政策解讀！一文讀懂自貿試驗區資料出境管理負面清單

5月9日，天津自貿試驗區管委會、天津市商務局聯合公布《中國（天津）自由貿易試驗區資料出境管理清單（負面清單）（2024年版）》（以下簡稱《負面清單》）。有關機關負責人就《負面清單》相關問題進行解讀。

問1：請介紹一下《負面清單》制定的背景和意義？

答：推動資料安全有序跨境流動是高水準對外開放的重要内容，也是目前全球經貿發展的熱點議題。大陸積極推動資料依法有序自由流動，相繼出台實施《網絡安全法》《資料安全法》《個人資訊保護法》，對資料出境活動作出明确規定。落實法律規定要求，先後公布《資料出境安全評估辦法》《個人資訊出境标準合同辦法》《關于實施個人資訊保護認證的公告》，基本建構了資料出境安全管理制度。2023年8月，國務院印發《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》，支援天津等地探索便利化的資料跨境流動安全管理機制。今年3月22日，國家網信辦公布《促進和規範資料跨境流動規定》，提出自貿試驗區在國家資料分類分級保護制度架構下，可以自行制定區内需要納入資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證管理範圍的資料清單（簡稱負面清單），按程式報批後實施。這為我們制定《負面清單》提供了政策遵循。

在國家網信辦、國家資料局等部委的大力支援和精心指導下，天津市委、市政府提前謀劃、超前部署資料跨境流動制度創新，着眼對接國際高标準經貿規則，打造市場化、法治化、國際化一流營商環境，履行天津自貿試驗區“為國家試制度”使命，探索具有天津特色的資料領域制度型開放路徑，天津自貿試驗區制定了《負面清單》，經市委網信委準許後，報國家網信辦、國家資料局備案同意，于5月9日正式公布，成為全國第一個自貿試驗區資料出境管理負面清單，為其他自貿試驗區提供了“天津經驗”、打造了“天津樣闆”，發揮了資料跨境流動政策創新開路先鋒的重要作用。

《負面清單》代表着更大範圍的對外開放。《負面清單》列明了天津自貿試驗區内企業開展資料出境活動的管理範圍，《負面清單》之外的資料可以自由跨境流動，與之相對的是“正面清單”，即隻有清單内的資料才可以自由跨境流動，本質上講，負面清單制度代表着更加開放的态度，也是對接CPTPP、DEPA等高标準國際經貿規則的積極探索。《負面清單》在劃出安全底線的前提下，有助于便利化企業資料跨境流動。近年來，随着各部委協同發力，大陸資料出境安全管理制度基本建立，但是企業在執行相關規定時仍然面臨一些不确定性，比如重要資料定義較為籠統、缺少具體識别标準等，企業難以判斷出境資料是否屬于重要資料。天津自貿試驗區在現有法律架構下制定實施《負面清單》，明确了包括重要資料在内的，需要納入資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證管理範圍的資料清單，填補了該領域制度空白，為有效解決企業資料出境難題、助力培育國際經濟合作和競争新優勢提供了制度保障。

問2：《負面清單》的主要内容是什麼？

答：《負面清單》主要包括以下幾部分内容：一是明确檔案制定的目的意義。二是确立堅持統籌兼顧、便捷合規、簡明實用、動态調整的基本原則。三是說明《負面清單》的适用範圍。《負面清單》列明了天津自貿區企業向境外提供資料需要申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證的情形。天津自貿區企業向境外提供《負面清單》外的資料免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證。涉及國家秘密的資料、核心資料、政務資料不納入《負面清單》管理，相關資料出境按照有關法律、法規和規定執行。四是提出《負面清單》主要考慮因素。要求落實資料分類分級管理要求、加強個人資訊保護、服務企業高品質發展、規範資料出境行為。五是明确需要納入管理的資料清單。在天津自貿試驗區企業資料分類分級的基礎上，将出境資料分為13大類46子類，每個子類均對資料基本特征作出較長的描述，并給出具體示例。

