城市数字治理安全与发展的平衡：上海跨境数据流动治理-复旦智库

城市数字治理安全与发展的平衡：城市数字治理安全与发展的平衡：上海跨境数据流动治理姚旭江天骄主编城市数字治理安全与发展的平衡：上海跨境数据流动治理2023年11月前言 1扩大数据跨境试点鼓励更高水平对外开放 3一、我国数据跨境面临的主要问题 3二、数据跨境遭遇堵点的原因分析及其影响 5三、对试点区数据流动发展的政策建议 6跨境数据流动的安全与发展的平衡可行性：企业政府双视角 8一、“企业-政府”跨境数据流动现存的问题 9二、跨境数据流动遇困的原因分析 三、促进跨境数据流动的安全发展平衡 加速推动上海“国际数据港”建设 一、跨境数科建设“国际数据港”历程 二、功能平台建设 三、数据跨境流动制度创新 补充研究：国内各地跨境数据流动治理政策梳理 24一、上海涉及跨境数据流动相关政策 29二、北京涉及跨境数据流动政策梳理 三、深圳涉及跨境数据流动政策梳理 四、海南涉及跨境数据流动政策梳理 541自2021年开始，复旦发展研究院的智库咨政课程《政策调研与写作》已历三年，以通识教育选修课的形式向复旦全校本科生开设课程，落实智库育人。其中，数字科技治理的相关研究作为其中三大模块之一，与生态环境与经济产业发展一道，力图带领学生将学术研究与政策研究相结合、将理论研究与调研实践相结合，以学术研究方法论为基础夯实实践调研成果，为上海与国家发展贡献智慧。数字科技治理当中包括前沿数字技术突破、数字科技产业发展、城市数字韧性与跨境数据流动治理等多个议题，围绕上述议题，在理论与课堂教学之外，我们与来自全校不同专本报告的最终成型基于课程研究小组赴上海临港新片区跨境数据科技有限公司的学习调研经历和此前的基础性研究。跨境数科的各位领导老师为课程研究小组进行了详细的介绍，并针对跨境数科、自贸区临港新片区和上海的跨境数据流动治理政策与课程研究小组进行了充分的探讨。跨境数据流动对我国不断深化对外开放、提升数字经济效能具有重要意义，如何探索一条兼顾高效与安全的跨境数据流动通路是上海和临港面临的重要课题。在通过政策、技术、组织和产业落地，共同推动跨境数据流动机制2创新。跨境数科的领导老师们为调研小组带来诸多重要的思考角度，并以跨境数科的跨境数据流动应用场景给予课程研究小组很大启发。小组围绕上述议题撰写了成果报告，得到了跨境数科李晶、张启心与贺维维等各位领导老师的指导与修改，在此我们表复旦大学发展研究院受临港新片区管委会、上海临港新片区跨境数据科技有限公司等邀请，参与见证了国际数据港智库联盟的启动仪式，与临港跨境数科国际数据港研究院和多家全国相关研究机构一道成为成员单位，共同聚焦国际数据港建设面临的重我们希望本次课程调研成果不仅能够使小组成员更加深入了解跨3数字化时代，数据已经成为一种经济资源。如同商品有国际间进出口规则，目前各主要国家和地区也逐渐形成了不同的数据积极探索适应我国社会经济发展目标的数据合规办法。上海作为我国对外开放的高地，也在试点建设高水平国际数据港，并在实践过程中形成经验。但现有办法及经验仍然无法较好满足企业数一方面政府应丰富监管手段，提升监管效率，以安全促发展；另一方面，政府也应扩大数据跨境试点范围，促进更广泛的国际交每次审核需要近两个月，每隔两年要审核一次，如果有较为紧急的数据跨境需求，例如法务公司需跨国调取证据，将极为不便。在企业数字化转型的趋势下，相对严格的数据跨境审批流程会削弱上海对跨国企业的吸引力，影响营商环境，阻碍新一轮高水平4仍然模糊。在《数据跨境安全评估申报指南》中，唯一确切的判据风险的因素并未纳入考虑。面对此种情况，企业相当忐忑，虽有大胆发掘数据经济价值的进取之心，却又担忧不能充分把握政策意图，如若数据跨境后出现问题，则有被监管部门追责之虞。均以负面清单形式公布，但碍于重要数据认定困难、负面清单边界不清晰，种种办法并未帮助企业提升数据跨境的审批效率。因此，部分数据跨境管理企业和数字贸易平台开始尝试探索“白名域。然而，就上海市的实践来看，现阶段正面清单的效用有限：无风险数据占据白名单内容的绝大部分，而那些真正存在争议的用户个人数据和先进制造业数据尚未被合理列入，因此白名单建最主要登陆点，拥有产业生态、数字空间的优势，具备“国际数据港”建设的卓越条件和强大的数据跨境服务发展潜力。然而，在国际层面，其他国家和地区具有更深厚的探索历史与更高的开5放水平。例如，新加坡已经融通不同国际规则，建成亚太地区最具吸引力的数据中心枢纽，吸引多家头部数字企业入驻。与之相但也强调在保障安全的前提下促进发展，态度非常谨慎，因此需要重重审批。另一方面，除去企业自主申报后的审批，我国目前对于数据跨境的监管方法仍依赖“事后”追责，缺乏长期的、动态的“事前”和“事中”监管手段与风险预警机制。单一的监管手段无法有效降低数据跨境的风险，进一步致使我国谨慎对待数还包括发出者、接收者身份、拷贝次数、数据保留时间、预期访问量等等。我国缺乏数据分级经验，现有办法也缺少实践重要数据识别及数据评估难以凭借理论设想一蹴而就，需要结合企业体量小，人员少，服务对象影响力小，涉及领域少，因此经验积累有限。试点区整体探索还需加速，以满足完善数据管理办6上海作为数据要素改革排头兵，为避免数据跨境传输壁垒阻碍更高水平的对外开放，需要鼓起闯关的勇气，在确保数据安全业建立覆盖全数据生命周期的安全管理制度。让企业自主探索含争议数据的分管办法，减轻政府审核负担。同时，企业应建立数据安全保护能力评估认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制，还应明确授权可操作系统的特定人员，对于数据进行保密存储并严格规定过期数据的销毁流程。