跨境数据流通合规与技术应用白皮书

跨境数据流通合规与技术应用白皮书（2024）目录第一章跨境数据流动的新质生产力发展分析 3多重平衡视角下数据跨境流动的重要意义 3数据跨境流动应用场景的持续演进，展现了经济全球化的发展历程...............................................................................................................................4全球数据跨境流动典型违规案例启示 6监管创新促进数据跨境规范有序流动 9第二章全球AI（数据流动）法律新规 10人工智能跨境法律分析 《人工智能、人权、民主与法治框架公约》：全球首个具法律约束力的AI治理公约 12《人工智能公约》内容简介 122.1.2.对比分析：共鸣与分歧 13欧盟：引领全球AI监管，《人工智能法案》充分保障人权、民主和法治 132.3.1欧盟AI立法中的基本规则及跨境规则介绍 142.3.2.中欧人工智能监管体系的对比分析及启示 16美国：AI监管强调企业的自律合规，在规范的前提下促进发展17AI监管的多维进展-从联邦到州级的立法动态及行业自律.2.4.2.美国AI立法中的基本规则及跨境规则介绍 2.4.3.中美人工智能监管规则的对比分析及启示 21新加坡：成为全球数字经济枢纽的积极务实之路 23新加坡的AI国家战略 23新加坡现行AI立法的基本原则和规则 24以灵活开放方式平衡数据安全与流动，制定支持AI创新的法律框架 日本：积极推动国际合作，参与全球AI治理框架的构建 25日本在人工智能领域的国际合作与国内政策框架 25日本现行法律中对AI的规制 26中日两国AI监管政策的对比分析 29香港：开放政策、数据安全与区域合作 29香港推动AI产业发展 29香港现行AI政策文件 29香港关于AI立法的基本规则及跨境规则介绍 30俄罗斯：提高技术自主性和国际对抗性 32俄罗斯构建AI监管体系：战略规划与国际合作的推进 32俄罗斯人工智能立法中的基本规则及跨境规则 32俄罗斯与中国法律的对比 35强化数据本地化、AI出口管制与法律透明性建设 35新西兰推动AI透明与信任建设通过算法宪章与可信AI原则范发展 36新西兰法律制度背景介绍 36新西兰数据保护及数据跨境的要点解析 37个人控制与国家主导的差异 38合作-寻求未来 39人工智能发展和监管政策的共性 39.....................................................................................................................40第三章中国各地区数据跨境管理新实践 41各地自贸试验区数据跨境流动的制度指引与分析 42全国数据出境管理清单的整体情况 42各城市数据出境管理清单的对比及分析 48地区数据出境管理清单编制要素整理 55重点行业数据出境管理的对比及分析 60重点行业数据出境管理特点 79数据跨境流动治理负面清单模式的实施问题 80各自贸区政府举措 80数据跨境流动的困难与挑战 85自贸区数据跨境流动的建议 87第四章跨境数据双向流动案例 91跨境电商：跨境数据平台赋能产业带“出海”，助力跨境电商市场拓展 91案例实施背景 92案例方案 92案例应用成效 94跨境科创：全球科创情报大数据智能分析平台 96案例背景 96案例方案介绍 97案例应用成效 99跨境医疗数据合规平台助力北京友谊医院顺利开展跨境医学研工作 99案例简介 99案例实施背景 100技术方案 100案例应用成效 103跨境金融邓白氏凭借跨境企业征信数据服务助力外向型企业香港融资 103案例实施背景 104案例方案介绍 104案例应用成效 106跨境理财：基于隐私保护计算的跨境理财通监管服务 107案例背景 107案例方案 107案例应用成效 109跨境数据验证：CUDatahub可信跨境数据流动平台 109案例实施背景 案例方案 案例应用成效 AI海外应用：某医疗企业基于海外大模型来支持其海外客服工作...........................................................................................................................案例背景 案例方案 案例应用成效 跨境信用：全球企业数据服务赋能贸易发展 案例背景 技术方案 方案创新点和亮点 应用效果 跨境技术交融：AIAgent跨境数据底层创新赋能智能客服 案例实施背景 案例方案 案例应用成效 122汽车数据：车企跨境数据优化产品性能及售后服务 122案例背景 122案例方案 123案例应用成效 124第五章总结与展望 125图列表图1 日本政府正在研讨的人工智能新法的主要内容 26图2 涉数据跨境政策发布时间 42图3 涉数据跨境政策分布地区 43图4 上海市一般数据清单内数据跨境备案流程 50图5 北京市数据跨境便利化服务流程图 51图6 数据平台技术框架图 93图7 “龙数贸”数据服务实现流程图 95图8 智慧芽全球科创情报大数据智能分析平台赋能科技创新 97图9 智慧芽数据超级工厂典型的数据孵化流程 98图10 医疗数据跨境研究平台总体架构图 101图数据合规管理平台总体架构图 101图12 数据合规平台总体架构图 102图13 业务流程图（南向） 105图14 银行系统与隐私保护计算平台数据交互示意 108图15 CUDatahub跨境数据资产管理服务平台核心功能 图16 香港与内地数据跨境传输示意图 图17 OpenAI知识训练转化 图18 “查全球”跨境信用数字服务平台架构 图19 “查全球”功能展示图 图20 全球企业信用报告样例 图21 智能客服系统架构图 120图22 技术框架图 121图23 业务流程图 121图24 数据出境安全评估流程 123表列表表1 全球数据跨境违规案例整理 6表2《人工智能公约》重点内容简介 12表3 欧盟AI立法原则 14表4 欧盟AI立法规则 15表5 中美人工智能监管规则差异对比 21表6 中美跨境规则差异对比 22表7 新加坡现行AI立法的基本原则和规则 24表8 香港现行AI政策文件 29表9 香港AI立法的基本规则及跨境规则 30表10 俄罗斯联邦储蓄银行颁布人工智能发展战略规划 32表俄罗斯跨境数据法律规范简介 34表12 《2020隐私法》监督管理机构职能简介 37表13 中新数据保护法律差异对比 39表14 自贸区跨境数据清单发布情况 43表15 清单对比一览表 55表16 汽车行业数据跨境流动的规定各地区负面清单 60表17 生物医药行业数据跨境流动的规定各地区负面清单 65表18 金融行业数据跨境流动的规定各地区负面清单 68表19 交通行业数据跨境流动的规定北京负面清单 71表20 交通行业数据跨境流动的规定天津负面清单 73表21 人工智能行业数据跨境流动的规定北京负面清单 75表22 前海相关数据交易政策文件 83第一章跨境数据流动的新质生产力发展分析2024322加快新质生产力培育与壮大的关键环节。