問3：《負面清單》中提到的資料出境包括哪些場景？

答：根據國家網信辦釋出的《資料出境安全評估申報指南（第二版）》和《個人資訊出境标準合同備案指南（第二版）》，資料出境行為包括：一是資料處理者将在境内營運中收集和産生的資料傳輸至境外。二是資料處理者收集和産生的資料存儲在境内，境外的機構、組織或者個人可以查詢、調取、下載下傳、導出。三是符合《個人資訊保護法》第三條第二款情形，在境外處理境内自然人個人資訊等其他資料處理活動。

問4：《負面清單》中提到的重要資料是什麼？

答：根據《資料出境安全評估辦法》，重要資料是指一旦遭到篡改、破壞、洩露或者非法擷取、非法利用等，可能危害國家安全、經濟運作、社會穩定、公共健康和安全等的資料。

《資料安全法》規定，國家資料安全工作協調機制統籌協調有關部門制定重要資料目錄，加強對重要資料的保護。各地區、各部門應當按照資料分類分級保護制度，确定本地區、本部門以及相關行業、領域的重要資料具體目錄，對列入目錄的資料進行重點保護。

問5：《負面清單》中提到的個人資訊、敏感個人資訊是什麼，如何區分？

答：根據《個人資訊保護法》，個人資訊是指以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種資訊，不包括匿名化處理後的資訊。匿名化，是指個人資訊經過處理無法識别特定自然人且不能複原的過程。敏感個人資訊，是指一旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人資訊，包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等資訊，以及不滿十四周歲未成年人的個人資訊。

關于個人資訊和敏感個人資訊的識别與區分，可以參考國家标準《資訊安全技術 個人資訊安全規範》（GB/T 35273—2020）。

問6：《負面清單》與日前國家網信辦出台的《促進和規範資料跨境流動規定》關系是什麼？

答：國家網信辦制定《促進和規範資料跨境流動規定》，對現有資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證等資料出境制度的實施和銜接作出進一步明确，适當放寬資料跨境流動條件，在保障國家資料安全的前提下，便利資料跨境流動，降低企業合規成本，充分釋放資料要素價值，擴大高水準對外開放，為數字經濟高品質發展提供法律保障。《負面清單》是《規定》制度架構下的地方實踐。一方面，《促進和規範資料跨境流動規定》為《負面清單》的制定出台提供了政策依據。另一方面，《負面清單》嚴格落實《規定》要求，《負面清單》劃定的天津自貿試驗區納入資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證管理的資料，已排除了《規定》中的豁免情形。即符合《規定》中免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證的資料，不納入《負面清單》管理。

問7：《負面清單》與《中國（天津）自由貿易試驗區企業資料分類分級标準規範》關系是什麼？

答：推動資料分類分級，是《資料安全法》的明确要求，也是促進和規範資料跨境流動的基礎性、先導性工作。前期，在國家資料分類分級架構下，我們結合天津自貿試驗區實際，制定出台了《中國（天津）自由貿易試驗區企業資料分類分級标準規範》，适用于天津自貿試驗區内企業在生産經營過程中産生、收集、存儲、傳輸和處理的資料的分類分級，将企業資料分成13大類40子類，從高到低分為核心、重要、一般3個級别，明确了重要資料的識别标準。

《标準規範》聚焦天津自貿試驗區企業資料的分類分級，不論企業相關資料是否出境，均需按照規定程式開展分類分級工作，而《負面清單》則是在天津自貿試驗區的企業有資料出境需求時使用。《負面清單》在《标準規範》基礎上，對各行業領域的需跨境流動的重要資料識别給出了更加詳細具體的識别标準，同時給出了示例，便于企業判斷。此外，《負面清單》提出，“國家行業主管部門或本市認定的重要資料，自動納入本清單管理”，是以依據《标準規範》識别确定的重要資料納入《負面清單》管理，在出境時需申報資料出境安全評估。

