データの越境移動を促進・規範化させるため、国家インターネット情報弁公室は2024年3月22日に「データの越境移動の促進及び規範化に関する規定」（国家インターネット情報弁公室令第16号）を公布し、地方が具体的なデータ越境管理政策を策定するための枠組みと指針を提供した。北京、天津及び上海等が相次いでデータ越境ネガティブリストを導入することに伴い、江蘇も最近独自のデータ越境ネガティブリストを導入した。2025年8月13日に、江蘇省インターネット情報弁公室、江蘇省商務庁及び江蘇省データ局は共同で「中国（江蘇）自由貿易試験区データ越境ネガティブリスト管理弁法（試行）」及び関連する「中国（江蘇）自由貿易試験区データ越境管理リスト（ネガティブリスト）（2025年版）」（蘇網信弁連〔2025〕2号、同日より施行、2年間の試行）を公布し、データの越境管理を強化した。本弁法は全25条から成り、主な内容は以下の通りである。

一、データ越境管理にネガティブリスト管理モデルの採用

重要情報インフラ運営者（CIIO）が国外に個人情報又は重要データを提供したり、非CIIOが国外に重要データを提供し、若しくは安全評価申告基準に達する個人情報を提供したりする場合、安全評価が必要である。非CIIOが国外に標準契約又は認証基準に達する個人情報を提供する場合、標準契約備案又は個人情報保護認証のデータリストを行う必要がある（第8条）。

ネガティブリスト外のデータについては、データ越境安全評価申告、個人情報越境標準契約締結又は個人情報保護認証を免除することができる（第10条）。

二、重要データの外延の明確化

データ処理者がデータの越境活動を行う際、重要データを自主的に識別又は申告する必要がない。省級の管理部門、業界主管部門又は特別区管理委員会から明確に通知され、又は重要データとして公開的に指定された場合にのみ、安全評価申告の対象として扱われる（第17条）。

三、報告義務及び安全保障

一部のデータ越境活動が簡素化されたとはいえ、企業は依然として報告義務を履行する必要がある。所属する特別区管理委員会に対し、業務シシナリオ、データカタログ、規模、受領者等のデータ越境状況を適時に報告しなければならない。なお、企業はデータ安全保護義務を遵守し、安全事件やリスクが発生した場合には速やかに是正措置を講じ、報告を行う必要がある（第12条）。

四、除外事項及び特別管理

留意すべき点として、本弁法には一部のデータがネガティブリスト管理の対象外であることが明記されている。具体的には、国家安全や国民経済の命脈などに関わるコアデータについては、より厳格な管理が実施されている（第22条）。「輸出管理法」又は「対外貿易法」に規定されている規制品目の技術資料などについては、関連法規に従って別途対応する必要がある（第23条）。