发凸显。具体有以下三点：跨境数据合规体系夯实数字贸易发展基础。定企业能否实现可持续发展、构筑长远竞争优势的战略基石。科研数据跨境流动加速促进国际科技合作。在全球范围内扩散和应用，使得各国和地区可以及时调整其科技创新战略和方向，国际社会能够携手并进，共同应对全球性科技挑战。数据跨境激发产业聚集，推动产业升级转型。经济关系奠定了坚实基础。入发展，数据跨境流动已成为常态，其应用场景也在不断演进和创新。数据跨境流动此前主要应用在国际商贸等少数领域等场景：于公司的日常运营至关重要。际信贷等。这些数据的流动是国际金融服务正常运作的基础。据进行整理和分析，可以帮助企业有效提高销售效率和客户满意度。技术创新不断推动数据跨境流动覆盖更多新兴领域用场景也在不断演进，涵盖了更多的行业和领域：置的限制。数据，包括学习进度和成绩等，使得教育资源能够跨越国界，实现全球共享。链的每一个环节，从原材料采购到产品销售，实现供应链的优化和风险控制。练自动驾驶技术。AI系全球范围内进行交易，这凸显了数据作为一种资产的价值。动能面清单”管理模式通过制定适用于特定场景的数据清单，简化了审批程序，同时点时，提出了针对环境（Environment）、社会（Social）和治理（Governance）（为数据跨境流动提供了新的监管机会和解决方案。这些创新的监管模式和工具，不仅为数据跨境流动提供了新的视角，也为全球数据治理提供了新的思路。（1）全球视角下的数据跨境违规案例深度梳理1512起在国1882024GDPR表1全球数据跨境违规案例整理1序号行业违规日期违规主体违规事实摘要处罚结果摘要处罚国家1测绘2024.1某境外企业、某测违反《中华人民共和国测绘法》《中华人民共涉事企业和有关责任人员受中国1HDPADPCDPAPIC6绘公司和国测绘成果管理条例》到了法律追究2电信2020希腊某电信集团及部门非法处理数据、未提供准确信息、影响评估不充分、安全措施不足被HDPA罚款925万欧元希腊3法律服务2024.1英国某律师事务所未确保处理系统机密查第三方合同技术措施英国信息专员发出谴责英国4互联网2024某职业社交网站GDPR第6条和GDPR51求个人数据处理合法爱尔兰DPC罚款3.1亿欧元爱尔兰52020.8-2023.1某互联网巨头违规传输数据至美国，违反GDPR相关规定爱尔兰DPC罚款12亿欧元爱尔兰62021.8某社交媒体应用GDPR跨境数据保护违GDPR1213、14条爱尔兰DPC罚款2.55亿美元爱尔兰72023.1某全球性科技公司社交媒体和图片视频服务违规，违反GDPR多条爱尔兰DPC罚款总计3.9亿欧元爱尔兰82023.5某科技巨头子公司违规传输数据至美国，GDPR44、4546条爱尔兰DPC罚款12亿欧元，要求停止传输爱尔兰9交通2024.7某网约车服务商SCC，未加入DPF，违规传输数据至GDPR条荷兰DPA罚款2.9亿欧元荷兰10酒店2024某国际酒店违反《中华人民共和国12项，超出合同必需范围广州互联网法院判决某国际酒店承担民事侵权责任中国11零售2024.3-2024.6某中国跨境电商平台大规模用户数据泄露，违反GDPR数据处理原则及安全措施尚未明确处罚，可能面临高额罚款及商业、法英国7律风险122024.3某芬兰在线零售商无限期存储数据、强制注册账号被罚款85.6万欧元，要求改正芬兰132024.7某跨境电商平台未经同意泄露韩国用户信息，违反韩国个人信息保护法韩国PIC罚款19.78亿韩元+滞纳金，责令改正韩国14商务咨询/酒店2023.7某商务咨询公司、某国际酒店违反《中华人民共和国12项，超出合同必需范围。7万余元中国15娱乐2024.1两家在线占卜公司过度存储数据、未经同意收集敏感数据、违规商业推销其中一家被CNIL25欧元法国案例分析及启示未按照当地监管规定收集数据的法律责任，以确保数据主体的权益获得全面保护。未持续跟进国际数据监管动态未规范合规流程和明确责任动态，确保企业的合规运营。未对敏感个人信息特殊保护案例三、十、十一、十三至十五多次提及数据泄露及未经同意的敏感数据收未征得数据跨境用户明确同意用户退出流程，完善用户同意机制，切实保障用户的信息权益。依法有序自由流动，激发数据要素价值，成为一项紧迫课题。20243月公布《促进和规范数据跨境流动规定》（以下简称《规定》)设的重要创新,为全球数据流动治理探索、积累和提供中国经验。2023629202499日，国家互联网信息办公室与澳门特区政府经济财政司签署《关前述备忘20231210日与香港创新科技及工业局（2024910日与澳门特别行政区政府经济及（内地、澳门）个人信息跨境流动标准合同实施指引》（《澳门标准合同指引》），（大湾区标准合同区域内的创新活力，推动了数字经济的多元化发展。第二章全球AI数据流动法律新规根据国际数据公司（IDC）的预测，到2028年，全球在人工智能支持技术7490203019.9GDP3.5%2竞争舞台上强化优势，提升核心竞争力。容，力求为读者奉献更高品质的知识盛宴与阅读享受。同时，我们始终致力于拓宽并深化对域外数据跨境流动规则的资料库建设。2https:///getdoc.jsp?containerId=prCHC5269992410对于渴望深入了解其他国家或地区数据跨境规则的读者群体，我们诚挚推荐参阅2023年度版的白皮书相关篇章，以获得更为详尽且全面的信息。2024321智能系统带来的机遇，促进可持续发展》3的决议（A/RES/78/265），这是联合794（A/RES/78/311）和《未来契约》5（A/RES/79/1）及其附属决议《全球数字契约》6《子孙后代问题宣言》72023年也发布了《全球人工智能治理倡议》，提出了发展人工智能应坚持“以人为本工智能的监管策略，旨在为未来的国际合作提供宝贵的参考和指导。3/doc/undoc/gen/n24/087/82/pdf/n2408782.pdf4/doc/undoc/gen/n24/197/25/pdf/n2419725.pdf5/doc/undoc/gen/n24/272/21/pdf/n2427221.pdf6https:///zh/documents/treaty/A-RES-79-1-Annex-I7https:///zh/documents/treaty/A-RES-79-1-Annex-II11《人工智能、人权、民主与法治框架公约》：全球首个具法律约束力的AI202495日，美国、欧盟、英国等国家和组织在欧洲委员会司法部长（ArtificialIntelligenceandHumanRights,DemocracyandtheRuleof。