专家解读
北京邮电大学人工智能法律研究中心主任、教授 崔聪聪
守安全底线 促开放活力——
北京“两区”数据出境
负面清单制度体系再升级
数据要素是数字经济的核心生产要素,数据跨境安全有序流动是高水平对外开放的关键支撑。当前,我国数据安全与跨境流动制度体系持续完善,地方先行先试成为制度创新的重要路径。近日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局联合发布中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境负面清单(2025版)及配套管理办法,构建起“办法+规则+清单”三位一体的数据出境管理新模式。这一制度创新,既是北京落实国家数据安全法律体系、保障数据安全与个人信息权益的重要举措,也是深化“两区”建设、提升数据跨境流动便利化水平、赋能数字经济与服务贸易高质量发展的关键实践,为全国数据出境管理提供可复制、可推广的“北京方案”。
一、制度出台的背景与定位
在全球数字治理格局加速重构、我国数字经济深度融入国际循环的背景下,数据出境管理面临安全与发展、监管与便利的双重平衡挑战。一方面,《网络安全法》《数据安全法》《个人信息保护法》构建起数据出境的法治框架,数据出境安全评估、个人信息出境标准合同、个人信息保护认证形成“三条路径”,但在产业实践中,企业仍面临重要数据识别难、出境流程繁琐、行业适配性不足等问题;另一方面,北京作为全国首个“两区”叠加的城市,集聚大量外资企业、科技企业、金融机构与高端服务业,数据跨境流动需求旺盛,尤其是医疗器械、自动驾驶、贸易物流、银行、人工智能等重点产业,对高效、透明、可预期的数据出境制度有着迫切诉求。
在此背景下,北京立足“两区”定位,以复制推广自贸试验区成熟经验、破解企业实操痛点、提升治理效能为目标,出台数据出境负面清单管理体系。其核心定位清晰明确:一是坚守安全底线,筑牢国家安全、公共利益、个人信息权益的防护屏障;二是助力产业发展,精准匹配重点行业数据出境需求,降低企业合规成本;三是创新管理模式,以负面清单为核心,实现分类管理、分级施策、便利通行;四是强化示范引领,为全国数据跨境流动制度优化探索路径、积累经验。
这一制度体系的出台,标志着北京数据出境管理从“普遍监管”向“精准治理”转型,从“被动合规”向“主动服务”升级,既贯彻落实国家数据安全战略部署,又充分释放“两区”开放红利,实现安全与发展的有机统一。
二、制度体系的核心框架与鲜明特色
北京“两区”数据出境负面清单制度体系,以管理办法为统领,以数据分类分级参考规则为基础,以2025版负面清单为核心,形成逻辑严密、覆盖全面、实操性强的制度闭环,呈现四大鲜明特色。
(一)体系化治理构建数据出境管理的完整框架
北京“两区”数据出境负面清单制度体系以统一规范、分级分类、务实管用为导向,形成顶层规则、基础标准、行业清单三层衔接的完整架构,实现制度设计全覆盖、流程运行全闭环、责任落实全链条。
顶层规则确立整体运行规范。管理办法立足国家上位法,系统界定制度适用范围、实施原则与核心流程,明确市区两级管理部门、数据跨境服务中心、数据处理者的权责边界,规范清单制定、备案实施、监督管理等关键环节,为整个制度运行提供稳定、权威、统一的依据。整个制度设计坚守安全底线,充分服务产业发展,实行分批分类管理,确保数据流动在安全可控前提下实现最大便利。
基础标准统一数据分类界定。数据分类分级参考规则面向企业实操痛点,建立覆盖多领域的重要数据统一识别依据,明确规模阈值、敏感类型、场景边界,将抽象的法律定义转化为可操作、可判断、可落地的具体标准,有效解决企业在重要数据与个人信息界定、分级、申报等环节的困惑,提升合规判断的一致性与准确性。
行业清单推动政策精准落地。2025版负面清单聚焦北京优势产业与高频出境场景,覆盖汽车、医药、民航业、零售与现代服务业、人工智能训练数据、医疗器械、自动驾驶(智能网联汽车)、贸易物流、银行业九大重点行业,结合业务场景、数据类型、规模量级明确差异化合规路径,实现行业适配、场景适配、风险适配。清单内容具体、边界清晰、口径统一,企业可直接对照执行,大幅降低理解成本与操作难度。
三大板块相互支撑、有机衔接,共同构成北京“两区”数据出境治理的“四梁八柱”,标志着北京数据跨境流动管理进入体系化、规范化、便利化新阶段。
(二)坚守三大核心原则,平衡安全与便利
管理办法明确负面清单管理坚持安全底线、产业发展、分批分类三大原则,成为制度设计的根本遵循。
安全底线原则,严格遵循国家数据安全法律法规,将国家安全、公共利益、个人信息权益放在首位,对核心数据实行更严格管理,不纳入负面清单范围,筑牢数据安全“防火墙”。
助力产业发展原则,聚焦企业实际需求,科学划定限制与禁止出境的数据范围,最大限度简化流程、降低成本,为合规数据出境“松绑提速”,促进跨境业务高效开展。
分批分类管理原则,负面清单按行业领域制定清单,清单内数据依敏感程度和量级分别适用数据出境安全评估、个人信息出境标准合同备案或个人信息保护认证;负面清单以外的数据,可依法安全有序自由流动,实现精准施策、差异化监管。
(三)压实多级监管责任,构建全链条服务体系
