福建自贸试验区数据出境管理清单（负面清单）（2025版）发布

12月18日，福建省互联网信息办公室、省商务厅（自贸办）、省数据管理局会同有关部门制定了《中国（福建）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（福建）自由贸易试验区数据出境管理清单（负面清单）（2025版）》，现正式印发。

中国（福建）自由贸易试验区

数据出境负面清单管理办法（试行）

第一章总则

第一条为了保障数据安全，保护个人信息权益，提升中国（福建）自由贸易试验区（以下简称福建自贸试验区）数据出境管理能力和服务水平，促进数据高效便利安全跨境流动，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》及国家互联网信息办公室《促进和规范数据跨境流动规定》相关规定，制定本管理办法。

第二条福建自贸试验区内开展数据出境负面清单制定、执行和管理等活动，适用本办法。

第三条负面清单制定管理坚持的基本原则：

（一）坚持安全底线。负面清单制定管理应当遵守法律法规有关规定，建立健全数据安全工作协调机制和管理制度，提升技术保障能力，在保障数据安全的前提下，促进数据依法有序自由流动。

（二）坚持促进发展。充分考虑数据处理者数据出境合理必要需求，科学制定须纳入负面清单的数据范围，建立数据跨境流动便利化管理模式，降低企业数据出境合规成本，促进数据价值释放和跨境业务、数据产业发展。

（三）坚持分类推进。根据法律法规和国家相关行业主管部门、监管部门的数据分类分级要求，按照数据所属行业、领域，分批有序制定负面清单。

（四）实行动态管理。及时跟踪评估负面清单实施情况和安全风险，根据国家数据安全发展态势和数据处理者数据出境实际需求变化以及有关法律、法规、规章和政策要求变化，动态调整负面清单内容。

第二章职责与分工

第四条按照国家数据跨境传输安全管理制度要求，福建省互联网信息办公室、福建省数据管理局、福建省商务厅（自贸办）、福建省公安厅、福建省国家安全厅统称为省级管理部门，负责建立福建自贸试验区数据出境负面清单管理体系并统筹协调相关事宜，指导并监督福建自贸试验区数据跨境流动活动，分行业、分领域、分批次组织开展负面清单制定工作，履行报审及备案流程，建立负面清单动态管理机制，联合省级行业主管监管部门加强对负面清单实施情况监督检查等。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等省有关单位统称为省级行业主管监管部门，负责制定本行业、本领域分类指导规则，指导识别本行业、本领域重要数据，配合制定数据出境负面清单，承担本行业、本领域数据安全监管职责。

第五条福建自贸试验区福州、厦门、平潭片区管委会及属地相关职能部门统称为片区实施机构，负责建立片区负面清单管理工作机制，配合省级管理部门制定负面清单并出台负面清单配套实施指南，明确负面清单使用对象及申报流程，建设完善数据出境监管和服务平台，组织指导本自贸片区内数据处理者合规使用负面清单，加强对负面清单实施情况的事前事中事后全链条监管。

第六条本办法所称数据处理者，是指在福建自贸试验区内登记注册，并开展数据跨境流动等相关活动的企业、事业单位、机构、团体或其他组织。

数据处理者应当按照相关规定识别、申报重要数据。按照各片区实施机构相关要求开展数据出境活动，并配合省级管理部门、行业主管部门、各片区实施机构开展跟踪核验和监督检查等工作。

第三章负面清单制定及管理

第七条负面清单制定主要包括以下工作流程:

(一）需求调研。聚焦福建自贸试验区产业发展和数据处理者实际需求，遴选重点行业、领域组织开展调研，从业务场景、类别、量级、字段等方面摸排掌握出境数据情况，作为负面清单制定依据。

（二）重要数据识别。在福建省级数据安全工作协调机制的统筹协调下，省级管理部门和省级行业主管部门依据《中华人民共和国数据安全法》及相关法律、法规和规定，明确重要数据识别标准，对数据进行分类分级，形成福建自贸试验区重要数据目录，由省级管理部门按程序向国家数据安全工作协调机制办公室备案。行业主管部门已公开发布或已在行业内部发布本行业、本领域数据分类分级标准规范的，优先按照其规定识别重要数据；行业主管部门未明确判定标准的，按照《中国（福建)自由贸易试验区数据分类分级参考规则》识别重要数据。

