2025年2月8日，上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、中国（上海）自由贸易试验区管委会、中国（上海）自由贸易试验区临港新片区管委会联合公布了《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》（以下简称“《管理办法》”）《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》（以下简称“《负面清单》”），以及《中国（上海）自由贸易试验区及临港新片区数据出境负面清单实施指南（试行）》（以下简称“《实施指南》”）。

前述三份文件（以下简称为“负面清单制度”）明确了上海自由贸易试验区（以下简称“上海自贸试验区”）及临港新片区实施数据出境负面清单制度的具体安排，该负面清单制度涉及再保险、国际航运和商贸（零售与餐饮业、住宿业）3个领域，包括重要数据、个人信息2个数据类别，涉及6个具体场景、84个数据项。本文将结合制度出台的背景，对其内容进行介绍和解读。

自2017年以来，随着《网络安全法》《数据安全法》《个人信息保护法》的实施，以及《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》的相继出台，我国已建立以数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证三条合规路径为核心的数据出境监管体系。

为优化数据出境的监管要求、减少企业在数据出境活动中的合规压力并有序促进数据跨境流动，2024年3月22日，国家互联网信息办公室发布了《促进和规范数据跨境流动规定》（以下简称为“跨境流动新规”）。该规定放宽了数据出境的监管要求，明确了数据出境安全评估、个人信息出境标准合同和个人信息保护认证的新的适用标准及豁免条件。其中，《跨境流动新规》第六条明确了自由贸易试验区负面清单制度，允许自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

《跨境流动新规》施行后，2024年5月9日，中国（天津）自由贸易试验区管理委员会、天津市商务局联合发布了全国第一个自由贸易试验区数据出境管理负面清单——《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，将需要纳入负面清单的出境数据分为13大类46子类，每个子类均对数据基本特征做出详细描述，并给出具体示例。2024年8月30日，北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会同有关部门制定发布了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，首批选取汽车、医药、零售、民航、人工智能5个领域，详细列举23个业务场景和198个具体字段列入负面清单，并明确主管部门将采取动态管理机制，未来将分行业、分领域、分批次推进负面清单制定工作。

（一）《负面清单》的适用对象

根据《管理办法》第二条以及《负面清单》的第二点说明，负面清单制度适用于在上海自贸试验区及临港新片区内注册且在上海自贸试验区及临港新片区内开展数据出境活动的数据处理者。具体而言，负面清单制度的适用对象需要满足以下条件：

（二）《负面清单》涵盖的领域

首批《负面清单》涉及再保险、国际航运、商贸（零售与餐饮业、住宿业）三个领域。《负面清单》以注释的形式详细定义了每一领域适用的相关场景，涉及的数据处理者等内容。

《负面清单》适用的再保险领域包括人身险再保险场景和财产险再保险场景。其中，人身险再保险场景是指对以人的寿命和身体为保险标的的原保单进行分入、分出的再保险业务；财产险再保险场景是指对以财产及其有关利益为保险标的的原保单进行分入、分出的再保险业务。

《负面清单》适用的再保险业务数据处理者包括再保险公司、保险公司以及保险经纪人等。

《负面清单》适用的国际航运领域包括国际及港澳台航运领域。国际航运场景仅包含运输和港口作业生产相关场景，具体包括水路运输服务和港口作业生产相关场景和船员管理场景。其中，水路运输服务和港口作业生产相关场景主要涉及重要数据处理；船员管理场景主要涉及个人信息处理。《负面清单》进一步明确船员管理场景是指出于国际海员服务、海员外派等目的，结合各国出入境管理要求，船舶公司进行国际航运前对船员进行身份鉴别、资质审核等相关操作的场景。

《负面清单》适用的航运领域数据处理者包括港口经营公司、船务公司、货运代理公司、船舶运输公司、航运数字化公司、第三方商业服务平台、数据服务平台等。

《负面清单》适用于商贸领域零售与餐饮业、住宿业中会员管理等场景。会员管理场景是指过收集和分析顾客信息，提供个性化服务和优惠，以增强顾客忠诚度的一种管理活动。

《负面清单》适用的商贸领域零售与餐饮业、住宿业数据处理者包括面向消费者的零售企业、餐饮企业、住宿企业等。

本次《负面清单》涵盖的三个领域中，再保险领域与国际航运领域均为之前已发布的其他自贸区数据出境负面清单未涉及的领域。此外，在负面清单形式方面，本次《负面清单》将“场景名称”前置单列，并以注释形式对具体场景进行解释说明，便于企业直接对应场景并进行适用[2]。

（三）《负面清单》涉及的重要数据

根据《数据出境安全评估办法》等法律规定，企业向境外提供重要数据需通过数据出境安全评估。实践中如何判断自身是否处理重要数据往往是企业面临的首要问题。

《管理办法》在“数据出境促进措施”部分明确提出，上海市级管理部门及各市级行业主管监管部门依法组织行业数据处理者开展数据分类分级和重要数据目录备案，形成上海自贸试验区及临港新片区重要数据目录，并按程序向国家数据安全工作协调机制办公室备案[3]。

