查看新版>>
我的位置: 上观号 > 上海市法学会 > 文章详情

魏如连|上海自贸区数据跨境“一般数据清单”的国际数字经贸规则规范性研究

转自:上海市法学会 2025-04-14 09:31:35

在当前我国的经济改革进程中,对接国际高标准经贸规则已成为重要目标之一,自贸区在其中承担着制度试点工作以衔接相关规则。为对接国际经贸规则中有关数字经济的规定,上海自贸区根据其所制定的数据跨境分级分类管理办法先行发布了3份一般数据清单,呈现出分类化场景化、正面清单属性以及以产业为本的内容特征,能通过援引监管权规定与安全例外条款实现不同国际数字经贸规则的要求。为进一步提升一般数据清单的规范性,未来还可在丰富清单种类以及加强负面清单规制两条路径上持续优化其制度设计。

一、引言
数据跨境流动对于国家发展具有双重性。一方面,数据作为生产力要素的重要地位在当前社会经济运行中愈加突显,数据的跨境自由流动为产业结构转型升级持续增能;另一方面,数据跨境流动在个人隐私保护、产业市场竞争以及国家主权安全等多重维度上存有潜在风险。因此数据跨境流动的相关规制需要立足于经济发展与安全问题两个关键要点,追求实现二者的良性平衡。当前,我国形成了以网络安全法、数据安全法以及个人信息保护法为主要内容的数据安全法律体系,在顶层设计上对于数据跨境流动的监管体系进行了基本构建。
在我国市场环境中,自贸区作为我国对外开放的重要窗口,数据跨境流动已成为相关企业具体业务过程中的必要环节,对于管理规则的确定与细化有着迫切需求。2023年8月13日,国务院正式发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,其中明确提出要求探索便利化的数据跨境流动安全管理机制,支持北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单。2024年3月22日,国家互联网信息办公室发布《促进和规范数据跨境流动规定》,规定自贸区可以自行制定区内需要纳入管理范围的数据清单,并规定清单外的数据跨境传输行为可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。2024年1月,上海自贸区临港新片区管委会发布《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,将跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,要求核心数据禁止跨境,重要数据需要形成重要数据目录,一般数据需要形成一般数据清单,一般数据清单内的数据可在登记备案且满足相关管理要求后自由流动。2024年5月17日,上海自贸区临港新片区管委会正式发布共包含智能网联汽车、公募基金、生物医药等三个领域在内的数据跨境场景化一般数据清单。
相对于国内数据跨境流动规制体系,当前世界市场中新兴出现、具有重要影响力的国际经贸协定中也存在数据跨境流动的相关规则,其多注重于对东道国数据跨境流动限制措施的规制。《区域全面经济伙伴关系协定》(以下简称RCEP)是我国所参与的全球体量最大的自由贸易协定,其在第十二章“电子商务”中就数据跨境流动达成重要共识,确立了数据跨境流动自由的原则,同时也赋予了缔约方相应的规制权;我国当前还在申请加入《数字经济伙伴关系协定》(以下简称DEPA)与《全面与进步跨太平洋伙伴关系协定》(以下简称CPTPP),CPTPP在第十四章“电子商务”中对于缔约方的规制权进行了严格限制,DEPA也在第四章的“数据问题”中继承了CPTPP的数据跨境流动相关规定。上述各重要国际经贸协定对于数据跨境流动问题的相关规定反映了对于数据自由流动原则的追求,构成了当前国际数字经贸规则的重要组成部分,以其具体要求为根据,对我国的数据跨境流动规制体系进行规范性研究,有助于我国解决贸易争端、回应违规职责、推动我国CPTPP与DECA加入谈判进程,《临港新片区国际数据产业专项规划(2023-2025年)》中也明确提到要在数据跨境流动方面加强与RCEP、DEPA、CPTPP的规则对标。上海自贸区新发布的“一般数据清单”系我国数据跨境流动规制体系中最细化一层的地方工作文件,在内容安排与设计逻辑上较为具体,直接应用于一线的监管活动之中,便于进行规范性研究的同时,也最易受到国际数字经贸规则违规指控,因而对其开展规范性分析确有必要。
二、一般数据清单的基本内容概述

