国枫观察 | 负面清单新规，数据跨境新途—— 对各自贸区数据出境管理清单的梳理与解读

2025年4月10日，“网信浙江”公众号发布《中国（浙江）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，继天津、北京、上海、海南之后，成为公开发布的第五份自由贸易试验区数据出境管理负面清单。

作为我国数据合规出境常态化监管（即申报数据出境安全评估、通过个人信息保护认证、订立个人信息出境标准合同）的重要补充，自2024年5月天津发布中国境内第一份自由贸易试验区数据出境管理清单（以下简称“自贸区负面清单”）以来，带有各自地方特色的自贸区负面清单为促进和规范数据出境活动带来了别样活力。

《个保法》第三十八条规定了个人信息处理者向境外提供个人信息的四种合规路径，即申报数据出境安全评估、通过个人信息保护认证、订立个人信息出境标准合同以及其他法定路径。

作为《个保法》第三十八条规定的“其他法定路径”的重要代表，2024年3月22日发布的《促进和规范数据跨境流动规定》（以下简称“《322新规》”）对自贸区负面清单作出了明确规定，即自贸区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（即自贸区负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供自贸区负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

《322新规》实施后，“其他法定路径”中的自贸区负面清单受到了广泛关注。截至目前，共有五份自贸区负面清单正式公布施行：

截至目前，中国境内有20多个自由贸易试验区，另设有海南自由贸易港。依据商务部于2023年6月印发的《自贸试验区重点工作清单（2023-2025年）》，以及中共中央、国务院于2020年6月1日印发的《海南自由贸易港建设总体方案》，比对已公布的五份自贸区负面清单，可以发现大部分自贸区负面清单展现了自身任务重点，行业特色明显。

调整数据阈值从而豁免在自贸区外需履行的申报数据出境安全评估、通过个人信息保护认证、订立个人信息出境标准合同的法定义务，是自贸区负面清单的重要吸引力。

关于可以适用相关自贸区负面清单的数据处理者，各地存在差异。

从上表对比可以看出，《天津负面清单》在适用主体方面仅提及企业，而《上海负面清单》对于数据处理者主体登记注册以及数据跨境行为发生地均明确提出了在自贸区内的明确要求，《海南负面清单》则依据不同领域提出和列举了不同类型的清单适用主体，在具体适用特定地区的负面清单时需予关注。

后续发布的自贸区负面清单，或多或少借鉴了先前清单的优秀经验，同时发挥更丰富的智慧，新增灵活探索。例如，在负面清单展现形式上，《上海负面清单》通过特别列示“场景名称”（例如“人身险再保险场景”、“水路运输服务和港口作业生产相关场景”、“船员管理场景”、“会员管理场景”等），更便于企业在适用负面清单时正确理解和精准识别；再如，《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》明确规定“其他自贸区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行”，同样的，《中国（浙江）自由贸易试验区数据出境负面清单管理办法（试行）》亦明确规定“其他自由贸易试验区正式发布的负面清单，浙江自贸试验区可参照规定执行”。此类参考借鉴，获得了国家网信办的认可支持[6]。

不难发现，在大多数自贸区发布负面清单的同时或之前，会有关于数据分类分级的相关规范文件，天津有2024年2月发布的《中国（天津）自由贸易试验区企业数据分类分级标准规范》，北京有2024年8月发布的《中国（北京）自由贸易试验区数据分类分级参考规则》[7]，上海有2024年2月发布的《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》[8]，浙江有2025年4月发布的《中国（浙江）自由贸易试验区数据分类分级参考规则》[9]。原因很直接，因为数据出境监管的是“重要数据”和“达到特定要求的个人信息”（规模要求、敏感度要求等），而重要数据的识别是建立在数据分类分级的基础上，所以数据分类分级和重要数据的识别与申报，是落实数据合规出境的必要前提。

在《322新规》实施前，重要数据的出境申报给不少企业带来了困惑，也因此，《322新规》给出了解惑方案，即规定了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”。但重要数据的识别与申报是数据处理者的法定义务，不能豁免，这也促使各自贸区积极探索并公开发布相关重要数据的识别标准。

《中国（北京）自由贸易试验区数据分类分级参考规则》和《中国（浙江）自由贸易试验区数据分类分级参考规则》都提出了“重要数据统一识别参考规则”，给予数据处理者明确的数量规模指标，其中，《中国（北京）自由贸易试验区数据分类分级参考规则》规定区内企业掌握的1000万人以上个人信息（不含敏感个人信息）、100万人以上敏感个人信息、10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的敏感个人信息，或者被国家认定为关键信息基础设施的运营者掌握的10万人以上个人信息，系为重要数据；《中国（浙江）自由贸易试验区数据分类分级参考规则》规定区内企业掌握的1000 万人以上个人信息（不含敏感个人信息）、被国家认定为关键信息基础设施的运营者掌握的10 万人以上个人信息，系为重要数据。不同自贸区对重要数据识别认定方面存在数量规模差异。

在数据分类分级参考规则以外，一些自贸区负面清单亦在梳理特定行业或特定场景下提出了认定为“重要数据”的具体数值标准。例如《海南负面清单》在“卫星遥感数据合作应用场景”中，列出了“地面像元分辨优于0.5米（含）的全色数据；地面像元分辨率优于2米（含）的多光谱数据；光谱分辨率优于5纳米（含）且空间分辨率优于10米（含）的高光谱数据……”等具体数值，作为航天领域重要数据的判断依据；又如《北京负面清单》在“临床试验、药物研发、药物警戒、诊疗服务、医疗卫生专业人士管理场景”中，列出了“涉及10万人以上的病案、影像、病理、血液检测、基因检测等涉及人民群众生命健康和安全的医疗领域诊疗数据、10万人以上的电子病历数据库、健康档案数据库及上述数据挖掘分析的结果……”等具体数值，作为医药行业重要数据的衡量标准。这些清晰的数值，给数据处理者提供了明确的实施参考。

《322新规》实施已逾一年，第一份自贸区负面清单实施也已近一年。从国家互联网信息办公室官网发布的《<促进和规范数据跨境流动规定>实施一周年 数据出境安全管理工作取得积极成效》中可以看到，自贸区负面清单的发布实施，“对汽车、医药、零售、民航、再保险、深海业、种业等17个领域数据跨境流动发挥促进作用，部分在华企业已通过负面清单的模式实现高效便捷数据出境，数据出境负面清单制度实施初见成效”[10]。据悉，先前发布自贸区负面清单的相关地区，已着手后续批次负面清单的制定和申报，而其他尚未发布负面清单的相关地区，亦在积极探索形成具有自身特色的自贸区负面清单。特别期待自贸区负面清单能够不断展现地方智慧，持续拓展对外开放深度广度，为数据高效流动、数字经济发展注入强劲动能。