新闻中心

NEWS CENTER

首页

视点｜从《中国（天津）自由贸易试验区数据出境管理清单（负面清单）》理解数据合规的基础概念

Published:

2024-06-03

2024年5月9日，天津市率先按照国家网信办《促进和规范数据跨境流动规定》文件精神制定了《促进和规范数据跨境流动规定》，这是我国第一份自贸试验区数据出境负面清单，内容充分体现了“为企业数据依法有序高效出境提供便利”的数据统筹治理初衷，是一次数据合规领域重要且有益的制度探索，清单内涵丰富，有助于从业人员提升对我国数据合规领域理论与实务的融会贯通和理解落实。

一、负面清单的发布背景与依据

依据《网络安全法》第37条、《数据安全法》第31条，以及《数据出境安全评估办法》第4条的规定，数据处理者向境外提供中华人民共和国境内收集和产生的重要数据，应当通过国家网信部门组织的数据出境安全评估。而根据公开渠道查询结果，截至2023年底，成功通过数据出境申报（国家网信部门“审批”或“备案”）的企业仅有29家，与国家网信办和各地省级网信办已受理的千余件申报相比，数据出境申报通过率仅为百分之一二。数据出境安全评估严格的申报流程与数据经济蓬勃发展、数据跨境流通的迫切需求形成一定对比，亟需在数据出境安全管理基本法律框架的基础上，通过行政规范，在实施层面构建更为具体、利于实施的制度保障，首先需要解决的就是，对于包括重要数据在内的需要纳入数据出境安全评估的数据范围构建明确清单。

在此背景下，2023年7月25日，国务院印发《关于进一步优化外商投资环境加大吸引外商投资力度的意见》，支持北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单。2024年3月22日，国家网信办发布《促进和规范数据跨境流动规定》，提出自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单）。以上文件为天津市商务局、中国（天津）自由贸易试验区管委会2024年5月9日率先联合发布《中国（天津）自由贸易试验区数据出境管理清单（负面清单）》（简称“《负面清单》”）提供了政策遵循的依据。

二、解读《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》

1.《负面清单》的意义

《负面清单》作为数据出境管理领域的首部执行层面具体规定，可以称得上填补了这一领域的制度空白，对于有效解决企业数据出境问题、助力培育国际经济合作和竞争新优势的制度建设开启了一个新的阶段。笔者认为，其核心意义，用该文件通知第一条“目的意义”中的一句话“为企业数据依法有序高效出境提供便利”足以蔽之——

所谓“依法”，是指文件严格落实了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律规章，统筹发展和安全，坚守国家数据安全底线。

所谓“有序”，是指文件的制定，充分考虑到了法律法规和国家行业主管部门对于数据分类分级的要求和个人信息规模与类型的标准。一方面，将国家行业主管部门或地方认定的重要数据纳入清单管理范围，确保符合国家相关数据出境管理要求。另一方面，围绕保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用，将达到规模、类型要求的个人信息出境纳入《负面清单》管理范围。

所谓“高效”，即该文件通过充分体现了自贸试验区先行先试政策优势，基于简明实用原则，探索形成了一套可操作、可落地、便于企业掌握和执行的数据跨境流动的便利化管理机制。

2.《负面清单》的主要内容

《负面清单》的主体内容实际上是一份11页的表格，内容仅包括两部分——

第一部分，列举了需要通过数据出境安全评估的十三项数据大类（战略物资和大宗商品类、自然资源和环境类等），每个大类又下设2至11项不等的数据子类（共计46子类），每个子类均对数据基本特征作出详细描述，并给出具体示例。

第二部分，则简洁明了地将需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单范围，限定为“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息（《促进和规范数据跨境流动规定》第三、四、五条规定的情形除外）”。

诚然，目前学界和实务界对于《负面清单》是否或能否全面覆盖应当进行数据出境安全评估的重要数据类型尚存一定争议，但笔者认为，金无足赤，更何况一部创新型的探索性文件，《负面清单》无疑是一次有利于启发“数据依法有序高效出境”的有益探索，而这或许才是《负面清单》的主要意义所在。也是因此，《负面清单》明确表示，在使用过程中出现的新情况、新问题，将由天津市网信办、市商务局、市数据局、天津自贸试验区管委会会同有关部门协商沟通，共同研究制定对策措施，并做好解释说明。同时，国家行业主管部门相关政策规定发生变化，《负面清单》内容与其不一致的，从其规定。

3.如何理解《负面清单》中的备注

《负面清单》中的备注是对其相应子类的补充说明，大致可分为3类：

一是免予管理备注，比如，自然资源和环境大类中的海洋子类的备注为“已由自然资源等相关部门公开发布的数据除外”，将行业领域主管部门已公开发布的数据免予纳入需要申报数据出境安全评估的数据清单，《负面清单》中大部分备注属于此类；

二是纳入管理备注，比如，自然资源和环境大类中的环保子类的备注为“已单项公开但未按照区域、行业统计整理后公开的数据纳入清单管理”，明确了需要纳入申报数据出境安全评估数据清单的特殊情形；

三是解释说明备注，比如，公共安全大类中的应急管理子类的备注为“‘一定精度’‘一定范围’‘一定规模’的具体要求以应急管理等相关部门发布的政策文件为准”，进一步解释说明了子类描述中较为笼统的概念。

4.免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境情形。

对天津自贸试验区的企业来说，以下七种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的。

二是在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的。

三是为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的。

四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的。

五是紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。

六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

七是向境外提供《负面清单》外的数据。其中，第三种至第七种条件所称向境外提供的个人信息，不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。

