潘宏远

（国家计算机网络应急技术处理协调中心黑龙江分中心，黑龙江 哈尔滨  150023）

摘要：当前，天津、上海、江苏及北京等国内主要自由贸易试验区已初步完成了适合各自发展的数据跨境流动政策制定，基本建立了辖区内的数据跨境流动管理制度。有的通过负面清单填补了行业领域空白，有的出台务实政策举措提高数据跨境便利度，有的形成了政策制度上的“跨境”衔接，值得关注与分析。本文通过分析中国主要自由贸易试验区数据跨境流动政策概况的最佳实践，分析归纳主要自贸试验区数据跨境流动政策特点和问题，为完善我国数据跨境流动政策制度提供借鉴。

关键词：自由贸易试验区；数据跨境；政策制度

一、主要概况

目前，天津、上海、江苏及北京等国内主要自由贸易试验区已初步完成了适合各自发展的数据跨境流动政策制定，基本建立了辖区内的数据跨境流动管理制度。

1.天津：发布全国首个自贸试验区数据出境管理负面清单

2024年2月和5月，天津市商务局、自贸试验区管委会接连发布《中国（天津）自由贸易试验区企业数据分类分级标准规范》和《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》，旨在促进和规范天津自贸试验区内企业数据安全有序流动。同时，随着全国首个负面清单的出台，天津自由贸易试验区初步构建了具有当地特色的数据出境管理制度，为其他自贸试验区的后续跟进提供了“天津经验”。

2.上海：通过场景化方式明确数据字段可以跨境流动的边界

国务院于2023年12月发布支持方案，提出上海自贸试验区率先制定重要数据目录。次年2月，临港新片区数据跨境流动分类分级试行管理办法出台，旨在加快片区的先行先试和对外开放，推动开展片区内数据跨境流动、跨境离岸金融等领域的更大程度压力测试，指导和帮助片区内数据处理者高效合规地开展数据跨境流动。2024年5月，临港新片区数据跨境场景化一般数据清单及清单配套操作指南发布，涉及多个场景并以此推动数据跨境流动更大程度开放。

3.江苏：出台多项务实政策和举措提高数据跨境安全流动便利度

继2022年5月国家层面通过《数据出境安全评估办法》后，江苏省于同年9月发布《江苏省数据出境安全评估申报工作指引(第一版)》，从六个关键维度，包括有关用语、适用范围、申报方式、申报流程、其他事项及联系方式等，为数据处理者提供了详细的指导和帮助，确保其能够规范、有序地完成数据出境安全评估的申报工作。2022年12月，江苏省自由贸易试验区工作办公室印发支持数据跨境安全有序流动的若干工作措施，旨在通过强化数据要素开发利用，提升数据跨境流动便利度，加强出境数据安全保护和监管。2023年7月，江苏省互联网信息办公室发布了《江苏省个人信息出境标准合同备案指引(第一版)》。此外，在数据跨境平台建设方面，2023年10月、2024年1月，江苏省数据出境咨询服务平台、苏州自贸片区“苏数通”数据跨境公共服务平台接连上线启用，为提升江苏自由贸易试验区数据跨境流动便利化服务提供支持，打造了数据出境评估新范式。

4.北京：发布全国首个场景化、字段级自贸试验区数据出境负面清单

2024年8月，北京市互联网信息办公室、市商务局、市政务服务和数据管理局三部门联合发布《北京市数据跨境流动便利化服务管理若干措施》，在集纳梳理和细化优化现有政策措施基础上，从畅通数据合规出境通道、细化服务举措、优化监管措施、强化保障措施等四个方面提出具体措施，旨在有效解决当前数据跨境工作中存在的共性 难点问题，不断提升北京数据跨境流动便利化服务管理水平。同时，三部门还联合发布《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》两个文件，按照“急用先行、小步快跑”原则，瞄准企业最紧迫最现实需求，分行业、分领域编制首个场景化、字段级数据出境负面清单，进一步优化申报方式、简化备案流程，形成了高效便利安全的数据跨境流动“北京实践”。

