据保护可信任标志和数据监管沙盒等新型监管工具的应用和推广,仍是自贸试验区目前面临的重大挑战。
四、推进自由贸易区数据跨境流动的优化方向
(一)通过法治方式赋予自贸试验区更大的改革自主权
自贸试验区肩负着“先行先试”的重任,从“制无禁止不设置”转变为“制有激励皆设置”,通过不断的创新实践推动政府职能转变,为全国乃至更广泛区域的制度创新树立可复制、可推广的标杆。然而,在此过程中,现行法律、行政法规的既定框架往往成为其探索步伐的障碍。为破解此难题,2015年修订的《立法法》第16条赋予了全国人民代表大会及其常务委员会一项重要权限——基于改革发展的需要,针对特定事项,在限定时期和范围内,可灵活调整或暂停适用部分法律条款。国务院在部署自贸试验区总体方案时,均明确了一项关键的法治保障措施:若自贸试验区需对部分行政法规、国务院文件及经其批准的部门规章进行临时性调整,则需遵循既定程序办理。此举在确保法律、行政法规权威性与稳定性的同时,为自贸试验区的探索创新预留了必要的灵活空间。
目前,全国人大常委会已授权国务院在自贸试验区对包括《食品安全法》《民办教育促进法》《会计法》《商业银行法》等在内的多部法律进行暂时调整。但迄今为止全国人大常委会与国务院在数据治理方面尚未构建起系统性的政策支持体系,导致自贸试验区在这一领域通过探索引领创新的潜力难以充分释放。鉴于此,亟须进一步赋予自贸试验区更为广泛的改革试验权限。在我国出台自贸试验区专门立法之前,加强自贸试验区与全国人大常委会法工委、国务院法制办及数据跨境流动行政主管部门的沟通协作显得尤为重要。通过及时为监管创新提供前瞻性、开放性的上位法支持,赋予自贸试验区更大的改革自主权,推动其在法治轨道上实现更加深远、广泛的创新突破。
(二)针对性部署自贸试验区数据跨境流动创新任务
1.推进实施差异化战略定位
鉴于我国自贸试验区在地理区位、经济基础及国家战略中的角色各不相同,我国对全国范围内的22个自贸试验区采取了高度差异化的战略定位策略,其核心聚焦两大方向:一是深化对外开放合作,二是促进国内区域协同发展。具体而言,沿海及沿边自贸试验区,如上海、山东、福建、辽宁、云南、黑龙江等,被赋予强化与海外经贸联系、探索更高水平开放的重任;而内陆地区及承担国家区域一体化战略任务的自贸试验区,如京津冀协同发展战略下的北京、天津、河北自贸试验区,以及长三角一体化背景下的湖北、安徽自贸试验区等,则侧重于推动区域内部的资源共享与协同发展。
有鉴于此,应进一步细化并强化各自贸试验区的差异化战略定位,确保每个自贸试验区都能在数据跨境流动领域找到符合自身特点的创新路径。例如,沿海自贸试验区可重点探索数据跨境传输的安全通道建设、国际数据合作新机制等;内陆及区域协同型自贸试验区则可聚焦数据要素市场培育、区域数据共享平台建设等。同时,基于差异化战略定位,制定个性化的数据跨境流动监管创新策略,包括建立灵活的数据分类分级管理机制、优化数据跨境审批流程、引入智能监管技术提升监管效率等。
2.强化数据跨境流动任务的差异化部署
在推进自贸试验区数据跨境流动任务的部署时,应采取差异化策略,以适应不同区域的特定需求和条件。具体来说,对于数字经济较为成熟、数据跨境需求较大的地区,如北京、上海和浙江自贸试验区,应重点探索和实施数据保护能力认证机制,以及个人信息出境标准合同的场景化应用,以促进数据传输的便利化。
对于承担与特定区域合作交流任务的自贸试验区,任务部署则应更加聚焦与合作区域加强数据传输基础设施建设和构建数据传输便利化机制。例如,山东自贸试验区应着重深化与中日韩区域经济合作下的数据传输便利化探索;广西自贸试验区应聚焦构建面向东盟的国际陆海贸易新通道的数据传输机制;福建自贸试验区则应着力推进与台湾地区经济合作下的数据传输和监管互信建设。
3.强化重点区域的制度探索