二是建立“数据交易合规守信评级”制度。在现有的“事前评估备案、事中备份存证、事后核查抽查”的静态机制之外，还可以将企业数据跨境合规评估情况与企业信用评级关联，结合行政处罚、负面报道、交易投诉等手段构建跨境数据交易的动态预新。上海在国际数据港建设方面已有长远的政策规划，也在初期善数字评估办法，探索更多国际互认方式，争取后续数字贸易规则的制定权和发言权。二是建立更多数字贸易交易平台、数据跨境管理公司。数据要素登记存证、数据分类评估等工作需要大量7人财物力的支持，也需要更多掌握数据追踪、整合能力的企业形成技术支撑，因此需要扩大开口，让更多企业加入国际数据港的创建工作中。三是引进更多有国际影响力的跨国企业，尤其是先进制造业中的龙头企业。形成跨国企业生态圈，丰富数据跨境场景、积累多元化数据跨境处理经验，让数据分级分类落到实处、交易所、海南数据港等同样尝试建设数据跨境流通高地的区域，通过举办数据跨境流通合规论坛等方式互通有无，互学互鉴，引美国等走在数据规则融通前列的国家和地区建立长期的交流机究人才，准确领会政府意图，紧跟改革步伐，强化政企协同。同时，可以与高校联合培养融通国际政治、数字贸易和数据跨境流动等领域的复合型人才，为数据跨境试点提供坚强人才保障和智8跨境数据流动的安全与发展的平衡可行性：企业政府双视角习近平总书记在首届中国国际进口博览会开幕式上表明，要支持长江三角洲区域一体化发展并上升为国家战略，着力落实新发展理念，构建现代化经济体系，推进更高起点的深化改革和更高层次的对外开放，同“一带一路”建设、京津冀协同发展、长江经济带发展、粤港澳大湾区建设相互配合，完善中国改革开放区经济发展的突出一环，作为中国社会主义市场经济的重要组成在数字数据市场中，跨境数据流动是极为重要的组成部分。要做好数字经济发展建设，跨境数据流动是不可忽视的一环。所谓跨境数据流动，我们采用《欧盟跨境数据流动治理：平衡自由2,在法律意义上，它是从本司法管辖区转移数据到其他司法管辖/article/xwfb/xwldrhd/202211/20221103365131最后访问日期：6月2日。9作为数据创造和消费大国，中国在企业生产、政务服务、社会民生等领域都有着庞大的数据使用和流通需求。例如，随着国际国内双循环发展的稳步推进，在企业跨国合作、协同生产等领域，数据正发挥着愈来愈重要的作用。如何平衡数据自由流动和会的有序组织流动下，才能最大限度收集发挥其价值。可是，作为一个不确定概念，若“数据安全”失之宽泛，可能戕害了数据握数据流通和安全的平衡成为当前跨境数据流动治理的重中之重。经过调研，当前我国跨境数据流动领域面临着诸多困境，数据流动的发展侧和安全侧均受到了不同类别的挑战，出现了一定对全球化市场的需求，企业对于数据出境和跨国协同生产的需要进一步扩大。但目前来看，我国的数据出境政策处于一个更为稳健、谨慎的规则角度，对数据的出境审批流程有着较为严格的限制。这使得部分企业处于规则僵局中。部分企业表示，我国法律法规中紧缩和模糊的数据出境审批政策给企业的审批和合规流程部分无良企业因此铤而走险进行违规传输，对我国公民的个人隐私和国家信息安全造成了一定的风险。某企业负责人表示，在此局面下，未来可能会有越来越多的企业铤而走险进行违规传输，这在一定意义上挤压了遵守我国法律法规进行合规出境的企业的数据监管难题。从大方向上，我国对于数据出境一直秉承着谨慎稳健的态度。但由于数据市场经济飞速发展，相应的上层建筑和顶层设计却存在一定程度的落后，目前政府端对于数据市场的监管稍显颓势，有力不从心之感。在面对企业复杂的申报数据时，有关政府部门不仅缺少足够的法规支持，相应的处理经验也稍显不足。此外，不同政府部门之间存在权力拉扯，对于数据出境审合各类法律条文、管理条例等可以发现，虽然我国在数据安全方面已经完善了顶层法律、主要条例以及部分具体实施细则等，但阅读部分细则可以发现，在监管办法中仍存在诸多具有不确定性首先，针对“数据”这一概念，我国在2022年7月17日出信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情何谓重要数据?重要数据内部有无分类?虽然其他条例对这些问题略有涉及，但在此《办法》中暂无详细阐释。因而，企业在进行内部数据出境材料整合时面临诸多困境，例如，是否申报、所中指出，个人信息出境需要符合以下条件之一：(1)进行个人信息保护认证；(2)与境外接收方订立标准合同；(3)其他条件。再例如，2023年2月正式出台的《个人信息出境标准合同规定》第八条指出，在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订论丛)》,2023年4月。立标准合同，并履行相应备案手续：(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；(3)可能影响个求，部分法律法规、实施办法或细则等有较为模糊的规定，会引了执行困境，企业方也呼吁相关部门出台更为清晰、监管边界明确的实施细则。由于数据及数据出境问题的复杂性，不同的政府部门经常会合作办公。在目前已公开的数据条例已明确规定的范围内，各部门各司其职，共同服务监管我国各企业各单位的数据比如一些涉及一般个人信息或一般企业发展信息的数据是否也包括在重要数据的范围内。在此情况下，政府被赋予了相当大的裁不仅减缓了双方提交、审批的速度，也产生了一些存在于企业和政府间的灰色空间。此外，由于法律制定端和政府执行端处于两2023年6月13日。个截然不同的政策点位中，政府部门在很多情况下对相应的数据难以确定。倘若监管部门采取宽松态度，可能会存在出境数据产生相应的法律或隐私责任的风险。