文章系本公众号独家首发,未经授权不得转载、摘编

引言

在数据跨境流动监管体系不断完善背景下,2024年3月22日,为了进一步促进我国数据依法有序自由流动,国家网信办发布了《促进和规范数据跨境流动规定》,其中第6条赋予了我国自由贸易试验区(以下简称“自贸区”)自行制定区内数据出境负面清单的特殊角色和权力,这意味着自贸区内的数据处理者向境外提供负面清单之外的数据时,可以豁免申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证(以下简称“数据出境三件套”)。自此规定生效以来,天津、北京、海南、上海、浙江等地相继制定并发布自贸试验区数据出境负面清单,涵盖汽车、医药、零售、民航、再保险、深海业、种业等17个领域,旨在为相关数据跨境流动提供更明确的合规路径,创造更便利的条件。

一、自贸区数据出境负面清单的主要特征

(一)负面清单在自贸区数据出境规制中占据主导

近年来,我国自贸区在促进数据跨境有序自由流动方面开展了多种制度探索,一方面,根据《促进和规范数据跨境流动规定》,多地自贸区制定发布了专门的数据出境负面清单。另一方面,参考国务院《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“试点探索形成可自由流动的一般数据清单”的政策意见,部分自贸区(如上海临港新片区、福建平潭片区)探索了包含重要数据目录(负面清单性质)和一般数据清单(正面清单性质)的综合管理模式。截至发文之日,从已发布的独立、专门的数据出境管理清单文件来看,采用“负面清单”形式的占绝大多数,且数量不断增多。值得注意的是,上海临港新片区等地探索的“正面清单”路径,仍在实践中发展,从当前独立文件的数量和覆盖区域广度而言,专门的数据出境负面清单已成为自贸区数据出境规制中最为普遍采用的模式。

(二)负面清单框架结构呈现趋同态势

通过观察目前各自贸区已发布数据出境负面清单,其框架结构呈现出趋同态势。除天津自贸区2024年发布的我国第一份数据出境负面清单外,其他各地发布的负面清单在框架结构上基本呈现出“行业(含适用企业类型)-数据出境路径(数据出境安全评估/订立个人信息出境标准合同/通过个人信息保护认证)-数据类别(重要数据/个人信息)-数据子类-数据基本特征与描述”的统一模式。在行业范围上,各地均根据自身的经济发展重心和特色产业,选择具有代表性和影响力的重点行业领域纳入负面清单进行规范和管理,例如上海自贸区基于国际金融、航运贸易中心定位和产业发展将再保险领域、国际行业领域、商贸领域(零售与餐饮业、住宿业)纳入了负面清单。值得关注的是,目前不同自贸区对完全相同的行业领域制定数据出境负面清单的情况相对较少。 这一现象可能源于各地清单重点聚焦于其特色产业。例如,即便海南与上海均涉及“零售”相关领域,海南侧重规制的是“免税店和通关购物场景下的个人信息出境”,而上海则限定于“会员管理场景下的特定个人信息出境”,两者规制的具体对象和场景存在明显区别。国家网信办在2025年4月9日《数据出境安全管理政策问答》中也强调了需注意政策协调,避免对同一数据处理活动设置冲突要求。

(三)负面清单呈现一定的制度弹性

为了应对企业数据出境场景的复杂性,各自贸区的数据出境负面清单都确定了清单动态更新机制,以《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》第九条为例,明确规定负面清单实行动态管理,对于尚未出台负面清单的行业、领域,及时研究制定相应行业、领域负面清单。随着数字经济的快速发展,不同产业的数据出境需求和合规风险也处于高速变化的过程,这一机制不仅有利于负面清单适应快速迭代的技术与行业需求,及时将新兴领域的数据出境合规风险纳入清单管理。同时也有助于监管机构根据负面清单的实施效果、企业反馈建议以及监管经验等,放宽对低风险数据出境场景的程序性限制,促进数据跨境流通。

二、自贸区数据出境负面清单重要数据管理要点解读

(一)行业重要数据识别规则的细化

重要数据的识别是数据处理者做好重要数据合规管理、履行数据出境合规义务的基础,而确定清晰的重要数据识别依据是开展重要数据识别工作的关键。自2021年《数据安全法》生效以来,各行业领域在对应主管部门的指导下不断探索重要数据识别方法,但实践中仍存在规则模糊问题。各自贸区从更好地指导区内数据处理者的重要数据出境合规工作层面出发整合区内重点行业主管部门意见,形成了公开的重要数据目录,为区内企业提供了重要数据的识别参考,起到了2024年国家网信办《促进和规范数据跨境流动规定》第2条“公开发布为重要数据”的实际效果与作用,缓解了部分行业重要数据识别依据缺失的问题。

截至2025年5月30日,我国各自贸区共15个行业/领域发布了重要数据目录,其中少量是对此前已公开发布的行业重要数据目录的细化,如北京自贸区对2021年《汽车数据安全管理若干规定(试行)》规定的汽车重要数据目录之一“汽车充电网的运行数据”细化为“包括充电桩/站位置信息、使用状态、计费和支付信息、充换定车辆统计信息、站点统计、分布信息等数据”,其他大部分的行业/领域重要数据目录是首次公开发布,如人工智能行业的重要数据目录包括:(1)在研发设计过程中,收集和产生的与行业竞争力相关的高价值敏感数据;(2)内容中涉及一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全的音频、图像及文本数据;(3)纳入出口管制或技术出口管理事项的数据。

