上海印发自由贸易试验区数据出境负面清单管理办法、负面清单（2024版）

摘要： ...

2月8日，上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、中国（上海）自由贸易试验区管委会、中国（上海）自由贸易试验区临港新片区管委会联合公布《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》（以下简称《管理办法》）《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》（以下简称《负面清单》）。有关单位负责人就相关问题回答了记者提问。

问1：请介绍一下《负面清单》制定的背景和意义？

答：2024年3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》，授权自贸区可自行制定数据出境负面清单。

为保障国家数据安全，保护个人信息权益，进一步促进和规范数据依法有序出境，全面对接国际高标准经贸规则，打造国家制度型开放示范区，在上海市委市政府统筹领导和国家数据安全工作协调机制、国家互联网信息办公室、国家数据局等部门支持指导下，在上海市数据安全工作协调机制框架下，市网信办、市数据局、市发展改革委、自贸试验区管委会、临港新片区管委会等部门组建数据跨境专班，联合市委金融办、市商务委、市交通委等行业主管监管部门研究编制《管理办法》及《负面清单》，经国家数据安全工作协调机制和上海市委网信委批准，并报国家互联网信息办公室、国家数据局备案。这标志着上海市在数据跨境流动便利化服务创新改革方面迈出重要一步，有力推动上海市高水平开放和高质量发展。

问2：《管理办法》《负面清单》的主要内容是什么？

答：本次发布的《管理办法》及《负面清单》，聚焦上海“五个中心”建设和三大先导产业，以解决企业实际问题为导向，在充分论证和广泛调研基础上形成的。

《管理办法》分为总则、工作机制与职责、负面清单实施与管理、数据出境促进措施、监督管理、附则等六章21条，重点围绕负面清单的制定流程、职责分工、适用范围、安全监管等方面进行设计，是制定负面清单和开展日常监管的基本规范；《负面清单》综合考虑行业主管监管部门要求、数据分类分级规则、数据敏感程度等因素，首批制定涵盖金融（再保险）、航运（国际航运）和商贸（零售与餐饮业、住宿业）3个关键领域，包括重要数据、个人信息2类数据，涉及6个具体场景，84个数据项。

问3：如何理解《负面清单》的说明及注释部分？

答：一是明确《负面清单》的适用范围。二是定义《负面清单》涉及的数据处理者及数据类型。三是解释说明《负面清单》包含的数据出境场景。

问4：上海此次出台的负面清单及管理办法，有哪些值得关注的特色亮点？

答：一是清单制式方面将“场景名称”前置单列，就场景增加解释说明，便于企业直接对应场景并适用。二是在金融、航运领域对重要数据进一步细化，帮助企业准确识别重要数据。三是相较于《促进和规范数据跨境流动规定》，个人信息量级进行了突破，在风险可控前提下，有效降低企业数据出境合规成本。四是清单使用方面不设置准入机制，减轻企业负担。

问5：上海下一步将采取哪些举措推动负面清单落地？

答：为做好负面清单组织实施，统筹推进上海市数据出境服务管理，有效提升自贸区企业数据跨境流动便利度，将重点组织实施三项“服务措施”：一是统筹布局上海数据跨境服务中心。在上海自贸试验区的5个管理局（保税区管理局、陆家嘴管理局、金桥管理局、张江管理局、世博管理局）设立数据跨境服务中心，联合临港新片区数据跨境服务中心，建立网格化政务服务，面向企业提供“一站式”服务。二是出台服务指南。发布《中国（上海）自由贸易试验区及临港新片区数据出境负面清单实施指南（试行）》，进一步向企业明确适用范围、报备流程及方式、注意事项等。三是分地区、分行业组织开展政策宣讲和企业辅导，提高政策措施的覆盖面和触达率。

问6：《负面清单》实施后，如何做好数据出境活动的安全监管？

答：《负面清单》统筹发展和安全，坚守国家数据安全底线，在保障重要数据安全和维护个人信息权益的基础上，促进数据资源有序流动和开发利用，推动数字经济和数字贸易高质量发展。上海各相关单位将重点做好以下几方面工作：一是要求数据处理者履行数据安全保护义务，保障数据出境安全。发生数据出境安全事件或者发现数据出境安全风险增大的，向市网信办、市数据局、市公安局、市国家安全局、自贸试验区管委会、临港新片区管委会报告。二是自贸试验区管委会、临港新片区管委会对负面清单落实情况和区内数据出境情况进行跟踪监督，强化事前事中事后全链条全领域监管。

问7：上海自贸试验区及临港新片区的企业开展数据出境活动，哪些数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证？

答：主要有以下七种数据出境活动：

一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。七是向境外提供《负面清单》外的数据。其中，第三种至第六种条件所称向境外提供的个人信息，不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。

问8：《负面清单》未涉及行业、领域的数据处理者如何开展数据出境活动？

答：《负面清单》未涉及的行业、领域数据，按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规执行。

此外，上海将立足行业需求，持续开展调研摸排，了解数据跨境典型场景及实际需求，在更多行业领域推动制定第二批负面清单。

问9：如何理解《负面清单》和操作指引的关系？

答：如相关行业、领域已发布操作指引，有出境需求的数据处理者可按照操作指引开展数据出境活动。操作指引与负面清单不一致的地方，以负面清单为准。国家法律法规对数据出境另有规定的，依照其规定执行。

问10：如何理解其他自贸区正式发布的负面清单与本次发布的《负面清单》的关系？

答：其他自贸区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行。