因此，在大多数情况下，相应监管部门会偏好稳健而谨慎的审批策略，从最大程度上保障我国的数据安全。最后，由于条例中存在许多概念规定不确定、各类数据审批范围定义过宽等问题，在面临具有歧义或争议性的数据类型时，不同的部门经常会出现一定程度的拉扯。例如，在监管部门和其他相关部门之间会产生审批要求的掣肘，这不仅对数据出境的审批造成严重影响，也极大程度地影响了政府部门的分工泄露个人隐私信息等重要数据。近年来，某外资在华汽车企业被在部分制造业行业，有些企业为加快生产中转，多次向境外违规传输重要制造信息。对此，企业应懂得数据出境的安全监管与发展是一体两面之关系。倘若仅为满足企业发展要求，绕过监管程序进行数据违法出境，不仅损害了我国公民的个人隐私安全、国正如前文提及，在跨境数据流动中，安全与发展实则是一体两面之关系。只有保障了数据的安全出海，完善全流程的监管，经济发展才能更有底气，更有保障。同样地，数据出海的监管流程的最终目的之一也是为了促进我国经济社会的发展和民生服务的完善，从发展角度出发，方能更直接地触及跨进数据流动的堵点和痛点，有的放矢、对症下药进行监管。只有在数据安全的基础上谋求发展，我国数字经济乃至整个经济社会的发展方能行稳对数据监管的目录进行完善，从而明确界定关键信息基础设施和重要数据的范围，减少商业性个人信息数据流通的阻碍，减轻企业的运营成本。其次，针对数据出境相关议题，政府和企业之间可以构建若干个长期有效的沟通座谈机制。通过沟通座谈，企业端将能更直接地表达自身需求，深度参与后续的规则协作；政府同构建专班协调机制，实时跟进数据出境合规服务建设。最后，政府应进一步完善数据出境白名单建设。部分企业表示，根据当安全评估的个人信息出境也须通过网信部门申报安全评估，这既增加了企业方面的送审压力，也加重了政府部门的业务负担。因此，完善白名单建设是一个较为切实、高效的解决办法。经由白宣数据等数据可以通过绿色出境通道等途径快速出境，优化审批发展部门、监管部门等多方磋商，对于确实需要进入白名单的一织部门等部门之间应做好协商规划，在相关条例等规范下合作开展工作。部门职能不越界，部门权责不推卸，共同做好数据出境的服务以及审批监管工作。在国家统一规制下，各省各部门也应做好相应的标准协调工作，促进新政策新规定在全国统一落地实企业建立统一的行业数据分级标准。同时，发挥行会党支部、各企业党支部等先锋引领作用，推进行业数据分级标准落细、落实和优化完善。例如，饿了么就形成了较为完善的本地数据隐私分类分级管理，对不同程度的数据进行分级保护。在一次次分级优化中，企业能够不断提升自身基础设施水位，完善信息数据的管理，对于后续数据出境也有较大助益，可以减少内部数据定位的上海、海南及雄安新区等试点地区推进跨境数据流动分类监管模式，开展数据跨境传输安全管理试点。并在具备条件的试点地区开通国际互联网数据专用通道，推动第三方数据辅助流通机制更好更快发挥作用。经过调研发现，在上海、海南、北京等地区均应进一步强化此类国际数据综合服务公司建设，协同促进我国综同时，省级部门也可积极配合网信部门探索建立地方性数据安全综合评估办法，联系当地企业开展综合性数据安全评估审批工作，形成“网信部门——地方——数据出境试点服务企业”三地方地方图1服务监管链条示意图随着我国数字经济对外开放的不断扩大，我国各数据出境法律法规也受到了国际相关规则的影响。在CPT家安全例外条款，适当借鉴和运用此类条款等规则方向，有助于国也应注意，部分国际条款限制了缔约国对于本国数据出境的监管，变相约束了我国对数据出境的审查权，这势必会对我国以后目前，我国的跨境数据流动及数据出境安全评估、监管审查制度仍处于制定初期，规章制度等上层建筑不够完善，政府相应的监管流程也不够清晰明确。尽管我国已提出了多地开展的试点工作，但仍缺乏较为完整的实践支撑。在下一阶段，我国应持续从双视角出发推进数据出境评估与审查。同时，我国有关部门也应关注国际上其他国家或地区的相关立法与实践，以进一步完善我国的跨境数据流动安全监管制度。在保障数据安全的前提下谋加速推动上海“国际数据港”建设上海临港新片区跨境数据科技有限公司(以下简称“跨境数科”)前身为2019年成立的“国际数据港”建设工作组。在临港新片区管委会的指导下，于2020年8月由三家上海市核心国企正式联合组建。从成立之日起，跨境数科就在“上海市推进国际数据港建设工作专班”的领导下，作为上海建设国际数据港的主要1.紧密依托临港，从跨境数据流动的痛点难点入手。在据流通需求，深入研究整理了跨境数据流通相关的痛点与难点问题，通过少量试点案例支持相关政府部门初步探索验证了安全合规治理模式创新的可行性与必要性，并牵头编制了上海建设国际数据港的总体规划。2021年，上海市委市政府在听取市级工作专同时，通过《上海市数据条例》等地方法规，明确临港新片区为上海建设国际数据港的先行区。之后，跨境数科紧密围绕上海市委市政府明确的战略目标，以及临港新片区管委会制定的推进计划，开始在临港新片区以功能型数据设施为承载、新型互联网交换中心为枢纽、数据流通公共服务平台为窗口，提供全球化的数据流通、存储、治理、加工、应用和安全服务，推动建立国内大循环和国际国内双循环的“数据”核心节点，并从“数字空间”级工作专班的领导下，支持政府推动建立跨境数据流通的“事前评估备案、事中备份存证、事后核查验证”创新模式，通过创新模式贯彻落实“自评估与安全评估相结合，事前评估与事后监管即一套对接国际规则与先进水平的新型数据基础设施，以及贯穿创新、功能建设与科技创新“三合一”成果，在若干重点行业推进“场景化”创新实践，涉及数据出入境、应用系统跨境交互、3.加速创新项目启动落地，紧密围绕国家战略部署。