(一)
一般数据清单的内容设计

上海自贸区于2024年5月共发布三份数据跨境场景化一般数据清单,分别为智能网联汽车、公募基金、生物医药三个领域。在内容设计上,均将说明性章节置于前列,对清单的原则性事项进行了规定,随后列举跨境场景及所涉数据内容,对具体的管理要求进行明确。
在说明性章节中,公募基金领域与生物医疗领域的两份清单均设置了六项条文,并采取了类似的设置逻辑。第1条对于清单的适用范围进行了界定,将其限定为在上海自贸区登记注册且在临港新片区开展相关活动的数据处理者,同时将关键信息基础设施运营者排除在外。第2条对清单制定所依据的地方规范性文件及其管理要求进行了重申。第3条为安全保障条款,将各自领域涉及国家安全与社会公共利益的相关数据及其传输行为列为管制内容,采取了限制传输、信息备份以及安全审查等措施以对其进行规制。第4条为个人信息保护条款,列举了数据处理者在个人信息跨境传输应当履行的依法依规告知、取得个人单独同意以及开展影响评估等义务。第5条对于个人信息的跨境传输设置了单个数据处理者每年10万人的数据传输上限。第6条则是国家安全兜底条款,将各个领域可能涉及国家利益安全的数据排除在清单范围之外。
相较于前两份清单,智能网联汽车领域清单在说明性章节中的条文设置上存在部分差异。智能网联汽车领域清单的说明性章节共设置有九项条文,第1条、第2条与最后1条与其他两份清单相同,均对于适用范围、依据文件以及兜底性国家利益安全进行了规定。在第3条与第4条中,清单对于个人信息以及能够识别到个人的信息进行了排除,这与其他两份清单中允许个人信息跨境传输,但需要遵守特定义务与数量限制的规定产生了差异性,同时也在第6条明确了最小必要原则。第5条针对智能网联汽车的特殊性,确定了集中进行数据跨境传输的要求。第7条相较于前两份清单中的第3条安全保障条款,在排除涉及国家安全、社会公共利益相关数据的同时,对可能危害个人、组织合法权益的数据也进行了一并排除。总体上看,智能网联汽车领域清单在个人保护上更为严格,相应的条文设置也更为细致。
在跨境场景与所涉数据的列举上,三份清单均采取了一致的结构,在跨境场景方面明确了具体的场景名称,并于场景简介中对在该场景下开展数据跨境传输的行为目的、数据性质以及传输内容进行了界定;在所涉数据的描述方面,采取了数据类别、典型示例和说明以及传输要求的结构,在明确了数据类别的具体名称后,对该类别内涵进行解释,并列举多个该类别下的数据字段,最后对相应的数据传输要求进行说明。总体上看,公募基金领域清单的列举场景较少,传输要求也较为宽松;而智能网联汽车领域清单所列场景较多,传输要求也更为严格;生物医药领域清单在列举多个场景的同时,对于传输要求则同公募基金领域清单一样较为宽松。

(二)
一般数据清单的主要特征

1.分类管理下的场景化数据字段编制




针对数据安全采取分类管理,这一制度设计在数据安全法第21条中得以明确,而对于采取何种标准进行数据分类这一问题,虽然尚无法律法规明文规定,但数据安全法第21条第3款中规定“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”,为数据分类标准的制定提供了思路与依据,即以行业与领域作为数据分类的主要标准。《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》中根据数据安全法确定的数据安全制度安排,在第三章中明确了自身的数据跨境分类分级管理办法,同时在其中第七条对数据跨境的分类管理标准进行了阐明,以上海地区的“五个中心”建设为出发点,归纳出汽车、金融、航运、生物医药等重点领域以及临港新片区的相关行业作为数据分类的划分依据,在横向上对上海自贸区内在市场经济活动下所产生的数据内容以重点领域与相关行业为区分进行了分类处理。本次上海自贸区发布的一般数据清单按照公募基金、生物医药以及智能网联汽车三类领域进行划分,正是这一分类管理制度设计的体现。
在横向上对跨境数据按照领域与行业差异进行划分,而对于同一领域内的相关数据,上海自贸区一般数据清单采取了在纵向上根据不同工作流程及业务分工,以具体场景为区分对数据类型进行划分的方法。以智能网联汽车领域的一般数据清单为例,其将本领域存在数据跨境流动需求的相关活动总结为跨境生产制造、全球研发测试、全球售后服务以及二手车全球贸易四类场景,对该领域的数据跨境活动进行归类。这一划分方法依据具体的市场活动运行过程,按照通常的市场分工对不同领域的相关活动进行场景化归类,并基于各场景下的常规业务内容设置了明确的数据字段,对于适用于本清单管理的数据处理者而言更为具体,在对跨境流动数据进行管理以及登记备案时更具有实操性,为数据处理者开展数据跨境流动规范工作带来确定性,有利于推动数据高效有序跨境流动,推动优质营商环境建设。
另一方面,在有助于提升数据跨境流动高效性的同时,需要认识到一般数据清单这一分类管理下的场景化编制方法本质上是一种列举方式,其对于市场内存在数据跨境需求的相关活动进行了一定程度的业务内容剖析,并总结出了相应的常用数据字段,但仍需考虑到此种方式无法做到对全部相关活动的完全列举,即必然存在部分领域行业以及各领域内的部分业务活动游离于数据跨境管理体系之外的情况,这不仅为数据跨境流动管理工作留下了模糊地带,也易导致在对接国际数字经贸规则的过程中产生争议。
2.登记备案下的数据跨境自由流动




