城市数字治理安全与发展的平衡：上海跨境数据流动治理2023.docx

前言1扩大数据跨境试点鼓励更高水平对外开放3一、我国数据跨境面临的主要问题3二、数据跨境遭遇堵点的原因分析及其影响5三、对试点区数据流动发展的政策建议6跨境数据流动的安全与发展的平衡可行性：企业政府双视角.8一、“企业-政府”跨境数据流动现存的问题9二、跨境数据流动遇困的原因分析10三、促进跨境数据流动的安全发展平衡13加速推动上海“国际数据港”建设18一、跨境数科建设“国际数据港”历程18二、功能平台建设20三、数据跨境流动制度创新22补充研究：国内各地跨境数据流动治理政策梳理24一、上海涉及跨境数据流动相关政策29二、北京涉及跨境数据流动政策梳理34三、深圳涉及跨境数据流动政策梳理45四、海南涉及跨境数据流动政策梳理54前言自2021年开始，复旦发展研究院的智库咨政课程政策调研与写作已历三年，以通识教育选修课的形式向复旦全校本科生开设课程，落实智库育人。其中，数字科技治理的相关研究作为其中三大模块之一，与生态环境与经济产业发展一道，力图带领学生将学术研究与政策研究相结合、将理论研究与调研实践相结合，以学术研究方法论为基础夯实实践调研成果，为上海与国家发展贡献智慧。数字科技治理当中包括前沿数字技术突破、数字科技产业发展、城市数字韧性与跨境数据流动治理等多个议题，围绕上述议题，在理论与课堂教学之外，我们与来自全校不同专业的学生一起走访调研，最终形成相应成果报告。本报告的最终成型基于课程研究小组赴上海临港新片区跨境数据科技有限公司的学习调研经历和此前的基础性研究。跨境数科的各位领导老师为课程研究小组进行了详细的介绍，并针对跨境数科、自贸区临港新片区和上海的跨境数据流动治理政策与课程研究小组进行了充分的探讨。跨境数据流动对我国不断深化对外开放、提升数字经济效能具有重要意义，如何探索一条兼顾高效与安全的跨境数据流动通路是上海和临港面临的重要课题。在这一过程中，需要详细了解当前跨境数据流动治理中的堵点痛点，通过政策、技术、组织和产业落地，共同推动跨境数据流动机制创新。跨境数科的领导老师们为调研小组带来诸多重要的思考角度，并以跨境数科的跨境数据流动应用场景给予课程研究小组很大启发。小组围绕上述议题撰写了成果报告，得到了跨境数科李晶、张启心与贺维维等各位领导老师的指导与修改，在此我们表达诚挚的感谢。复旦大学发展研究院受临港新片区管委会、上海临港新片区跨境数据科技有限公司等邀请，参与见证了国际数据港智库联盟的启动仪式，与临港跨境数科国际数据港研究院和多家全国相关研究机构一道成为成员单位，共同聚焦国际数据港建设面临的重大理论与技术问题，加强全局性、战略性、前瞻性、针对性研究。我们希望本次课程调研成果不仅能够使小组成员更加深入了解跨境数据流动治理政策与实践，也为复旦和临港的合作做出贡献。扩大数据跨境试点鼓励更高水平对外开放李之端数字化时代，数据已经成为一种经济资源。如同商品有国际间进出口规则，目前各主要国家和地区也逐渐形成了不同的数据跨境流动合规规制圈。近年来，我国正尝试与多种国际规则对接，积极探索适应我国社会经济发展目标的数据合规办法。上海作为我国对外开放的高地，也在试点建设高水平国际数据港，并在实践过程中形成经验。但现有办法及经验仍然无法较好满足企业数据跨境需求，数据跨境流动领域需要更高水平的对外开放。对此，一方面政府应丰富监管手段，提升监管效率，以安全促发展；另一方面，政府也应扩大数据跨境试点范围，促进更广泛的国际交流与合作发展。一、我国数据跨境面临的主要问题1.数据跨境评估流程长、灵活度低，不利于企业跨国经营。按照数据跨境安全评估办法的流程，企业申报数据跨境审批后，每次审核需要近两个月，每隔两年要审核一次，如果有较为紧急的数据跨境需求，例如法务公司需跨国调取证据，将极为不便。在企业数字化转型的趋势下，相对严格的数据跨境审批流程会削弱上海对跨国企业的吸引力，影响营商环境，阻碍新一轮高水平对外开放。2 .重要数据认定困难，企业进退两难。目前重要数据认定标准仍然模糊。在数据跨境安全评估申报指南中，唯一确切的判定指标为“100万人”“10万人”这一类定量指标，而其他影响数据风险的因素并未纳入考虑。