5.大湾区：内地与港澳间形成了政策制度上的“跨境”衔接

在数据跨境流动探索方面，2023年12月《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》应时而出。根据指引，除重要数据需通过安全评估方能出境外，其他数据均可通过珠三角九市与香港签订标准合同进行数据跨境流动。2024年7月，香港数字政策办公室发布更新版《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案指南》（适用于香港特别行政区），对香港个人信息处理者及接收方的备案方式和流程进行规范。2024年9月，《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》出台。根据实施指引的规定，除重要数据外，粤港澳大湾区的个人信息处理者与接收方可依据指引要求，通过签署标准合同的方式，实现内地与澳门之间个人信息的合法、有序跨境流动。至此，内地与港澳间形成了数据跨境政策制度上的真正“跨境”衔接，对推动解决大湾区数据跨境流动问题、加大吸引外资力度等起到关键作用。

6.海南自贸港：数据政策靠前探索，落地见效引领高质量发展

2024年11月，海南省通过《海南自由贸易港国际数据中心发展规定》，支持境内外企业在自贸港开展国际数据中心业务，利用高速便捷的跨境数据专用通道面向境外提供系列服务，旨在促进海南自由贸易港国际数据中心发展和数据跨境安全有序流动。在各项政策的引领支持下，海南自贸港的安全屏障越筑越牢，推动实现从人流、物流、资金流、信息流等要素型开放，向投资和贸易等制度型开放转变。

二、特点分析

当前，国内各主要自贸试验区正结合自身特点和优势，探索出符合实际的发展道路：有的通过负面清单填补了行业领域空白，有的出台务实政策举措提高数据跨境便利度，有的形成了政策制度上的“跨境”衔接，值得关注与分析。

1.顶层设计加持自贸试验区数据跨境快速发展

党的二十届三中全会强调“提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制。”在中央顶层设计的加持下，部分先进自贸试验区靠前站位，有的通过负面清单填补了行业领域空白，有的出台务实政策举措提高数据跨境便利度，有的与内地形成了政策制度上的跨境衔接，已初步完成了各自属地的数据跨境流动政策制定，基本建立了辖区内的数据跨境流动管理制度，实现了辖区内数据跨境的快速发展，值得点赞与关注。

2.数字经济蓬勃发展驱动数据跨境政策与时俱进

随着数字经济的蓬勃发展，数据跨境流动正日益成为驱动经济增长的新引擎。作为全球数字经济发展的重要力量，我国在推动数据跨境流动制度体系建设方面责无旁贷，理应为全球数据治理贡献中国智慧与中国方案，提出新见解、新思路、新主张。各自贸试验区不断探索辖区内的数据分类分级标准、制定场景与清单，既是顺应党中央国务院相关政策与制度要求的集中体现，也是探索与统筹适合自身安全与发展道路的迫切需要。形势在变化，事物在发展，也要求相关法律制度体系与时俱进。如国家层面发布的《促进和规范数据跨境流动规定》，相较于以往的政策，在数据跨境流动政策方面，我国对相关条件进行了适度放宽，同时合理收窄了数据出境安全评估的适用范围。

3.数据出境安全管理制度规制坚持安全与发展并重

我国历来重视数据出境的安全有序流动，自贸试验区在设计相关数据出境安全管理制度时也都是立足发展与安全。一方面，各自贸试验区在充分利用数据分类分级管理的顶层设计框架同时，积极优化结合数据安全评估、个人信息出境标准合同和个人信息保护认证三个具体落实办法，对辖区内的企业数据跨境流动具体路径予以明确指导。如海南、山东等地，结合当地的实际情况，适时修订并发布新版数据出境相关配套文件，为数据安全出境扣上制度笼子。另一方面，各自贸试验区又积极促进并适度放宽辖区内的数据跨境流动，以推动辖区内的经济发展。