《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》第13条规定对于列入一般数据清单内的数据,数据处理者“可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。”其法律依据可追溯至上位法数据安全法第11条中所确立的“促进数据跨境安全、自由流动”指导思想。这一规定对一般数据清单应用方式进行了确定,同时也明确了一般数据清单的“正面清单”性质,即仅允许列入清单内的相关数据能够自由跨境流动,清单外数据则需要一律接受相应的规制措施。虽然这一规定在公布时并未与当时的法律法规相抵触,但其法律依据,即数据安全法第11条在立法设计上相对较为宏观,无法当然、直接地引申出本条规定。而在处于更高效力位阶的《促进和规范数据跨境流动规定》中,虽然其晚于《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》一个月公布,但其对于数据跨境自由流动的规制措施免除条件进行了较为细致的规定。《促进和规范数据跨境流动规定》第3条至第5条对数据跨境流动中可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等规制措施的条件进行了明确,其所列条件均以数据性质以及数据处理者的行为性质为依据,并未从领域或行业方面的差异性出发对其进行确定。而《促进和规范数据跨境流动规定》第6条则是专门针对自贸区的数据跨境特殊规定,其中允许自贸区在国家数据分类分级保护制度框架下制定需要纳入规制措施管理范围的数据清单,同时明确其性质为“负面清单”,允许清单外的数据可自由跨境流动,免除相应的规制措施。
具备正面清单性质的一般数据清单与《促进和规范数据跨境流动规定》中确定的负面清单相比,从数据安全角度出发,负面清单免除了清单外所有数据的规制措施,而正面清单仅免除了本清单内数据的规制措施,所涉范围相对较小,数据安全风险也相对较低,而负面清单所涉范围较广,数据安全风险也因而较高,按照“举重以明轻”的逻辑,《促进和规范数据跨境流动规定》既然赋予了自贸区制定负面清单的权力,自然也可以制定数据安全风险较小的正面清单。
但从数据自由流动角度出发,正面清单相较于负面清单自然会对数据跨境自由流动产生更大的限制。在实际的市场活动中,数据处理者根据正面清单开展自身的跨境数据管理与规范工作,明确具体的清单可以有效指导其相关行为而免于其遭受不可预测的限制,在这一层次上正面清单是有助于数据跨境自由流动的。但在管理范围上,正面清单的规制措施免除范围远小于负面清单,因而导致仅有少部分数据能受益于该清单而实现自由流动。而国际数字经贸规则相较于数据安全,普遍更重视数据自由流动的保障。如一般数据清单此类在登记备案下开展数据跨境自由流动的管理模式是否符合国际高标准经贸规则的规定,还需要结合具体规制展开分析。
3.基于产业性质差异的规制逻辑安排




