天津自贸试验区数据出境负面清单系列解读之一

当今时代，数据已是重要生产要素，数据流动成为常态，由此带动了数字经济的繁荣。尤其对于全球经济而言，数据跨境流动是跨国贸易得以实现的前提条件和基础支撑。但作为国家战略资源，数据的跨境流动也可能会带来一系列安全风险，影响国家安全、公共利益和公民权益。为此，世界各国纷纷制定了本国的数据跨境流动安全管理政策，多个国际组织也针对数据跨境流动积极完善国际贸易规则。

一、我国的数据跨境流动安全管理制度

我国的数据跨境流动安全政策框架来源于三部法律。

2017年6月，我国《网络安全法》实施。该法第三十七条提出了个人信息和重要数据出境安全评估制度，并授权国家网信部门制定出境评估办法。但其只规范了关键信息基础设施运营者的数据出境。事实上，有相当多可能危害国家安全的数据出境行为，发生在商业领域的中小机构中，即非关键信息基础设施运营者。2021年下半年，我国《数据安全法》和《个人信息保护法》相继实施，将数据出境安全评估制度的范围作了扩展，不再局限于关键信息基础设施运营者。至此，历时四年，数据出境安全评估制度的上位法依据终告完善。法律同时也明确了三种需要纳入监管的数据出境途径：网信部门安全评估、个人信息出境标准合同备案、个人信息保护认证。

根据上位法要求，国家网信部门于2022年7月7日发布了《数据出境安全评估办法》，明确了需要进行出境安全评估的三类场景：第一类是重要数据出境；第二类是关键信息基础设施运营者收集和产生的个人信息出境；第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境，这个条件以处理的个人信息的人数规模来确定，具体又分为一般性个人信息和敏感个人信息。这之后，国家网信部门又相继发布了个人信息出境标准合同模板、个人信息保护认证实施规则。这意味着，我国数据跨境流动安全管理的细则也基本明确。

但数据跨境流动毕竟是新事物，全世界都在摸索。李强总理明确要求“探索构建跨境数据管理新模式”。为此，国家网信部门专门制定了《促进和规范数据跨境流动规定》，于2024年3月22日发布。文件释放了进一步加快开放、促进数字经济发展的政策导向，受到了全社会的欢迎。特别是，这一文件提出了很多创新性的政策措施，其中便包括数据出境负面清单制度。

《促进和规范数据跨境流动规定》第六条规定，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

二、数据出境负面清单制度的内涵

“负面清单”制度起源于国际经贸场合，最初主要适用于一个国家对外商投资的准入监管。党的十八届三中全会决定提出，“在制定负面清单基础上，各类市场主体可依法平等进入清单之外领域”，由此将“负面清单”制度的适用范围从传统的外资市场准入领域扩大为内资和外资市场准入领域。自此以后，“负面清单”制度受到了更多关注。

为了更好理解“负面清单”概念，可以与“正面清单”一并分析。“正面清单”即“清单上的皆允许”，相应的，“负面清单”则是“清单上的禁止，清单之外的皆允许”。

那么，“禁止”和“允许”所为何来？这又不得不提到国际贸易规则。1834年，德意志关税同盟成员国共同贸易条约首创了“负面清单”制度，此后广泛适用于各种双多边经贸协定中。人们创造这一制度所希望解决的主要问题，是国与国之间信息不对称以及国民待遇和最惠国待遇最大化问题。每个国家都有庞杂的法律规定，内容各不相同。作为外商，在进入一个国家投资时，一般不可能全面了解这个国家有关市场管理的法律规定，也很难了解这个国家对于外资的各种或明或暗的特殊管制措施。这种信息不对称带来的是风险的不确定。为了解决这种信息不对称以及与之伴随的风险不确定的问题，人们在国际经贸协定中创造出了“国民待遇或最惠国待遇＋负面清单”的制度，即在大前提上推定外资企业与内资企业享有同等的权利、接受同等程度的管制，在此基础上，以清单的方式列明对外资的特殊准入和管制规定，以便外资主体能够很简明地掌握相关信息，作出投资判断。

显然，“负面清单”是国际惯例，受到国际社会普遍欢迎。我国一些部门在早期曾制定“正面清单”，这实际上是“总体上限制，个别放开”。在特定领域当然可以这样做，但不符合全球贸易发展的大趋势，因为“国民待遇或最惠国待遇”是前提。

当负面清单制度从外资准入领域延伸到更大范围后，政府部门在行政监管中也开始使用这一手段。但负面清单制度不是唯一，正面清单制度也时有应用。那么，应当如何判断两种制度的使用条件？原则上要看谁是一般，谁是例外。如果一般允许，特殊情况下受限或禁止，则使用负面清单制度；反之，如果一般情况下要受限甚至禁止，只有例外情况才允许，则使用正面清单制度。由此可知，从开放度上看，正面清单要严格的多。

三、数据出境负面清单的作用

《促进和规范数据跨境流动规定》第六条规定了数据出境负面清单制度。这项制度的实质可以用一句话来概括：它明确了我国数据跨境流动安全监管的对象。从数字经济发展的客观需求，以及数据自身规律看，数据跨境流动都应当是受到鼓励和支持的，影响国家安全、公共利益、公民权益的数据跨境流动行为毕竟是少数，这符合负面清单制度的使用条件。

具体哪些数据的跨境流动要受到监管呢？《促进和规范数据跨境流动规定》已经明确：需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据。

《促进和规范数据跨境流动规定》进一步规定了这些数据的范围。其第七条规定，数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估（这即是“纳入数据出境安全评估管理范围”的数据）：

（一）关键信息基础设施运营者向境外提供个人信息或者重要数据；

（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。

此外，《促进和规范数据跨境流动规定》第八条规定，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。这即是“个人信息出境标准合同、个人信息保护认证管理范围”的数据。

需要指出，“纳入管理范围”不等于“禁止出境”，“负面清单”不等于“禁止清单”，而是指需要经过评估或标准合同、认证等途径。具体采用哪种途径，需视前述《促进和规范数据跨境流动规定》第七条和第八条而定。

制定负面清单有四个方面的重要意义。一是弥补了数据跨境流动安全管理制度的重要一环，明确了监管对象，有利于全社会更好的理解政策；二是企业有了清晰的参照，极大减少了模糊性，便于企业执行；三是为地方赋予了一定的自主权，使地方在处理复杂的数据出境场景时有了更多的灵活性和针对性；四是提升了数据跨境流动安全管理的效率，特别是通过明确出境安全评估的条件，简化了相关流程，回应了企业长期以来的诉求。

《促进和规范数据跨境流动规定》发布后，按照“经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案”的要求，天津市迅速按程序进行了报批。履行完所有程序后，即于5月9日发布了《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》。这是《促进和规范数据跨境流动规定》实施以来，首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境负面清单。

天津市围绕解决自贸试验区企业数据出境诉求，积极提前谋划负面清单，主要目的就是探索数据领域制度型开放新路径，打造便利化数据跨境流动管理机制，形成可复制可推广的“天津经验”，为对接国际高标准经贸规则开展先行先试，为我国建立科学合理的数据跨境流动安全管理制度作出积极贡献。这是天津市推动数据安全有序跨境流动、扩大高水平对外开放的重要内容，也是解决辖区内跨国公司关切、提升自贸试验区开放水平的重要举措。

作者|中国科学技术大学 左晓栋