面对此种情况，企业相当忐忑，虽有大胆发掘数据经济价值的进取之心，却又担忧不能充分把握政策意图，如若数据跨境后出现问题，则有被监管部门追责之虞。除此之外，现存的管理和各类执行办法并未给企业提供可靠参考，以致企业在面对相关问题时踌躇不前。3 .正面清单较少，争议数据多。现存办法对于数据跨境的限制均以负面清单形式公布，但碍于重要数据认定困难、负面清单边界不清晰，种种办法并未帮助企业提升数据跨境的审批效率。因此，部分数据跨境管理企业和数字贸易平台开始尝试探索“白名单”，通过正面清单和负面清单的双向结合，缩小风险数据混沌区域。然而，就上海市的实践来看，现阶段正面清单的效用有限：无风险数据占据白名单内容的绝大部分，而那些真正存在争议的用户个人数据和先进制造业数据尚未被合理列入，因此白名单建设也难以解决企业和平台面临的实际问题。4 .现有试点缺乏国际竞争力。上海是国际海光缆在中国大陆的最主要登陆点，拥有产业生态、数字空间的优势，具备“国际数据港”建设的卓越条件和强大的数据跨境服务发展潜力。然而，在国际层面，其他国家和地区具有更深厚的探索历史与更高的开放水平。例如，新加坡已经融通不同国际规则，建成亚太地区最具吸引力的数据中心枢纽，吸引多家头部数字企业入驻。与之相比，上海难以抢占龙头，缺乏足够的后续竞争力。二、数据跨境遭遇堵点的原因分析及其影响1 .我国对于数据跨境态度谨慎，监管手段单一，数据跨境后，监管难度增加，数据泄露风险增加。我国虽重视数据的经济价值，但也强调在保障安全的前提下促进发展，态度非常谨慎，因此需要重重审批。另一方面，除去企业自主申报后的审批，我国目前对于数据跨境的监管方法仍依赖“事后”追责，缺乏长期的、动态的“事前”和“事中”监管手段与风险预警机制。单一的监管手段无法有效降低数据跨境的风险，进一步致使我国谨慎对待数据跨境需求。2 .数据分级仍需细化。影响数据风险的因素很多，除却数量，还包括发出者、接收者身份、拷贝次数、数据保留时间、预期访问量等等。我国缺乏数据分级经验，现有办法也缺少实践支撑。重要数据识别及数据评估难以凭借理论设想一蹴而就，需要结合更多实例和具体场景不断完善。3 .数据类型多、体量大、开口小。现有数据跨境管理的机构与企业体量小，人员少，服务对象影响力小，涉及领域少，因此经验积累有限。试点区整体探索还需加速，以满足完善数据管理办法的效率需求。三、对试点区数据流动发展的政策建议上海作为数据要素改革排头兵，为避免数据跨境传输壁垒阻碍更高水平的对外开放，需要鼓起闯关的勇气，在确保数据安全的前提下使数据充分流动，服务更高水平的对外开放。1.丰富监管手段，提升监管效率，以安全促发展。一是指导企业建立覆盖全数据生命周期的安全管理制度。让企业自主探索含争议数据的分管办法，减轻政府审核负担。同时，企业应建立数据安全保护能力评估认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制，还应明确授权可操作系统的特定人员，对于数据进行保密存储并严格规定过期数据的销毁流程。二是建立“数据交易合规守信评级”制度。在现有的“事前评估备案、事中备份存证、事后核查抽查”的静态机制之外，还可以将企业数据跨境合规评估情况与企业信用评级关联，结合行政处罚、负面报道、交易投诉等手段构建跨境数据交易的动态预警机制，实现长效灵活监管。2 .扩大试点范围，提升数字服务企业集聚度。一是深化制度创新。上海在国际数据港建设方面已有长远的政策规划，也在初期实践中提供了探索数据合规办法的“临港模式”，接下来应继续完善数字评估办法，探索更多国际互认方式，争取后续数字贸易规则的制定权和发言权。二是建立更多数字贸易交易平台、数据跨境管理公司。数据要素登记存证、数据分类评估等工作需要大量人财物力的支持，也需要更多掌握数据追踪、整合能力的企.业形成技术支撑，因此需要扩大开口，让更多企业加入国际数据港的创建工作中。三是引进更多有国际影响力的跨国企业，尤其是先进制造业中的龙头企业。形成跨国企业生态圈，丰富数据跨境场景、积累多元化数据跨境处理经验，让数据分级分类落到实处、发挥更大实效。3 .鼓励跨区域、跨国交流合作。