AI具有法律约束力的公约，标志着世界各国在管理和规范人工AI发展在人权、民主和法治AIAIAIAIAIAI响应和反馈机制等。《人工智能公约》内容简介细内容8。表2《人工智能公约》重点内容简介基本理念具体措施1.采取措施或保持措施确保AI系统在其生命周期内的活动符合国际法或国内法规定的保护人权的义务；尊重和保护人权通过监管机制识别和纠正AI止算法歧视;AI系统的充分透明，保障个人的知情权等，确保有可能对人AI系统相关信息和使用情况被记录在案，提供给有权;8/1680afae3c124.对受人工智能影响的个人提供有效的程序和权利保障,确保个人对AI系统做出的决定能提出异议,为个人向主管部门提出申诉提供有效的途径。保障民主制度AI系统不被用于破坏民主机构和程序的完整性、独立性和有效性;AI的公平性和透明性，增强公众对民主治理的信任，加强公共参与维护法治AI的开发、部署进行独立的法律审议。国际合作AI系统可能对人权、民主和法治产生重大影响开展国际合作，相互交流有关信息；AI系统在生命周期内对人权、民主和法治的风险和不利影响。2.1.2.对比分析：共鸣与分歧AI监管，《人工智能法案》充分保障人权、民AI技术的发展能兼顾对个人权益和社会价值观的保护。20185（GDPR）AI数据的使用产生了深远影响。2024521日，欧盟《人工智能法案》（ArtificialIntelligence(AIAct）（以下简称“AI法案”）由欧盟理事会正8120214间的多轮审议，最终形成了一套统一的人工智能系统监管标准。AI法案具有广款和严格的监管执行框架。AI法案的颁布标志着欧盟在人工智能整体监管方面走在世界的前列，对全球人工智能监管体系的构建具有较大示范借鉴作用。AI立法中的基本规则及跨境规则介绍欧盟现行立法的基本原则和规则欧盟在人工智能（AI）立法方面一直走在全球前列，其《人工智能法案》（ArtificialIntelligenceAct）2021421日正式提出，经过近三年的审议13章、条，内容涵盖了人工智能系统的投放、服务和使用等多个方AI立法的基本原则和规则主要体现在以下几个方面：3AI立法原则原则原则简介基本权利原则AI些原则，确保人工智能系统的开发和使用不会侵犯公民的基本权利。分级分类原则”的通用人工智能承担更多的合规义务[1]。比例原则AI法案遵循比例原则，即监管措施应与所追求的目标相适应，避免过度监管对创新造成不必要的阻“人类监督143款要求“监督措施应当与高风险人工智能系统的风险、自主程度和使用环境相称”。[2]平等原则法案要求对所有相关方平等对待，不论其国籍、规模或行业背景，确保公平竞争。国家责任原则欧盟成员国在实施AI法案时负有责任，确保本国法律与欧盟法律保持一致，并有效执行相关法规。AI（AIAI系统的基本运行机制和决策逻辑）、可问责性（对于涉及用户利益的AI欧盟现行立法中的跨境规则AIAI法案中得到了充分体现。4AI立法规则规则特性规则简介跨境适用的广泛性AI法案具有广泛的域外适用效力，不仅适用于欧盟内部必须遵守该法案的规定。数据跨境流动的监管AI法案要求相关企业必须确保数或被滥用。国际合作与对接AI立法的同时，也积极寻求与其他国家和地区的境流动机制例外条款的设置尽管欧盟AI法案对数据跨境流动有着严格的监管要求，但也工智能系统或模型，以及个人在非职业活动中使用的人工智能系保护之间的关系，促进科技创新和经济发展。AI内的人工智能监管提供了有益的借鉴和参考。中欧人工智能监管体系的对比分析及启示中国人工智能治理监管体系构建现状4月发布的《生成式人工智能服务管理办法（征求意见稿）2023713日发布的《生成式人工智能服务管理暂行办法》正是对目前如火如荼202499日，国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。《框架》以鼓励人工智能创新发展为第1.0中欧人工智能治理监管体系对比与中国相比，欧盟在AI治理监管体系的构建上呈现出不同的特点。欧盟注重通过立法手段来规范AI技术的发展和应用，其《人工智能法案》是全球首部AIAI施分类监管，确保了监管的针对性和有效性。AIAI合法性和道德性。AI技术的滥用行为，保护公民权益和社会公共利益。AIAIAI发展。欧盟“AI法案”对构建中国人工智能治理监管体系的启发体系提供了有益的启示。首先，中国可以借鉴欧盟的风险分类监管方法，根据AIAI技术的伦理AIAI治理体系的完善。通过参与国际组织、加强与其他国家的对话与合作AIAI技术的健康发展。另一方面，欧盟的做法不具有普适性,很难借鉴。欧盟作为高度一体化的区域性经济政治组织,其立法带有法典编纂功能或者“一揽子解决”7582这样的法典编纂功能。[3]AIAI监管的多维进展从联邦到州级的立法动态及行业自律作为AI技术发展的策源地和主要推动力量，美国政府对于AI监管的态度可AIAI发展战略和原则性要求，但在具AI技术尚处于相对早期阶段，大规模商用场景和潜在风险还未完全显现；另一方面，美国政府传统上对新兴科技领域采取“暂时不管”2023ChatGPTAIAI技术在隐私、安全、伦理等方面的潜在风险。在这一背景下，联邦层面（包括参众两院）、美国各州层面及科技公司三股力量分别推动着美国AI立法的进程。第一股力量来自联邦政府。2016年起，奥巴马政府任内的国家科学技术2019AI监管方面的决心进一步加码。95日，欧洲委员会牵头制9AI公约。10月，（E.O.14110）AI850多个联邦机构执行超百项具体任务。AI立法热度也在持续升温。自2023AI性立法方案或总体框架草案，但由于分歧仍未就统一法案达成共识。第二股力量来自于各州。尽管联邦进程缓慢，但美国部分传统“蓝州”AIAIAI5AI系统提5050OpenAIMetaAI9https:///en/web/artificial-intelligence/the-framework-convention-on-artificial-intelligence18进行反馈和调整是现行有效的办法。一个典型的例子是，OpenAI、谷歌等公司AI2023510E.O.14110中。AI立法中的基本规则及跨境规则介绍AI立法的基本原则和规则AI监管体系呈现出分散治理+专项立法的特点。联邦层面主要通过行AI监管规则。联邦层面，美国AI立法主要体现在以下几个方面：行政命令2022年，白宫发布了《人工智能权利法案蓝图》提出了五项原则：安全性和有效性、防止算法歧视、数据隐私、告知和解释、人类参与决策。