当前位置： 首页 >  首页图片 > 四地数据出境监管政策研究

四地数据出境监管政策研究
作者：张继红     时间：2026-01-08

2024年3月22日，《促进和规范数据跨境流动规定》（以下简称《规定》）正式发布。根据《规定》，各个自贸试验区积极开展了“负面清单”制度探索，以天津、北京、上海、海南四地最为典型。

数据跨境流动是近年来数字经济领域的热点议题，与个人信息权益保护、数字产业发展以及国家数据主权与安全休戚相关。2024年3月22日，《促进和规范数据跨境流动规定》（以下简称《规定》）正式发布，其中第6条规定“自贸试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自贸试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。鉴于此，各个自贸试验区积极开展了“负面清单”制度探索，以天津、北京、上海、海南四地最为典型。

四地“负面清单”一览

天津市2024年5月推出全国首个省级自贸试验区数据出境管理负面清单，将纳入清单管理的出境数据分为战略物资和大宗商品类、自然资源和环境类、工业类、金融类、统计类、信息传播类、住房建设类、交通运输类、公共卫生类、公共安全类、互联网服务和电子商务类、科学技术类以及个人信息13大类46种数据子类。政策遵循“统筹兼顾、便捷合规、简明实用、动态调整”的基本原则，其创新点在于建立企业数据分类分级标准规范，每个子类对数据基本特征进行了描述并给出具体示例。

北京市2024年8月发布《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》，系全国首个场景化、字段级负面清单。该政策以“管得住、放得开、用得好”为目标，聚焦汽车、医药、零售、民航、人工智能五大重点领域，涵盖23个业务场景和198个具体字段。配套文件包括《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》及《北京市数据跨境流动便利化服务管理若干措施》，构建了“1+N”政策体系。其特点在于动态管理机制、精准量化个人信息阈值（适度降低申报门槛），通过北京数据跨境服务平台提供“一对一”数据出境安全评估问题咨询解答，快速响应企业诉求。

上海市2025年2月出台《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法》以及《负面清单（2024版）》，聚焦金融（再保险）、航运（国际航运）、商贸（零售与餐饮业、住宿业）三大关键领域，涵盖6个场景84个数据项。政策亮点包括：一是将“场景名称”前置单列，增加解释说明，便于企业直接适用。二是突破个人信息量级阈值（商贸领域敏感个人信息安全评估阈值从1万提升至100万）以及“先用后报”机制（15个工作日内备案），大大减轻了企业负担。三是上海探索各地区之间负面清单的互认互用机制，明确规定“其他自由贸易试验区正式发布的数据出境负面清单，上海自由贸易试验区及临港新片区可参照执行”。

海南省2025年2月公布《负面清单（2024版）》，重点服务深海、航天、种业、旅游和免税商品零售业务五大领域30项内容（其中重要数据10项、个人信息20项），具体覆盖14个业务场景。政策突出动态管理机制，结合海南自贸港特色产业需求，构建从资源勘探到经营管理的全链条数据治理体系，依托特色产业政策支持跨境电商、游戏出海等新兴业态。

“负面清单”与“正面清单”

《规定》将源于国际经贸领域的“负面清单”制度引入数据跨境流动管理体系。换言之，“负面清单”内的数据应遵守数据出境安全管理制度，即通过数据安全评估、标准合同备案或认证，而清单外的数据跨境流动理应受到鼓励和支持。然而，如何保障“负面清单”内的数据出境安全可控仍存在一定难度，毕竟每个行业的数据类型、性质、场景等千差万别，对国家安全、公共利益的影响也不尽相同。对此，天津采取“大清单”思路，结合国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）（以下简称《分类分级标准》）对自贸试验区内企业数据分类分级工作进行排查，采取后果分类法，即按照数据一旦被泄露、篡改、破坏、滥用后对国家安全、公共利益等产生的后果分类，辅之以具体示例；北京则采取“小清单”思路，结合特定行业、场景和目的进行数据特征的描述和细化，具体调整数量阈值的设定，并建立自贸组团反馈机制加以适时调整。

与“负面清单”对应，“正面清单”则明确了“哪些数据可以出境”，可操作性更强。为落实《上海市数据条例》“在临港新片区内探索制定低风险跨境流动数据目录”的规定（第69条），上海临港新片区于2024年5月17日公布数据跨境场景化一般数据清单及配套操作指南，即采用“正面清单+负面清单”管理模式，结合跨境场景细化至具体字段，形成可落地的一般数据清单，同步迭代拓展更多场景和领域，由此形成场景化、精细化的字段级负面清单，便利企业数据出境。首批一般数据清单包括智能网联汽车、公募基金、生物医药三个领域，涉及智能网联汽车跨国生产制造、医药临床试验和研发等11个场景，64个数据类别、600余个字段。“正面清单”释放出的“哪些数据可以出境”的信号更加强烈和清晰，为企业数据出境业务提供了具象化的指引。

事实上，无论采取“负面清单”还是“正面清单”管理模式，并无优劣之分，其背后的政策出发点都是为了给企业提供相对清晰、可操作性较强的行为指引，在数据安全管理框架内最大限度降低企业成本、提升数据出境效率。

“负面清单”与重要数据

进入“负面清单”的数据并不等同于重要数据。《中华人民共和国数据安全法》确立了数据分类分级保护制度，将数据分为一般数据、重要数据和核心数据。一旦被认定为重要数据，涉及出境场景需要进行数据安全评估，重要数据处理者要履行相比一般数据处理者更重的数据保护义务，如应建立常态化的数据安全管理机构、定期开展风险评估等，其成本将大大增加。而自贸试验区“负面清单”制度设计的初衷是为了便利数据跨境流动，并未将进入清单的数据类型与重要数据进行一一对应，仅列举哪些是需要开展数据安全评估、标准合同备案或认证的数据类型和应用场景。也就是说，重要数据出境一定需要安全评估，但列入“负面清单”的数据并不一定是重要数据，后者所涵盖的数据类型更为广泛（还包括达到一定量级的个人信息），是各自贸试验区根据行业发展需求评估后采取出境限制措施的监管对象。

“负面清单”与重要数据有着密切关联，重要数据的认定属于制定“负面清单”的必经程序。也就是说，各自贸试验区制定“负面清单”需要回应“哪些是重要数据”这一核心问题。虽然《分类分级标准》从技术层面明确了重要数据的识别规则，但多数行业主管部门尚未发布本行业重要数据目录。为帮助企业能够识别、判断是否为重要数据，四地通过“负面清单”管理方式对不同行业领域及具体场景的重要数据基本特征进行描述，以形成本区域内的重要数据目录。例如，《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》提供了13大类41种数据类型的重要数据识别参考规则以及统一识别参考规则，共同构成北京自贸试验区重要数据识别要求。这也是《规定》授权各自贸试验区制定“负面清单”的意义之所在——在国家层面尚未制定重要数据目录的背景下，由各自贸试验区探索形成本辖区内重要数据目录就是现阶段一个极其灵活且务实的方案。

（本文仅代表作者观点，不代表本刊立场；本文作者系上海政法学院教授、博士生导师）