問8：天津自貿試驗區的企業如何使用《負面清單》？

答：根據《負面清單》的适用範圍，天津自貿試驗區内有資料出境需求的企業，應當對照《負面清單》識别其拟出境資料是否在清單範圍内，在清單範圍内的資料按照國家規定、根據實際情況申報資料出境安全評估、訂立個人資訊出境标準合同或通過個人資訊保護認證，清單外資料可以自由跨境流動。比如，化學工業領域某企業計劃向境外某公司傳輸某危化品的運輸路線規劃資訊，根據《負面清單》中工業類的化學工業子類資料基本特征與描述，該資訊應當納入需要申報資料出境安全評估的資料清單管理，該資訊出境應當申報資料出境安全評估。

問9：如何了解《負面清單》中需要申報資料出境安全評估的資料清單和需要訂立個人資訊出境标準合同、通過個人資訊保護認證的資料清單？

答：《促進和規範資料跨境流動規定》第七條明确了兩種應當申報資料出境安全評估的條件：一是關鍵資訊基礎設施營運者向境外提供個人資訊或者重要資料；二是關鍵資訊基礎設施營運者以外的資料處理者向境外提供重要資料，或者自當年1月1日起累計向境外提供100萬人以上個人資訊（不含敏感個人資訊）或者1萬人以上敏感個人資訊。屬于《規定》第三條、第四條、第五條、第六條規定情形的，從其規定。《負面清單》将《規定》第七條中涉及個人資訊的情形總結為第44、45兩項子類，将涉及重要資料的情形，結合天津自貿試驗區實際，細化為12大類43子類資料，符合其資料基本特征與描述的資料，按照重要資料管理，納入需要申報資料出境安全評估的資料清單。該清單中的資料出境，需要申報資料出境安全評估。

關于需要訂立個人資訊出境标準合同、通過個人資訊保護認證的資料清單，其内容表述與《規定》第八條一緻。該清單中的資料出境，需要訂立個人資訊出境标準合同或者通過個人資訊保護認證。

問10：如何了解《負面清單》中的備注？

答：《負面清單》中的備注是對其相應子類的補充說明，大緻可分為3類：一是免予管理備注，比如，氣象子類的備注為“已由氣象等相關部門公開釋出的資料除外”，将行業領域主管部門已公開釋出的資料免予納入需要申報資料出境安全評估的資料清單，《負面清單》中大部分備注屬于此類；二是納入管理備注，比如，環保子類的備注為“已單項公開但未按照區域、行業統計整理後公開的資料納入清單管理”，明确了需要納入申報資料出境安全評估資料清單的特殊情形；三是解釋說明備注，比如，應急管理子類的備注為“‘一定精度’‘一定範圍’‘一定規模’的具體要求以應急管理等相關部門釋出的政策檔案為準”，進一步解釋說明了子類描述中較為籠統的概念。

問11：天津自貿試驗區的企業開展資料出境活動，哪些資料免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證？

答：對天津自貿試驗區的企業來說，以下七種資料出境活動免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證：

一是國際貿易、跨境運輸、學術合作、跨國生産制造和市場營銷等活動中收集和産生的資料向境外提供，不包含個人資訊或者重要資料的。二是在境外收集和産生的個人資訊傳輸至境内處理後向境外提供，處理過程中沒有引入境内個人資訊或者重要資料的。三是為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境彙款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，确需向境外提供個人資訊的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，确需向境外提供員工個人資訊的。五是緊急情況下為保護自然人的生命健康和财産安全，确需向境外提供個人資訊的。六是關鍵資訊基礎設施營運者以外的資料處理者自當年1月1日起累計向境外提供不滿10萬人個人資訊（不含敏感個人資訊）的。七是向境外提供《負面清單》外的資料。其中，第三種至第七種條件所稱向境外提供的個人資訊，不包括被相關部門、地區告知或者公開釋出為重要資料的個人資訊。