《管理办法》进一步规定数据处理者应当按照相关规定识别、申报重要数据。未被各市级行业主管监管部门，上海自贸试验区管委会、临港新片区管委会告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估[4]。

本次《负面清单》在再保险领域、国际航运领域对重要数据进一步细化，帮助企业准确识别重要数据，具体内容请见如下表格：

《负面清单》明确，再保险领域重要数据仅涉及人身险再保险场景、财产险再保险场景；国际航运领域重要数据仅涉及水路运输服务和港口作业生产相关场景。国际航运领域涉及国家自然资源、基础地理信息等影响国家安全的核心数据不在允许数据跨境流动范围之内。

《负面清单》在再保险领域与国际航运领域明确的重要数据特征与描述已较为细致。例如，在港口日常生产经营中的港口运营数据这一子类中，《负面清单》将港区作业数据、港口服务数据、港口物流数据及其他港口运营过程中产生的视频、音频、文档等半结构化、非结构化数据定性为重要数据，并排除装卸船、进出道口作业状态外的数据。

在再保险领域，《负面清单》在明确三类重要数据子类外，同时将行业领域主管（监管）部门评估确定的重要数据涵盖在《负面清单》的重要数据范围内，与行业主管部门告知、公开发布的重要数据相衔接。

（四）《负面清单》涉及的个人信息

企业向境外提供个人信息（含敏感个人信息）时，需要综合判断个人信息出境情况，选择适用的跨境审批程序（包括数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证）。此时，企业需要解决如何识别一般性个人信息与敏感个人信息、如何计算个人信息标准等问题。《负面清单》对前述问题均进行了回应，明确再保险领域、国际航运领域、商贸领域（零售与餐饮业、住宿业）个人信息与敏感个人信息的典型字段以及个人信息数量的计算方法。

相较于《跨境流动新规》及之前已发布的其他自贸区数据出境负面清单，本次《负面清单》在适用数据出境安全评估或个人信息出境标准合同备案、个人信息保护认证的个人信息量级进行了突破，在风险可控前提下，将有效降低企业数据出境合规成本[5]，具体内容请见如下表格：

《负面清单》明确了再保险领域（包括人身险再保险场景和财产险再保险场景）常见的一般个人信息和敏感个人信息类型，并将适用于数据出境安全评估的一般个人信息量级规定为1000万人以上；敏感个人信息量级规定为100万人以上。敏感个人信息的量级标准相较于《跨境流动新规》的规定进行了大幅的提高。此外，《负面清单》豁免了再保险领域100万人以下上述一般个人信息或1万人以下上述敏感个人信息通过跨境审批程序的要求。

需特别注意的是，《负面清单》要求适用负面清单制度出境的再保险领域一般个人信息为去标识化后的姓名、性别等个人信息，这是本次《负面清单》针对再保险领域一般个人信息出境的特殊规定。

《负面清单》放宽的国际航运领域个人信息跨境活动仅针对船员管理场景。结合船员管理场景的个人信息出境实践，《负面清单》规定企业向境外提供100万人以上的上述船员一般个人信息或向境外提供15万人以上的上述船员敏感个人信息需通过数据出境安全评估，向境外提供上述船员一般本人信息不满10万人或船员敏感个人信息不满1万人的可以豁免跨境审批。此外，《负面清单》区分海员证号码、适任证书编号为船员敏感个人信息，相关证件的有效期、签发日期、签发机关、签发国代码、持证人签名信息为船员一般个人信息。

《负面清单》对商贸领域（零售与餐饮业、住宿业）会员管理场景的一般个人信息字段和敏感个人信息字段进行了详细列举，便于企业对照该清单判断自身数据跨境活动能否适用于《负面清单》。在适用负面清单制度的情况下，企业向境外提供1000万人以上的上述一般个人信息或100万人以上的上述敏感个人信息需进行数据出境安全评估；企业向境外提供不满100万人上述一般个人信息或不满10万人上述敏感个人信息的可以豁免跨境审批程序。

此外，《负面清单》在放宽商贸领域（零售与餐饮业、住宿业）会员管理场景下企业向境外提供个人信息的量级要求的同时，对特定一般个人信息及敏感个人信息字段的处理目的、内容等方面提出了更为细致的要求，具体包括：

《负面清单》同时明确了个人信息数量的计算标准：以自然人为单位去重后的统计结果为准，属于《跨境流动新规》明确的豁免情形（不包括关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）这一豁免情形），不计入累计数量。

《负面清单》规定，除上述三个领域在具体场景中明确的一般个人信息及敏感个人信息外，相关领域的其他个人信息及敏感个人信息出境仍需按照目前《跨境流动新规》明确的跨境审批量级标准进行跨境审批程序申报。