202310AI监管的八大AIAI义、保护消费者和患者权益、管理隐私风险、加强政府AIAIAIAIAIAIAI标准等。20247月26270天内完成E.O.14110要求的全部任务10联邦机构指引NSTC2023美国国家标准与技术研究院（NIST）发布了《人工智能风险管理框架》。前者主要明确了联邦政府在人工智能研究与发展中的重点领域，涉及持续的资金支AI白宫发布的人工智能权利法案蓝图提供了具体行为的指引。专项立法：AI10https:///briefing-room/statements-releases/2024/07/26/fact-sheet-biden-harris-administration-announces-new-ai-actions-and-receives-additional-major-voluntary-commitment-on-ai/19房和城市发展部（HUD）处理住房中的算法偏差问题；美国联邦储蓄委员会（CFPB）对消费金融产品中使用的人工智能进行监管；美国消费品安全委员会AIAI体系。州级层面，美国AI立法主要体现在以下几个方面：AI“人工智能”ABAISB942工智能模型安全创新法案》（SB1047），因其可能对开发者施加过度责任，以AI8否决。AI(SB205)AI场景下的消费者保护，体现了科罗拉多州在AIAI政策博弈缩影。美国现行立法关于跨境的规则AI监管相似。即其相关立法内（FIRRMA）、《确保信息通信技术和服务供应链安全的最终规则》（ICTS规则（CLOUD（EAR）2023、《加州隐（草案（APRA）中，2023年发生了转变。根据路透社的报道，美国贸易代表办公室（USTR）在世界贸易组织（WTO）11美国国家人工智能咨询委员会《监管人工智能的理由、机制和挑战:简明指南和解》Rationales,Mechanisms,andChallengestoRegulatingAl:AConciseGuideandExplanation12此项法案暂未生效。20发表声明的态度正逐渐由较为宽松转向更为严苛。同样可感知到严苛的是，2024年，拜登政府发布了《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》（ANPRM）14117号行政命令（E.O.14117）1021日，美国司法部美国发布了“特定国家”包括中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉，并针对这些国家的CFIUSICTS中美人工智能监管规则的对比分析及启示人工智能监管规则的对比分析中美两国的人工智能监管规则有如下差异：表5中美人工智能监管规则差异对比维度中国美国监管理念增进全人类共同福祉。保持在全球科技创新中的领导地位[5]；注重在规范的前提下促进发展，并确立了在此领域建立国际领导地位的目标。监管框架目前暂未有法律层面的监管规则，但从中央到地方政府正制定一系列相对通联邦层面也并未制定统一的AI监管规则，但在垂直领域有建立相应领域1310-25/21的监管规则，同时，各州也会根据自身情况建立不同的监管规则。监管执行结合政府指导、监督和企业的自律合规。更强调企业的自律合规。跨境规则的对比分析2024年上半年，中美先后发布了数据跨境传输监管新规。相较之前，中国ANPRMNPRM的对比，我们发现如下差异：6中美跨境规则差异对比维度中国美国监管重点将监管对象限定在敏感个人数据和政府相关数据上。限制对象未对任何境外数据接收方设置限制，数据可自由跨境流动。6设限。出境条件7种豁免情形14。8种情形15。此外，美国还要求参与限制类交易的企业履行报14三、四款、第六条第二款。15NPRM的八类豁免的交易包括金融服务、公司集团内部业务运营数据传输（人力资源、差旅等）、美国政府活动、以及根据联邦法律或国际协议要求的交易、偶然的电信服务（国际呼叫）、不传输任何价值的个人信息、交易涉及获得或保持在受关注国家监管批准药品、生物制品、医疗设备或组合产品所必需的监管批准数据等，详情请查看原文。22告、记录等合规义务。监管数量理，10010万人次敏感个人信息为分级节点。美国统一将敏感个人信息上限设为10万人次,对敏感程度更高的健康数据和精确位置数据阈值更为严格。多重政策约束下审慎规划。平衡规范与创新，通过审慎有效的监管促进行业健康发展AI国家战略AI发展的同时，特别关注技术带来的社会影响与治2019AI在国家2025年前成为全球领先的智慧国家之一。此外，新加坡推出了《AI伦理与治理框架》，由资讯通信媒体发展局AI系统开发AI伦理治理提供借鉴。23AI立法的基本原则和规则新加坡的现行AI立法的基本原则和跨境的规则可参考下表：表7新加坡现行AI立法的基本原则和规则原则/规则原则/规则简介透明性与可问责性AI开发者和用户必须具备明确的责任机制，以确保AI的使用情况及其潜在影响；AIAI系统在决策过程中的可理解性，以便于用户监督和纠正。公平性与非歧视性AI系统必须避免偏见和歧视，尤其是在金融、教育等影响广泛的领域。保护隐私AI数据处理过程中严格遵循《个人数据保护法》AI系统开发和应用中的合规使用，并赋予用户在数据处理中的知情权和选择权。跨境数据流动框架下保障数据在出境时的的标准，以保障数据的安全和用户隐私不受侵害。国际合作新加坡积极参与亚太经合组织（APEC）等国际组织，促进数据隐私的同时，为AI技术的跨境应用提供了广阔的支持。AI创新的法律框架对比透明性与问责：AIAIAI信任。求促进国际数字经济合作的新路径。启示24AI行业发展提供积极支持。日本：积极推动国际合作，参与全球AI日本在人工智能领域的国际合作与国内政策框架AI进程AI20235G7G7AI(HiroshimaAIProcessComprehensivePolicyFramework)AI进程提出,鉴于生成式人工智同国家和地区的人工智能治理互运用。该框架由4个要素组成：①OECD关于G7AIAIAI系统的广AI家和新兴国家参与全球人工智能创新创造有利环境等内容。日本《AI运营商指南（1.0版）》/《企业人工智能指导方针》草案日本的《AI运营商指南（1.0版）》(AIGuidelinesforBusinessVer1.0)此指20244月推出,AI开发者和服AI开展业务的企业和政府部门，数据提供商也在此范畴。AI的过程中需要选取适当的数据。适当AIAI要尽可能以可由第三方验证的形式,AI是需要公开的。AIAI25集，并确定防止再次发生的措施。《AI运营商指南(1.0版)“”AIAI使用者提出倡议，主要倡议内容分为两部分：①对于使用者输入的数据，不应包含偏见、不应输入个人信息（包括使用者本人与他人的）AI行适当的信息收集，并考虑防范措施。