2023年起，跨境数科所做创新实践，得到各级领导的关注与支持，创新力度与探索进度逐步加快，所涉及的具体创新实践场景从年初的3、4个，迅速增加到目前的近30个(半数已形成落地方案)。新型国际海光缆登陆站等数据基础设施创新项目正逐步启动，并开始参与研究对接CPTPP、DEPA等国际数字经贸规则，推动开展欧盟等相关政府部门或行业组织已经建立工作对接协作机制。从成立至今，跨境数科紧密围绕国家战略，不忘初心、久久为功，在支持制度创新、推动创新试点、强化功能平台和对标国际探索等方面均取得一定进展，已经成为上海市政府和临港新片区两级为支持国际数据港建设，跨境数科建成支撑数据跨境流动全过程的数据跨境安全评估服务、数据流动公共服务管理、数据存证监管一体化、技术与数据要素支撑、技术标准化与国际互认合办法》与临港《国际数据港数据流动操作指引(试行)》等相关要求，组织专家团队，以场景为牵引，为企业提供国际数据流通的安全合规评估服务。通过评估的场景，可申请纳入临港新片区国际数据流通合作的创新实践。若在评估中发现涉及重要数据或敏自2023年5月成立起，该平台已经向数百家企业宣传介绍相关政编制评估报告与实施方案，并已支持便捷访问”跨境查”数字藏目申报、受理、备案、公示、统计分析与工作协同等政府服务工作职能。该平台参照本市“一网通办”成功经验，建立提供国际数据港单一窗口，作为企业获取政府服务的统一入口。该平台作为政府与企业间的桥梁，还担负着政策宣传、咨询解读、沟通交以及数据安全合规底线为目标，是贯彻落实“事前评估备案、事能平台，包含数据备份、哈希存证、数据托管、安全防卫、合规技术和产品支撑，推动创建联合创新研究机构，协助企业解决技术瓶颈，同时将科技创新成果转化为产业生态。该平台已经与北大、社科院、中汽研等科研院校，翼方健数、亨通等重要企业，以及中国银行、绿色技术银行、渔技所等典型用户，合作创建约30家联合实验室，研究发布“国际数据流通一体化安全治理平台”际数据港发展指数”等30多项国际数据流通与合作产品，向数十家企业提供数据、技术和产品服务，并已经申报3项专利和20项通与合作相关的技术与产品标准化、行业数据分级分类管理标准化、对标高水平数字贸易规则的国际合作研究，以及与国外行业组织、重要企业或政府相关部门的标准规则互认合作等工作。该平台已经研究主导和参与编制4项国家标准、12项上海市地方标准和团体标准，并正在研究推进沪新”数据领域规则标准互认实型国际数字经贸规则，围绕电子票据互认、数字身份互认、电子提单互操作、数字支付互操作、沪港医疗保险信息互认等多个领域，与新加坡、香港等地推进试点合作。跨境数科支持发展互信互利的国际数据流通与合作，积极联系对接“一带一路”国家、金砖国家、东盟、欧盟等使领馆，推动设立国际数据合作工作委在数据跨境流动方面，跨境数科在临港新片区管委会的领导成“事前备案登记、事中传输存证、事后监管抽查”的数据跨境流动管理模式，承建数据流通公共服务平台，创新建立“数据传数字服务贸易和国际数据服务等重点领域，积极推进“场景化”此外，以“场景化”为重点驱动，推动数据跨境流动场景建设试点。针对企业的数据跨境需求，跨境数科以场景为驱动推动数据跨境流动试点，并根据《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》中提出的跨境电商、跨境支付、供应链管理、服务外包等重点领域，在不涉及重要数据和大量个人信息的前提下，助力企业探索“场景化”的数据跨境便捷对数据实行分级分类保护，根据数据的重要程度和被非法获取的危害程度将数据分为核心数据、重要数据和一般数据。重要数据处理者、关键信息基础设施运营者和达到一定规模的个人信息处理者原则上应当将数据储存在境内；确需向境外提供的，应当通过国家网信部门组织的安全评估。此外，个人信息跨境传输件。其中，处理个人信息达到国家网信部门规定数量的个人信息处理者必须通过出境安全评估。此外个人信息处理者还应采取必要措施，保障境外接收方处理个人信息的活动达到我国个人信息保护标准。对关键信息基础设施运营者实行更严格的监管要求；对特定行业的数据提出额外的监管要求。其余数据(非核心数据或重要数据、非个人信息、非特定行业数据)出境不设限制条件。从具体细节的落实情况看，关于数据出境安全评估、个人信息保护认证、网络安全审查等制度的具体实施办法，从《数据出境安全评估办法》到《规范和促进数据跨境流动规定(征求意见稿)》,我国关于数据跨境流动的规制体系正在不断完善并细化，其中关注安全有序高效数据流动的制度建设正在持续深化过程这一过程在此前是经历了充分讨论的。此前的《个人信息出境安全评估办法(征求意见稿)》主要规定了个人信息出境安全评估的申报材料和流程、重点评估内容等，列举了申报材料中网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告的必要内容，要求网络运营者应当建立个人信息出境记录并且至少保存5年。此前《数据出境安全评估办法(征求求数据处理者在向境外提供数据前事先开展数据出境风险自评估，并列举了风险自评估和数据出境安全评估的重点内容，以及数据跨界传输合同中的必要内容。此前《网络数据安全管理条例 的相关规定，明确了数据处理者向境外提供数据的条件、需要通过出境安全评估的情形以及需要履行的义务，并要求向境外提供个人信息和重要数据的数据处理者每年编制数据出境安全报告，向网信部门报告上一年度数据出境情况。有关部门正在现有法律的基础上，尝试搭建一个切实有效、具体可行的数据出境管理框2023年9月国家互联网信息办公室最新发布的《规范和促进数据跨境流动规定(征求意见稿)》整合了此前各政策框架中各方在整体跨境数据流动政策框架不断完善的过程中，各主要地从中央到地方，各层级针对数据流通、跨境数据流动和数据保护出台了多种政策。