联系北京数据特区、深圳数据交易所、海南数据港等同样尝试建设数据跨境流通高地的区域，通过举办数据跨境流通合规论坛等方式互通有无，互学互鉴，引领我国“国际数据港”建设。同时也要加强国际合作，与新加坡、美国等走在数据规则融通前列的国家和地区建立长期的交流机制，打造“数字丝路”。4 .推进人才队伍建设。试点区需要吸纳更多政策分析和法规研究人才，准确领会政府意图，紧跟改革步伐，强化政企协同。同时，可以与高校联合培养融通国际政治、数字贸易和数据跨境流动等领域的复合型人才，为数据跨境试点提供坚强人才保障和智力支撑，为数字化时代更高水平的对外开放储备力量。跨境数据流动的安全与发展的平衡可行性：企业政府双视角徐沁范习近平总书记在首届中国国际进口博览会开幕式上表明，要支持长江三角洲区域一体化发展并上升为国家战略，着力落实新发展理念，构建现代化经济体系，推进更高起点的深化改革和更高层次的对外开放，同“一带一路”建设、京津冀协同发展、长江经济带发展、粤港澳大湾区建设相互配合，完善中国改革开放空间布局。1当下，以数字经济为代表的数字数据市场是长三角地区经济发展的突出一环，作为中国社会主义市场经济的重要组成部分，是中国经济社会发展的重要驱动。在数字数据市场中，跨境数据流动是极为重要的组成部分。要做好数字经济发展建设，跨境数据流动是不可忽视的一环。所谓跨境数据流动，我们采用欧盟跨境数据流动治理：平衡自由流动与规制保护中的观点，将其定义为"tansborderdataflows”2,在法律意义上，它是从本司法管辖区转移数据到其他司法管辖区，或是转移到其他司法管辖区之后意图再转移的行为。习近平：在第五届中国国际进口博览会开幕式上的致辞，来自网页hup:/2姚旭：欧盟跨境数据流动治理：平衡自由流动与规制保护，上海人民出版社，2019年版。作为数据创造和消费大国，中国在企业生产、政务服务、社会民生等领域都有着庞大的数据使用和流通需求。例如，随着国际国内双循环发展的稳步推进，在企业跨国合作、协同生产等领域，数据正发挥着愈来愈重要的作用。如何平衡数据自由流动和数据安全存储是中国这一发展大国当前需要面临的一大难题。一、“企业-政府”跨境数据流动现存的问题数据作为一种流动性财产(fugitivePrOPerty),只有在人、社会的有序组织流动下，才能最大限度收集发挥其价值。可是，作为一个不确定概念，若“数据安全”失之宽泛，可能戕害了数据自由，而若过于狭窄，又可能引发不可控的风险。3因此，如何把握数据流通和安全的平衡成为当前跨境数据流动治理的重中之重。经过调研，当前我国跨境数据流动领域面临着诸多困境，数据流动的发展侧和安全侧均受到了不同类别的挑战，出现了一定程度的失衡。1 .企业面临的数据出境困境。在调研中，部分企业曾表示，面对全球化市场的需求，企业对于数据出境和跨国协同生产的需要进一步扩大。但目前来看，我国的数据出境政策处于一个更为稳健、谨慎的规则角度，对数据的出境审批流程有着较为严格的限制。这使得部分企业处于规则僵局中。部分企业表示，我国法律法规中紧缩和模糊的数据出境审批政策给企业的审批和合规流程3许可：自由与安全数据跨境流动的中国方案，环球法律评论，2021年第一期。带来了诸多不确定因素，一定程度上压缩了企业对外发展的空间。部分无良企业因此铤而走险进行违规传输，对我国公民的个人隐私和国家信息安全造成了一定的风险。某企业负责人表示，在此局面下，未来可能会有越来越多的企业铤而走险进行违规传输，这在一定意义上挤压了遵守我国法律法规进行合规出境的企业的发展空间。2.政府端面临的监管难题。当前，我国政府面临着不可避免的数据监管难题。从大方向上，我国对于数据出境一直秉承着谨慎稳健的态度。但由于数据市场经济飞速发展，相应的上层建筑和顶层设计却存在一定程度的落后，目前政府端对于数据市场的监管稍显颓势，有力不从心之感。在面对企业复杂的申报数据时，有关政府部门不仅缺少足够的法规支持，相应的处理经验也稍显不足。此外，不同政府部门之间存在权力拉扯，对于数据出境审查监管流程造成了一定的经济影响。二、跨境数据流动遇困的原因分析1.在政策层面，我国对于数据出境的监管条例仍不够完善。