一、国内各自贸区出台负面清单现状概述
《促进和规范数据跨境流动规定》 1明确,自贸试验区可在国家数据分类分级保护制度框架下自行制定区内数据出境负面清单,经省级网络安全和信息化委员会批准,报国家网信部门、国家数据管理部门备案后实施,负面清单外数据出境将免予申报安全评估、订立标准合同、通过保护认证,是促进和便利自贸试验区数据跨境流动的一项创新举措。
目前,天津、北京、海南、上海、浙江等地自贸试验区(港)数据出境负面清单已完成备案,对 汽车、医药、零售、民航、再保险、深海业、种业等 17个领域数据跨境流动发挥促进作用。各地均采纳“清单内严管、清单外默认放行”的思路进行跨境数据流动管理。部分在华企业已通过负面清单的模式实现高效便捷数据出境,数据出境负面清单制度实施初见成效。
同时,按照“ 一地制定、多地适用 ”原则,鼓励各自贸区进行负面清单互认。针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定。上述工作确保负面清单符合国家数据分类分级保护制度要求,保证不同自贸试验区负面清单标准的一致性。
福建省尚未发布数据出境负面清单,但中国(福建)自由贸易试验区平潭片区于2024年8月26日发布《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》, 在平潭自贸片区范围内登记注册的非关键信息基础设施运营者向境外提供清单内数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,在平潭自贸区通过风险评估备案后即可出境。
二、各自贸区负面清单的特色亮点
(一)中国(北京)自由贸易试验区数据出境管理清单(负面清单)( 2024版)2
《北京自由贸易试验区数据出境管理清单(负面清单) 2024 版》(以下简称“北京2024版负面清单”)全文以行业章节为骨架, 首创“行业 × 应用场景 × 数据字段特征”三维识别表,是首个场景化、字段级数 据出境负面清单。聚焦 汽车、医药、民航业、零售与现代服务业以及人工智能训练数据五大领域,详细列明23个业务场景和198个具体字段,按应用场景设置差异化监管门槛,避免“一刀切”,例如汽车行业按照军工车辆数据、区域汽车充电网运行数据、车外图像数据、车联网信息服务数据等细分场景评估是否属于“重要数据”,个人信息出境规模阈值按场景动态调整。《北京2024版负面清单》是少数将人工智能训练数据单列成章的清单,对包括文本、语音、图像模态的训练数据设置专门门槛和处理规范,展示出前瞻监管意识。
截至2024年8月30日,北京自贸区已经推动47家企业通过国家数据出境安全评估,165家企业通过个人信息出境标准合同备案;实现民航、汽车、教育、医药、学术、人工智能等6大行业领域数据合规出境;出境数据多样性和通过率均居全国前列。
整体来看,《北京2024版负面清单》以场景化颗粒度、动态迭代机制和企业导向服务为核心突破,采用“行业→场景→数据→阈值→路径”五步法,为企业在京开展跨境数据流动提供了一套操作性强、层次分明的合规地图,为全国自贸区数据跨境治理树立“北京样板”。
(二)中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)( 2024 版)3
中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024 版)(以下简称“上海2024版负面清单”)综合考虑行业主管监管部门要求、数据分类分级规则、数据敏感程度等因素,首批制定涵盖 金融(再保险)、航运(国际航运)和商贸(零售与餐饮业、住宿业)3个关键领域,包括重要数据、个人信息2类数据,涉及6个具体场景,84个数据项。
《上海2024版负面清单》的特色亮点在于:一是清单制式方面将“场景名称”前置单列,就场景增加解释说明,便于企业直接对应场景并适用。二是在金融、航运领域对重要数据进一步细化,帮助企业准确识别重要数据。 三是突破通用出境规定的适用阈值。相较于《促进和规范数据跨境流动规定》,个人信息量级进行了突破,例如商贸领域会员管理场景中向境外提供会员登录验证信息和信用卡信息等数据,将敏感个人信息数据量阈值从1万提升至100万,在风险可控前提下,有效降低企业数据出境合规成本。 四是明确“ 先用后报” 原则,不设置准入机制。企业在使用负面清单开展数据出境活动之日起,15个工作日内向所在地数据跨境服务中心提交负面清单使用材料即可,有效减轻企业负担。
《上海2024版负面清单》未涉及的行业、领域数据,按照《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规执行。
(三)中国(天津)自由贸易试验区数据出境管理清单(负面清单)( 2024年版)4
天津自贸区率先构建“分类分级+负面清单”双制度体系, 围绕生物医药、服务外包、金融、互联网平台、汽车、集成电路、气象、国际贸易等自贸试验区 8大重点领域产业发展和监管需要,将企业出境数据分为战略物资和大宗商品类、自然资源和环境类、工业类、金融类、通信传播类、住房建设类、公共卫生类等13个大类46个子类数据。通过量化石油战略储备数据精度、遥感影像分辨率等阈值,实现危化品运输路线规划等字段级管控,并建立动态调整机制预留智能网联汽车等扩展空间。
《天津2024版负面清单》是对接《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等高标准国际经贸规则的积极探索,也为优化国家数据跨境流动管理体制机制提供了天津经验。
(四)中国(浙江)自由贸易试验区数据出境管理清单(负面清单)( 2024版)5