制度明确市、区两级管理部门、数据跨境服务中心、数据处理者的四方责任,形成“统筹协调、分级负责、服务支撑、企业主体”的治理格局。市级部门负责清单制定、联评联审、动态管理;区级部门负责备案审核、日常监管、服务对接;数据跨境服务中心提供政策咨询、绿色通道对接;数据处理者履行备案、合规出境、配合监管义务,实现事前备案、事中抽验、事后监管的全链条管理。
三、2025版负面清单:聚焦重点行业,精准适配产业需求
2025版负面清单是制度体系的核心落地载体,聚焦北京“两区”优势产业与数据出境高频场景,分新编制清单与首批自贸区清单转用两类,覆盖九大行业,每类清单均明确数据类别、子类、特征描述、适用场景与合规路径,极具实操性。
(一)聚焦高精尖产业,破解行业痛点
在高精尖产业领域,清单重点覆盖医疗器械、医药、自动驾驶、人工智能等行业,针对临床试验、不良事件监测、真实世界研究、模型训练、算法开发等核心场景,明确数据出境规模阈值与监管要求,既守住医疗数据、地理信息、算法源码等高价值数据的安全底线,又为产业研发创新提供合规空间。针对高级别自动驾驶示范区还设置了专项便利政策,符合条件的数据完成备案后可享受简化流程,充分支持前沿技术探索。
(二)服务开放型经济,适配流通需求
在开放型经济领域,清单聚焦贸易物流、银行业、民航、零售等行业,围绕报关清关、跨境支付、客户服务、会员管理等高频业务场景,划定个人信息与重要数据出境标准,兼顾供应链安全、金融安全与服务贸易便利化需求,助力企业开展跨境业务、拓展国际市场。
(三)明确豁免与特殊规定,释放政策红利
清单明确多项便利化措施,一是高级别自动驾驶示范区内依法开展道路测试、示范应用活动所收集、产生的自动驾驶相关数据,达到有关部门处理要求并完成负面清单使用备案的,可免予安全评估/备案/认证;二是已履行人类遗传资源管理行政许可与备案义务的基因数据可按规定出境;三是经研判属负面清单外的数据,可依法有序自由流动,大幅降低企业合规成本。
四、实施流程与监管机制:高效便捷、风险可控
北京“两区”数据出境负面清单实施流程简化透明,监管机制科学高效,实现便捷出境、风险可控。
数据处理者开展数据出境,只需按照要求提交备案申请与承诺书,完成备案后即可在有效期内依法合规出境,信息发生变化仅需更新备案,流程简洁、时限明确、预期稳定。区级管理部门主要负责受理审核与服务对接,市级管理部门主要负责联评联审与风险研判,市区协同、高效联动,最大限度压缩办理时间,提升企业获得感。
监督管理坚持全链条覆盖,强化事前规范引导、事中一致性抽验、事后风险核查,建立安全风险监测、通报、处置机制,对违规行为依法处理,对高风险数据及时纳入管理。同时严格保护核心数据,对涉及国家安全、国民经济命脉、重要民生、重大公共利益的数据实行更严格管理,不纳入负面清单范围,牢牢守住安全底线。
制度还明确与出口管制、技术出口、人类遗传资源管理等相关法律法规的衔接规则,确保跨领域、跨部门监管口径统一,避免出现规则冲突或监管空白,为企业提供稳定连贯的合规环境。
五、制度创新的价值意义与示范效应
北京“两区”数据出境负面清单制度体系的出台实施,具有重要法治价值、产业价值、开放价值与示范价值,对推动区域高质量发展、服务国家战略全局意义深远。
在法治层面,制度全面衔接国家数据安全法律体系,将上位法原则性规定转化为地方可操作细则,统一标准、统一流程、统一口径,推动数据出境管理更加规范化、标准化、透明化,进一步完善地方数据治理体系。
在产业层面,制度精准对接九大重点行业跨境数据流动需求,简化合规流程、降低合规成本、缩短合规周期,有力支撑企业开展跨境研发、生产、服务与合作,促进创新链、产业链、供应链高效联动,为数字经济、高端制造、现代服务业发展注入强劲动力。
在开放层面,负面清单模式透明可预期、便利可操作,有利于吸引全球优质资源、高端项目与创新主体集聚北京,提升“两区”开放能级与国际竞争力,打造国际一流数据跨境营商环境。
在示范层面,北京作为全国先行先试平台,其制度设计、行业清单、实施流程、服务模式均为全国数据出境治理提供了实践样本,有利于推动形成更加成熟、更加定型、更加便利的数据跨境流动制度,为全国层面完善规则积累经验。
六、落地实施的关键要点与未来展望
推动北京“两区”数据出境负面清单制度落地见效,需要政府、企业、服务机构协同发力,共同构建安全、顺畅、高效的数据跨境流动生态。
企业要主动落实主体责任,全面开展数据梳理与分类分级,对照参考规则与行业清单准确识别重要数据与个人信息,严格按照流程完成备案,选择对应合规路径出境,强化内部数据安全管理,落实脱敏、去标识化、应急处置等要求,做到合规出境、安全出境。
管理部门要持续强化政策宣贯与业务指导,推动清单内容深入人心,优化审核流程,提升服务效能,加强风险监测与动态调整,及时回应企业诉求,不断完善制度内容与实施机制。
数据跨境服务中心要发挥专业支撑作用,提供政策咨询、材料指导、风险研判、绿色通道对接等服务,打通政策落地最后一公里,帮助企业快速掌握规则、高效完成合规。
各方协同发力,必将推动制度优势充分转化为发展优势,让数据在安全前提下顺畅流动,为北京“两区”高质量发展、全球数字经济标杆城市建设提供坚实支撑,为我国高水平对外开放与数据治理现代化贡献新的更大力量。
来源:北京市网信办
