AI助理解读新法规（二）：天津自贸区数据出境负面清单

（本文系由自研AI助理应用生成，经律师审校）

首先，从政策出台的背景来看，《规定》是在全国范围内制定的，旨在保障数据安全，保护个人信息权益，促进数据依法有序自由流动。而《负面清单》则是在《规定》框架下，结合天津自贸试验区的实际情况，对数据出境进行更为具体的管理和规范。这一点体现了中央与地方在数据治理方面的协同合作，以及对自贸试验区在数据跨境流动安全管理方面的特殊授权。

其次，从政策实施的角度来看，《规定》为自由贸易试验区提供了政策空间，允许自贸试验区在国家数据分类分级保护制度框架下，自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。天津自贸试验区依据这一授权，制定了《负面清单》，成为全国第一个自贸试验区数据出境管理负面清单，是遵守和落实网信办数据跨境流动新规的地方实践。

最后，从政策效果的角度来看，负面清单的实施有助于明确企业在数据跨境流动中的合规要求，减少企业在执行相关规定时的不确定性，促进数据安全有序跨境流动，同时也为天津自贸试验区打造市场化、法治化、国际化一流营商环境提供了制度保障。而《规定》则在全国范围内提供了统一的政策指导和规范，为数据跨境流动安全管理提供了上位法律文件的支持、全局性和可兼容的数据跨境治理框架支持。

从政策内容上来看，《规定》明确了数据出境的一般原则和要求，对于数据跨境流动的安全评估、个人信息出境标准合同、个人信息保护认证等方面作了总体性的规定，但对于具体的数据类别和场景并未进行详细划分。而《负面清单》则更进一步提供了细化和指引，明确列出了下述13类天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形，以及免予申报的数据类型，为企业提供了更为明确和具体的操作指南，有助于企业更好地理解和遵守数据出境的相关规定：

1. 战略物资和大宗商品类

《负面清单》在战略物资和大宗商品类方面作了具体的细化和补充。例如，清单中明确指出，石油、石化、天然气等战略物资和大宗商品的相关数据，如可能推算出涉及国家重大战略的重要领域运行状况、发展态势、增长速度等的产品产量数据、国际贸易数据等，需要申报数据出境安全评估。这一规定明确了哪些具体数据属于需要重点管理的范畴，为企业在处理这类数据时提供了明确的指导，有助于保障国家安全和经济利益。

2. 自然资源和环境类

在自然资源和环境类方面，《负面清单》同样进行了详细的规定。例如，对于基础地理信息、遥感影像数据、气象数据等，清单中不仅列明了这些数据的具体类型，还对数据的覆盖度、精度和尺度等进行了明确要求，并指出了哪些情况下的数据需要进行出境安全评估。

这种细化的做法，有助于企业更好地识别和判断自己掌握的数据是否属于需要申报的范围，同时也有助于相关管理部门更加精准地进行数据安全监管。例如，清单中指出，服务军事、国防科研、高科技领域的气象监测数据、灾害防御数据等，属于需要进行数据出境安全评估的数据类型。这一规定既保障了数据的合理利用，又防止了可能对国家安全构成威胁的数据流出。

3. 工业类

在工业类方面，《负面清单》明确列出了包括国防军工、化学工业、钢铁、有色金属、稀土、其他矿产、电力、电子信息、民用核设施、工业装备、工业互联网和工业控制系统、智能汽车等在内的多个子类别。这些子类别的数据出境管理要求，相比《规定》中对重要数据的一般性描述，提供了更具体的识别标准和管理要求。

例如，在国防军工领域，《负面清单》指出，综合反映国防科技工业重要企事业单位科研与生产能力的数据，汇总后能反映国防科技工业整体情况的数据，国防科技工业领域相关特色重要数据等，都需要进行数据出境安全评估。这一要求明确了哪些具体的数据属于重要数据范畴，需要申报数据出境安全评估，从而为企业提供了更明确的操作指南。