在前文对于一般数据清单的内容设计分析中,不同领域一般数据清单具体条文的差异性已经得到初步展示,表现为公募基金与生物医药两领域在条文设置上较为精简且对于个人信息的跨境传输相对限制较小,而智能网联汽车领域对个人信息保护更加严格,拥有更复杂的条文设置。具体而言,前两领域允许数据处理者在满足相关义务后,在一定数量范围内自由跨境传输个人信息,而智能网联汽车领域则完全禁止个人信息以及与个人信息关联、能够直接或间接识别到个人的信息自由跨境传输。
究其原因,应当从领域之间的产业性质差异展开分析。公募基金归属于金融行业,可划分为第三产业;一般数据清单中所划定的生物医药领域,其具体内容也仅包含科学研究、咨询售后、商业合作等业务,并未涉及医药产品及医疗器械的生产,因此也可以划归为第三产业。而智能网联汽车领域则含括了从研发到生产、再到交易售后的全业务过程,是一个以工业产品为核心的领域。由此可以看出,公募基金领域涉及内部管理,需要跨境流动的内部管理数据中必然涉及个人信息;生物医药领域的产品与人体有密切关联,其产品的研发与售后必然需要收集参考个人的生理状况、医疗记录等信息。两领域作为服务业,个人信息在其业务内容中有重要地位,因此在数据跨境传输的管理中,必须要在一定程度上允许其进行个人信息的跨境传输,否则数据处理者的数据跨境传输行为便失去了实际意义。而智能网联汽车领域作为一个以工业产品为核心的工业产业,其产品的研发与生产与个体消费者个人信息没有任何关联,即使在售后与二手交易两项服务业务中,其核心信息也是车辆的基本数据、维修保养、故障状态等内容,个人信息在该产业中没有实际意义,不是产业发展所必要的信息,因此从数据安全的角度出发,对该领域的个人信息跨境传输进行严格限制有其合理性。
公募基金与生物医药两领域一般数据清单中关于数据处理者应当履行的告知、取得个人单独同意、进行个人信息保护影响评估等义务以及个人信息数量限制的规定,其制定依据来自个人信息保护法、《数据出境安全评估办法》以及《促进和规范数据跨境流动规定》中所规定的数据处理者跨境传输个人信息时应当履行的相应义务以及能够免除规制措施的个人信息跨境传输规定数量,这两份一般数据清单中的相关规定相当于上述法律法规文件中相应条款的实施细则。然而值得注意的是,《促进和规范数据跨境流动规定》第5条已然规定了关键信息基础设施运营者以外的数据处理者每年度在一定数量范围内开展个人信息跨境传输行为可免除规制措施,但智能网联汽车领域一般数据清单却对个人信息的跨境传输进行了相对更为严格的限制,将任意数量的个人信息跨境传输均排除在了清单之外。考虑到相关法律法规赋予了自贸区在数据跨境自由流动方面更多的权限,即使出于产业差异的因素进行了相应的内容设计,仍需要基于上位法与目标对接的国际经贸规则的内容开展进一步的合理性与合法性分析。
三、一般数据清单在国际数字经贸规则下的规范性分析
RCEP、CPTPP、DEPA等重要国际经贸协定均对数字经济做出了相应的规定,为当前国际数字经贸规则的形成提供了有效助力,成为其基本内涵的组成部分之一。RCEP作为我国所参与的全球体量最大的自由贸易协定,CPTPP与DEPA作为我国目前积极推动加入的国际高标准经贸规则,其相应的数据跨境规则也有所差异。因此,一般数据清单的规范性分析需要以不同经贸协定中不同类型的数据跨境规则为根据,基于不同视角以及有所区别的规则援引判断其在相应国际数字经贸规则下的规范性。

(一)
RCEP下的规范性分析——基于监管权视角

RCEP在第12章第15条中对数据跨境传输设置了详细规则,其在承认数据自由流动原则的前提下,明确各缔约方拥有监管权并且可以施行限制数据跨境传输的措施,只要这一措施符合合法的公共政策目标,并且不构成任意或不合理的歧视或变相的贸易限制,即可视为符合RCEP的数据跨境传输规则。同时,对于其中合法公共政策目标的确定,RCEP也将其判定权交由实施措施的缔约方进行决定。
通过对于RCEP数据跨境传输规则的总结,可以得出RCEP在数据跨境传输方面赋予了各缔约方较大的监管权以对数据跨境传输行为进行规制,因此对于一般数据清单在RCEP下的规范性也较易进行确定。从合法公共政策目标的角度出发,一般数据清单基于《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》制定,该办法以进一步指导和帮助数据处理者高效合法地开展数据跨境流动为目的,以网络安全法、数据安全法、个人信息保护法、《数据出境安全评估办法》等文件为依据,同时确定了安全有序、正当必要、需求导向、分类分级与动态更新五项基本原则。综上所述,一般数据清单的制定机关已经在相应的地方规范性文件中列明了相关措施所追求的公共政策目标,并且明确了文件制定的法律法规依据,同时到目前为止,尚未有上级机关或司法机关对相关文件做出违法违规的判定,因此可以认定一般数据清单符合RCEP数据跨境传输规则中相关措施应符合合法公共政策目标的规定。
从贸易歧视以及贸易限制的角度出发,三份一般数据清单对于数据跨境传输行为的限制均基于特定数据字段的自身属性特征而确定,并未按照数据处理者的身份性质展开划分并进行区别对待,同时受到传输限制的相关数据字段均为该场景下普遍出现的数据内容,无法据此推导出特定的数据处理者与其相关联,因此可以判定一般数据清单中的规制措施不构成任意或不合理的歧视。而在贸易限制方面,根据上文对于一般数据清单基于产业性质差异开展规制逻辑安排这一特征的总结,一般数据清单的制定已经考虑到了在各个产业领域内对其经营活动具有重要意义的数据内容,在相应的数据跨境传输规制上进行了一定的豁免或放宽,而在跨境传输上受到严格限制的部分数据字段,对于其相关产业不具有实际意义,不影响其正常的经营活动,因此也可以判定一般数据清单中的规制措施不构成贸易限制。
综上所述,基于RCEP所赋予的较为宽泛的监管权,一般数据清单中的相关数据跨境规制措施可以被认定为符合RCEP的数据跨境传输规则。

