二是充分参考借鉴前期数据出境安全评估、个人信息出境标准合同备案等工作基础。北京市网信办综合梳理已获批的40余家企业安全评估案例、150余家企业标准合同备案案例涉及的汽车、医药、民航、零售、人工智能等行业领域数据出境情况,深入研究上述5个行业领域数据出境目的、典型场景、数据类型、数据处理方式、出境个人信息数量及数据保护措施,综合研判、科学设定个人信息及敏感个人信息量级。
三是便利企业使用,不搞“拍脑袋”创新。目前企业梳理自身的数据出境活动往往都是按业务场景进行划分,因此使用“企业语言”制定负面清单对企业最为友好。根据前期工作基础,负面清单梳理了5个行业的典型数据出境场景和数据项,相较于《规定》在出境人数上进一步适度放宽,但各业务场景放宽的人数各不相同,并没有搞“一刀切”的阈值划定,这是因为各行业的监管要求不同,且通过大量企业调研发现,某个合理的业务当年出境个人信息的规模是较为稳定的,例如多家外资药企反馈药物临床试验场景每年出境人数一般不会超过5万人,因此放宽至100万人与放宽至5万人的意义是相同的,能够满足绝大多数药企的需求。同时,从安全风险角度考虑,在限定数据使用场景和目的的基础上,放宽至5万人显然风险更为可控。
四是政企共治数据安全,引导企业提升自身数据安全合规能力。数字经济发展的单元是企业,企业自身安全意识和合规能力提升将带来我国数据安全和个人信息保护能力的不断提升,因此负面清单不仅可以做到宽严相济,还可以起到正向引导作用。例如汽车行业的OTA在线升级场景明确,OTA类型、OTA主控模块、联网终端、可远程升级系统等数据原则应该申报数据出境安全评估,但“已在工业和信息化部备案,并通过相关安全技术措施处理,可确保升级包数据不被篡改的情形除外”,这些细节体现了更加便利合规意识强、技术能力强、管理措施规范的企业开展业务的科学管理导向。