三、《负面清单》所涉数据合规领域基础概念辨析

1. 信息与数据

国家在2021年9月1日和2021年11月1日，几乎同步施行了《数据安全法》及《个人信息保护法》，与此前2017年6月1日施行的《网络安全法》构成了数据合规领域的三部基本法律，在相关规定的概念涵义中，既有“数据”又有“信息”，那么二者是何关系，能否混用呢？

笔者理解，正如将于2024年10月1日正式实施的国家标准GB/T 43697-2024《数据安全技术数据分级分类规则》中对于数据的定义——“任何以电子或其他方式对信息的记录”，数据是信息的载体，而信息则是数据的内涵和要传达的实质内容，二者互动互生，甚至互为本源，数据经过认知处理可以形成信息，同时信息汇集分析又会产生新层级的数据。

2. 重要数据

根据《数据出境安全评估办法》，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《数据安全法》规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

3. 个人信息、敏感个人信息

根据《个人信息保护法》，个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。关于个人信息和敏感个人信息的识别与区分，可以参考国家标准《信息安全技术个人信息安全规范》（GB/T 35273—2020）。

4.数据出境

根据国家网信办2024年3月22日发布的《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，数据出境行为包括以下情形：（一）数据处理者将在境内运营中收集和产生的数据传输至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

其中，应当申报数据出境安全评估（具体流程详见下图）的情形包括：（一）关键信息基础设施运营者向境外提供个人信息或者重要数据；（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的，从其规定。

明显可以看出，《负面清单》中“需要通过数据出境安全评估的数据清单”之第十三类（个人信息）和“需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单”部分与《数据出境安全评估申报指南（第二版）》中关于应当申报数据出境安全评估情形中的个人信息部分是吻合的，而《负面清单》的其余部分则是在对《数据出境安全评估申报指南（第二版）》中关于应当申报数据出境安全评估情形中的“重要数据”一词进行的列举式描述。

图片来源：企业数据合规官

五、《负面清单》的具体使用方法

根据《负面清单》规定的适用范围，天津自贸试验区内有数据出境需求的企业，应当对照《负面清单》识别其拟出境数据是否在清单范围内，在清单范围内的数据按照国家规定、根据实际情况申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，清单外数据可以自由跨境流动。比如，银行作为金融类企业，如需向境外某公司传输某些可能会威胁国家安全或者银行机构自身安全，或者100万以上客户安全的数据信息（例如：银行安保数据、重要企事业单位账户信息、贷款数据、交易数据等）时，应当纳入需要申报数据出境安全评估的数据清单管理，该信息出境应当申报数据出境安全评估。

申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统，网址：https://sjcj.cac.gov.cn。具体方式可以查看国家网信办公布的《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》。已经通过线下方式提交安全评估申报、标准合同备案材料的，不需要通过数据出境申报系统进行重新提交。

申请个人信息保护认证可以登录个人信息保护认证管理系统，网址：https://data.isccc.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的，采用线下方式申报数据出境安全评估。

附：《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》原文

中国（天津）自由贸易试验区数据

出境管理清单（负面清单）

（2024年版）

为促进中国（天津）自由贸易试验区（以下简称“天津自贸试验区”）企业数据依法有序跨境流动，推进高水平对外开放，更好服务加快构建新发展格局，制定《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》（以下简称《负面清单》）。

一、目的意义

落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律规章，对接国际高标准经贸规则，探索数字领域制度型开放，通过构建数据跨境流动管理新模式，为企业数据依法有序高效出境提供便利，有效提升营商环境和企业国际竞争力。

二、基本原则

1.坚持统筹兼顾。统筹发展和安全，坚守国家数据安全底线，在保障重要数据安全和维护个人信息权益的基础上，促进数据资源有序流动和开发利用，推动数字经济和数字贸易高质量发展。

2.坚持便捷合规。发挥天津自贸试验区先行先试政策优势，研究建立依法有序的数据跨境流动管理模式，探索形成数据跨境流动的便利化管理机制。

3.坚持简明实用。按照数据出境安全评估、个人信息出境标准合同、个人信息保护认证等国家数据出境管理制度要求，结合天津自贸试验区企业、机构数据出境的实际需求，制定可操作、可落地的《负面清单》，便于企业掌握和执行。

4.坚持动态调整。根据国家数据安全形势和天津自贸试验区企业主体、数据出境场景等变化，动态调整《负面清单》内容，实现保障安全与促进发展相统一。

三、适用范围

《负面清单》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸试验区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理，相关数据出境按照有关法律、法规和规定执行。

《负面清单》在使用过程中出现的新情况、新问题，由市网信办、市商务局、市数据局、天津自贸试验区管委会会同有关部门协商沟通，共同研究制定对策措施，并做好解释说明。国家行业主管部门相关政策规定发生变化，《负面清单》内容与其不一致的，从其规定。

四、主要考虑因素

1.落实数据分类分级管理要求。严格遵循法律法规和国家行业主管部门数据分类分级要求，国家行业主管部门或本市认定的重要数据纳入本清单管理，遵守国家相关数据出境管理要求。

2.加强个人信息保护。围绕保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用，将不同规模、不同类型个人信息出境纳入《负面清单》管理。

3.服务企业高质量发展。根据企业国际贸易、对外交流的数据出境需要，明确了出境数据管理的类别、基本特征与描述等内容，降低企业、机构数据出境合规成本，提升竞争力。

4.规范数据出境行为。加强天津自贸试验区数据出境安全风险监测能力建设，从机构队伍、技术手段等方面提升数据出境事中事后监管能力，及时发现处置违法违规数据出境行为。加强对天津自贸试验区数据出境政策制度标准的宣传解读，提升企业合规意识。

本清单将根据相关法律法规和本市实际需要进行适时修订。