(二)
CPTPP下的规范性分析——基于例外条款视角

CPTPP与DEPA中关于数据跨境的相关规则一脉相承,因此本文主要以CPTPP规则文本为参考以判定一般数据清单的规范性。CPTPP在第14.11条中明确了数据跨境传输规则,在承认数据自由流动原则与缔约方监管权的前提下,允许缔约方采取为实现合法公共政策目标且不构成任意或不合理歧视或对贸易构成变相限制的数据跨境规制措施,但此类措施不能超出实现目标所需的限度。与RCEP相比,CPTPP并未赋予实施措施缔约方确定是否符合合法公共政策目标的判定权,同时限定了数据跨境规制措施的限制范围,大大缩小了缔约方所拥有的数据跨境传输监管权。
根据上文基于RCEP规则的规范性分析,一般数据清单可以确定不构成贸易歧视或贸易限制,而对于是否符合合法的公共政策目标这一问题,由于其判定权在CPTPP中不属于实施措施缔约方,且尚无先例用以参考,在一般数据清单的制定符合国内法的前提下,应默认其符合这一要求。
在上述部分基本符合CPTPP规则的背景下,可能出现的规范性争议点在于一般数据清单中的规制措施是否超出了实现目标所必要的限度。就清单本身内容而言,基于上文对于一般数据清单基本内容的总结,其中并未设置过多的规制措施,受到限制的相关数据字段均与个人信息保护、生物公卫安全、经济金融安全、国家重大技术保护等相关联,其规制行为具有逻辑性,且并不存在影响相关领域内正常经营活动开展的可能性,因此若仅以一般数据清单的内容为对象进行判断,可以认定其并未超出实现目标的必要限度,符合CPTPP规则;但若从一般数据清单这一形式出发展开分析,根据《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》中的规定,只有一般数据清单中所包含的数据可以在登记备案后自由跨境流动,这即代表着清单以外的数据丧失了自由跨境流动的可能性,考虑到当前清单所含数据的有限性,这无疑是对更大范围的数据施加了规制措施,而这一范围内的相关数据内容庞杂,其中大部分必然不具有进行规制管理的必要性,因此若以一般数据清单的形式为对象展开分析,很难认定其符合CPTPP中对于规制措施限度的要求。
综上所述,若仅围绕CPTPP第14.11条数据跨境传输规则展开分析,一般数据清单的规范性认定存在较大难度,因此需要引入CPTPP中的例外条款,在整体的规则系统中继续进行判定。CPTPP第29.2条为安全例外条款,其中第2款规定允许缔约方采取其认为对保护自身基本安全利益所必需的措施而不受CPTPP中其他条款限制。根据这一规定,只要确定一般数据清单这一形式符合保护自身基本案情利益的需要即可认定为其符合CPTPP规则。CPTPP中的安全例外条款传承自世界贸易组织(以下简称WTO)安全例外条款,而在引申该条款的WTO争端解决案例“俄罗斯—运输限制措施案”(DS512)中,专家组裁定WTO成员方总体上有权自行判断其“基本国家安全利益”以及相关措施是否是保护该利益“所必需的”,但行使该自判权应基于“善意原则”。在这一角度上进行思考,一般数据清单这一形式主要用以指导数据处理者高效合法开展数据跨境流动活动,最终目的是在统筹发展与安全的基础上增强跨境数据流动的便利性与适用性,而非故意对一般数据清单以外的数据加以限制,因此可以认定其符合善意原则的要求。因此,通过援引CPTPP中的安全例外条款,一般数据清单在CPTPP中的规范性可以得到一定程度的证明。
四、规范视角下的一般数据清单优化路径
基于RCEP所赋予的较大监管权,一般数据清单在RCEP下的规范性没有较大疑问;而若在CPTPP下展开分析,虽然通过援引安全例外条款对一般数据清单的规范性进行了一定程度的证明,但由于其中“基本安全利益”概念的模糊性,在未来争议中援引此条款进行辩护具有较大的不确定性。因此,从全面深入对接国际高标准经贸规则的目标出发,一般数据清单应当参照CPTPP中的数据跨境传输规则优化自身内容与形式,尽量避免依靠安全例外条款进行豁免,以保证其规范性的正当有效。根据CPTPP规则内容与一般数据清单的主要特征,存在两条优化路径以提升一般数据清单的规范性。