4. 金融类

在金融类方面，《负面清单》细化了包括银行、保险、融资租赁等子类别的数据出境管理要求。这些细化的要求，对于指导金融机构合规处理跨境数据流动具有重要意义。

以银行数据为例，《负面清单》指出，一旦遭到泄露，可能会威胁国家安全或者银行机构自身安全，或者100万以上客户安全的数据，如银行安保数据，重要企事业单位账户信息、贷款数据、交易数据等，都需要进行数据出境安全评估。这一要求不仅明确了银行数据中哪些数据属于需要特别保护的范畴，也强调了对这些数据出境进行安全评估的重要性。

5. 统计类

在《规定》中，对于统计类数据的管理主要体现在对重要数据的识别和保护上，要求数据处理者按照相关规定识别、申报重要数据。而在《负面清单》中，对统计类数据进行了更为具体的分类和描述，明确了哪些统计数据需要进行数据出境安全评估。

例如，《负面清单》将经济统计数据和社会统计数据列为两个子类，对于经济统计数据，如天津市基层数据和公开发布前的综合数据，能够推测天津市及以上总量数据的抽样调查样本数据，以及重要工农业产品分品种产量产能统计数据等，都被明确列入需要进行数据出境安全评估的范围。这一细化规定，有助于企业更准确地识别哪些统计数据属于重要数据，需要遵循特定的数据出境管理要求。

6. 通信传播类

在通信传播类数据方面，《负面清单》同样进行了具体的细化和补充。《规定》虽然提出了数据处理者应当遵守法律、法规的规定，履行数据安全保护义务，但在通信传播类数据的具体管理上并未给出详细指导。

《负面清单》则明确了电信、广播电视和网络视听、新媒体等子类数据的具体管理要求。例如，对于电信数据，基础电信骨干网络、应急通信部署类数据的出境，需要进行数据出境安全评估。对于广播电视和网络视听数据，未公开的视听创作内容、视听业务省级及以上机构传输覆盖情况、视听监测监管数据等，也被列入了负面清单，明确了这些数据的出境需要符合特定的安全评估要求。

7. 住房建设类

在住房建设类数据出境方面，《负面清单》具体提到了住房公积金数据。根据负面清单，可能造成10万人以上敏感个人信息泄露，影响企业日常经营，或者汇聚后可被用于分析房地产市场状况的数据，如住房公积金缴存人和缴存单位的基本信息、账户信息及公积金缴存、提取、使用数据等，需要进行数据出境安全评估。这一规定明确了住房公积金数据的特殊性和敏感性，要求对此类数据的跨境流动进行严格的安全评估，以保障数据主体的权益和国家数据安全。

此外，《负面清单》中对住房建设类数据的细化和补充，还体现在对数据处理场景的具体描述上。例如，负面清单明确了在跨境提供住房公积金数据时，需要考虑数据的敏感性、数据量、数据接收方的安全保护能力等因素，这些都是在进行数据出境安全评估时需要重点考虑的内容。通过这种方式，天津自贸试验区不仅对国家政策进行了地方性的细化，也为企业提供了更为明确和具体的指导，帮助企业更好地理解和遵守数据跨境流动的相关规定。

8. 交通运输类

在《规定》中，对于数据跨境流动的管理原则和要求进行了总体性的规定，强调了数据处理者在数据出境时应当遵守的法律法规，以及采取的技术措施和其他必要措施来保障数据出境安全。然而，《规定》并未对特定行业如交通运输类的数据出境进行具体的指引。

《负面清单》则在交通运输类方面进行了具体的细化和补充。例如，负面清单明确了铁路交通、公路交通、道路运输、城市交通、水路交通、民用航空等领域影响生产安全的控制类数据、施工建设过程中获取的自然资源类数据、未公开的线路图、关键站点等数据，以及被泄露、篡改可能造成重大交通事故的数据，都需要进行数据出境安全评估。

这种细化不仅为交通运输行业的企业提供了明确的数据出境管理指南，也有助于企业更好地识别和保护那些可能影响国家安全、公共利益或者公民权益的重要数据，从而在确保数据安全的前提下促进数据跨境流动。