4.合规有序的数据政策推动数据要素价值不断释放

当前，在经济全球化发展的大背景下，便利数据跨境流动能极大地释放数据要素价值，驱动数据要素释放更多正向积极作用。便利的数据跨境流动政策可对吸引来华外资、推动企业出海起到积极作用，也有利于我国高质量数据的自由流动和高效配置。自由贸易试验区肩负着为国家在数据跨境流动领域的“先行先试”使命，通过数据清单的形式灵活调整，实现数据跨境传输机制上的精准优化与创新突破。各自贸试验区可在统筹发展与安全的前提下，探索具有各自辖区经济特色的数据跨境流动体制机制，实现数据“又好又快”出境。

5.完备的数据出境监管模式是数字经济发展的重要前提

目前，由于我国数字经济发展尚处在总量增加的初级阶段，数据处理活动的监管体系也尚处于搭建期。这也在客观上要求我国的数据出境监管模式实施“分业监管”。一方面，各相关单位、部门在职责范围内对自贸试验区的数据实施监管，并未形成统一的监管体系和模式。同时，与域外一些成熟的数据跨境监管国家或地区欧盟、日本、新加坡等相比，境内自贸试验区的数据跨境处理活动还缺乏统一的数据跨境监管机构，缺乏具备一定专业度的执法标准。此外，在防范数据跨境的风险时，行业自律的作用在存在一定不足，如企业协会、行业组织等未能在贯彻落实数据跨境政策方面充分发挥组织、协调、宣传等方面的作用。

三、面临的主要问题分析

各自贸试验区虽发展兼具特色和优势，但梳理发现均面临政策监管滞后、地域发展不均衡、专业人才缺乏、对接高标准经贸规则有差距等问题，需要逐步完善和解决。

1.政策出台与数据监管速度滞后阻碍数据跨境流动

目前，国家层面已出台《网络安全法》《数据安全法》和《个人信息保护法》，也更新了《标准合同备案指南》与数据出境安全评估机制，让数据跨境合规流动有了政策依据和支持。但自贸试验区在数据出境具体政策措施和细则制定上，仍存在片区解读不一致、细节操作受阻、清单发布不统一等问题。而上海、天津、北京等部分发展先进的自贸试验区所制定的专门数据跨境流动规范和应用场景清单也难以做到完整覆盖和监管，数据清单的覆盖范围与更新频率无法及时跟上企业数据出境需求的变化。而正如前文提到的，我国的数据跨境流动仍牵涉多头监管问题，亟需建立统一的数据跨境监管机构，以提升对数据跨境流动的效率和安全性监管。

2.地域发展不均衡制约数字服务能力建设

梳理发现，沿海自贸试验区的数据跨境流动需求比内陆和西部自贸试验区更旺盛，也凸显了我国自贸试验区发展不平衡问题。如国内目前数据跨境流动政策较为健全的自贸试验区主要是江苏、天津、上海、北京等，这些区域在技术创新、基础设施建设、资金投入方面优势显著，企业数据跨境需求较多，也有能力可以迅速响应并解决数据跨境流动涉及到的复杂问题。而受限于经济发展水平和技术资源条件，部分内陆和西部自贸试验区则难以充分满足和应对企业高效、安全的数据跨境流动需求，各自贸试验区之间存在发展不平衡问题，制约我国整体的数字服务能力建设。

3.高素质专业人才缺口与技能不匹配性问题突出

随着我国对外开放程度的持续深化，国内对数据跨境流动和数字经济领域高素质专业人才的需求日益增长。在提升人才自主创新能力方面，北京、广东、江苏等地纷纷加强数字领域人才保障体系建设，通过完善政策机制、搭建平台、打造科学梯队等措施打造数字领域人才。但梳理国内主要自贸试验区发现，各区在人才引进和培养方面仍面临诸多挑战，存在数字人才少、复合型人才培养缺口大等问题。部分自由贸易试验区因政策支持有限和资金压力，在人才技能提升与技术创新方面进展迟缓，这直接影响了自贸试验区在数据跨境流动领域的创新能力和长远发展。未来，应多措并举，做好落实落细各项工作。