（三）业务场景分析。结合调研结果及重要数据识别结果,选取数据出境需求迫切、流动频繁的业务场景，对数据出境的规模、范围和频率进行分析，为风险可控的数据出境业务场景合理设置数据项及数据量级。

（四）论证与征求意见。邀请行业、法律、数据安全等领域专家开展评审论证，并征求省级行业主管部门、有关职能部门、行业重点企业意见，进一步修订完善。

（五）履行审批报备流程。负面清单取得省级行业主管部门一致同意后，报经省委网络安全和信息化委员会批准，由福建省互联网信息办公室、福建省数据管理局联合报国家网信部门、国家数据管理部门备案后，及时以福建省互联网信息办公室、福建省数据管理局、福建省商务厅（自贸办）名义共同发布。

第八条负面清单应至少包含以下两方面:

（一）需要通过数据出境安全评估的数据清单，主要包括:

1.关键信息基础设施运营者向境外提供个人信息或者重要数据；

2.关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者向境外提供达到负面清单要求申报数据出境安全评估的个人信息。

（二）需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单，主要包括:

关键信息基础设施运营者以外的数据处理者向境外提供达到负面清单要求订立个人信息出境标准合同或者通过个人信息保护认证的个人信息。

第九条负面清单实行动态管理。省级管理部门和省级行业主管部门应跟踪评估已出台负面清单的实施情况和安全风险，统筹开展负面清单修订工作。对于尚未出台负面清单的行业、领域，及时研判数据出境实际需求，研究制定相应行业、领域负面清单，不断完善福建自贸试验区数据跨境流动管理政策体系。

第四章负面清单实施

第十条数据处理者在数据出境前应先自行研判是否适用自贸试验区负面清单。属于已公布负面清单的行业、领域，数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第十一条数据处理者使用负面清单出境数据，应在数据出境前，遵循以下流程实施开展：

（一）提交申请。数据处理者按照所在自贸片区负面清单配套实施指南，向相应的自贸片区提交申请，申请材料包括注册所在地、所属行业、数据处理者经营情况、近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况等。

（二）提交备案。通过审核的数据处理者应按照负面清单配套实施指南提交备案材料，备案材料包括数据出境业务场景、出境数据目录、出境数据规模、境外接收方、出境数据适用负面清单的理由及适用负面清单中的数据子类等。

（三）合规出境。完成备案的数据处理者，可按照各自贸片区出具的研判意见开展数据出境活动，并配合省级管理部门、各自贸片区开展监督、核验等工作。

第十二条各自贸片区应重点开展以下工作：

（一）各自贸片区依据配套实施指南对数据处理者提交的申请材料进行审核，审核结果应在5个工作日内书面告知数据处理者，并协助通过审核的数据处理者开展负面清单使用备案。

（二）各自贸片区在数据处理者提交备案材料后，于5个工作日内出具出境数据是否适用负面清单的意见，报省级管理部门备案，并向数据处理者反馈意见结果。出境数据在负面清单内的，各自贸片区指导数据处理者申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;出境数据在负面清单外的，由各自贸片区明确告知数据处理者可按照负面清单配套实施指南安全有序流动。出境数据不适用负面清单的，按照现行法律法规执行。

（三）各自贸片区应向数据处理者提供负面清单咨询服务，结合数据跨境流动总体态势情况，不断优化和改进本区域内数据出境便利化服务举措。

第十三条变更与延续

通过数据出境负面清单适用申请有效期为3年，自适用申请审核意见出具之日起计算。有效期届满，数据处理者需要继续使用负面清单开展数据出境活动、且出境数据未发生重大变化的，可在有效期届满前60个工作日内向片区实施机构提出延长有效期申请。

已完成备案的数据处理者数据出境情况发生变更时，数据处理者应按照配套实施指南判断变更情形是否属于重大变更，重大变更情形包括数据出境目的、方式或范围发生重大变化、出境数据量级大幅度增加、境外接收方发生重大变化或数据处理者与境外接收方法律文件变更等可能导致影响出境数据安全的情形。如确属重大变更的，应按上述第十一条相关规定及时向相关自贸片区重新申请备案。如未发生重大变更，数据处理者可采用便捷变更流程，向各自贸片区登记变更内容。