共有超过20项涉及上海跨境数据流动的政发布时间出台部门2019年8月12日(2019年8月20日起施行)2021年2月22日国家发展和改革委员会设行动方案》2021年4月14日上海市委、上海市贸易中心能级规划》2021年4月17日2021年4月21日商务部社会主义现代化建设引领区的2021年4月23日中共中央国务院《关于加快推进上海全球资产管理中心建设的若干意见》2021年5月14日上海市政府办公厅2021年6月16日上海市政府办公厅2021年7月8日又临港新片区发展“十四五”2021年7月22日2021年7月28日《上海市促进城市数字化转型的若干政策措施》2021年7月29日2021年7月31日《关于支持中国(上海)自由贸易试验区临港新片区自主发展自主改革自主创新的若干意见》2021年8月18日上海市委、上海市2021年11月25日(2022年1月1日实施)市第十五届人民代过2021年12月27日2021年12月29日(2022年2月15日起实行)《上海市知识产权保护和运用“十四五”规划》2021年12月31日2022年1月13日上海市委、上海市人民政府又临港新片区条例2022年2月18日上海市第十五届人民代表大会常务委员会第三十九次会议通过2023年1月18日中国(上海)自由贸易试验区临港新片区管理委员会从现有政策文本中可被提取的信息不仅包括一个整体的政策框架，政策框架内所含的不同政策文本亦有其在整个跨境数据流动管制过程中所突出的环节、方面上的差异，因而针对跨境数据流动政策中的各类具体方针和创新试点方案，现有的政策文本可被区分为如下11类：办法》;《上海市数据条例》;《中国(上海)自由贸易试验区临港新片区发展“十四五”规划》;《关于支持中国(上海)自由贸易海市服务业扩大开放综合试点总体方案》;《南汇新城“十四五”规划建设行动方案》;《中国(上海)自由贸易试验区临港新片区管理办法》;《中国(上海)自由贸易试验区临港新片区条例》《中国(上海)自由贸易试验区临港新片区发展“十四五”规划》案》《关于支持中国(上海)自由贸易试验区临港新片区自主发展自时期提升上海国际贸易中心能级规划》;《中国(上海)自由贸易试验区临港新片区管理办法》;《中国(上海)自由贸易试验区临建立互联网数据专用通道：《虹桥国际开放枢纽中央商务区“十四五”规划》;《关于支持中国(上海)自由贸易试验区临港浦东新区高水平改革开放打造社会主义现代化建设引领区的意城“十四五”规划建设行动方案》;《中国(上海)自由贸易试验《中国(上海)自由贸易试验区临港新片区管理办法》跨境数据流动的国际合作：《中国(上海)自由贸易试验区临临港的相关探索正在不断加速，在《中国(上海)自由贸易试验区临港新片区管理委员会2023年工作要点》中，强调要持续推进国际数据港建设。推进各具备条件的高能级算力平台项目加快竣工交付。以特定行业企业关键需求为导向，加速无人驾驶等中国(北京)自由贸易试验区是我国第六批自由贸易试验区，2020年9月21日，国务院发布《中国(北京)自由贸易试验任务之一，提出增强数字贸易国际竞争力、发展数字经济新业态新模式、建设国际信息产业和数字贸易港的目标。同时，北京是国(北京)自由贸易试验区条例》于2022年3月31日发布，5月在促进数字经济发展方面，规定加强新一代信息基础设施建设，支持数据资源与产业发展深度融合，探索制定信息技术安全、数据隐私保护、跨境数据流动管理等重点领域规则，完善市场主体数据保护能力的第三方认证机制，推进建立相关数据交易标准和流通服务体系，在风险可控前提下开展数字领域的国际合作等，通过立法的形式对《方案》作出回应，以确保《方案》能够得到2020年9月18日，北京市商务局发布《北京市关于打造数字的发展路径”单列为试验区建设重点任务，提出开展跨境数据流动试点、分阶段推动跨境数据流动的有序开放、扩大跨境数据流确了北数所的五大功能定位，提出将北数所纳入北京市数据跨境流动安全管理试点，建设“国内领先的大数据交易基础设施及国2022年9月22日北京市经济与信息化局发布《北京市促进数字经济创新发展行动纲要(2020-2022年)》,以数据安全有序流动为目标，开展数据跨境流动安全管理试点工程和数字贸易试验区建设工程，提出针对数字服务贸易领域商业存在、跨境交付、境外消费、自然人移动等贸易形态涉及的跨境数数据分类分级，建立数据跨境流动规则、安全保护及风险管控机2020年11月26日发布的《北京市全面深化服务贸易创新发展试点实施方案》在前述文件的基础上，进一步提出“立足企业个人信息分类分级、出境安全评估和安全监管等制度规范和方法数据流动、数据交易等领域的安全防护基础设施，探索建设基于区块链的可信数字基础设施体系”等，并明确了完成时限和责任2021年7月30日发布的《北京市关于加快建设全球数字经济标杆城市的实施方案》中再次强调建立安全和发展并重的数据跨境流动机制，在前述文件的基础上完善了方法论：通过数字贸易港探索从个案规则到合作规范的跨境数据流动路径，开展企业数数据安全交易的技术与监管规则。在保障措施方面，提出加快推开展非政府间数据跨境合作和交流；通过“监管沙盒”开展监管字经济创新发展三年行动计划(2021-2023年)》都将数字贸易试验区建设列为重点任务，其中《大兴区数字经济创新发展三年行动计划(2021-2023年)》还进一步提出统筹搭建数字贸易交易展示、数字贸易公共服务、跨境数据监测及安全管理等数字贸易基础设施，推动数据跨境流动安全管理政策突破，探索建设数字贸此外具有代表性的是北京建立政务数据地方标准。