（一）参照其他自贸区负面清单

《管理办法》第二十条规定，其他自贸区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行。如前所述，目前中国（北京）自由贸易试验区、中国（天津）自由贸易试验区等已正式发布自贸区数据出境负面清单。

其中，北京自贸区数据出境负面清单涉及汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据五个领域；天津自贸区数据出境负面清单涉及战略物资和大宗商品类、自然资源和环境类、工业类、金融类、统计类、通信传播类、住房建设类、交通运输类、公共卫生类、互联网服务和电子商务类、科学技术类、个人信息共13个数据类别。

（二）对接国际条约

2023年底，国务院印发《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》，支持上海自贸实验区及临港新片区对接国际高标准经贸规则，打造国家制度型开放示范区。

《管理办法》规定，数据处理者开展数据出境活动，我国缔结或者参加的国际条约、协定与国内法律法规有不同规定的，适用该国际条约、协定，但我国声明保留的条款除外。该办法进一步明确，支持对接国际高标准经贸规则推进数据出境便利化发展，开展国际高标准经贸规则数据出境相关条款压力测试，探索与更高水平开放相适应的数据出境安全风险防范体系。

2025年，我国将继续积极推进加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》（DEPA）的进程，扩大面向全球的高标准自贸区网络[6]。数据跨境流动正是上述国际协定谈判和高水平制度开放的核心内容之一[7]。《管理办法》的前述规定体现了上海自贸实验区及临港新片区对接国际高标准经贸规定的具体举措。

（三）与出口管制制度的衔接

根据《管理办法》，《负面清单》和操作指引所涉及的行业、领域中，如涉及《出口管制法》规定的管制物项相关技术资料或《对外贸易法》规定的技术出口管理事项等数据出境的，按照《出口管制法》《对外贸易法》等法律法规、规章规定执行。

（一）如何报备负面清单以及与标准合同备案、安全评估的衔接

落入《负面清单》开展数据出境活动的企业，应在使用《负面清单》开展数据出境活动之日起15个工作日向所在地的数据跨境服务中心提交相关材料报备数据出境情况。上海自贸试验区及临港新片区管委会对材料进行初步核验，并报上海网信办及数据局，核验结果将在相关部门收到材料后15个工作日内反馈。若核验不通过，相关部门在收到材料之日起15个工作日内通知数据处理者进行整改，数据处理者需要继续开展数据出境活动的，按照《数据出境安全评估办法》《个人信息出境标准合同办法》《跨境流动新规》等国家相关规定执行。

在企业通过了负面清单报备后，若发生特定终止情形，则经上海自贸试验区及临港新片区管委会确认后将告知企业终止使用负面清单开展数据出境活动。后续企业须按照《数据出境安全评估办法》《个人信息出境标准合同办法》《跨境流动新规》等其他规定方可继续开展数据出境活动。前述终止情形包括：

（1）企业受到相关部门处罚；

（2）注册地迁出上海自贸试验区及临港新片区；

（3）数据出境情况发生重大变化等情况；

（4）其他情况不再符合负面清单管理要求的情形。

需要注意的是，通过《负面清单》报备的数据出境活动，适用简化的数据出境申报流程和要求，但仍然需要根据《个人信息保护法》就个人信息出境获得个人单独同意、开展个人信息保护影响评估，并采取必要措施等。

此外，《管理办法》规定，如相关行业、领域已发布操作指引，有出境需求的数据处理者可按照操作指引开展数据出境活动。操作指引与负面清单不一致的地方，以负面清单为准。

（二）报备负面清单需要提交什么申报材料？

从申报材料的要求来看，与标准合同备案、数据出境安全评估相比，负面清单的申报材料大幅简化，除了公司及经办人相关证件、授权委托书、承诺书等常规文件外，企业需要额外准备的文件仅为《数据出境负面清单使用情况说明》（“《使用情况说明》”）。

《使用情况说明》中需要描述企业近两年受到行政处罚和监管调查及整改情况，并根据数据出境场景分别填写具体的业务场景、数据类型、内容描述及示例、数据数量、境外接收方情况，并列明适用负面清单的依据、出境情形。

（三）负面清单的配套措施与后续发展

为了确保负面清单的有效实施和持续监督，上海市网信办、上海市数据局将与上海自贸实验区及临港新片区管委会、各市级行业主管监管部门紧密合作，共同构建全方位的监督检查体系。通过定期检查和双随机抽查等方式，对负面清单的落实情况以及上海自贸试验区及临港新片区内数据处理者的数据出境活动进行严格监督。这一配套措施不仅体现了管理部门对数据出境活动的高度重视，也为后续的规范发展和持续优化奠定了坚实基础。可以预见，随着负面清单管理的不断深化和细化，上海自贸试验区及临港新片区的数据出境活动将更加规范、高效，为数字经济的健康发展提供有力保障。