界别提案2：关于加强企业数据跨境流动合规体系建设的提案

一、背景情况

近年来，我国一直较为重视改革跨境数据传输方面的法规，上海临港新片区也制定企业跨境传输的“白名单”，对于企业跨境数据流动合规起到举足轻重的作用。调研发现，企业跨境数据合规仍然面临一定的困境。为提升企业跨境数据流动合规方面的应对能力，纾解其面临的困境，有必要高度重视企业跨境数据流动中遇到的难题，并为之提供适宜有效的应对建议。

二、问题及分析

(一)我国目前的数据法规缺乏对核心概念的详细说明或具体清单

虽然2024年3月22日出台的《促进和规范数据跨境流动规定》进一步降低了跨境数据传输标准合同的处罚门槛，明确了跨境数据安全评估的申报标准，但是，实践中“重要数据”的范围有待进一步理清，个人敏感数据的界定也需要明确，以增强数据跨境流动规范的可实施性，否则企业在自评估时难以明确分辨，增加企业跨境数据流动合规的实施难度。

(二)临港新片区“白名单”涵盖的行业和地域范围有限

2024年5月，上海临港新片区发布三份跨境数据传输通用数据白名单，自贸试验区地域范围内三个行业(智能网联汽车制造、生物制药和公共基金管理)的企业可以在12个月内将所列类别的数据传输到国外，而无需监管审批。此举是上海跨境数据传输方面的一大创举，对于简化企业数据传输手续、减少负担无疑具有较好的示范作用。然而，三份清单涉及的行业和数据类型较少，仅涉及64种数据类型和特定的应用场景，同时扩充清单内容需要大量的时间和人力去完成，推进进度缓慢。在地域范围上，仅涵盖自贸区范围，不适用于上海其他区域的企业。

(三)缺乏足够的数据合规人才作为支撑

数据合规人才关系到跨境数据流动合规的具体落实。目前看来，国家互联网信息办公室、地方政府、数据跨境传输企业以及律所等中介机构在数据合规人才方面的供给严重不足，突出表现为国家网信办因人手所限无法及时完成对数据传输标准合同及企业数据跨境传输自评资料的审查，企业本身缺乏数据合规人才无法顺利完成跨境数据流动的目标，只能求助于律所等中介机构。

三、建议

(一)进一步细化分类分级管理制度，明确核心概念

为便于企业在跨境数据流动合规时的实务操作，建议相关部门进一步理清“重要数据”的范围，并对“个人敏感信息”进行界定。尽管国家市场监督管理总局和国家标准化管理委员会已经制定《数据安全技术 数据分类分级规则》，全国网络安全标准化技术委员会也制定《网络安全标准实践指南——敏感个人信息识别指南》，分别对“重要数据”“敏感个人数据”做出识别指引，然而鉴于不同行业领域数据的复杂性和异质性，建议由网信办、数据局会同各行业协会或行业主管部门共同主持制定医疗健康、金融、跨境电商、汽车、IT等核心领域的“重要数据”“个人敏感数据”识别指引。

(二)完善企业数据跨境流动白名单制度，适时推出数据出境管理负面清单

2024年5月，临港新片区管委会发布的企业跨境数据传输白名单，涵盖的行业和地域范围有限，建议在第一批白名单制度基础上进一步扩展白名单制度，扩展到金融等更多行业，并进一步增加数据类型和应用场景。进而，适时推出数据出境管理负面清单。

(三)强化数据合规人才的培养

数据合规人才作为推动数据收集、流通、利用、共享的高端复合型人才，具有高度的专业性，并非任何法学人才均可胜任，需培养更多具有法学、技术等复合型背景人才。同时，建议借鉴专利代理制度等，设置一定的数据合规门槛，组织全国统一的数据合规人员考试，并授予数据合规员资格。