4.对接高标准国际规则方面仍有一定差距

梳理发现，从国家顶层设计到地方政府发布的多份重磅文件均提出或鼓励自贸试验区对接高标准国际经贸规则。在数据跨境方面的高标准国际经贸规则对接，上海、天津、大湾区等部分先进自由贸易试验区已经台了较为完备的对接方案，但仍有部分内陆和西部自贸试验区尚未着手启动研究。分析认为主要原因有两点：一是部分区域尚不具备探索数据跨境有序流动的环境优势，在数据跨境监管环境、区域内治理体系建设方面存在难题痛点；二是部分区域在细化数据跨境分级分类颗粒度、创新数据跨境安全监管等方面仍比较审慎，推动数据跨境治理方面迈的步子相对较小。

四、发展对策与建议

通过分析中国主要自由贸易试验区数据跨境流动政策概况的最佳实践，分析归纳主要自贸试验区数据跨境流动政策特点和问题，为完善我国数据跨境流动政策制度提出如下建议：

1.持续畅通自贸试验区数据合规跨境通道

高效便利安全的数据跨境流动机制是推动自贸试验区创新发展的重要先决条件之一。一方面，要高效开展数据出境安全评估，进一步明确数据处理者的数据出境场景和路径，健全完善线上、线下数据出境的申报、评估等工作，着力提升标准合同备案质效，为辖区内数据出境提供服务指导。另一方面，网信、商务及政数等部门要形成合力，盯紧数据违规出境的技术和制度漏洞，探索建立相关技术认证机构、相关检测平台、相关服务咨询机构等，推动辖区内数据合规流动。

2.加强与高标准国际规则的对标及合作交流

自贸试验区要在国家有关部门的指导下，积极对接高标准国际经贸规则，探索数据跨境方面的国际交流合作、研究认证制度国际互认等方法路径，为构建高标准服务业开放制度体系提供支撑。聚焦贸易、投资、金融、知识产权等重点领域，重点解决数据跨境流动中法条不一致的问题，不断在数据跨境流动制度创新探索上，建立与高水平制度开放相匹配、相协调的数据跨境流动监管体系。

3.优化数据安全出境监管与保障措施

自贸试验区自身应不断发挥主观能动性，坚持用好安全评估、标准合同及保护认证等数据跨境规则。一方面，要加强自贸试验区内数据跨境安全风险隐患的监测能力建设，利用大模型、区块链等前瞻性技术手段，研判和发现数据泄露与隐私安全风险问题、重点关注和着力解决已经产生的不良事件。另一方面，加强自贸试验区内数据跨境安全制度建设，整合相关监管部门和单位力量，统筹兼顾各利益相关方的责任与义务，动态评估并有效化解数据出境引发的潜在风险。

4.构建行业自律体系防范数据跨境风险

总体上看，行业组织要在国家顶层设计的指导下，制定符合数据法理的行业规范，细化数据跨境相关法律法规在指导企业数据合规方面的实践应用。一方面，行业组织要配合自贸试验区相关单位部门发挥凝聚企业的作用，积极向监管者、立法者建言献策，有组织地抵制数据跨境中的不合法不合规行为。另一方面，行业组织更要发挥行业或地方标准专业性、科学性和可操作性的导向作用，鼓励围绕数据质量、数据交换、数据隐私等制定相关行业标准，直接对企业的数据跨境行为进行规范，继而防范数据跨境引发的安全风险。此外，还要缕清与政府部门之间的分工职责，建立制度衔接机制，切实推动数据安全跨境。