(一)
正面清单丰富路径

一般数据清单在CPTPP数据跨境传输规则下的规范性争议主要在于其正面清单的形式是否超出了实现公共政策目标所必要的限度。囿于正面清单自身特性,其所含括的数据内容始终难以超过被其排除在外的数据类型,从而导致了大量的合理数据跨境需求受到了过度限制。若坚持以一般数据清单的正面清单性质为根据进行相应的数据跨境行为规制,那么就需要尽量缩小被排除在一般数据清单外的数据范围,推出更多领域产业内的一般数据清单,完善已有清单的数据字段类型,让能够实现自由跨境流动的数据内容更为丰富,清单所涉范围能够基本涵盖区域内的全部生产经营活动。由于一般数据清单是上海自贸区所制定的服务于临港新片区数据跨境工作的地方工作文件,而临港新片区地域范围确定、发展规划较为清晰、产业特色明确突出,因此实现对其区域内全部具有跨境传输需求的数据类型的汇总有其可能性,存在实践基础。因此,可以通过对一般数据清单数量的扩充,通过覆盖区域内全部领域的生产经营活动,将数据跨境行为规制措施限定在一定范围内,从而不超出实现公共政策目标所必要的限度,以满足CPTPP数据跨境传输规则。

(二)
负面清单规制路径

对于CPTPP中规制措施限度的要求,还可以从另一路径出发完善上海自贸区数据跨境规则,即明确一般数据清单的性质并不属于正面清单,不具备正面清单的常规性质,其仅作为辅助数据处理者开展数据跨境传输活动的参考文件。对于尚未列入一般数据清单的相关数据,规制主体并未对其跨境传输行为完全禁止,数据处理者仍可在自我评估的基础上,参照相关规则进行登记备案,开展传输活动。与此同时,需要出台相应的负面清单,对需要受到严格规制的相关数据进行汇总与明确,作为数据跨境规制措施的主要依据。通过明确需要规制的相关数据的具体范围,进而将范围以外的数据排除出相应措施的规制,从而将数据跨境自由流动的限制尽可能缩小,以符合CPTPP中对于规制措施限度的要求。以此为路径进行改进,仍需进一步丰富一般数据清单的类型与内容,赋予数据处理者在开展数据跨境活动中更多的确定性,将国际数字经贸规则的规范争议可能性降到最低,已对接国际高标准经贸规则。
结语
在对接国际高标准经贸规则的过程中,上海自贸区承担了更多的责任,通过新型制度试点与管理模式创新以打造同CPTPP、DEPA相衔接的制度体系和监管模式。在这一背景下,上海自贸区积极推动数据跨境管理模式的制定与完善,在符合国内法律法规的前提下,结合统筹数据安全与数据自由流动相平衡这一思路,制定数据跨境流动分类分级管理办法,推动数据安全、高效、自由有序跨境流动,并在全国首次推出了一般数据清单这一形式的数据跨境规制措施,对其他自贸区以及更广范围规制主体的数据跨境规则的制定与完善具有借鉴意义。作为新兴出台的工作文件,一般数据清单需要继续完善丰富自身内容、明确自身属性定位,纳入更多国际数字经贸规则内容,已实现对国际高标准经贸规则的有效衔接。

往期精彩回顾

张雨涵|论三中全会决议与经济立法的耦合——兼论经济法的政策法属性

王紫零|党领导立法的实践探索与理论创新

目录|《法学前沿》集刊2024年第2卷

徐伟琨|5G智慧港口场景下航运数据跨境流动的现实问题与法治进路

张亮 王冰|数字航运背景下航运企业数据泄露对用户的损害赔偿问题研究

陈远瞩|美国航运改革法的航运数据监管新规对中国航运企业的影响与因应

上海市法学会官网

http://www.sls.org.cn