9. 公共卫生类

在公共卫生领域，《规定》同样提出了数据出境时应遵循的总体原则和要求，但未对公共卫生类数据的出境提供具体指导。

《负面清单》则对公共卫生类数据进行了详细的列举和说明。例如，负面清单指出，反映种族整体情况或关系生物安全的遗传资源数据，关系国家安全、生命安全、人类自身安全的生物安全和疾控数据，如导致10万人以上敏感个人信息泄露，侵害公民隐私的个体诊疗或者健康管理数据；电子病历、检查检测结果、健康档案数据等及其开发利用结果，都需要进行数据出境安全评估。

通过这种具体的列举，天津自贸区负面清单为公共卫生领域的数据处理者提供了清晰的操作指南，有助于这些数据处理者在进行数据跨境流动时，更好地评估和管理数据出境的风险，确保数据的安全和合规出境。

10. 公共安全类

在《规定》中，第七条和第八条分别规定了数据处理者向境外提供数据时应当申报数据出境安全评估的条件，以及需要订立个人信息出境标准合同或通过个人信息保护认证的情形。然而，《规定》并未对公共安全类数据的具体内容和范围进行详细说明。

《负面清单》则在公共安全类方面作出了具体的细化和补充。例如，负面清单明确列出了物理安全、网络安全、应急管理等子类，并对每个子类的数据基本特征进行了详细描述。如在物理安全子类中，负面清单指出，一旦遭到非法利用，可能对物理目标发动攻击，危害核材料与核设施安全，威胁公民生命安全，影响国家安全、公共安全的数据。这种细化明确了哪些数据属于公共安全类，需要申报数据出境安全评估，从而提高了数据处理者在数据出境时的合规性和安全性。

11. 互联网服务和电子商务类

对于互联网服务和电子商务类数据，天津自贸试验区负面清单同样进行了细化和补充。在《规定》中，虽然提到了数据处理者应当遵守法律、法规的规定，履行数据安全保护义务，但对于互联网服务和电子商务类数据的具体要求并未详述。

《负面清单》则具体列出了服务外包、互联网平台服务等子类，并对这些子类的数据基本特征和出境条件进行了明确。例如，在互联网平台服务子类中，负面清单指出，互联网平台掌握的具有舆论属性或者社会动员能力的数据，如政府官员、退伍军人等敏感人群的行为分析数据，涉及军工、党政机关、关键信息基础设施客户的服务记录数据等，都需要进行数据出境安全评估。这种明确的指导有助于互联网服务和电子商务企业更好地理解和遵守数据出境的安全管理要求。

12. 科学技术类

在《规定》中，对于科学技术类数据的管理主要是通过数据出境安全评估的方式来实现，要求数据处理者在向境外提供个人信息或者重要数据时，应当申报数据出境安全评估。然而，《规定》并未对科学技术类数据给出具体的定义或范围。

相比之下，《负面清单》则对科学技术类数据进行了具体的列举和描述。例如，《负面清单》中明确了包括电子信息行业先进技术、集成电路先进设计和制造技术、重大计算装备设计数据、算法和软硬件架构以及重要电子元器件设备国产化率等数据在内的科学技术类数据，这些数据一旦遭到泄露，可能影响国家安全或者银行机构自身安全，或者影响100万以上客户安全。通过这种方式，《负面清单》为企业提供了更为明确的指引，使得企业在处理科学技术类数据时能够更加清晰地判断哪些数据需要申报数据出境安全评估，哪些数据可以自由跨境流动。

13. 个人信息

《规定》在个人信息保护方面提出了一系列要求，包括数据处理者在向境外提供个人信息时，应当履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。《规定》在个人信息出境的合规要求方面具备较强的普适性，出境合规路径的判断主要基于数据处理者自身是否被认定为关键信息基础设施运营者，以及个人信息和敏感个人信息的出境人数。

除《规定》第三、四、五条规定的情形外：关键信息基础设施运营者向境外提供个人信息，以及关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息的，需要通过数据出境安全评估；关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上个人信息、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，需要订立个人信息出境标准合同、通过个人信息保护认证。在个人信息出境方面，《负面清单》体现的要求与《规定》相一致。

没有被设置“星标”的微信公众号

收到的推送及其有限，时间也会大大延迟

如果您想要收到我们的第一手推送

请为我们设个“星标”吧！

设星标，不迷路！