整合各类法律条文、管理条例等可以发现，虽然我国在数据安全方面己经完善了顶层法律、主要条例以及部分具体实施细则等，但阅读部分细则可以发现，在监管办法中仍存在诸多具有不确定性的规则。首先，针对“数据”这一概念，我国在2022年7月17口出台的数据出境安全评估办法中点明了几类需要向国家网信部门申报数据出境安全评估的数据类型，分别为：重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。4在上述四类需要进行申报评估的数据类型中，网信办暂未对“重要数据”“其他需要申报数据安全评估的情形”作出详细规定。何谓重要数据？重要数据内部有无分类？虽然其他条例对这些问题略有涉及，但在此办法中暂无详细阐释。因而，企业在进行内部数据出境材料整合时面临诸多困境，例如，是否申报、所申报数据是否合规，都是困扰企业的常见问题。同时，在涉及数据出境的诸多法律法规中，频繁出现“其他情况”“其他条件”等指意模糊的字句。例如，个人信息保护法中指出，个人信息出境需要符合以下条件之一：（1）进行个人信息保护认证；（2）与境外接收方订立标准合同；（3）其他条件。再例如，2023年2月正式出台的个人信息出境标准合同规定第八条指出，在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订4转引自：马光：论我国数据出境安全评估制度构建，上海政法学院学报（法治论丛），2023年4月。立标准合同，并履行相应备案手续：（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；（3）可能影响个人信息权益的其他情形。5可以看出，对于数据出境的具体评判要求，部分法律法规、实施办法或细则等有较为模糊的规定，会引起企业方的不安与疑惑。2.数据出境的法律法规存在不确定性。这不仅给监管部门带来了执行困境，企业方也呼吁相关部门出台更为清晰、监管边界明确的实施细则。由于数据及数据出境问题的复杂性，不同的政府部门经常会合作办公。在目前已公开的数据条例已明确规定的范围内，各部门各司其职，共同服务监管我国各企业各单位的数据出境安全申报。但仍会出现在条例、办法中尚未明确规定的情况，比如一些涉及一般个人信息或一般企业发展信息的数据是否也包括在重要数据的范围内。在此情况下，政府被赋予了相当大的裁量权，这使得企业端数据的出境审批流程具有相当大的不确定性，不仅减缓了双方提交、审批的速度，也产生了一些存在于企业和政府间的灰色空间。此外，由于法律制定端和政府执行端处于两5个人信息保护法，中华人民共和国中央人民政府网站，网址为：https:W个截然不同的政策点位中，政府部门在很多情况下对相应的数据出境持模糊看法，一些处于敏感与非敏感的边界数据的执行规则难以确定。倘若监管部门采取宽松态度，可能会存在出境数据产生相应的法律或隐私责任的风险。因此，在大多数情况下，相应监管部门会偏好稳健而谨慎的审批策略，从最大程度上保障我国的数据安全。最后，由于条例中存在许多概念规定不确定、各类数据审批范围定义过宽等问题，在面临具有歧义或争议性的数据类型时，不同的部门经常会出现一定程度的拉扯。例如，在监管部门和其他相关部门之间会产生审批要求的掣肘，这不仅对数据出境的审批造成严重影响，也极大程度地影响了政府部门的分工协作。3.存在部分企业不顾监管规则，违规进行数据出海传输，甚至泄露个人隐私信息等重要数据。近年来，某外资在华汽车企业被爆出泄露车主隐私信息、数据存储无加密传输等新闻。无独有偶，在部分制造业行业，有些企业为加快生产中转，多次向境外违规传输重要制造信息。对此，企业应懂得数据出境的安全监管与发展是一体两面之关系。倘若仅为满足企业发展要求，绕过监管程序进行数据违法出境，不仅损害了我国公民的个人隐私安全、国家的经济发展安全等，也为企业的后续发展埋下了隐患。三、促进跨境数据流动的安全发展平衡正如前文提及，在跨境数据流动中，安全与发展实则是一体两面之关系。只有保障了数据的安全出海，完善全流程的监管，经济发展才能更有底气，更有保障。