四地數據出境監管政策研究

2024年3月22日，《促進和規范數據跨境流動規定》（以下簡稱《規定》）正式發布。根據《規定》，各個自貿試驗區積極開展了“負面清單”制度探索，以天津、北京、上海、海南四地最為典型。

數據跨境流動是近年來數字經濟領域的熱點議題，與個人信息權益保護、數字產業發展以及國家數據主權與安全休戚相關。2024年3月22日，《促進和規范數據跨境流動規定》（以下簡稱《規定》）正式發布，其中第6條規定“自貿試驗區在國家數據分類分級保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（簡稱負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自貿試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”。鑒于此，各個自貿試驗區積極開展了“負面清單”制度探索，以天津、北京、上海、海南四地最為典型。

四地“負面清單”一覽

天津市2024年5月推出全國首個省級自貿試驗區數據出境管理負面清單，將納入清單管理的出境數據分為戰略物資和大宗商品類、自然資源和環境類、工業類、金融類、統計類、信息傳播類、住房建設類、交通運輸類、公共衛生類、公共安全類、互聯網服務和電子商務類、科學技術類以及個人信息13大類46種數據子類。政策遵循“統籌兼顧、便捷合規、簡明實用、動態調整”的基本原則，其創新點在于建立企業數據分類分級標準規范，每個子類對數據基本特征進行了描述并給出具體示例。

北京市2024年8月發布《中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024版）》，系全國首個場景化、字段級負面清單。該政策以“管得住、放得開、用得好”為目標，聚焦汽車、醫藥、零售、民航、人工智能五大重點領域，涵蓋23個業務場景和198個具體字段。配套文件包括《中國（北京）自由貿易試驗區數據出境負面清單管理辦法（試行）》及《北京市數據跨境流動便利化服務管理若干措施》，構建了“1+N”政策體系。其特點在于動態管理機制、精準量化個人信息閾值（適度降低申報門檻），通過北京數據跨境服務平臺提供“一對一”數據出境安全評估問題咨詢解答，快速響應企業訴求。

上海市2025年2月出臺《中國（上海）自由貿易試驗區及臨港新片區數據出境負面清單管理辦法》以及《負面清單（2024版）》，聚焦金融（再保險）、航運（國際航運）、商貿（零售與餐飲業、住宿業）三大關鍵領域，涵蓋6個場景84個數據項。政策亮點包括：一是將“場景名稱”前置單列，增加解釋說明，便于企業直接適用。二是突破個人信息量級閾值（商貿領域敏感個人信息安全評估閾值從1萬提升至100萬）以及“先用后報”機制（15個工作日內備案），大大減輕了企業負擔。三是上海探索各地區之間負面清單的互認互用機制，明確規定“其他自由貿易試驗區正式發布的數據出境負面清單，上海自由貿易試驗區及臨港新片區可參照執行”。

海南省2025年2月公布《負面清單（2024版）》，重點服務深海、航天、種業、旅游和免稅商品零售業務五大領域30項內容（其中重要數據10項、個人信息20項），具體覆蓋14個業務場景。政策突出動態管理機制，結合海南自貿港特色產業需求，構建從資源勘探到經營管理的全鏈條數據治理體系，依托特色產業政策支持跨境電商、游戲出海等新興業態。

“負面清單”與“正面清單”

《規定》將源于國際經貿領域的“負面清單”制度引入數據跨境流動管理體系。換言之，“負面清單”內的數據應遵守數據出境安全管理制度，即通過數據安全評估、標準合同備案或認證，而清單外的數據跨境流動理應受到鼓勵和支持。然而，如何保障“負面清單”內的數據出境安全可控仍存在一定難度，畢竟每個行業的數據類型、性質、場景等千差萬別，對國家安全、公共利益的影響也不盡相同。對此，天津采取“大清單”思路，結合國家標準《數據安全技術 數據分類分級規則》（GB/T 43697-2024）（以下簡稱《分類分級標準》）對自貿試驗區內企業數據分類分級工作進行排查，采取后果分類法，即按照數據一旦被泄露、篡改、破壞、濫用后對國家安全、公共利益等產生的后果分類，輔之以具體示例；北京則采取“小清單”思路，結合特定行業、場景和目的進行數據特征的描述和細化，具體調整數量閾值的設定，并建立自貿組團反饋機制加以適時調整。

與“負面清單”對應，“正面清單”則明確了“哪些數據可以出境”，可操作性更強。為落實《上海市數據條例》“在臨港新片區內探索制定低風險跨境流動數據目錄”的規定（第69條），上海臨港新片區于2024年5月17日公布數據跨境場景化一般數據清單及配套操作指南，即采用“正面清單+負面清單”管理模式，結合跨境場景細化至具體字段，形成可落地的一般數據清單，同步迭代拓展更多場景和領域，由此形成場景化、精細化的字段級負面清單，便利企業數據出境。首批一般數據清單包括智能網聯汽車、公募基金、生物醫藥三個領域，涉及智能網聯汽車跨國生產制造、醫藥臨床試驗和研發等11個場景，64個數據類別、600余個字段。“正面清單”釋放出的“哪些數據可以出境”的信號更加強烈和清晰，為企業數據出境業務提供了具象化的指引。

事實上，無論采取“負面清單”還是“正面清單”管理模式，并無優劣之分，其背后的政策出發點都是為了給企業提供相對清晰、可操作性較強的行為指引，在數據安全管理框架內最大限度降低企業成本、提升數據出境效率。

“負面清單”與重要數據

進入“負面清單”的數據并不等同于重要數據。《中華人民共和國數據安全法》確立了數據分類分級保護制度，將數據分為一般數據、重要數據和核心數據。一旦被認定為重要數據，涉及出境場景需要進行數據安全評估，重要數據處理者要履行相比一般數據處理者更重的數據保護義務，如應建立常態化的數據安全管理機構、定期開展風險評估等，其成本將大大增加。而自貿試驗區“負面清單”制度設計的初衷是為了便利數據跨境流動，并未將進入清單的數據類型與重要數據進行一一對應，僅列舉哪些是需要開展數據安全評估、標準合同備案或認證的數據類型和應用場景。也就是說，重要數據出境一定需要安全評估，但列入“負面清單”的數據并不一定是重要數據，后者所涵蓋的數據類型更為廣泛（還包括達到一定量級的個人信息），是各自貿試驗區根據行業發展需求評估后采取出境限制措施的監管對象。

“負面清單”與重要數據有著密切關聯，重要數據的認定屬于制定“負面清單”的必經程序。也就是說，各自貿試驗區制定“負面清單”需要回應“哪些是重要數據”這一核心問題。雖然《分類分級標準》從技術層面明確了重要數據的識別規則，但多數行業主管部門尚未發布本行業重要數據目錄。為幫助企業能夠識別、判斷是否為重要數據，四地通過“負面清單”管理方式對不同行業領域及具體場景的重要數據基本特征進行描述，以形成本區域內的重要數據目錄。例如，《中國（北京）自由貿易試驗區數據出境負面清單管理辦法（試行）》提供了13大類41種數據類型的重要數據識別參考規則以及統一識別參考規則，共同構成北京自貿試驗區重要數據識別要求。這也是《規定》授權各自貿試驗區制定“負面清單”的意義之所在——在國家層面尚未制定重要數據目錄的背景下，由各自貿試驗區探索形成本轄區內重要數據目錄就是現階段一個極其靈活且務實的方案。

（本文僅代表作者觀點，不代表本刊立場；本文作者系上海政法學院教授、博士生導師）

編輯：沈析宇" " 175556274@qq.com