编者按：《光锥月报》是袁立志律师团队编制的前沿科技法律资讯，每月一期，覆盖上月国内外互联网、数据、人工智能、智能网联汽车、低空经济等前沿科技领域的最新法律动态，包括每月重点资讯点评以及国内与境外法规与标准、案例与实践，旨在帮助客户了解上述领域的最新信息。《光锥月报》是我们面向客户的增值服务，仅定向发送，不公开发布。我们酌情选取部分文章在本公号发表。

2024年8月26日，北京市网信办、市商务局、市政务服务和数据管理局共同印发《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（下称《管理办法》）、《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（下称《负面清单》），适用于在北京自贸试验区内登记注册、开展数据跨境流动等相关活动的企业、事业单位、机构、团体或其他组织（以下统称“企业”），正式开启北京自贸试验区数据跨境负面清单试点工作。

一、出台背景

2021年11月1日生效的《个人信息保护法》第三十八条规定了我国个人信息出境的三条路径，即数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证（以下合称“数据出境手续”）。随后，国家网信办先后制定并发布《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》等法律文件，及相关实施细则、指南和模板，逐步完善了我国数据出境监管体系。

2024年3月22日，国家网信办发布《促进和规范数据跨境流动规定》（下称《数据跨境规定》），对数据出境监管体系进行优化，其中第六条规定，自贸试验区在国家数据分类分级保护制度框架下，可自行制定区内需纳入数据出境手续范围的数据清单（即“负面清单”），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自贸试验区内数据处理企业向境外提供负面清单外数据的，可免于申报出境手续。

此后，天津自贸试验区率先制定并发布了《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》《中国（天津）自由贸易试验区企业数据分类分级标准规范》。上海自贸试验区临港片区也制定完成《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》，并与上海自贸试验区共同着手编制《中国（上海）自由贸易试验区及临港新片区数据跨境流动负面清单（2024年版）》。江苏、安徽、海南等地的自贸试验区也纷纷启动负面清单编制工作。从各地已发布的负面清单来看，简化数据出境手续的效果不是很明显。

本次北京发布的《管理办法》与《负面清单》，在制度设计和可操作性方面取得实质进展。

二、主要内容与亮点

《管理办法》分为总则、职责及分工、负面清单制定及管理、负面清单实施、监督管理与附则等六章。同时，附件1《中国（北京）自由贸易试验区数据分类分级参考规则》（下称《分类分级规则》）规定了共计13大类41子类的数据分类分级参考规则，以帮助企业进行数据识别和归类。

《负面清单》首批选择了汽车、医药、零售、民航、人工智能等五个领域（下称“首批五个领域”），详细列明23个业务场景和198个具体字段。后续，北京自贸试验区将按照动态管理机制，分行业、分领域、分批次推进编制工作，成熟一批发布一批。

值得一提的是，《负面清单》首次明确了数据使用场景，细化了数据字段，并对重要数据识别标准进行了精准描述，可帮助企业准确的判断数据重要程度，选择数据出境路径。

三、申报流程及方式

《管理办法》与《负面清单》施行后，北京自贸试验区企业数据出境流程图如下：

如上图所示，北京自贸试验区企业开展数据出境活动的，应完成两个主要申报步骤，即申请使用负面清单与提交备案材料。

第一步：申请使用负面清单。该步骤主要审查数据处理者主体情况。企业可通过北京市数据跨境便利化服务平台（https://sjcj,bjcert.org.cn，下称“服务平台”）提交申请材料,所需申请材料包括：

• 统一社会信用代码证件影印件

• 法定代表人身份证件影印件

• 经办人身份证件影印件

• 经办人授权委托书

• 数据出境负面清单使用申请表

  
  

自贸试验区组团的管理部门及属地相关职能部门（下称“各自贸组团”）在企业提交申请材料之日起5个工作日内，通过服务平台进行审核并告知审核结果。同时，各自贸组团可视情况要求企业补充遵守相关法律法规的证明材料等。未通过申请的，所在地自贸组团通过服务平台告知未通过原因，企业可按照常规数据出境路径继续开展数据出境活动。

第二步：提交备案材料。该步骤主要审查数据出境情况，如拟出境数据的具体使用场景及字段等。使用负面清单申请通过后，企业可继续通过服务平台提交备案材料，所需备案材料包括：

• 数据出境负面清单备案申报表

• 承诺书

• 《个人信息保护影响评估报告》（涉及个人信息出境的数据处理者提供）

• 其他相关证明材料（如有)

  
  

各自贸组团在接收企业备案材料之日起5个工作日内，将出境数据是否适用负面清单的初步意见报市商务部门，由市商务部门会同市网信部门、市数据部门研判确认后，向企业反馈。

当前，企业在申请过程中需及时关注服务平台上的审核进度，要求补正备案材料的，应在收到告知之日起10个工作日内通过服务平台提交补正材料。否则，可被各自贸组团终止负面清单备案。