AIAI“日美数字贸易协定”（人工智能）算法等，本指南也遵循了协定要求。日本人工智能新法的动向日本政府正在考虑立法，对开发基础大模型的企业加强监管,规定其法律义（OpenAI等）。图表出处:日本野村综合研究所「中日数字技术推动社会变革与数据要素市场化研究」研讨会资料(李智慧)图1日本政府正在研讨的人工智能新法的主要内容AI的规制AIAI人信息保护法》《著作权法》《日本不正当竞争防止法》等法律的约束。AI的规制200320234126府保护个人信息的体系。202362ChatGPTOpenAIChatGPT不得在未经事先同意的情况下从用户和非用户处获取需要特别注意的个人信息。同时，必须使用日语告知或公开个人信息的使用目的。的同意的重要性。AIAIAI(AI模型，可能涉嫌将个人信息转移到国外)。“事后限制”“一般法”式(宇賀克也，2018)AI础。AI的规制AI进行学习等（以下简称为“预训练数据使用行为”）。需要判断的是，预训练数据里包含他人作品，上述使用行为是否构成著作权侵权。AI在内的新技术可能引发的著作权法律纠纷，日本已经提前2018“柔性合理使用条款”272018年《著作权法》的相关法律解读文件中介绍了上述举措的背景：当时，日本希望通过政策方针等来促进国内新兴技术的发展，162024315AI与著作权相关问题的意见》（以下简称《意见》）但鉴于其制定机构（文化审议会）17AI的伦理规制2018年的修改主要是为了应对以2018法获取和使用“受保护数据”ID、密码的受保护数据的行为界定为“不正当竞争行为和经济产业省随后制定了信息银行认证制度，对服务能力达到标准的信息银行（代客管理数据的企业）IT团体联盟对信息银行在数据伦理委员会、数据安全、个人隐私保护等方面的表现进行审查和认证。AI监管政策的对比分析AI但通过其他法律中，也逐渐的搭建出了AI监管的基本框架，并通过推出指引等方式为企业提供全面指导。16文化厅著作権課「デジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定に関する基本的な考え方」（2019年10月24日）1頁参照.17文化審議会著作権分科会法制度小委員会「AIと著作権に関する考え方について」（2024年3月15日）18文化厅著作権課「デジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定に関する基本的な考え方」28AI监管的基本原则和规则方面，两国也基本遵循了尊重个人隐私，保障AI的公平、透明等规则，但在数据的跨境流动方面会有所差别，日本禁止数据本地化存储的规制，中国针对重要数据或特殊主体会有本地化存储的要求。AIAI的公平性和透明性等基本价值理念方面已达成“共识”。AI产业发展AIAIAI据（隐私）条例》（PDPO）AI在隐私和数据保护方面提供了法律基础上促进跨境技术合作。AI政策文件8AI政策文件政策文件内容简介《个人数据（隐私）条例》AI的法例，但发布的作为科技中立的AIAI对个人资料私隐的影响，以及评202382024228间本地机构进行了循规审查。《2021年AI指引》2021年秋季出版了《2021AI指引》，AIAI监管文件之一，《2021AI指引》建议机构恪守三项数据管（AI（问AI。料保障模范框架》为体现国家颁布的《全球人工智能治理倡议》及强调AI安全作为国家安全主要领域之一的重要性，私隐专员公署于20246AIAI的机构所提供有关保障个人资料私隐的建议及最佳行事常规。AIAI模型的定制与实施及管理AI系统；④促进与持份者的沟通及交流。有关在金融市场负责任地应用人工智能的政策宣言20241028日发表金融市场负责任地应AI的政策宣言，涵盖以下重点：①政府会采取双轨模式促香港科技大学将会开放其研发的人工智能模型及运算资源予人工智能技术为零售投资及财务管理所带来的机遇及风险。AI立法的基本规则及跨境规则介绍香港目前关于AI的立法的基本规则和跨境规则可参考下表：表9AI立法的基本规则及跨境规则规则规则简介保护个人隐私（隐私AI系统的数据处透明性原则香港的隐私条例要求在数据处理前须告知用户数据的处理方式及用途，确保数据使用的透明性，并赋予用户一定的知情权和选择权。提倡产业自律AI开发过程中自发AI技术的可持续发展。数据跨境流动香港在跨境数据流动方面较为宽松，允许在确保用户隐私的基础上进行数据跨境传输。为此，香港参与了多个国际合作协议，确保数据在跨境流动中得到相应保护。国际合作AIAI领域的地位。3.AI监管与创新，提升跨境数据流动灵活性透明性与责任：AI参考香港的做法，允许行业适度自律以鼓励创新。隐私保护：香港依据《个人资料（私隐）AI数据动，平衡国家安全与国际数据合作的需求。AIAIAIAI数据流动更加灵活，兼顾安全与合作。AI监管体系：战略规划与国际合作的推进“数字环境规范性监管”和“人工智能”目推动下，在《2030年前俄罗斯联邦国家人工智能发展战略》与《20241124日，俄罗斯总统普京在“人工智能世界的旅程”国际会议上提出，“将努力使俄罗斯成为世界上最适宜人工智能发展的司法管辖区之一”。“监管沙盒”俄罗斯人工智能立法中的基本规则及跨境规则AI监管规则2018年5月7日，普京签署第204号总统令《2024年前俄罗斯联邦国家发展目标和战略任务》，将“加快在经济和社会领域引入数字技术”作为2024年前需要实现的国家发展目标之一。根据这一法令，俄政府推出了相应的国家计划，其中数字经济计划在2018年12月获得批准，在计划中确定了7项重点发展的数字技术[6]，人工智能就是其中之一。建立法律监管系统也是“”联邦项目的六大方针192019术的发展制定“路线图”术发展的实施方案与融资计划，俄罗斯联邦储蓄银行受命起草人工智能发展“路线图”。具体“路线图”规划可参考下表。10俄罗斯联邦储蓄银行颁布人工智能发展战略规划事件时间简介《2030年前俄罗斯联邦国家人工智能发展战略（2019年10月10日《发展战略》责成俄罗斯联邦政府在20191215日前保障“俄罗斯联邦数字经济”19.ru/strategy/federalnyy-proekt-ii/#32展战略》）颁布批准“人工智能”联邦项目。《发展战略》是一部典型的中央规划文件，它并不包含人工智能发展的财务细节，而是对人工智能相关的诸多关键概念的定义、范畴、外延等理论问题做出了官方界定，对于人工智能发展和治理的很多基本原则给予了阐述，重申了俄罗斯人工智能发展的优先方向和主要目标，从而对俄罗斯人工智能发展构成了最高层次的宏观指引。