同样地，数据出海的监管流程的最终目的之一也是为了促进我国经济社会的发展和民生服务的完善，从发展角度出发，方能更直接地触及跨进数据流动的堵点和痛点，有的放矢、对症下药进行监管。只有在数据安全的基础上谋求发展，我国数字经济乃至整个经济社会的发展方能行稳致远。1.相关部门应进一步完善政策及政府监管。首先，从政策制定层面，应尽快理清“重要数据”“其他情形”等条款的具体内容，对数据监管的目录进行完善，从而明确界定关键信息基础设施和重要数据的范围，减少商业性个人信息数据流通的阻碍，减轻企业的运营成本。其次，针对数据出境相关议题，政府和企业之间可以构建若干个长期有效的沟通座谈机制。通过沟通座谈，企业端将能更直接地表达自身需求，深度参与后续的规则协作；政府端则将能更直观地了解企业诉求，完善监管服务条例和实施细则，打通审批-监管的堵点。在座谈会基础上，政府和企业代表可以共同构建专班协调机制，实时跟进数据出境合规服务建设。最后，政府应进一步完善数据出境白名单建设。部分企业表示，根据当下国家发布的数据出境审批实施细则，一般数据和部分本不需要安全评估的个人信息出境也须通过网信部门申报安全评估，这既增加了企业方面的送审压力，也加重了政府部门的业务负担。因此，完善白名单建设是一个较为切实、高效的解决办法。经由白名单，一般个人信息、企业基础生产数据以及公开经营数据、文宣数据等数据可以通过绿色出境通道等途径快速出境，优化审批流程，提高审批效率。值得注意的是，白名单的建设应经过企业、发展部门、监管部门等多方磋商，对于确实需要进入白名单的一般数据，政府应给予服务支持；对于仍需要申报审批的重要数据，政府应严格依据条例进行监管，防止“白名单”变为“灰名单”。2政府各部门之间应理清权责关系。监管部门、发展部门和组织部门等部门之间应做好协商规划，在相关条例等规范下合作开展工作。部门职能不越界，部门权责不推卸，共同做好数据出境的服务以及审批监管工作。在国家统一规制下，各省各部门也应做好相应的标准协调工作，促进新政策新规定在全国统一落地实施。3 .各企业应落实数据分类管理。鼓励相应行业、数据出口重点企业建立统一的行业数据分级标准。同时，发挥行会党支部、各企业党支部等先锋引领作用，推进行业数据分级标准落细、落实和优化完善。例如，饿了么就形成了较为完善的本地数据隐私分类分级管理，对不同程度的数据进行分级保护。在一次次分级优化中，企业能够不断提升自身基础设施水位，完善信息数据的管理，对于后续数据出境也有较大助益，可以减少内部数据定位的负担。4 .优化政府企业间合作模式。政府与企业可携手共建数据出境企业服务专班试点工作。商务部关于印发全面深化服务贸易创新发展试点总体方案的通知指出，要在中央网信办指导下在北京、上海、海南及雄安新区等试点地区推进跨境数据流动分类监管模式，开展数据跨境传输安全管理试点。并在具备条件的试点地区开通国际互联网数据专用通道，推动第三方数据辅助流通机制更好更快发挥作用。经过调研发现，在上海、海南、北京等地区均落地了第三方跨境数据服务机构，比如上海临港的跨境数科公司。应进一步强化此类国际数据综合服务公司建设，协同促进我国综合国际数据港建设。同时，省级部门也可积极配合网信部门探索建立地方性数据安全综合评估办法，联系当地企业开展综合性数据安全评估审批工作，形成“网信部门一一地方一一数据出境试点服务企业”三者的服务监管链条，更好服务各企业数据出境申报与审批。图1服务监管链条示意图5 .积极接轨国际，扩大战略发展空间。目前我国已正式申请加入CPTPP和DEPA等开放内容更多的自由贸易或数字经济协定。随着我国数字经济对外开放的不断扩大，我国各数据出境法律法规也受到了国际相关规则的影响。在CPTPP中存在一般例外和国家安全例外条款，适当借鉴和运用此类条款等规则方向，有助于我国数据跨境流动自由和国家安全利益达到最佳协调。6然而，我国也应注意，部分国际条款限制了缔约国对于本国数据出境的监管，变相约束了我国对数据出境的审查权，这势必会对我国以后的数据安全造成一定影响，有关部门应该谨慎考虑。目前，我国的跨境数据流动及数据出境安全评估、监管审查制度仍处于制定初期，规章制度等上层建筑不够完善，政府相应的监管流程也不够清晰明确。