□ 燕丽华 石中金 吕富生

英国于2015年率先提出“监管沙箱”（Regulatory Sandbox）概念，最先运用在金融科技领域。“监管沙箱”被定义成一个“安全空间”，企业可以在此测试其创新的产品或服务，在测试过程中，企业将有机会与监管机构接触，利用其专业知识，帮助企业减小风险以达到监管要求。同时，监管机构有权要求企业采取适当措施保护用户权益，测试结束后，如结果符合预期，相关产品或服务则可投入市场。

近年来，各国纷纷加大数据安全治理的力度，力求在数据保护和利用之间取得平衡，“监管沙箱”概念也随之扩展至电信和互联网领域。英国信息专员办公室（ICO）从2017年开始探讨建立监管沙箱计划。目前，ICO以创新性和可行性为选择标准确定了首批10个项目参加沙箱测试。

申请主体及适用领域

ICO表示，沙箱适用于打算或正在使用个人数据开发创新性产品或服务的企业，在测试阶段，仅接受数据处理行为受英国《数据保护法》管辖的企业申请。如果一个产品或服务涉及多个企业，ICO则希望与其中的一个牵头企业合作，然后由该企业负责管理其他共同参与的企业，ICO与其他企业间不存在正式关系。此阶段旨在支持这些企业应对新兴技术带来的数据保护挑战，如在生物识别、物联网、可穿戴技术等新兴领域中使用个人数据；企业希望通过确保数据使用的透明度、清晰度等来建立良好的用户体验和公众信任；适用于变更数据的原有使用目的或者需要延长数据存储期限等情形。

参与测试的企业需要填写ICO确定的“沙箱申请表”，并提交授权确认书，将相关材料发送至特定邮箱即可完成申请，ICO将根据一定的标准展开评估审核，并告知企业审核结果。

ICO如何评估沙箱申请

ICO根据以下标准对申请进行评估：一是创新性，如商品或服务生产过程中是否运用了新技术、新知识，能否提高产品质量或提升工艺性能。二是社会效益，评估产品或服务能否为公众带来切身的实惠，ICO根据企业提供的定性和定量证据，从广度（受惠人数）或深度（受惠程度）方面进行评估。三是违规记录，该企业最近在数据保护方面是否存在违规行为或者遭受相关行政执法活动，但是有违规记录并不会必然导致申请失败，ICO还会考虑其违规记录的相关性和严重性，以及该违规记录与企业拟申请的产品或服务是否相关。四是ICO资源支撑度，如ICO是否拥有满足企业拟申请产品或服务所需的资源。五是可行性，该企业的拟议沙箱计划是否具备可行性，每个企业进入沙箱的必备条件之一是应制定退出计划以及在沙箱计划中采取的数据保护方案。

申请通过后将履行哪些程序

在申请通过后，企业将履行以下程序：一是发送录取通知，通过申请的企业将会收到ICO发来的“录取通知书”和“执法声明”。ICO表示，企业在参加沙箱过程中，任何由于产品或服务开发而导致的偶然违反数据保护法规的行为，都不会立即导致执法行动。二是要求自我评估，企业接受“录取通知书”中列出的条款后，ICO将要求企业填写“数据保护自我评估清单”，以帮助ICO为企业量身定制沙箱计划。三是了解产品情况，ICO将派遣专门的沙箱团队前往企业详细了解其所申请的产品或服务，与开发团队会面并参加相关产品或服务的流程或设计演练。同时，企业可以向ICO沙箱团队提出自己的期望以及需要监管部门提供的支持、所需的额外资源等。四是提供定制化方案。ICO沙箱团队将根据所了解的情况，与企业展开合作，为沙箱中的每个企业提供定制化服务。

在提供沙箱定制服务的过程中，未经ICO的明确书面同意，进入沙箱测试的企业不得与任何第三方交流沙箱测试的具体情况，也不得以“获得ICO认可”的名义对相关产品或服务进行品牌推广或促销。同时，ICO的沙箱团队将受到严格的保密义务约束，只能在进行沙箱工作或不违反保密义务时，与其他ICO工作人员共享有关产品或服务的信息。

沙箱计划包含哪些内容

ICO制定的沙箱计划主要包含以下内容：

一是提出非正式的建议或指导，包括为设计开发团队提供在早期阶段的交流、研讨机会；从构想、概念到原型设计的分阶段非正式指导；产品或服务测试过程的非正式监督等。

二是提供符合监管要求的声明。企业在退出沙箱时可以要求ICO发出针对沙箱中的产品或服务符合监管要求的声明，但ICO保留根据将来的法律或市场发展变化更改其观点并撤销声明的权利。

三是确定监控级别和形式。ICO要求企业根据《数据保护影响评估指南》确定相应产品或服务是否存在高风险，进而根据产品或服务开发中涉及的风险等级确定监控级别。高风险的产品或服务将面临更频繁的监控，ICO则通过面对面会议、电子邮件、电话会议等形式与企业商定监控的形式。

沙箱测试的退出程序包括完成沙箱任务时的正常退出和提前退出，但企业提前退出需要获得ICO批准，以确保对数据主体的损害最小。在正常退出前，ICO将安排企业与沙箱团队进行最后一次会议，以讨论所有未解决的问题、评估任务进度，以及获得企业对沙箱测试全流程的反馈等。之后，ICO将向企业发送退出报告，总结沙箱测试过程以及在此过程中开展的主要工作。

英国电信和互联网监管部门希望参与沙箱测试的产品或服务在特定领域或行业中走在最前沿，最大限度平衡隐私保护和产业发展的同时，以这些产品或服务为例，预测市场变化并制定符合未来行业监管需要的政策指引。

当前，世界各国在电信和互联网领域的竞争日益严峻，数据保护又在其中发挥重要作用，我们需要在发展和保护间取得微妙的平衡，英国的沙箱监管方式或能为我国提供一定的借鉴。