《关于数字创新领域2020年7月31日2020年度的重要成果《2024年前俄罗斯人工智能和机器人技术领域监管发展构想》颁布2020年8月19日人工智能监管体系转型的基本路线和方使俄罗斯的法律与人与机器之间的相互关系相适应”“人工智能”联邦项目正式设立2020年8月27日“俄罗斯联邦数字经济”国家规划框架27441亿卢布。2021年该项战略》的主要工具。《2030年前俄罗斯联邦国家人工智能发展战略》修订2024年2月15日7212024年2月15方针进行了详细部署。1.2.人3.4.5.6.责任性原则：7.专业评估原则33俄罗斯跨境数据传输的规则202488233号关于《俄罗斯联邦个人数据"特别监管的试验,和实施人工智能技术创造必要的条件的法律》修正案,并修改《俄罗斯联邦个人610提出了职责和要求，即俄罗斯联邦公民和俄罗斯法律法人的-国家信息系统和地区信息系统的使用者20。动时的安全性和可控性。以下是俄罗斯跨境数据法律规范的核心内容：表11俄罗斯跨境数据法律规范简介规则规则简介数据本地化要求与跨境数据评估根据《个人数据法》，任何涉及俄罗斯公民的个人数据都需要优先在俄罗斯境内存储。除非接受数据的国家或地区提供了相应的数据保护标准，否则不允许将俄罗斯境内的个人数据传输至境外。该政策旨在减少数据跨境传输带来的隐私泄露和数据盗版风险，并确保政府对数据的有效管控。数字沙盒实验监管创新2020年开始，俄罗斯在特定区域内实施“数字沙盒”政策，为人工智能技术的实际应用和法律验证提供一个实验性监管框架。AI技术的安AI沙盒实验主要集中在医疗、物流、智能城市等领域，通过实验性监管框架推动AI技术在实际场景中的合规应用。限制AI技术出口AIAIAI相关的技术出口都需要经过政府批家利益不受威胁。俄罗斯与中国法律的对比2024年5月16——“在国际平台上审议人工智能监管问题时协调立场”20http://www.kremlin.ru/acts/bank/5096734述三个板块分析两国目前存在的差异：数据跨境规则的差异本土化政策对于俄罗斯的国家安全保障具有重要意义。AI技术出口管制的差异：俄罗斯和中国同样注重安全性和保密性，但其适汇报俄罗斯的经验，进一步完善对敏感技术的出口控制。的合法性和合规性。强化数据本地化、AI出口管制与法律透明性建设俄罗斯的数据本地化要求加强人工智能技术的出口管制：俄罗斯的出口管制措施主要涉及军事和国家安全领域，对其他国家具有参考价值。中国可以根据国家安全和经济战略需求，进一步加强人工智能技术的出口管制，确保核心技术不落地外流，从而维护国家竞争力和数据安全。和安全性。俄罗斯在人工智能技术规范和数据跨境流动方面的法律框架反映了其在技业的健康和可持续发展。AIAI原则新西兰法律制度背景介绍通过隐私法保障个人信息安全，强化隐私监管与数据保护机制的其他法规中也有不少关于个人隐私保护的规定，比如：1982以出台的重要基础与背景。1993年，新西兰颁布了《隐私法》（PrivacyAct，PA），这是一部针对个人隐私的处理规范作出相关规定的专门法规。2020年为了加强数据保护及促进数字经济的发展重新修订，《2020隐私法》（2020PrivacyAc）20206月30RoyalAssent202071年12月1日开始实施。《2020隐私法》（2020PrivacyAc）1993年法案，其规范了在新西兰境内“开展业务”（针对具体的行业、部门、活动和个人信息类型作出的程序性规定）的权力，如果某企业或（或有可能造成这需要尽快通知AIAIAI发展AI的政策是2020728Aotearoa算法宪章》，旨在提24个机构签署遵守。各机构已同意采取一系列措施，包括：①通过新西兰人工智慧论坛（AIForum）202034日发表了《新西兰AI指导原则》，此指导原则目的在提供简洁有力的人工智慧参考点，利益相关者须确保人工智慧系统及资料的可靠、准应该对人工智慧系统及其产出进行适当的监督。在利益相关者确定适当的问责制度和责任之前，不应使用会对个人或群体造成伤害的技术；⑤AI利益相关者新西兰数据保护及数据跨境的要点解析《2020隐私法》（2020PrivacyAc）下表所示：12《2020隐私法》监督管理机构职能简介机构名称机构职能隐私专员行使《2020隐私法》（2020PrivacyAc）或任何其他法令赋予的权力，并履行职能和职责。同时，向部长、议会副部长或机构提供隐私相关建议，并通过教育、宣传、公开声明、公众咨询以及与其他相关方合作，促进对信息隐私原则的理解和接受。（OPC）《2020推广隐私原则的理解、以及监控技术对隐私的影响。信息和隐私专员（NZIPIC）确保《2020年隐私法》的执行，加强数据保护；监督组织在发生数据泄露时的报告义务；以及对违反隐私法规的行为进行调NZIPCNotifyUs工具，帮助企业和组织确定是否需要报告数据泄露。数据保护局（DPA）DPA负责监督和执行《2020隐私法》，确保个人信息的处理符合法律规定，包括对跨境数据传输的监管、对数据泄露的调查和通知、以及对违反隐私法规的行为进行执法。此外，DPANotifyUs式投诉。PrivacyActPA2020①接收方所在的国家或地区提供了与新西兰同等水平的数据保护；②接收方是一个被新西兰隐私专员认定为具有足够数据保护措施的实体；护条款的合同等；④个人信息的主体已经明确同意，并且被告知了信息出境可能带来的风险。此外，信息的控制者或代理人还应确保在信息传输后能够继续履行其在新西护数据安全的决心。个人控制与国家主导的差异国家主导性和更详细的合规要求。13中新数据保护法律差异对比中国中国新西兰中国的数据保护法律框架更为复杂，包中国的数据保护法律框架更为复杂，包据分类分级保护制度。强调了个人对其数据的控制权以及数据处理者的透明度和问责制。该法律要求数据处理者在收集、使用或传输个人信息时遵循一系列的信息隐私原则，并且对于数据的跨境流动，新西兰要求接收方的隐私保护标准应不低于本国标准，或采取其他适当的保障措施。合作-人工智能发展和监管政策的共性合作的基础，我们总结主要有以下一些方面：帮助提升能力建设，特别是在技术转让和人员培训方面。政策能够保护并增进人权和法治；增强公众对人工智能系统功能和局限性的认识，以提高对权利和自由的重视，并推动对这些系统的监督。竞争可能才是当下世界的主旋律，但合作是不可避免的趋势“向右转”“一带一路”国际合作的新境界，为全球提供了一种全新的选择。第三章中国各地区数据跨境管理新实践当前，我国已成为数字贸易大国和数据资源大国,拥有超大规模市场、海量20243月公布《促进()，针对新技术环境下数据跨境流,可以《规定》提出数据清单应经省级网络安全和信息化委员会批准后,报国家网信部境的事前评估认证义务，进一步凸显了我国坚定不移推进高水平对外开放的决心，是数字经济新阶段市场化法治化国际化营商环境建设的重要创新,为全球数据流动治理探索、积累和提供中国经验。