尽管我国己提出了多地开展的试点工作，但仍缺乏较为完整的实践支撑。在下一阶段，我国应持续推进跨境数据流动安全评估及监管立法，创新政府-企业合作实践，从双视角出发推进数据出境评估与审查。同时，我国有关部门也应关注国际上其他国家或地区的相关立法与实践，以进一步完善我国的跨境数据流动安全监管制度。在保障数据安全的前提下谋求经济发展，在发展的过程中促进数据出境安全监管创新，政府、企业与社会协力促进我国数据经济安全健康发展。6马光：FTA数据跨境流动规制的三种例外选择适用，政法论坛2021年第5期。加速推动上海“国际数据港”建设上海临港新片区跨境数据科技有限公司上海临港新片区跨境数据科技有限公司（以下简称“跨境数科”）前身为2019年成立的“国际数据港”建设工作组。在临港新片区管委会的指导下，于2020年8月由三家上海市核心国企正式联合组建。从成立之日起，跨境数科就在“上海市推进国际数据港建设工作专班”的领导下，作为上海建设国际数据港的主要支撑单位与平台公司，支持建设“国际数据港"，促进安全可控、便捷高效的国际数据流通与合作。一、跨境数科建设“国际数据港”历程1 .紧密依托临港，从跨境数据流动的痛点难点入手。在2020-2021年间，跨境数科调研了各重点行业数百家企业的跨境数据流通需求，深入研究整理了跨境数据流通相关的痛点与难点问题，通过少量试点案例支持相关政府部门初步探索验证了安全合规治理模式创新的可行性与必要性，并牵头编制了上海建设国际数据港的总体规划。2021年，上海市委市政府在听取市级工作专班汇报的基础上，确定上海建设国际数据港战略目标与总体规划。同时，通过上海市数据条例等地方法规，明确临港新片区为上海建设国际数据港的先行区。之后，跨境数科紧密围绕上海市委市政府明确的战略目标，以及临港新片区管委会制定的推进计划，开始在临港新片区以功能型数据设施为承载、新型互联网交换中心为枢纽、数据流通公共服务平台为窗口，提供全球化的数据流通、存储、治理、加工、应用和安全服务，推动建立国内大循环和国际国内双循环的“数据”核心节点，并从“数字空间”支持上海五个中心建设。2 .创新跨境数据流动“事前事中事后”全链条模式，推动场景化落地实践。2021-2022年间，跨境数科在上海市和临港新片区两级工作专班的领导下，支持政府推动建立跨境数据流通的“事前评估备案、事中备份存证、事后核查验证”创新模式，通过创新模式贯彻落实“自评估与安全评估相结合，事前评估与事后监管相结合”的基本要求；牵头推动创建国际数据港“1+5”总体架构，即一套对接国际规则与先进水平的新型数据基础设施，以及贯穿国际数据流通合作全过程、全方位的“五大功能平台”；依托制度创新、功能建设与科技创新“三合一”成果，在若干重点行业推进“场景化”创新实践，涉及数据出入境、应用系统跨境交互、数据可用不跨境等各种技术场景。3 .加速创新项目启动落地，紧密围绕国家战略部署。2023年起，跨境数科所做创新实践，得到各级领导的关注与支持，创新力度与探索进度逐步加快，所涉及的具体创新实践场景从年初的3、4个，迅速增加到目前的近30个（半数已形成落地方案）。新型国际海光缆登陆站等数据基础设施创新项目正逐步启动，并开始参与研究对接CPTPP、DEPA等国际数字经贸规则，推动开展国际数据标准与规则互认合作等工作，跨境数科与新加坡、东盟、欧盟等相关政府部门或行业组织已经建立工作对接协作机制。从成立至今，跨境数科紧密围绕国家战略，不忘初心、久久为功，在支持制度创新、推动创新试点、强化功能平台和对标国际探索等方面均取得一定进展，已经成为上海市政府和临港新片区两级“国际数据港”建设工作专班的主要支撑单位。二、功能平台建设为支持国际数据港建设，跨境数科建成支撑数据跨境流动全过程的数据跨境安全评估服务、数据流动公共服务管理、数据存证监管一体化、技术与数据要素支撑、技术标准化与国际互认合作等五大核心功能平台。1.数据跨境安全评估服务平台。根据国家数据出境安全评估办法与临港国际数据港数据流动操作指引（试行）等相关要求，组织专家团队，以场景为牵引，为企业提供国际数据流通的安全合规评估服务。通过评估的场景，可申请纳入临港新片区国际数据流通合作的创新实践。