問12：天津自貿試驗區的企業如何申報資料出境安全評估、備案個人資訊出境标準合同、申請個人資訊保護認證？

答：天津自貿試驗區的企業，與天津行政區域内其他資料處理者一樣，申報資料出境安全評估、備案個人資訊出境标準合同可以登入資料出境申報系統，網址：https://sjcj.cac.gov.cn。具體方式可以檢視國家網信辦公布的《資料出境安全評估申報指南（第二版）》和《個人資訊出境标準合同備案指南（第二版）》。已經通過線下方式送出安全評估申報、标準合同備案材料的，不需要通過資料出境申報系統進行重新送出。申請個人資訊保護認證可以登入個人資訊保護認證管理系統，網址：https://data.isccc.gov.cn。關鍵資訊基礎設施營運者或者其他不适合通過資料出境申報系統申報資料出境安全評估的，采用線下方式申報資料出境安全評估。天津市網際網路資訊辦公室開通了資料出境管理咨詢專線022-88355322，為資料處理者提供指導服務。

問13：評估、備案、認證過程中如何保障企業的商業秘密等合法權益？

答：《資料出境安全評估辦法》規定，參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隐私、個人資訊、商業秘密、保密商務資訊等資料應當依法予以保密，不得洩露或者非法向他人提供、非法使用。《個人資訊出境标準合同辦法》規定，網信部門及其從業人員對在履行職責中知悉的個人隐私、個人資訊、商業秘密、保密商務資訊等應當依法予以保密，不得洩露或者非法向他人提供、非法使用。《中華人民共和國認證認可條例》規定，從事認證認可活動的機構及其人員，對其所知悉的國家秘密和商業秘密負有保密義務。

問14：天津自貿試驗區将如何加強政策指導，保障企業資料跨境合規流動？

答：天津自貿試驗區将重點做好對政策的宣傳解讀和對企業的服務指導。一是提供便利化咨詢。通過設立資料跨境服務視窗、公布咨詢電話（022-66707689）、網絡互動等方式，全方位為企業提供問詢服務，使企業知曉、掌握政策，對企業遇到的典型問題加以梳理總結，以問答形式公布。二是做好精準化宣講。一方面廣泛宣傳政策，發動各個片區，通過媒體宣傳、政策宣講會、各類企業政策服務平台及政策服務應用APP等，多管道、多形式宣傳解讀政策，擴大政策宣傳覆寫面，提高中小企業政策知曉率；另一方面精準推送政策，針對前期我們調研走訪的重點行業和重點領域企業，通過專場政策推介會、上門服務等方式，結合業務進行詳細政策解讀，提供專業輔導。三是開展常态化服務。加強對招商、政務服務、商促等相關部門的政策教育訓練輔導，将資料跨境合規作為一項重要内容，融入到企業日常工作中，開展常态化服務。

問15：《負面清單》實施後，如何做好天津自貿試驗區資料出境活動的安全監管？

答：《負面清單》提出堅持統籌兼顧，統籌發展和安全，堅守國家資料安全底線，在保障重要資料安全和維護個人資訊權益的基礎上，促進資料資源有序流動和開發利用，推動數字經濟和數字貿易高品質發展。下一步，天津市各相關機關将重點做好以下幾方面工作：一是強化宣傳引導。通過多種形式深入企業，加強對天津自貿區資料出境政策制度的宣傳解讀，提升企業合規意識。二是做好服務指導。積極幫助指導企業做好資料出境安全評估申報、個人資訊出境标準合同備案、個人資訊保護認證等工作，提升事前合規監管能力，及時将問題隐患消滅在萌芽狀态。三是健全監管體系。加快建構資料出境事中事後監管體系，提升異常出境行業的監測預警能力，做好現場檢查抽查，及時發現處置違法違規資料出境行為，守牢資料安全底線。

點選【https://www.china-tjftz.gov.cn/contents/10806/282636.html】，檢視清單全文。

資訊來源：中國（天津）自由貿易試驗區管理委員會官網