第五章监督管理

第十四条省级管理部门应严格落实国家及行业数据安全管理要求，加强对福建自贸试验区数据出境活动的指导监督，建立数据出境活动信息共享、风险研判、安全事件发现通报等机制，统筹开展安全风险监测预警能力建设，强化负面清单使用过程中的全链条监管。

第十五条使用负面清单开展数据出境活动的数据处理者，应积极配合开展监督、核验等工作。发生数据出境安全事件或者发现数据出境安全风险增大的，数据处理者应当采取补救措施，并第一时间向片区实施机构报告，片区实施机构应及时上报省级管理部门。

第十六条片区实施机构应组织专业技术机构就数据实际出境情况与备案材料进行一致性抽验，对于数据处理者在数据出境活动中未严格履行相关承诺，或出现瞒报、虚报、故意造成实际出境数据与备案数据不一致等违规行为的，片区实施机构可责令其暂停数据出境活动，并要求限期整改，整改完成后重新履行负面清单申请、备案程序；情节严重的，终止其数据出境活动，对其采取重点监管措施，并及时向省级管理部门上报有关情况。数据处理者违反有关法律法规，拒不改正或者造成严重后果的，依法依规追究其相应责任。

第十七条片区实施机构每半年向省级管理部门报送本办法落实情况和区内数据出境情况。省级管理部门联合行业主管部门定期对片区实施机构、数据处理者落实本办法要求情况进行检查评估。发现数据处理活动存在较大安全风险的，应当立即采取补救措施，消除隐患，对影响或可能影响国家安全的出境数据，及时更新纳入负面清单。发现涉嫌违法犯罪线索的，福建省公安厅、福建省国家安全厅依照有关法律、行政法规，在各自职责范围内依法防范和打击危害数据出境安全的违法犯罪活动。

第十八条鼓励片区实施机构建立数据处理者信用评价、自我符合性声明等机制，探索更为安全高效便利的数据跨境流动监管机制。

第十九条鼓励片区先行先试，围绕数据流通交易溯源机制、重点场景安全治理标准、重点场景安全责任界定机制等，探索新型治理模式，提高治理效能。

第六章附则

第二十条关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据属于国家核心数据，实行更加严格的管理制度，不纳入负面清单管理。

第二十一条本办法未涉及的行业、领域的数据分类分级参考规则，按照国家相关规定和标准执行。

第二十二条负面清单涉及的行业、领域中，如涉及《中华人民共和国出口管制法》规定的管制物项相关技术资料等数据或《中华人民共和国对外贸易法》规定的技术出口管理事项等数据出境的，按照《中华人民共和国出口管制法》《中华人民共和国对外贸易法》等法律、法规、规章、规定执行。

负面清单和实施指南未涉及的行业、领域出境数据，按照《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行。

我国参加的国际公约、与其他国家签署的双多边条约、与港澳台地区达成的相关安排等另有规定的，按照相关规定执行。

其他自由贸易试验区和自由贸易港正式发布的数据出境负面清单，福建自贸试验区可参照执行。

第二十三条本办法由福建省互联网信息办公室会同福建省数据管理局、福建省商务厅（自贸办）、福建省公安厅、福建省国家安全厅负责解释。

第二十四条本办法自发布之日起施行，试行期两年。

中国（福建）自由贸易试验区

数据出境管理清单（负面清单）（2025版）

说明

一、《中国（福建）自由贸易试验区数据出境管理清单（负面清单）（2025版）》（以下简称负面清单）根据《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等政策法规制定。负面清单的执行和管理等活动，按照《中国（福建）自由贸易试验区数据出境负面清单管理办法（试行）》开展。

二、本负面清单适用于在中国（福建）自由贸易试验区内（以下简称福建自贸试验区）注册且在福建自贸试验区内开展数据出境活动的数据处理者。

三、负面清单未涉及的行业、领域数据，按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行。

四、负面清单涉及的行业、领域中，如涉及《中华人民共和国出口管制法》规定的管制物项相关技术资料等数据或《中华人民共和国对外贸易法》规定的技术出口管理事项等数据出境的，按照《中华人民共和国出口管制法》《中华人民共和国对外贸易法》等法律、法规、规章、规定执行。

五、我国参加的国际公约、与其他国家签署的双多边条约、与港澳台地区达成的相关安排等另有规定的，按照相关规定执行。

六、负面清单由福建省互联网信息办公室会同福建省数据管理局、福建省商务厅（福建自贸办）负责解释。

七、负面清单自发布之日起实施。