总体而言,自贸区数据出境负面清单对各行业的重要数据目录采取了树状分层级的结构化框架,并逐层拆解和细化,实现了对每一个重要数据目录所涉及到出境场景、出境数据类型、特征的解释和说明,特别是在“数据基本特征与描述”一项,列举了表单级甚至是字段级的重要数据场景化示例,少数负面清单还对重要数据分级要素进行了量化标准尝试。例如《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》规定,医药行业的重要数据包括“一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据、特定药品实验数据等”。在“数据基本特征与描述”一项,规范表述为“包括但不限于:……10万人以上的病案、影像、病理、血液检测、基因检测等涉及人民群众生命健康和安全的医疗领域诊疗数据”,“一定规模以上”被进一步明确为“10万人以上”的数据量级。这种框架结构一定程度上契合了企业数据分类分级的工作路径,既有利于将抽象的重要数据合规要求转化为可落地、可执行的具象化规则,提升了企业识别重要数据的可操作性,强化了重要数据的出境保护,另一方面从监管视角也可以更快捷的适应技术迭代,局部修订重要数据基本特征描述,降低制度维护成本。

* 各自贸区负面清单重要数据汇总(更新至2025年5月30日)(详见文末附件表格)

(二)自贸区重要数据出境流程的调整

根据北京、浙江、上海自贸区负面清单实施规定,负面清单申请及备案主要流程为:

  • 北京和浙江自贸区:首先,数据处理者应向自贸组团或自贸片区提交申请(申请材料包括注册所在地、所属行业、数据处理者经营情况、近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况);其次,在申请通过审核后,需进行负面清单备案(备案材料包括数据出境业务场景、出境数据目录、出境数据规模、境外接收方、出境数据适用负面清单的理由及适用负面清单中的数据子类等);最后,需要根据自贸组团或自贸片区出具的研判意见开展数据出境活动。如果出境数据属于负面清单内的重要数据,按照自贸区管理机构的指导申报数据出境安全评估。

  • 上海自贸区:与北京和浙江的流程略有不同,上海负面清单允许自贸区企业先开展数据出境活动,并在15个工作日内向所在地数据跨境服务中心提交负面清单材料并报备数据出境情况,特殊情况经上海自贸试验区管委会、临港新片区管委会批准也可以延期报备,但仍需报备并配合主管监管部门的监督检查。

简而言之,北京、浙江、上海自贸区数据处理者如需出境负面清单内的数据,需要向自贸区管理机构主动进行申请或报备,自贸区管理机构确认出境数据属于负面清单内重要数据后,数据处理者可依据备案结果向国家网信部门申报重要数据出境安全评估。这与现行的重要数据出境安全评估流程高度相似,即数据处理者需先获得行业主管部门对出境数据属于重要数据的认定结果,方可将出境数据以重要数据的属性向网信部门申报数据出境安全评估

两者区别主要在于,前者认定重要数据的职权部门是自贸区管理机构,认定标准是自贸区所属省级(含直辖市)管理部门制定,并向国家网信办备案的重要数据目录,后者认定重要数据的职权部门则是数据处理者所属的行业主管部门。若数据处理者拟出境数据不适用自贸区负面清单重要数据的,则仍需适用现行重要数据出境安全评估流程。

由此可见,前述自贸区数据出境负面清单的适用仍以现有重要数据出境安全评估流程为逻辑,虽然一定程度上明确了企业通过使用负面清单完成重要数据认定这一申报数据出境安全评估前置环节的流程,并提供了与负面清单制度相配套的服务机制和监管措施,提高了规则落地的可实施性,但对重要数据认定环节做了程序上的微调,并未实质简化重要数据出境安全评估流程,对区内企业重要数据出境合规减负的效果仍然有限。

三、自贸区数据出境负面清单对企业重要数据合规管理的影响及启示

(一)对已发布负面清单的自贸区企业的影响及启示

1. 影响程度:高,有直接影响

各自贸区数据出境负面清单适用范围均明确限于在自贸区内注册登记的数据处理者,这对自贸区内企业的重要数据合规管理将产生直接影响,具体包括:

(1)对负面清单覆盖的行业/领域的自贸区企业产生利好:

  • 重要数据识别方面,企业在履行《数据安全法》《网络数据安全管理条例》等法律法规要求时,获得了更加明确、可适用的识别参考依据;

  • 重要数据出境方面,若企业认为自身涉及重要数据的出境活动,则按部分自贸区数据出境负面清单的管理规则,企业可自行选择是否使用该清单以实现合规出境。

(2)对负面清单未覆盖的行业/领域的自贸区企业仍有风险:

  • 重要数据识别方面,清单未覆盖意味着当前无论是自贸区还是行业主管部门对该行业/领域均暂无明确的重要数据识别规则,企业仍然面临识别依据缺失的问题;