若在评估中发现涉及重要数据或敏感场景，按国家法律规定，提请网信等相关部门进一步评估审批。自2023年5月成立起，该平台已经向数百家企业宣传介绍相关政策，解答企业疑问并提供技术支持，梳理形成二十余个流动场景，编制评估报告与实施方案，并已支持便捷访问“跨境查”数字藏品”等五个场景提报创新试点备案。2 .数据流动公共服务管理平台。平台在统一平台上集中提供项目申报、受理、备案、公示、统计分析与工作协同等政府服务工作职能。该平台参照本市“一网通办”成功经验，建立提供国际数据港单一窗口，作为企业获取政府服务的统一入口。该平台作为政府与企业间的桥梁，还担负着政策宣传、咨询解读、沟通交流、技术支持和其他服务职能。3 .数据存证监管一体化平台。平台以严守国家安全、网络安全，以及数据安全合规底线为目标，是贯彻落实“事前评估备案、事中备份存证、事后监管核查”，实现全流程安全合规监管的核心功能平台，包含数据备份、哈希存证、数据托管、安全防卫、合规检测，以及监管核查等一体化功能。4 .技术与数据要素支撑平台。平台主要向相关企业提供数据、技术和产品支撑，推动创建联合创新研究机构，协助企业解决技术瓶颈，同时将科技创新成果转化为产业生态。该平台已经与北大、社科院、中汽研等科研院校，翼方健数、亨通等重要企业，以及中国银行、绿色技术银行、渔技所等典型用户，合作创建约30家联合实验室，研究发布“国际数据流通一体化安全治理平台”“跨境贸易真实性核验系统”“数字文创产品全球发行平台”“国际数据港发展指数”等30多项国际数据流通与合作产品，向数十家企业提供数据、技术和产品服务，并已经申报3项专利和20项软件产品著作权。5 .技术标准化与国际互认合作平台。平台主要开展国际数据流通与合作相关的技术与产品标准化、行业数据分级分类管理标准化、对标高水平数字贸易规则的国际合作研究，以及与国外行业组织、重要企业或政府相关部门的标准规则互认合作等工作。该平台已经研究主导和参与编制4项国家标准、12项上海市地方标准和团体标准，并正在研究推进沪新”数据领域规则标准互认实践。6 .对标国际探索。跨境数科主动研究对标DEPA、CpTPP等新型国际数字经贸规则，围绕电子票据互认、数字身份互认、电子提单互操作、数字支付互操作、沪港医疗保险信息互认等多个领域，与新加坡、香港等地推进试点合作。跨境数科支持发展互信互利的国际数据流通与合作，积极联系对接“一带一路”国家、金砖国家、东盟、欧盟等使领馆，推动设立国际数据合作工作委员会，促进国际数据领域多边合作和标准互认合作。三、数据跨境流动制度创新在数据跨境流动方面，跨境数科在临港新片区管委会的领导下参与编制临港新片区国际数据港数据流动操作指引，探索形成“事前备案登记、事中传输存证、事后监管抽查”的数据跨境流动管理模式，承建数据流通公共服务平台，创新建立“数据传输记录存证系统”，并紧密围绕金融支付、数字贸易、供应链管理、数字服务贸易和国际数据服务等重点领域，积极推进“场景化”的跨境数据流通创新试点。此外，以“场景化”为重点驱动，推动数据跨境流动场景建设试点。针对企业的数据跨境需求，跨境数科以场景为驱动推动数据跨境流动试点，并根据中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见中提出的跨境电商、跨境支付、供应链管理、服务外包等重点领域，在不涉及重要数据和大量个人信息的前提下，助力企业探索“场景化”的数据跨境便捷流通，提供数据跨境合规服务。补充研究：国内各地跨境数据流动治理政策梳理吴思杰高健从整体规制架构的角度看，网络安全法数据安全法个人信息保护法确立了我国数据跨境流动规则的基本框架：对数据实行分级分类保护，根据数据的重要程度和被非法获取的危害程度将数据分为核心数据、重要数据和一般数据。重要数据处理者、关键信息基础设施运营者和达到一定规模的个人信息处理者原则上应当将数据储存在境内；确需向境外提供的，应当通过国家网信部门组织的安全评估。此外，个人信息跨境传输在征得个人单独同意的基础上，须具备下列条件之一：a.通过出境安全评估；b.获得专业机构的个人信息保护认证；c.与境外接收方订立标准合同；d.