北京市市场监督管理局于2021年12月28日发布了《政务数据资源目录体规范》三份地方标准文件，给出了政务数据资源目录体系的总体框架，明确政务数据的分级原则、具体流程、安全保护要求以及安全保护和共享开放之间的关系，初步搭建起政务数据分类分级保护和开放共享的基本框架。上述标准已于2022年4月1日起正2021年3月31日，北京国际大数据交易所(以下简称“北数的分离。北京金控集团联合48家单位共同发起成立北京国际数据资产评估、价格发现、交易分润、安全保障、争议解决等各项机制。72021年9月30日，基于分布式计算与存储技术的数据交易平术、探索数据交易创新模式的新平台，依托在隐私计算、区块链及智能合约、数据确权标识、测试沙盒等领域的技术优势，构建2022年4月，北数所研发的数据托管服务平台正式投入使用，成为国内首个可支持企业数据跨境流通的数据托管服务平台，为对全国各地新一轮数据交易平台的建设都有着重要的借鉴和指导2023年11月10日上午，北京数据基础制度先行区正式启动运行，根据启动仪式上发布的政策清单，数据先行区将集中试点/newsDetail/iRx8GWJlX。年10月9日，/newsDetail/yzExRgSnm。示范落地国家和本市的10条政策措施，为全市打造数据要素市场配置化改革的样板，进而推广复制成功的经验做法。按照《北京数据基础制度先行区创建方案》规定，数据先行区就是在全市特定区域，按照适应数据要素和数字经济特征的新型监管方式建立先行先试机制，加快建设数据基础制度综合改革试验田和数据要素集聚区。数据先行区总体规划面积68平方公里，建有18个数据要素相关的产业园区，4.57万家市场主体重点企业30余家，产业可利用面积261.7万平方米。从功能布局上看，数据先行区管理服务中心建在北投台湖产业园，包括数据先行区建设办公室、公共数据资产登记中心、公共数据开放创新基地、社会数据资产登记中心、数据资产评估服务站、数据跨境设智能算力中心、数据训练基地等；在演艺小镇图书城改造项目事实上，北数所并非我国第一家大数据交易所。2015年4月14日，全国第一家大数据交易所——贵阳大数据交易所正式挂牌运营。此后，随着大数据发展的顶层设计不断推进，各地大数据0北京经济技术开发区：《10大政策先行先试北京32项任务打造数据基础制度先行区》,2023年11月13日，/zwgkkfq/yzxwkfq/202311/t20231113_3300201交易所迎来了密集布局期。中国信通院发布的《大数据白皮书》(2021)显示，2014-2017年间，国内先后成立了23家由地方政要素写入中央文件12后，各地又再次掀起数据交易机构的建设浪潮。新一批交易机构分别在山东、山西、广西北部湾、北京和上海成立，同时深圳数据交易所、西部数据交易中心等10家数据交易机构陆续启动建设，越来越多的地方政府把建设数据交易机构但是，经过7年多时间的探索，各地数据交易机构运营发展仍在寻求进一步突破。从业务模式来看，落地业务仍以资源汇聚为主，各机构成立之初设想的确权估值、交付清算、数据资产管理和金融服务等一系列增值服务仍在落地过程中。从经营业绩来看，各交易机构整体上数据成交量和市场能力仍有巨大的进步提(1)数据产品供给不足从过去数据交易所实践经验看，缺乏高质量的数据供给是重要拖累因素。供给短板的一大重要原因是数据入场意愿不强。原则上说，数据交易既可以通过数据交易所进行，也可由双方自行“中国信通院：《大数据白皮书》(2021),2021年12月。年3月30日，/zhengce/2020-04/09/content5500622.htms13中国信通院：《大数据白皮书》(2021),2021年12月。交易。很多数据交易完全可以在个人或企业之间一对一进行，程序上更加简便，不需要通过第三方平台。国家工业信息安全发展研究中心的报告显示，2020年我国数据要素环节构成的中国数据要素市场规模达到545亿元预计到2025年将突破1749亿元14,但场内数据交易只占总体交易规模的极小部分，大量数据需求通过(2)数据权属界定不清，产品估值困难合规交易的基础是清晰的产权归属。但数据所有权拥有者是产生数据的个人还是记录数据的企业，业界、学界和司法界莫衷数据资产的产权界定和权益归属问题悬而未决直接导致数据产品的估值难度增加。资产评估机构执行包括数据资产价值评估业务时，必须明晰评估目的、评估对象、评估范围、价值类型、评估基准日等基本事项，才能进一步开展评估业务。另一方面，数据作为新型生产要素，针对数据品类、完整性、精确性、时效性、稀缺性等价格影响因子的研究尚不成熟，交易案例和披露交(3)交易模式粗放，数据价值没有充分体现“国家工业信息安全发展研究中心：《中国数据要素市场发展报告(2020~2021)》,2021年4月。16吴进、高鹤：《资产评估助力数字经济高质量发展》,《中国会计报》,2022年1月14日。从交易内容来看，2018年以前大部分交易平台的数据交易以单纯的数据原材料买卖为主，数据算法、数据模型等交易起步较晚，数据价值得不到有效体现；部分交易数据存在格式不规范、城市管理等数据，并推动北京金融公共数据专区数据进场，向金融机构提供服务。同时，成立全国首个国际数据交易联盟，已吸数据交易服务机构、社团组织、跨国公司在内的100多家单位，引导行业数据和社会数据入场。近期北数所正在面向全球招募数评估、定价、交易等一体化的数据要素市场，带动数据上下游产|6唐斯斯、刘叶婷：《我国大数据交易的发展现状、面临困难及政策建议》,国家信息中心，2018年5月4日，/News/610/9715.htm。7南都大数据研究院：《如何创新数据交易突破瓶颈?