5.数据多样性推动多元化数据跨境流动变革

由于自贸试验区需要跨境的数据范围较广泛，不仅包含电商交易数据、个人网络数据等，更包含涉及工业制造、医疗健康、经济金融等多个门类的行业数据，客观上也要求自贸试验区不断推陈出新，探索自身迫切需要的数据场景与负面清单，建立分类分级制度。同时，自贸试验区还应建立相关配套管理体系，统筹构建稳健全面的数据跨境流动战略架构，建立完善的个人数据和隐私保护机制，有针对性的管理非个人数据，构建一套与政府、与企业、与行业、与社会联动的多元数据跨境流动管理体系。

五、研究结论

当前，国内各主要自贸试验区在发展程度、产业结构、行业规模、企业数量等方面存在差异，对数据跨境的场景需求也各不相同。同样，在地域发展方面也呈现出不均衡，但自贸试验区承载着国家赋予的“先行先试”的重要责任使命，继而要在数据跨境流动制度创新探索上走出一条符合自身发展的必由之路。通过对国内各主要自贸试验区数据跨境流动制度的研究分析，可为提高监管水平，促进数据跨境有序安全流动提供借鉴，为完善我国数据跨境流动管理体系提供对策建议。

参考文献：

[1]单哲宇,吴昊,荆悦.推动我国自贸试验区数据跨境有序流动[J].中国外资, 2024(15): 48-53.

[2]马忠法,郑文龙.上海自贸试验区对接DEPA跨境数据流动规则：动因、差距及完善路径[J].上海财经大学学报,2024,26(4):139-152.

[3]叶传星,闫文光.论中国数据跨境制度的现状、问题与纾困路径[J].北京航空航天大学学报(社会科学版),2024,37(1):57-71.

[4]殷凤,党修宇.上海自贸试验区率先探索构建高标准跨境数据流动规则体系研究[J].科学发展,2023(9):36-43.

[5]余宗良,张璐 我国数据跨境流动规则探析——基于粤港澳大湾区先行先试[J].开放导报,2023(2):86-93.

[6]潘宏远.国际经贸规则视域下高标准推进黑龙江自贸区数据跨境流动的对策研究[J].对外经贸,2024(9):6-8+12.

[7]陈慧,刘琦.自贸试验区试点政策与数字服务出口技术复杂度：理论机制与实证分析[J].管理现代化,2024,44(6):17-26.

[8]刘鹏,李冠华,周文霞,等.粤港澳大湾区金融数据跨境流动的特征、问题及建议——基于15家典型金融机构问卷调查[J].金融会计,2024,(7): 48-54.

[9]本刊编辑部.数据跨境流动的中国方案——我国推动数据跨境安全有序自由流动述评[J].中国网信,2024,(5):4-12.

[10]马光.我国跨境数据传输规则与国际规则的协调研究[J].中国政法大学学报,2024(02):227-239.

[11]薛妮.海南自由贸易港数据跨境流动法律制度研究 [D].海口:海南大学,2023.

[12]吴玄.海南自由贸易港数据跨境规则创新路径研究[J].海南大学学报(人文社会科学版),2025(1):1-9.

[13]黄天睿,陶喆.上海自贸区数据安全管理认证制度的实施路径和展望[J].上海市经济管理干部学院学报,2024,22(5):33-42.

[14]周念利,于美月,孙勤娜. 对标“贸易面向型”国际数据规则提升自贸区(港)数据治理水平[J].国际商务研究,2025,46(1):73-85.

[15]张亮,林灏铭.论粤港澳大湾区数据跨境流动制度的完善进路[J].特区实践与理论,2024(5):91-98.

[16]成小爱.总体国家安全观下数据出境安全评估的制度优化[J].兰州学刊,2024(11):95-112.

[17]张旭,阮梅花.发展粤港澳大湾区的类脑智能产业[J].中国科学院院刊,2024,39(9):1602-1611.