上海印發自由貿易試驗區數據出境負面清單管理辦法、負面清單（2024版）

2月8日，上海市互聯網信息辦公室、上海市數據局、上海市發展和改革委員會、中國（上海）自由貿易試驗區管委會、中國（上海）自由貿易試驗區臨港新片區管委會聯合公佈《中國（上海）自由貿易試驗區及臨港新片區數據出境負面清單管理辦法（試行）》（以下簡稱《管理辦法》）《中國（上海）自由貿易試驗區及臨港新片區數據出境管理清單（負面清單）（2024版）》（以下簡稱《負面清單》）。有關單位負責人就相關問題回答了記者提問。

問1：請介紹一下《負面清單》制定的背景和意義？

答：2024年3月22日，國家互聯網信息辦公室發佈《促進和規範數據跨境流動規定》，授權自貿區可自行制定數據出境負面清單。

爲保障國家數據安全，保護個人信息權益，進一步促進和規範數據依法有序出境，全面對接國際高標準經貿規則，打造國家制度型開放示範區，在上海市委市政府統籌領導和國家數據安全工作協調機制、國家互聯網信息辦公室、國家數據局等部門支持指導下，在上海市數據安全工作協調機制框架下，市網信辦、市數據局、市發展改革委、自貿試驗區管委會、臨港新片區管委會等部門組建數據跨境專班，聯合市委金融辦、市商務委、市交通委等行業主管監管部門研究編制《管理辦法》及《負面清單》，經國家數據安全工作協調機制和上海市委網信委批准，並報國家互聯網信息辦公室、國家數據局備案。這標誌着上海市在數據跨境流動便利化服務創新改革方面邁出重要一步，有力推動上海市高水平開放和高質量發展。

問2：《管理辦法》《負面清單》的主要內容是什麼？

答：本次發佈的《管理辦法》及《負面清單》，聚焦上海“五個中心”建設和三大先導產業，以解決企業實際問題爲導向，在充分論證和廣泛調研基礎上形成的。

《管理辦法》分爲總則、工作機制與職責、負面清單實施與管理、數據出境促進措施、監督管理、附則等六章21條，重點圍繞負面清單的制定流程、職責分工、適用範圍、安全監管等方面進行設計，是制定負面清單和開展日常監管的基本規範；《負面清單》綜合考慮行業主管監管部門要求、數據分類分級規則、數據敏感程度等因素，首批制定涵蓋金融（再保險）、航運（國際航運）和商貿（零售與餐飲業、住宿業）3個關鍵領域，包括重要數據、個人信息2類數據，涉及6個具體場景，84個數據項。

問3：如何理解《負面清單》的說明及註釋部分？

答：一是明確《負面清單》的適用範圍。二是定義《負面清單》涉及的數據處理者及數據類型。三是解釋說明《負面清單》包含的數據出境場景。

問4：上海此次出臺的負面清單及管理辦法，有哪些值得關注的特色亮點？

答：一是清單制式方面將“場景名稱”前置單列，就場景增加解釋說明，便於企業直接對應場景並適用。二是在金融、航運領域對重要數據進一步細化，幫助企業準確識別重要數據。三是相較於《促進和規範數據跨境流動規定》，個人信息量級進行了突破，在風險可控前提下，有效降低企業數據出境合規成本。四是清單使用方面不設置准入機制，減輕企業負擔。

問5：上海下一步將採取哪些舉措推動負面清單落地？

答：爲做好負面清單組織實施，統籌推進上海市數據出境服務管理，有效提升自貿區企業數據跨境流動便利度，將重點組織實施三項“服務措施”：一是統籌佈局上海數據跨境服務中心。在上海自貿試驗區的5個管理局（保稅區管理局、陸家嘴管理局、金橋管理局、張江管理局、世博管理局）設立數據跨境服務中心，聯合臨港新片區數據跨境服務中心，建立網格化政務服務，面向企業提供“一站式”服務。二是出臺服務指南。發佈《中國（上海）自由貿易試驗區及臨港新片區數據出境負面清單實施指南（試行）》，進一步向企業明確適用範圍、報備流程及方式、注意事項等。三是分地區、分行業組織開展政策宣講和企業輔導，提高政策措施的覆蓋面和觸達率。

問6：《負面清單》實施後，如何做好數據出境活動的安全監管？

答：《負面清單》統籌發展和安全，堅守國家數據安全底線，在保障重要數據安全和維護個人信息權益的基礎上，促進數據資源有序流動和開發利用，推動數字經濟和數字貿易高質量發展。上海各相關單位將重點做好以下幾方面工作：一是要求數據處理者履行數據安全保護義務，保障數據出境安全。發生數據出境安全事件或者發現數據出境安全風險增大的，向市網信辦、市數據局、市公安局、市國家安全局、自貿試驗區管委會、臨港新片區管委會報告。二是自貿試驗區管委會、臨港新片區管委會對負面清單落實情況和區內數據出境情況進行跟蹤監督，強化事前事中事後全鏈條全領域監管。

問7：上海自貿試驗區及臨港新片區的企業開展數據出境活動，哪些數據免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證？

答：主要有以下七種數據出境活動：

一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理後向境外提供，處理過程中沒有引入境內個人信息或者重要數據的。三是爲訂立、履行個人作爲一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的。五是緊急情況下爲保護自然人的生命健康和財產安全，確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。七是向境外提供《負面清單》外的數據。其中，第三種至第六種條件所稱向境外提供的個人信息，不包括被相關部門、地區告知或者公開發布爲重要數據的個人信息。

問8：《負面清單》未涉及行業、領域的數據處理者如何開展數據出境活動？

答：《負面清單》未涉及的行業、領域數據，按《網絡數據安全管理條例》《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規範數據跨境流動規定》等相關法律法規執行。

此外，上海將立足行業需求，持續開展調研摸排，瞭解數據跨境典型場景及實際需求，在更多行業領域推動制定第二批負面清單。

問9：如何理解《負面清單》和操作指引的關係？

答：如相關行業、領域已發佈操作指引，有出境需求的數據處理者可按照操作指引開展數據出境活動。操作指引與負面清單不一致的地方，以負面清單爲準。國家法律法規對數據出境另有規定的，依照其規定執行。

問10：如何理解其他自貿區正式發佈的負面清單與本次發佈的《負面清單》的關係？

答：其他自貿區正式發佈的數據出境負面清單，上海自貿試驗區及臨港新片區可參照執行。

來源：“網信上海”微信公衆號