上海发布数据出境负面清单，涉及84个数据项

2月8日，上海市网信办、上海市数据局、上海市发改委、上海自贸试验区管委会和临港新片区管委会共同发布了《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》（以下简称《管理办法》）、《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》（以下简称“负面清单”）和《中国（上海）自由贸易试验区及临港新片区数据出境负面清单实施指南（试行）》（以下简称《实施指南》）。《管理办法》自2月8日起施行。

2024年3月22日，国家网信办发布了《促进和规范数据跨境流动规定》，其中第六条明确，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

《管理办法》和负面清单的发布，旨在落实《促进和规范数据跨境流动规定》的相关内容，在保障国家数据安全，保护个人信息权益的前提下，进一步促进和规范数据依法有序出境，全面对接国际高标准经贸准则，打造国家制度型开放示范区。此举标志着上海市在数据跨境流动便利化服务创新改革方面迈出重要一步，有力推动上海市高水平开放和高质量发展。

一、《管理办法》与负面清单解读

（一）与临港新片区《数据跨境场景化一般数据清单》的联系

2024年2月8日，临港新片区管委会发布了《临港新片区数据跨境流动分类分级管理办法（试行）》，该办法将跨境数据分级从高到低依次为核心数据、重要数据和一般数据，并明确：核心数据禁止跨境；重要数据需要形成重要数据目录，经过安全评估后出境；一般数据需要形成一般数据清单，经登记备案后在满足相关管理要求下可自由流动。

同年5月，临港新片区发布了首批数据跨境一般数据清单，包含智能网联汽车、公募基金、生物医药等三个领域。临港新片区试行一般数据清单（“正面清单”）制度，是在负面清单尚未公布前对于数据跨境流动机制的一种探索和尝试，颗粒度细、操作性强的正面清单可积累更多的场景案例，对企业而言更利于对标操作，对政策制定者而言，公布正面清单并不断更新场景有助于为发布合理、有依据、可操作的负面清单积累经验。

无论是正面清单还是负面清单，逻辑和目的都是相同的：逻辑是以企业数据出境场景化为出入口，目的都是评估数据出境行为产生的风险以评判是否允许数据跨境流动。

（二）《管理办法》和负面清单的适用主体

《管理办法》明确，适用负面清单的数据处理者应同时满足：

（1）在上海自贸试验区及临港新片区内注册；

（2）在上海自贸试验区及临港新片区内开展数据出境活动。

但同时应当注意的是，关键信息基础设施运营者（以下简称“关基运营者”）作为一类特殊的数据处理者，《促进和规范数据跨境流动规定》第七条要求其应当遵守更加严格的数据出境管理规定，自贸试验区数据出境负面清单制度作为一项简化数据出境合规要求的制度，关基运营者并不适用，这一点也在负面清单的说明中予以明确。

（三）负面清单的优先效力

《管理办法》明确，负面清单具备优先于行业、领域所发布的操作指引的效力。上海自贸试验区及临港新片区内注册且在区内开展数据出境活动的数据处理者，如其所在行业、领域已发布数据出境操作指引，其中内容与负面清单不一致的，以负面清单为准。但《管理办法》同时指出，国家法律法规对数据出境另有规定的，需依照法律法规的规定执行。

（四）负面清单落实情况的安全监管

针对负面清单实施后的数据出境活动的安全监管问题，《管理办法》明确：

（1）定期抽查和双随机检查：市网信办、市数据局将联合上海自贸试验区管委会、临港新片区管委会、各市级行业主管部门会同职能部门通过定期检查和双随机抽查等方式，对负面清单的落实情况和上海自贸试验区及临港新片区内数据处理者的数据出境活动进行监督检查；

（2）定期检查评估：市级管理部门联合各市级行业主管监管部门定期对上海自贸试验区及临港新片区数据处理者落实《管理办法》要求情况进行检查评估。发现数据处理活动存在较大安全风险的，应当立即采取补救措施，消除隐患，对影响或可能影响国家安全的出境数据，及时更新纳入负面清单。

