2023年9月28日，国家网信办公布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“数据跨境新规”），很好地回应了数据出境实操层面市场主体的关切点，修订且完善了数据出境的原有规则，同时建立了一些更市场化、便利化的数据跨境流动新机制，亮点不少，其中数据跨境自贸区负面清单模式便是此新规的亮点之一。

根据数据跨境新规第七条规定，自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称“负面清单”），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。

负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

这是我国数据跨境监管领域首次引入负面清单模式，也是对自贸区原有的外商投资领域所使用的负面清单模式的借鉴。根据这条新规，数据跨境自贸区负面清单模式有下列几层意思：

（1）充分授权：尊重自贸区制度创新精神，授权自贸区可自行制定本自贸区的数据出境监管负面清单。

（2）履行程序：负面清单报省级网络安全和信息化委员会批准后，而后报国家网信部门备案。

（3）便利化流动：负面清单之外的数据，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，实现便利化流动。

制度创新是建设自贸区的重要使命之一。自贸区建设过程中，部分自贸区已陆续在其总体方案中对数据跨境流动做了制度性安排。

2019年7月发布的《中国（上海）自由贸易试验区临港新片区总体方案》指出，临港新片区实施国际互联网数据跨境安全有序流动。建设完备的国际通信设施，提升新片区内宽带接入能力、网络服务质量和应用水平，构建安全便利的国际互联网数据专用通道，试点开展数据跨境流动的安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制，主动参与引领全球数字经济交流合作。

2020年6月发布的《海南自由贸易港建设总体方案》提到，海南自贸港要在国家数据跨境传输安全管理制度框架下，开展数据跨境传输安全管理试点，探索形成既能便利数据流动又能保障安全的机制，探索加入区域性国际数据跨境流动制度安排，提升数据传输便利性。实现数据安全有序流动方面，创新数据出境安全的制度设计，探索更加便利的个人信息安全出境评估办法。

2020年9月发布的《中国（北京）自由贸易试验区总体方案》要求，北京自贸区要加强跨境数据保护规制合作，探索制定信息技术安全、数据隐私保护、跨境数据流动等重点领域规则，探索构建安全便利的国际互联网数据专用通道。

上述各自贸区总体方案围绕数据跨境流动的便利性、安全有序性以及参与国际规则建设、建立国际互联网数据专用通道等方面做了安排，为自贸区数据跨境方面的制度创新、功能创新指明了方向，但在实操性和落地性上还缺了一口气。

此次数据跨境新规明确制定数据跨境自贸区负面清单，清单外的数据可以自由跨境流动，为自贸区数据跨境流动的便利性、安全有序性打开了该领域制度的创新天花板，是自贸区制度创新体系的重要成果之一。

数据跨境新规目前处于征询意见阶段，还未生效实施，如何更科学地制定数据跨境自贸区负面清单模式，不仅是国家层面科学立法、民主立法的体现，也是对各自贸区及其区内企业具有重要的现实意义。

数据跨境自贸区负面清单模式是从外商投资领域的自贸区负面清单移植的，外商投资领域的自贸区负面清单模式也许具有一定的参考意义。

2013年9月30日，上海市人民政府公布了《中国（上海）自由贸易试验区外商投资准入特别管理措施（负面清单）（2013）》，该负面清单适用于我国第一个自贸区上海自贸区。2015年4月20日，国务院办公厅公布了《自由贸易试验区外商投资准入特别管理措施（负面清单）》，该负面清单适用于上海、广东、天津、福建四个自由贸易试验区，外商投资领域的负面清单进入全国统一的模式，各自贸区不再单独分别制定各自的负面清单。

由此可见，外商投资领域里的自贸区负面清单管理经历过两个阶段：地方自贸区自行编制负面清单阶段到全国统一的自贸区负面清单阶段。从借鉴外商投资领域的自贸区负面清单发展历程出发，并考虑各自贸区的不同，数据跨境自贸区负面清单模式是否可以得出以下三种立法方式：

（一）各自制定数据跨境自贸区负面清单

根据数据跨境新规第七条规定，自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，是授权各自贸区可以分别制定各自的负面清单。这种授权具有一定的灵活性，可以为各自贸区预留较大的改革和创新空间。

（二）采用统一的数据跨境自贸区负面清单

考虑到全国自贸区范围内立法、执法的统一性，以及监管部门、企业理解上的一致性，也可以全国自贸区采用统一的数据跨境负面清单，即一张负面清单全国自贸区通用的模式。

（三）特定自贸区自行制定，其他大部分自贸区统一制定

鉴于各自贸区发展阶段的不同、承担的制度创新任务有差别、区内企业跨境经营需求以及数据出境量的不同，可以授权特定自贸区各自制定本区域的数据跨境负面清单，其他自贸区适用统一的数据跨境负面清单。

2023年8月13日，国务院发布的《关于进一步优化外商投资环境  加大吸引外商投资力度的意见》指出，支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中，试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务。其中“试点探索形成可自由流动的一般数据清单”的实质，即是制定数据跨境负面清单。

因此，根据《关于进一步优化外商投资环境  加大吸引外商投资力度的意见》的规定，加之各地自贸区客观的发展阶段以及定位的差异性，国家网信部门授权特定自贸区自行制定本区域的数据跨境负面清单，其他大部分自贸区适用统一的数据跨境负面清单，这种立法方式可能兼顾到特定自贸区的特色诉求以及其他大部分自贸区的立法、执法的统一性。

附件：数据跨境监管新旧规则对照表

说明：

1. 《安全评估办法》是指《数据出境安全评估办法》，2022年9月1日生效；

2. 《标准合同办法》是指《个人信息出境标准合同办法》，2023年6月1日生效；

3. 数据跨境新规是指《规范和促进数据跨境流动规定（征求意见稿）》，2023年9月28日开始征求意见，尚未生效；

4. 豁免监管是指不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证；

5. 由于数据跨境新规尚未生效，本表只能作为参考。