北京国际大数据交易所这样说》,2022年2月。(2)针对数据确权和估值难题：悬置所有权问题，关注北数所暂时悬置了数据所有权，而聚焦于有价值的使用权流通上。而隐私计算技术等技术的发展，让数据流通变得可控，使得数据所有权的确定变得没那么必要。隐私计算技术的出发点就是，减少数据的收集和使用，并且在这种情况下，仍然能达到同这也塑造了北数所的交易范式：数据可用不可见，用途可控模式，与传统的数据在使用环节必须是明文有较大区别。数据使用方通过密文计算，获取数据的使用权价值，却不能获得数据的途控制、用量控制是防止数据滥用的重要控制方法。通过“可用不可见”技术，虽然数据需求方只能得到计算结果，但是如果不数据。此外，在用途控制情况下，通过用量控制进行计量服务，1“南都大数据研究院：《如何创新数据交易突破瓶颈?北京国际大数据交易所这样说》,2022年2月。9王俊：《北京大数据交易所落成能否解决数据交易的“命门”问题》,《21世纪经济报道》,2021年4月2日。其次，针对数据产品估值难题，北数所创新构建数据要素的需求侧、场景化估值模型，围绕数据价值化目标，对数据进行清洗脱敏和场景匹配，来提升数据价值；同时进行数据质量评级和价值评估，量化数据价值；通过数据交易场所，实现数据融资、值服务北数所突破未加工或粗加工数据买卖的初级模式，落地涵盖数据、算法和算力多要素组合的交易方案——数字交易合约。通集数据、算法、算力于一体的单一或组合数据产品，发布数据资产凭证及数据交易合约，交易合约包含交易全程的具体信息，是除此之外，北数所也致力于提供交易撮合以外的各类增值服成为国内首个可支持企业数据跨境流通的数据托管服务平台，为说》,2022年2月。21如何创新数据交易突破瓶颈?北京国际大数据交易所这样说腾讯新闻()2人民日报：《北数所打造全国首个服务跨境场景的数据托管服务平台》,2022年4月13日，https://wap.peopleapp.co经济特区、社会主义先行示范区“双区”叠加，充分发挥政策能2020年10月，中共中央办公厅、国务院办公厅印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020一2025年)》(以下简称《方案》),提出要加快培育数据要素市场，支持深圳建设粤港澳大湾区数据平台，鼓励深圳探索数据产权制度、数据隐私保护制度和政府数据开放共享，研究设立数据交易2022年1月发改委、商务部在《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》(以下简称数据业务等相关领域市场准入的意见，主要举措包括：(1)审慎研究设立数据要素交易场所，加快数据要素在粤港澳大湾区的集聚与流通；(2)建立数据资源产权、交易流通、跨境传输、信息保护与分享利用机制，鼓励深圳市探索立法，对信息处理行为设定条件、程序，明确处理者义务或主体参与权利，依法处理个人信息，保护数据处理者合法利益；(4)加快推动公共数据开放，编制公共数据共享目录，区分公共数据共享类型，分类制定共享规则，引导社会机构依法开放自有数据，支持在特定领域开展央地数据合作；(5)重点围绕金融、交通、健康、医疗等领域做好行业数据跨境传输安全管理制度框架下，开展数据跨境传输(出境)安全管理试点，建立数据安全保护能力评估认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制；(6)数据安全管理：利用区块链、量子信息等先进技术实现数据可交易、流向可追溯、安全有保障，探索建立数据要素交易领域相关标准体系；(7)探索建设离岸数据交易平台，以国际互联网转接等核心业态，带动发展数字贸易、离岸数据服务外包、互联在地方层面，2020年8月《深圳经济特区前海蛇口自由贸易试验片区条例》中已经包含了“支持自贸片区探索国际互联网业务创新，推动数据跨境流动以及信息基础设施建设，营造国际化实施方案(2021-2023年)》中将“争取开通国际互联网数据专用《国家发展改革委商务部关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》,发改体改〔2022〕135号，2022年1月24日。24《深圳经济特区前海蛇口自由贸易试验片区条例》第48条。通道，开展数据跨境传输安全管理试点”25列为重点任务。2021年8月3日《深圳市首席数据官制度试点实施方案》发布，提出试点建立首席数据官工作机制，首席数据官主要职责包括推进智慧城市和数字政府建设、完善数据标准化管理、推进数据融合创新应用、实施常态化指导监督、加强人才队伍建设、开展特色数据应用探索六个方面，其中完善数据标准化管理具体包括推动《深圳经济特区数据条例》实施、围绕数据全周期管理推动标准体系建设等，目前已经在四个区八个部门26开展试点。2021年7月通过的《深圳经济特区数据条例》(以下简称《条例》)可谓深圳创新数据治理最重要的成果。作为国内数据领域第主要包括六个方面的内容：(1)明确数据相关法律概念和权益范畴；(2)细化个人数据处理规则，加强个人数据保护；(3)公共数据开放和共享；(4)完善数据要素市场规则，明确各主体权责2《深圳市数字经济产业创新发展实施方案(2021-2023年)》,重点任务(七)。/cn/xxgk/zfxxgi/zwdt/content/post8838224.html.