（五）负面清单的内容

本次发布的负面清单涵盖金融（再保险）、航运（国际航运）和商贸（零售与餐饮业、住宿业）3个领域，包括重要数据、个人信息2类数据，涉及6个具体场景，84个数据项。

在上海自贸试验区及临港新片区注册的数据处理者，属于已公布负面清单的行业、领域，向境外提供负面清单外的数据可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

作者将负面清单的行业领域、数据类别、场景、个人信息数量及企业数据出境合规义务等总结如下：

从以上归纳可以看出，此次负面清单相较于《促进和规范数据跨境流动规定》，在多个场景下，结合《网络数据安全管理条例》的新规定和特定行业场景特殊性，对个人信息量级进行了突破，此举有助于在风险可控的前提下，有效降低企业数据出境的合规成本。

此外值得注意的是，相关主管机关将会根据负面清单实际执行情况对其进行更新，如发现数据处理活动存在较大风险，对影响或可能影响国家安全的出境数据，会及时更新纳入负面清单。

在参照执行的范围上，如负面清单和操作指引未涉及的行业、领域数据，按照《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规、规章规定执行。其他自贸试验区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行。

二、自贸试验区内企业应如何使用负面清单并进行报备

（一）数据处理者应开展数据分类分级与重要数据识别、申报

自由贸易区数据出境负面清单制度，是在国家数据分类分级保护制度框架下开展的。上海市有关部门将根据《数据安全法》及相关法律、法规和规定，按照相关重要数据识别标准，组织行业数据处理者开展数据分类分级和重要数据目录备案，形成上海自贸试验区及临港新片区重要数据目录。

数据处理者应按照相关规定识别、申报重要数据。未被各市级行业主管监管部门，上海自贸试验区管委会、临港新片区管委会告知或公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

（二）数据处理者的报备义务

《管理办法》指出，使用负面清单开展数据出境活动的数据处理者，应按照所属区域及时向上海自贸试验区管委会、临港新片区管委会报告数据出境情况。《实施指南》进一步明确了数据处理者开展负面清单使用及数据出境情况报备的期限、对象、材料、流程等。

• 报备期限：数据处理者按照负面清单开展数据出境活动，应在使用负面清单开展出境活动之日起15个工作日内及时报备。有特殊情况无法及时报备的，须向所在自贸区管委会说明延期报备理由，经同意后可延期报备；
• 报备对象：上海自贸试验区管委会、临港新片区管委会。材料递交对象为所在地数据跨境服务中心（保税区、陆家嘴、金桥、张江、世博和临港新片区数据跨境服务中心）；
• 报备材料：包括统一社会信用代码证件、法定代表人身份证件、经办人身份证件（以上材料为影印件加盖公章），经办人授权委托书、数据出境负面清单使用情况说明、承诺书（以上材料使用中文填写）；
• 报备流程：管委会接收材料后，初步核验并报市网信办和市数据局。如核验通过，将在收到材料之日起15个工作日内向数据处理者反馈；如未通过核验，将在收到材料之日起15个工作日内通知数据处理者整改。数据处理者需继续开展数据出境活动的，按照《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行。

图为《实施指南》附件3：《数据出境负面清单使用情况说明（模板）》

参考资料：

[1]  方芳：《数据跨境流动机制探索的“临港路径”》，《文汇报》2024年6月30日第7版

[2]  王佳雯、刘境棠：《临港新片区数据跨境场景化一般数据清单解读》，“赛博研究院”微信公众号

（原标题：三大领域企业迎数据出境利好，上海发布数据出境负面清单，涉及84个数据项）

来源：赛博研究院

作者：

• 刘能斌，赛博研究院咨询顾问&研究员
• 施东奇，赛博研究院咨询总监