《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》

《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》全文

第一章 总则

第一条 为保障国家数据安全，保护个人信息权益，进一步促进和规 范数据依法有序出境，全面对接国际高标准经贸规则，打造国家制度型开放示范区，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《促进和规范数据跨境流动规定》等法律、法规和规章的相关要求，结合中国 （上海）自由贸易试验区及中国（上海）自由贸易试验区临港新片区（以 下简称上海自贸试验区及临港新片区）实际，制定本办法。

第二条 在上海自贸试验区及临港新片区内注册且在上海自贸试验区 及临港新片区内开展数据出境活动的数据处理者，以及相关促进、保障、 监管工作，适用本办法。法律、法规和规章另有规定的，依照其规定执行。

第三条 坚持统筹发展和安全，建立负面清单和操作指引相结合的数据安全合规出境机制，鼓励数据处理者依法依规开展数据出境业务，提升 数据出境便利性。

第四条 按照包容审慎、创新容错、促进发展、保障权益的原则，推动上海自贸试验区及临港新片区数据出境便利化。

第二章 工作机制与职责

第五条 按照国家数据出境传输安全管理制度要求，聚焦“五个中心”建设，上海市互联网信息办公室、上海市数据局、上海市发展和改革委员 会统称市级管理部门，负责建立上海自贸试验区及临港新片区数据出境负面清单管理体系并统筹协调相关事宜，联合各市级行业主管监管部门指导并监督上海自贸试验区及临港新片区数据出境活动。

上海市公安局、上海市国家安全局依照有关法律、行政法规和本办法的规定，在各自职责范围内承担数据出境安全监督管理职责。

上海自贸试验区管委会、临港新片区管委会负责组织指导上海自贸试 验区及临港新片区数据处理者使用负面清单开展数据出境活动，持续开展事前、事中、事后管理等。

第六条 市级管理部门建立上海自贸试验区及临港新片区数据出境工作联席会议制度，主要负责上海自贸试验区及临港新片区数据出境负面清单和操作指引的编制和动态更新解决数据处理者开展数据出境活动存在的问题等工作事项。

市级管理部门建立上海自贸试验区及临港新片区数据出境信息共享机制，各单位按照职责分工，落实联席会议的工作部署，通报具体问题的解决方案及负面清单和操作指引实施情况，做到信息互通结果互认。

第七条 上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、上海自贸试验区管委会、临港新片区管委会应当根据各自职责，加强对上海自贸试验区及临港新片区数据出境工作的指导，提升数据出境便利性。

各市级行业主管监管部门应当按照数据分类分级保护制度，会同上海自贸试验区管委会、临港新片区管委会制定、更新负面清单和操作指引。负面清单应经上海市数据安全工作协调机制审核通过后，报市委网络安全和信息化委员会批准，由上海市互联网信息办公室、上海市数据局联合报国家互联网信息办公室、国家数据局备案。

第三章 负面清单实施与管理

第八条 在上海自由贸易试验区及临港新片区注册的数据处理者，属于已公布负面清单的行业领域，向境外提供负面清单外的数据可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第九条 如相关行业领域已发布操作指引，有出境需求的数据处理者可按照操作指引开展数据出境活动。操作指引与负面清单不一致的地方，以负面清单为准。国家法律法规对数据出境另有规定的，依照其规定执行。

第十条 使用负面清单开展数据出境活动的数据处理者，应按照所属区域及时向上海自贸试验区管委会、临港新片区管委会报告数据出境情况，包括但不限于数据出境业务场景、出境数据目录、出境数据规模、境外接收方等情况。

数据处理者向境外传输重要数据和个人信息，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生数据出境安全事件或者发现数据出境安全风险增大的，应当采取补救措施，并及时向上海市互联网信息办公室、上海市数据局、上海市公安局、上海市国家安全局、上海自贸试验区管委会、临港新片区管委会报告。

第十一条 上海市互联网信息办公室、上海市数据局联合上海自贸试验区管委会、临港新片区管委会、各市级行业主管监管部门会同相关职能部门通过定期检查和双随机抽查等方式，对负面清单的落实情况和上海自贸试验区及临港新片区内数据处理者的数据出境活动进行监督检查。

第十二条 市级管理部门联合各市级行业主管监管部门定期对上海自贸试验区及临港新片区数据处理者落实本办法要求情况进行检查评估。发现数据处理活动存在较大安全风险的，应当立即采取补救措施，消除隐患，对影响或可能影响国家安全的出境数据，及时更新纳入负面清单。发现涉嫌违法犯罪线索的，应当及时通报上海市公安局、上海市国家安全局、上海市公安局、上海市国家安全局依照有关法律、行政法规，在各自职责范围内依法防范和打击危害数据出境安全的违法犯罪活动。

第十三条 上海自贸试验区管委会、临港新片区管委会应对负面清单的落实情况和上海自贸试验区及临港新片区内数据出境情况进行跟踪监督，强化事前事中事后监管，提升数据出境安全风险发现和预警能力。每半年向上海市互联网信息办公室、上海市数据局报告负面清单落实情况和上海自贸试验区及临港新片区内数据出境情况，重要情况及时报告。

第四章 数据出境促进措施

数据处理者应当按照相关规定识别、申报重要数据。未被各市级行业主管监管部门，上海自贸试验区管委会、临港新片区管委会告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

第十五条 数据处理者在上海自贸试验区及临港新片区开展数据出境活动，我国缔结或者参加的国际条约、协定与国内法律法规有不同规定的，适用该国际条约、协定，但我国声明保留的条款除外。

支持对接国际高标准经贸规则推进数据出境便利化发展，开展国际高 标准经贸规则数据出境相关条款压力测试，探索与更高水平开放相适应的数据出境安全风险防范体系。

第十六条 支持建设具备申报服务、安全监管等功能的数据出境功能平台，构建“管得住、放得开”的监管服务体系，促进数据高效、便捷流动。

第五章 监督管理

第十七条 违反本办法其他有关规定的，由有关主管部门依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和 国个人信息保护法》等法律的有关规定追究法律责任。

第十八条 参与数据出境负面清单管理的人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。违反者按照相关 法律法规进行惩处。

第六章 附则

第十九条 负面清单和操作指引未涉及的行业、领域的数据分类分级参考规则，按照有关规定和标准执行。

第二十条 负面清单和操作指引涉及的行业、领域中，如涉及《中华人民共和国出口管制法》规定的管制物项相关技术资料或《中华人民共和国对外贸易法》规定的技术出口管理事项等数据出境的，按照《中华人民共和国出口管制法》《中华人民共和国对外贸易法》等法律法规、规章规定执行。

负面清单和操作指引未涉及的行业、领域数据，按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规、规章规定执行。其他自贸区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行。

本办法中未明确规定的，若法律、行政法规或者国家互联网信息办公室、各行业主管监管部门等有关部门出台新的规定，从其规定。

第二十一条 本办法由上海市互联网信息办公室会同上海市数据局、上海市发展和改革委员会、上海自贸试验区管委会、临港新片区管委会负 责解释。

本办法自发布之日起施行。