“建立高效便利安全的数据跨境流动机制”数据出境的备案工作，取得了一定的实效，但仍面临各种困难与挑战。全国数据出境管理清单的整体情况202483147相关政策法规文件，发布涉数据跨境政策的地区多集中在中东部及南部沿海地23。图2涉数据跨境政策发布时间图3涉数据跨境政策分布地区（天津（天津自贸区（北京（以下简称北京自贸区（上海（贸区临港新区福建（平潭片区）。（天津（天津自贸区（北京（以下简称北京自贸区（上海（贸区临港新区福建（平潭片区）。14自贸区跨境数据清单发布情况地方天津上海北京福建跨境管理清单政策（天津贸易试验区数据出（单）（2024版）》（上海由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般（试行（北京由贸易试验区数据出境管理清单（）（2024版）》。》《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》。（上海由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据试行（上海易试验区临港新片区公募基金领域数据跨境场景化一般数据清单（试行）》。发布时间2024年5月8日2024年5月16日2024年8月26日2024年8月26日发布单位中国（天津）自由贸易试验区管理委员、天津商务局（上海贸易试验区临港新片区管理委员会。北京市互联网信务服务和数据管理局。平潭综合实验区自贸试验与深化改革办公室。适用范围天津自贸区企业在临港新片区范围内登记注册的，或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。北京自贸试验区内登记注册、开展数据跨境流动等相关活动的企业、事业单位、机构、团体或其他组织。在平潭自贸片区范围内登记注册片区内开展数据跨境流动活动的适用于关键信息基础设施运营者。监管方式负面清单一般数据清单负面清单一般数据清单天津：制度创新引领，出台全国首份数据出境管理负面清单8发展和监管需要，在国家数据分类分级保护制度框架下，20242月,(天津)2024271340子类数据等级划分为核心、重要和一般三级。(天津)贸易试验区数据出境管理清单(负面清单)(2024年版)基本特征和具体示例，为企业依法、有序、高效地进行数据出境提供了便利。上海：聚焦重点领域，解决数据跨境场景中需求最迫切问题据跨境流动正在成为统筹牵引“五个中心”的“上海方案积极探索制度创新、评估潜在风险，承担起大国大城的责任与担当。2024517日，上海自贸区临港新片区管委会（下称上海临港管委会在国家相关法规的框架下，以“问题为导向，场景为落点”为原则，聚焦上海“五个中心”建设发展中的重点领域，结合自贸区及临港新片区重点产业，以着力解（上（试行试行（（试行64600“一般数据清单”与“负面清单”区的《一般数据清单》备案，为境内数据出境提供了“第四条路径”。北京：坚持首都站位，细化重要数据认定量化个人信息出境20243244据安全的同时促进数据的高效便捷流通，北京市出台了相应的数据出境管理措2024826（北京试行（（京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下简称（2024版（北京（负面清单第一版23个业务场景，根据相关行业领域数据出境特点，从重要福建：平潭先行先试，探索四大行业一般数据便利化出境2024826(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)15个应46进行必要的调整和更新。清单的具体解释工作由平潭综合实验区行政审批局负责。地服务电子信息产业和智能制造业。2024年初，福州自贸区正式颁布了《福州“一般数据清单”精细度上采取了更为宏观的策略，以期未来能够进一步扩展并逐步细化。企业在跨境生产活动中数据流动的安全性主要关注企业在跨境生产过程中可能作。深圳：创新分区管理，积极发挥特区优势与特色为深圳“特区中的特区“粤港澳大湾区数据特区单咨询服务项目的招标和中标信息，但具体的数据出境管理清单尚未发布。点工作正在积极推进中。海南：着力特色产业，努力推进“一带一路”与国际化“一带一路”“海南模式”础。总体而言，数据跨境流动清单制度是我国数据跨境流动规范体系的创新尝有益的参考和借鉴。江苏：创新平台赋能，推动数据跨境流动管理跨境流动管理成为其重点探索领域之一。20242月，江苏苏州自贸区正式上线了“苏数通”全、便利的数据跨境流动解决方案。依托“苏数通”考，有助于提升数据出境的安全性和合规性。苏州自贸片区将通过“苏数通”平台的数据出境“正面清单建议征集”各城市数据出境管理清单的对比及分析管理清单，市属区域级自贸区也分别探索出了各具特色的数据出境路径。天津：首推精准数据出境负面清单，护航企业安全合规跨境202427日，天津市商务局和中国（天津）自由贸易试验区管委会联(天津)1340子类,试验区的数据制度体系构建提供了宝贵的试点经验和参考。202459日，《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》发布，作为全国第一个自贸区数据出境管理负面清单，清单围8大重点领域产业发展和监管需要，设置了战略物资和大宗商品13大类、46子类,涵盖产生、收集、存储、传输和处理数据等全流程环节,每一类均对数据基本特征作出详细描述，并给出估、订立个人信息出境标准合同、通过个人信息保护认证。这里的“无须申报”上海：首发跨境数据分类分级管理，推出首批场景化一般数据清单2024130上海自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）202428日2国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方动的管理范围，保障数据在跨境流动中的安全性和可控性。20245月，对于20245上海区智能网联汽车领域数据跨境场景化一般数据清单（试行）》《中国（上海）自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单（试行）》（上海自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数试行364600这份清单被企业和专家普遍评价“颗粒度细”、“可操作性强”。图4上海市一般数据清单内数据跨境备案流程来源：临港新片区数据跨境场景化一般数据清单操作指引501年。北京：首推场景化字段级负面清单，打造高效“绿色通道”2024830“负面清单”5配套推出的《北京市数据跨境流动便利化服务指南（2024版）》更是进一其治理体系，以确保数据跨境流动的安全性和可控性。