上述两个步骤完成后，由所在地自贸组团向企业出具负面清单备案结果通知书，有效期为3年。出境数据在负面清单外的，企业应按照《管理办法》和备案结果通知书的要求，安全有序开展数据出境活动；出境数据在负面清单内的，企业应按照《管理办法》和备案结果通知书要求，申报数据出境手续，申报时应将备案结果通知书作为其他证明材料一并提交。

按照备案结果通知书要求仍需申报数据出境手续的企业，应在收到通知书之日起3个月内向所在地自贸组团报告数据出境合规情况，有特殊情况不能进行报告的需说明延期报告的理由，经同意后可延期报告。

负面清单备案的数据出境情况发生变化的，企业应于15个工作日内提出更新备案申请，并通过服务平台重新提交材料。

四、数据分类分级管理

根据《数据跨境规定》第六条规定，自贸试验区需在国家数据分类分级保护制度框架下，制定区内纳入数据出境手续管理范围的数据清单。因此，本次发布的《管理办法》与《负面清单》延续了《数据跨境规定》的指导思想，主要从数据敏感程度及出境数据量两方面，对数据出境情况进行分类分级管理，但具体口径上略有调整，主要体现在重要数据的认定标准及个人信息的出境数据量要求等。

结合对《数据跨境规定》等文件的体系理解，我们认为关键信息基础设施运营者（CIIO）向境外提供一般数据（非个人信息，且非重要数据）无需申报数据出境手续。但重要数据的认定标准调整后，可能导致前述无需申报数据出境手续的具体数据字段范围发生变化，建议企业根据具体情况，通过预审查等手段进行确认。

此外，《负面清单》对特殊重要数据的处理进行了提示，即医药行业所有场景下的遗传信息、达到国家有关部门规定的规模或者精度的基因数据，包括利用人类遗传资源材料产生的人类基因、基因组数据（不包括临床数据、影像数据、蛋白质数据和代谢数据），均需在满足法律特殊规定的情况下，合法合规出境，但已履行《人类遗传资源管理条例实施细则》中第四章“行政许可与备案”义务的除外。

五、重要数据

《分类分级规则》中规定了重要数据统一识别参考规则，并针对每项数据类别，分别给出了特定的参考规则（示例）。重要数据统一识别参考规则包括：

• 北京自贸试验区企业掌握的1000万人以上个人信息（不含敏感个人信息）；100万人以上敏感个人信息；10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。

• 被国家认定为关键信息基础设施的运营者掌握的10万人以上个人信息。

• 北京自贸试验区企业在研发设计过程、生产制造过程、经营管理过程中收集和产生的与行业竞争力、行业生产安全相关的高价值敏感数据；涉及国家安全的企业供应链相关数据。

• 北京自贸试验区企业掌握的关系国计民生领域的自动控制系统参数以及控制、运行维护、测试数据。

  
  

根据重要数据识别参考规则，《负面清单》针对首批五个领域，分别列出了应进行数据出境安全评估的重要数据，但描述中采用了“敏感重要”、“一定区域内”、“一定规模以上”等字眼，企业仍需在后续工作中密切关注监管口径。

根据《数据跨境规定》第二条规定，数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。虽然未被告知或公开发布为重要数据，可作为不以重要数据申报出境安全评估的理由，但其并不能免除数据处理者识别、申报重要数据的义务。

根据《工业和信息化领域数据安全管理办法（试行）》第七条三款规定，工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。《负面清单》中所列的重要数据，仅仅是在重要数据识别参考规则下的简单举例，较为宽泛，不足以作为企业重要数据目录使用。

企业需结合特定行业监管规定，如汽车行业的《汽车数据安全管理若干规定（试行）》等，制定重要数据目录。同时，企业可参考网安标委于2024年3月15日发布的《数据安全技术 数据分类分级规则》（GB/T 43697-2024）相关规定，并在实际工作中与主管部门保持密切沟通。

六、个人信息出境数据量

在个人信息的出境数据量要求方面，《管理办法》与《负面清单》根据不同的数据使用场景，针对首批五个领域的特定数据字段，在《数据跨境规定》的基础上适当放宽要求。

整体上看，《负面清单》仍以个人信息、敏感个人信息为主要分级依据，但大幅提高了纳入数据出境手续管理范围的出境数据量阈值，仅在医药行业的个别特殊场景下，适当降低了出境数据量阈值。

七、结语

相对于欧盟或采用与欧盟类似体系的法域而言，我国的数据出境手续要求较为严格，《管理办法》与《负面清单》在通用规定的基础上，对数据出境手续进行了优化，适度放松了自贸试验区企业数据出境手续要求，并力求结合具体场景实现字段级别的精细化管理，对完善我国数据出境监管制度有参考意义。

注：本文来源网络，仅做学习交流使用，版权归原作者所有，如有侵权，请联系小编删除