《深圳经济特区数据条例》在个人信息保护方面参考了《个人信息保护法(草案二关系；(5)数据安全管理(企业)和监督(政府)制度；(6)法个人数据享有人格权益，自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律规定的财产权益，可以自《条例》确立了处理个人数据的五项基本原则，即合法正当、最进一步明确了最小必要原则的内涵，即处理个人数据限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，并同意”为核心的个人数据处理规则《条例》规定了个人数据处理者在处理前应当告知自然人的基本信息，处理个人信息应当征得不得对撤回同意进行不合理限制或者附加不合理条件。自然人撤回同意，数据处理者虽不得继续处理其个人数据，但不影响其在”《深圳经济特区数据条例》第3条、第4条、第58条。31《深圳经济特区数据条例》第11条。2《深圳经济特区数据条例》第14条、第16条。感个人数据、生物识别数据、未成年人以及其他无民事行为能力例》从组织架构、基础设施、管理体系、质量要求等方面，着手设计了公共数据治理的顶层框架。确立公共数据管理机构，建设以城市大数据中心为核心的公共数据基础设施，建立公共数据资源管理制度，实行公共数据分类管理、目录管理，实行公共数据全面共享，明确公共数据以共享为原则，不共享为例外，不得重复收集可以通过共享方式获得的数据，实行公共数据统筹采购，度实现公共数据开放。《条例(征求意见稿)》规定公共数据开放m《深圳经济特区数据条例》第22条、第23条。t《深圳经济特区数据条例》第21条。《深圳经济特区数据条例》第18条、第19条、第20条、《深圳经济特区数据条例》第29条。《深圳经济特区数据条例》第32条至第44条。遵循分类分级、需求导向、安全可控的原则，在法律、法规允许范围内最大限度开放，不得收取任何费用；并将公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类，并提出了以交易的范围确定为“市场主体合法处理数据形成的数据产品和交易配套支持。推动数据交易相关标准的制定，鼓励数据价值引导市场主体通过数据交易平台进行数据交易，要求数据交易平台建立安全、可信、可控、可追溯的数据交易环境，制定相关规则等；探索建立数据生产要素统计核算制度，将数据生产要素纳入的公平竞争原则，规定市场主体不得以不正当手段收集或者利用不得通过数据分析，无正当理由对交易条件相同的交易相对人实《深圳经济特区数据条例》第46条至第50条。《深圳经济特区数据条例》第61条至第67条。施差别待遇；不得通过达成垄断协议、滥用在数据市场的支配地民政府负责统筹数据安全管理工作、市网信部门具体统筹、协调的职责，以及数据处理者的数据安全管理责任，其中对敏感个人据处理者落实在数据收集、加工、存储、开放共享、销毁等阶段的安全保护义务，并做好数据安全事件的监测、预警和应急处置门牵头、会同市公安、国家安全等部门和有关行业主管部门共同开展，监督职责包括数据安全风险分析、预测、评估、督促整改%《深圳经济特区数据条例》第68条至第70条。“《深圳经济特区数据条例》第71条至第74条。《深圳经济特区数据条例》第75条至第86条。《深圳经济特区数据条例》第87条至第91条。“《个人信息保护法》第70条。础上进一步确立了数据领域的公益诉讼制度，规定有关组织、人民检察院可以就违法处理数据致使国家利益或者公共利益受到损害的行为，依法提起民事公益诉讼；人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关，提出检察建议或者提起行政公益诉讼45。值得一提的是，《深圳经济特区数据条例》在正式通过之前曾发布过两个版本的征求意见稿，第一个版本由深圳市司法局于2020年7月发布46(以下简称“一审稿”),第二个版本由市人大于2021年6月发布47(以下简称“二审稿”)。二审稿相对于一审稿最为显著的一个改动是删除了“数据权”的相关内容，而改用“数据权益”的提法。一审稿拟规定，自然人、法人和非法人组织依法享有数据权。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。此外，数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权，任何组织或者个人不得侵犯。6深圳市司法局：《关于公开征求<深圳经济特区数据条例(征求意见稿)>意见的通告》,2020年7月15日，/ztzl/zflf/lfxmyizi/content/post78927深圳市人大常委会：《关于<深圳经济特区数据条例(征求意见稿)>公开征求意见的公告》,2021年6月1日，首创“数据权”概念，其目的在于解决数据流通中的数据权属问有数据权保护自然人隐私，以解决自然人隐私保护与数据开发利其一是立法权限的问题。尽管国家层面多次提出数据确权的要求，但“数据权”作为一项基本民事权利，能否纳入地方立法权的范畴还有待商榷。根据《立法法》的规定，民事基本制度不属于地方立法权的内容。49虽然《立法法》第90条也规定“经济权为前提，是在上位法已有规定的情形下有限制的突破，而创制其二是“数据权”这一概念本身就充满争议。二审稿的说明4《立法法》第8条第8项年6月1日，/rdyw/fgcayizj/content/post691275.html。明确，在不同个体利益与群体利益冲突下，会有不一样价值取向最终通过的《条例》尽管放弃了“数据权”的设立，但是从法律权益的角度，规定自然人对个人数据享有人格权益，自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财海南作为我国首个自由贸易港，在数字经济领域同样发挥着中共中央、国务院制定的《海南自由贸易港建设总体方案》中将“数据安全有序流动”作为制度设计的一部分单独列出，鼓励海南“扩