  • 重要数据出境方面,企业未确定出境数据属于重要数据的,无法适用数据出境安全评估流程以实现出境合规。

2. 行动启示

(1)对负面清单覆盖的行业/领域的自贸区企业:

  • 重要数据识别方面,应认真研究清单内行业/领域重要数据目录,将其作为企业识别重要数据的外规依据,并在完成重要数据识别后,及时履行重要数据目录编制及向监管部门上报及备案的合规义务;同时,“数据基本特征与描述”列举了重要数据常见的产生/利用场景,这对企业筛查重要数据产生/利用场景具有很强的指导性和参考性,建议排查自身是否涉及相关场景及活动,避免自身因场景识别的遗漏或不准确而导致的重要数据识别/管控风险敞口;

  • 重要数据出境方面,当企业所在自贸区负面清单管理规则允许自行选择是否使用清单开展出境活动时,企业可根据自身情况决定。若使用清单,则需向自贸区管理机构备案 ,确认数据为清单内重要数据后,向国家网信部门申报数据出境安全评估(备案仅替代行业主管部门重要数据监管认定环节);若不使用清单,或自贸区负面清单未明确重要数据出境流程的,则需先获得行业主管部门对拟出境数据是重要数据的认定,再向国家网信部门申报数据出境安全评估(需行业主管部门认定重要数据)。

(2)对负面清单未覆盖的行业/领域的自贸区企业:

  • 重要数据识别方面,需尽快向行业主管部门或自贸区管理机构寻求重要数据识别指导,并持续关注本行业/领域是否发布重要数据目录或识别规则,优先落实好重要数据识别义务;

  • 重要数据出境方面,在未获得行业主管部门对重要数据的认定结果前,可按《促进和规范数据跨境流动规定》第2条“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”的思路指导企业内部相关工作。

(二)对未发布负面清单的自贸区企业及非自贸区企业的影响及启示

1. 影响程度:低,作为政策参考

实际上,已发布的自贸区数据出境负面清单对未发布负面清单的自贸区企业及非自贸区企业并无直接法律效力,但相关企业可将已发布的负面清单作为开展自身重要数据识别合规管理工作的政策参考。具体而言,已发布的负面清单重要数据目录大多数为该行业/领域重要数据目录在国内的首次公开发布,仅涉及该行业/领域内的部分细分行业/领域,不排除行业主管部门以此为雏形制定该行业/领域的完整重要数据目录。另外,国家网信办在2025年4月9日《数据出境安全管理政策问答》中提到“针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定”,这意味着已发布的负面清单可能成为其他未发布负面清单的自贸区执行规则。

(1)对未发布负面清单的自贸区企业的影响:

  • 监管规则方面,虽然国家网信办表明“针对同一领域其余自贸区可以参照执行已有自贸区发布负面清单”,但未发布负面清单的自贸区是否实际参照执行仍存在不确定性。在自贸区明确对某已发布的负面清单参照执行前,区内企业仍将处于负面清单规则的模糊期;

  • 重要数据识别和出境方面,在其他自贸区明确自身负面清单管理规则前,已发布的负面清单重要数据内容仅能作为企业开展重要数据识别和重要数据出境规则的参考依据,而非直接依据。

(2)对非自贸区企业的影响:

  • 监管规则方面,由于企业不在自贸区内,无需适用已发布的负面清单管理规则;

  • 重要数据识别和出境方面,已发布的负面清单重要数据内容能为部分行业/领域的企业提供重要数据识别参考规则,但企业重要数据出境路径依然是现行的数据出境安全评估流程。

2. 行动启示

(1)对未发布负面清单的自贸区企业:

  • 监管规则方面:关注所在自贸区是否制定本地区负面清单或参考执行已发布的自贸区负面清单,与自身所在自贸区管理机构保持良好沟通,了解本地区负面清单执行规则;

  • 重要数据识别和出境方面,根据所在自贸区负面清单规则采取对应的重要数据合规管理策略,如参考已发布的负面清单形成更加契合本行业/领域监管思路的重要数据识别方法,在自贸区管理机构的指导下开展重要数据合规出境等。

(2)对非自贸区企业:

  • 监管规则方面:重点关注与重要数据识别相关的监管规则动态,如行业主管部门公开发布的重要数据目录或识别规则、自贸区负面清单列明的某行业/领域的重要数据目录等;

  • 在重要数据识别和出境方面,按照已有重要数据识别方法论或规则开展重要数据识别和目录编制等工作,并及时向行业主管部门寻求科学指导;若涉及重要数据出境,则按现行数据出境安全评估流程向国家网信部门申报即可。

本文作者:M.AT,Y.YX,L.AT

免责声明

本文所述信息均来自合法公开渠道,我们不对信息的真实性、完整性或准确性作出任何形式的明示或暗示的保证。本文内容仅供分享、交流和学习之用,任何人不应将本文的全部或部分内容作为决策依据。因依赖本文内容所造成的任何后果,由行为人自行承担全部责任。本免责声明不构成法律、财务、医疗或其他专业建议,建议在做出任何决定前咨询相关专业人士。

声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。