法律、行政法规或者国家网信部门规定的其他条件。其中，处理个人信息达到国家网信部门规定数量的个人信息处理者必须通过出境安全评估。此外个人信息处理者还应采取必要措施，保障境外接收方处理个人信息的活动达到我国个人信息保护标准。对关键信息基础设施运营者实行更严格的监管要求；符合要求的数据处理者赴国外或香港上市，须通过网络安全审查；对特定行业的数据提出额外的监管要求。其余数据（非核心数据或重要数据、非个人信息、非特定行业数据）出境不设限制条件。从具体细节的落实情况看，关于数据出境安全评估、个人信息保护认证、网络安全审查等制度的具体实施办法，从数据出境安全评估办法到规范和促进数据跨境流动规定（征求意见稿），我国关于数据跨境流动的规制体系正在不断完善并细化，其中关注安全有序高效数据流动的制度建设正在持续深化过程中。这一过程在此前是经历了充分讨论的。此前的个人信息出境安全评估办法（征求意见稿）主要规定了个人信息出境安全评估的申报材料和流程、重点评估内容等，列举了申报材料中网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告的必要内容，要求网络运营者应当建立个人信息出境记录并且至少保存5年。此前数据出境安全评估办法（征求意见稿）主要规定了需要进行数据出境安全评估的具体情形，要求数据处理者在向境外提供数据前事先开展数据出境风险自评估，并列举了风险自评估和数据出境安全评估的重点内容，以及数据跨界传输合同中的必要内容。此前网络数据安全管理条例（征求意见稿）第五章参考数据安全法个人信息保护法的相关规定，明确了数据处理者向境外提供数据的条件、需要通过出境安全评估的情形以及需要履行的义务，并要求向境外提供个人信息和重要数据的数据处理者每年编制数据出境安全报告，向网信部门报告上一年度数据出境情况。有关部门正在现有法律的基础上，尝试搭建一个切实有效、具体可行的数据出境管理框架。2023年9月国家互联网信息办公室最新发布的规范和促进数据跨境流动规定（征求意见稿）整合了此前各政策框架中各方关心的问题：规范和促进数据跨境流动规定（征求意见稿）为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对数据出境安全评做幽、个人信息出境标准合同办法等数据出境规定的施行,作出以下规定。一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。二未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:（一）为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨款、机票酒店预订、签证办理等,必须向境外提供个人信息的;（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;（三）紧急情况下为保护自然人的生命健康和财产安全等,必须向境夕限供个人信息的。五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。方、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单）,报经省级网络安全和信息化委员会后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。/（国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、讥侬幽部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。数据出境安全评估办法、个人信息出境标准合同办法等相关规定与本规定不一致的,按照本规定执行。德勤解读认为，相较于之前已正式颁布的数据跨境规范（数据出境安全评估办法、个人信息出境标准合同办法）,规定对数据跨境给出了更为明确的定义与界定，以及对于何时、在哪些情境下需要进行数据出境安全评估，以及何时可以豁免等，都提供了更加明确的指引。在整体跨境数据流动政策框架