中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)(以下简称“浙江2024版负面清单”)综合考虑数据出境必要性、数据出境规模等因素,首批制定涵盖 电子商务(企业对企业)、清结算 2个关键领域,包含重要数据、个人信息2类数据,涉及跨境电商平台、跨境电商商家、跨境支付、跨境物流及银行卡清算、会员权益服务、商务卡服务、全球收付款等8个具体场景,134个数据项。
其核心突破在于量化阈值分级管理:针对不同场景差异化设定出境安全评估阈值,例如跨境电商“商家入驻场景”敏感个人信息阈值提升至200万人,清结算领域非敏感个人信息免申报阈值放宽至50万人,显著降低企业合规成本。通过建立“先用后报”机制(允许企业先行出境数据并在15日内补报)、线上线下一体化服务中心(备案审核压缩至5个工作日)。
《浙江2024版负面清单》明确 与其他各地负面清单互认互用,其他自贸区正式发布的数据出境负面清单,浙江自贸试验区可参照执行。
(五)海南自由贸易港数据出境管理清单(负面清单)( 2024年版)6
《海南自由贸易港数据出境管理清单(负面清单)(2024年版)》(以下简称为“海南2024版负面清单”)聚焦国家战略与特色产业,围绕海南“三区一中心”战略定位,清单以 深海、航天、种业、旅游、免税商品零售五大领域为核心,覆盖30项数据子类及14个业务场景。例如:深海领域:管控海底矿产资源分布数据、海洋环境监测数据等,涉及勘探调查、科研合作等场景。航天领域:明确卫星遥感影像数据、国际合作中的商业航天数据(如无人驾驶航空器适航审定数据)。种业领域:覆盖种质资源数据、生物育种技术数据等全链条信息,保障农业“芯片”安全。旅游与免税:细化免税商品物流数据、顾客身份核验影像、购物全流程监控数据等。
海南特色在于“战略产业+国际规则”双对标:一方面精准匹配自贸港产业需求(如免税场景仅管控经济运行核心数据),另一方面对接CPTPP、RCEP等国际规则,探索商业航天国际合作数据出境路径。
三、中国(福建)自由贸易试验区
(一)平潭自贸片区发布跨境流动 “一般数据 ”清单7
目前福建省未出台数据跨境流动负面清单,仅中国(福建)自由贸易试验区平潭片区发布数据跨境流动一般数据清单(试行)(以下简称“平潭一般数据清单”)。
福建自贸区平潭片区以“两岸共同市场”建设为核心,聚焦 跨境旅游、跨境电商、国际航运、跨境直播四大领域,于2024年9月发布全国首个自贸区“一般数据清单”,覆盖4个行业15个应用场景。其中跨境旅游行业包括推广宣传、目的地服务、出行服务、金融服务等场景;跨境电商行业包括商品和订单管理、供应链物流管理、售后和客服管理、统计分析管理等场景;国际航运行业包括船舶与船队管理、全球航运物流链管理、船舶建造维修买卖租赁等场景;跨境直播行业包括内容信息、商品交易、售后服务、数据分析等场景。
其核心突破在于“清单+豁免”机制:明确清单内数据(如不涉及个人信息或重要数据的一般业务数据)可免于安全评估、标准合同等流程,仅需通过平潭自贸片区风险评估备案即可出境。
(二)厦门自贸片区正酝酿出台负面清单
经了解,厦门自贸片区航空维修领域负面清单已经省委网信委研究通过并报国家网信办、国家数据局备案,具体内容等官方正式公布的文件。
航空维修活动覆盖机务放行、定检与大修、适航工程、航材供应链、设施 IoT 运维、人员培训与经营管理等完整生命周期,相应会沉淀电子航行日志、维护工卡、NDT 图像、健康监测数据(ACMS/QAR/DFDR)、航材溯源与物流轨迹、机库与特种设备监控信息,以及大量维修人员执照与工时记录等多维数据。其中,完整飞行记录、发动机源代码、机体裂纹数据库等属于可能危及飞行或国防安全的核心数据;反映大型机场航班故障趋势、MRO 产能分布、关键零件进口依赖度的聚合数据,以及一年内≥1万条维修人员敏感信息,均落入重要数据或敏感个人信息范畴,原则上应纳入负面清单严格管理。
四、结语
随着《促进和规范数据跨境流动规定》的深入落实,中国各自由贸易试验区在数据出境管理方面积极探索、因地制宜,逐步形成了具有区域特色、制度创新和国际对接导向的“负面清单”管理体系。这一制度不仅提升了企业数据合规出境的可操作性与确定性,也为我国跨境数据流动监管提供了可复制、可推广的经验样板。
从北京的场景化识别和字段级精细管理,到上海的“先用后报”机制与阈值突破;从天津的对标国际规则探索,到浙江和海南对重点产业的差异化引导,再到福建平潭的一般数据清单和厦门即将推出的航空维修领域清单——多地正逐步构建起与国家数据分类分级体系相衔接、同时又符合本地特色和产业需求的管理范式。
对于企业而言,深入理解所在自贸区的负面清单逻辑、政策重点及备案流程,已成为提升跨境数据合规能力、把握出海新机遇的关键步骤。随着各地制度的持续完善与互认机制的推进,一个更加开放、透明、便利的数据跨境流动环境正逐步形成。
Footnotes
1. 《促进和规范数据跨境流动规定》第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
2. 中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)于2024年8月30日发布。
3. 中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024 版)于2025年2月8日发布。
4. 中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)于2024年5月9日发布。
5. 中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)于2025年4月10日发布。
6. 海南自由贸易港数据出境管理清单(负面清单)(2024年版)于2025年2月20日发布。
7. 中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)于2024年8月26日发布。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