随着《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的制定和《关于促进粤港澳大湾区数据跨境流动的合作备忘录》的签署,大湾区正逐渐成为数据特区的典范。广东自贸试验区需要采取行动,发挥其在探索粤港澳数据跨境流动机制中的引领作用,开拓数据跨境业务的新场景,为大湾区数字经济的高质量发展注入新动力。海南自由贸易港自2020年升级以来,已不再担负“可复制、可推广”的使命,这为其深化改革和扩大开放提供了更大的空间。通过释放制度红利,海南自由贸易港有望进一步推动区域数字经济的发展。
粤港澳大湾区和海南自由贸易港应继续发挥其先行者的作用,深化对数据跨境流动机制的探索,不断优化和完善相关的规则和标准。这将为数据的安全和有序流动提供更加坚实的制度保障,进一步促进两地数字经济的繁荣发展。
(三)整合资源,建立自贸试验区数据跨境流动监管创新的协同机制
1.构建多维度的协同机制
数据跨境流动的监管创新应当是一个系统化和多维度的过程,涉及技术层面、平台建设和监管层面、场景化构建层面以及监管主体之间的协调与合作层面等多个维度。在技术层面,需要以安全、效率、有序为导向开发和部署先进的数据加密、匿名化处理和访问控制技术,确保监管效果符合预期。在平台建设和监管层面,需要适当超前部署数据跨境传输的基础设施,如数据交换平台、数据中心、国际数据传输通道等,为数据提供安全便捷的存储、交易、传输空间。在场景化构建层面,需要充分细化数据跨境传输的类型化场景,并提供差异化的合规出境路径。在监管主体之间的协调与合作层面,要求不同监管机构之间建立有效的沟通和协调机制,实现资源共享和信息互通,以形成监管合力,提高监管效率和效果。
2.构建常态化协同工作机制
在实际操作层面,每个自贸试验区在技术实力、资源配置、管理知识以及关注焦点等方面都存在一定的局限性。因此,建立自贸试验区之间的常规化协作机制显得尤为重要,这有助于整合各方资源,发挥互补优势,并推动数据跨境流动监管的创新。
应建立常态化的纵向协同工作机制,连接我国数据跨境流动的主管部门和各自贸试验区,确保沟通渠道的畅通无阻。例如,京津冀自贸试验区已经建立了“载体、体制、规划、工作”四大协同机制,并签署了《京津冀自贸试验区三方战略合作框架协议》,以加强区域内的协同联动。通过主管部门的顶层设计和自贸试验区的具体执行,可以共同识别并解决数据跨境流动治理过程中遇到的问题。
此外,还应充分利用企业的技术优势,为数据跨境流动所依赖的技术和平台提供智力支持。同时,利用不同行业在日常运营中积累的数据处理和跨境流动的实务经验,细化和完善数据的分类分级及清单管理,以提高监管的效率和效果。
(四)对标高标准国际经贸规则,扩大数据跨境流动监管模式的影响力
1.制定并完善自贸试验区数据跨境流动监管规则
在自贸试验区数据跨境流动监管规则的制定与完善过程中,可借鉴DEPA和CPTPP中的数据跨境流动监管规则及技术手段,以此为基础,吸收其有效的规则、监管模式和监管技术,整合到自贸试验区的数据跨境流动监管框架中。其目的是在高标准国际经贸规则下进行例外规则的测试,探索我国接纳国际高标准经贸规则的可能性与适应度,进而构建一个能够与国际高标准经贸规则相衔接的制度体系和监管模式。
2.发挥各自贸试验区的地理区位优势
应充分利用沿边、沿海自贸试验区的地理区位优势,结合各自贸试验区与特定域外地区深化经济交流的战略定位,积极推动双边或多边贸易合作协定的签署。例如,中国与东盟国家在数字经济合作方面已有深厚基础,双方同意抓住数字机遇,打造互信互利、包容、创新、共赢的数字经济合作伙伴关系,共同策划实施了近20项重点活动,有力配合了中国—东盟面向和平与繁荣的战略伙伴关系的发展。通过构建数字经济合作伙伴关系,在更广范围内寻求数据跨境流动治理的安全共识,扩大我国数据跨境流动治理规则的国际影响力,进而参与全球数据跨境流动治理的规则制定。