5北京市数据跨境便利化服务流程图51来源：北京市数据跨境流动便利化服务指南（京“绿色通道效保障了数据安全和个人隐私。福建：探索市区管理齐头并进模式，尽快推出跨境管理举措有别于其他地区的特点，具有较强的地方适用性。415康有序发展。保清单内容贴合企业实际需求。厦门的做法意在确保企业在遵循合规要求的同时，尽量减少不必要的管理负担，使得数据出境的流程更具实操性。深圳前海：探索数据跨境双向流动，打造粤港澳大湾区数据特区新引擎5220231210日，国家互联网信息办公室与香港创新科技及工业局共同（进粤港澳大湾区个人信息跨境安全有序流动。20240613（出境河套：加速推进数据跨境流动，打造大湾区数字经济新高地20236月，国家互联网信息办公室与香港特区政府创新科技及工业局签数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则。20239月，深圳市委网信办、深圳应急保障中心和福田区共同建设的深（2023月，广东省印发《“数字湾区”“要素通发展，明确“数能”成为驱动经济社会高质量发展的新动能。2024724发布河套深港科技创新合作区深圳园区数据跨境流动负面清单研究课题采购结果，该项目由国家计算机网络与信息安全管理中心广东分中心中标。2024926部署落实市委七届九次全会精神，提出要探索建立数据跨境“负面清单”管理制53对接、规则衔接，推进河套深圳园区人民法庭、涉外法治实践基地等平台建设。海南：创新数据出境管理政策，助力数字经济发展2021723（负面清单70负面清单外的领域在海南自贸港内按照境内外服务及服务提供者待遇一致原则202182520231242024416极构建大数据分析模型。20243月，海南省儋州洋浦“数字保税”（来数加工）区经过多部门联合“数字保税区“两头在外”数字加工产业。20246月，海南省出台《海南省数据出境安全评估申报工作指引（第二版的发展提供了有力支持。江苏：创新平台引领，构建数据跨境流动新生态2019年8月，中国（江苏）自由贸易试验区正式揭牌成立，涵盖南京片区、苏州片区、连云港片区，总面积达119.97平方公里。自成立以来，江苏自贸区便致力于探索高水平制度型开放，其中数据跨境流动管理成为其重要突破口。202238项政策措施聚焦鼓励对接国际高标准经贸规则，探索建立数字贸易多领域规则标准。同年年底，54境流动便利度，并加强出境数据安全保护和监管。20237江苏（2023-2025年8技成为苏州大市范围首个数据合规出境案例，为智能制造类企业提供了实践指引。2024年，江苏自贸区的数据跨境流动管理工作迎来了新的里程碑。2苏数通”上线了数据出境“正面清单建议征集”出境项的建议或诉求，进一步增强了平台的互动性和实用性。“五个一”一批新型基础设施、搭建一个数据跨境流动公共服务管理平台、梳理一套“白名单”+“负面清单”进数字经济高质量发展，为构建数据跨境流动新生态贡献力量。地区数据出境管理清单编制要素整理清单对比一览表表15清单对比一览表地区跨境管理清单政策清单包含数据类别清单实施方式清单特点管理特点《中国（试验区数据在需要通过数据出境安全评估的数据清单中设立战略物资和大负面清单。即清单内数据需相应进行数据从正面清单角度加强跨境流动业类型进行出境管理清宗商品类、自然资源和便利性，未取后果分类单（负面清环境类、工业类、金融估、个人信息增设明确和法，即按照天津单）（2024版）》类、统计类、通信传播类、住房建设类、公共案、个人信息直接的出境限制。数据一旦被卫生类、公共安全类、保护认证。破坏、滥用互联网服务和电子商后对国家安务类、科学技术类、个全、公共利55人信息等十三个数据类别，并设立共计需要订立个人信息出信息保护认证的数据清单。益等产生的后果进行分类。产业涵盖自贸试验区内为新产业类间。备注对其相应子类的补充说明。上海《中国（海试验区临港新片区智能网联汽车领域数据跨境场景化一般（行）》《中国（海试验区临港新片区生物医药领域数据跨境场景化一般数据（试行311个场景，划分成产制造、全球研发测手车全球贸易医疗器械不良事件监》·一般数据清单（正面清单。即不在数据清单内数据需相应进行数据出境安全评估、个人信息标准合同备案、个人信息保护认证。行业、场景、字段限定部分行业数量阈值调整，突破跨境新规限制与其他监管机制衔接设立绿色通道服务采用一般数据清单负面清单路，清单内确，操作性更强。车、生物医药、公募基金三个重点不断不中完善。56《中国（海究、内部管理》至具体字段同时明确数试验区临港据传输要新片区公募求，合规要基金领域数求更加精细据跨境场景化和全面化一般数据化。（试行《中国（北京自由贸易5大类以“需要通过数据出境安全评估的数据清单”“需要通过个人信息出境标准合同备“需要通过其他合法合规路径出境的数据清单”48个子类。负面清单。即清单内数据需覆盖行业范围广泛负面清单管试验区数据出境负面清相应进行数据为不确定自身出境数单管理办法估、个人信息据企业童工强。（试行）》标准合同备较为明确的北京《中国（试验区数据案、个人信息保护认证。参考按照急用先行、小步快跑”原则，分行业、分出境管理清领域、分批单（负面清次发布，列单）（2024版）》明详细业务场景及具体字段，并动态调整。出境监管抽57自贸组团组织专业技术机构就数据实际出境情况与备案材料进行一致性抽验。数量阈值调整，突破跨制。清单的分行略、个人信息的精准量化与放宽、负面清单的规范使用与管理三个方面的特点。福建中国福建自由贸易试验区平潭片区数据跨境流动一般数(行)》跨境旅游、跨境电商、国际航运和跨境直播等四大行业的15个应用场景单。将根据实际运行情况，适时进行必要新。通过国际互联网数据专用通道，为企业开展跨速。试行一年体解释工作由平潭综合实验区行政审批局负责58海南《海南自由贸易港跨境服务贸易特别管理措施（负面清单）（2021年版）》涵盖了农、林、牧、渔业，建筑业，批发和零售业，交通运输、仓储和邮政业，信息传输、软件和信息技术服务业等11个门类的服务领域，以具体条目形式列出了针对境外服务提供者的特别管理措施，包括禁止或限制其在海南自由贸易港内以跨境方式提供特定服务。负面清单。详细列出了禁止或限制的服务领域，为境外服务提供者提供了明确的行为准则。大，覆盖领域广，旨在推动服务贸易自由化便利化。明确列出针对境外服务11个门类、项特别管理域，海南自由贸易港对境内外服务提供者实行跨境服务贸易的一视同仁、平等准著提升开放度。河套暂未发布跨境管理清单清单制定要素及重点展制定数据跨境清单时，应考虑以下主要要素及重点问题：数据出境管理要求。等相关活动的企业、事业单位、机构、团体或其他组织等。业和企业的实际需求确定清单的产业范围。业对清单内容的明确和可识别性，可以加入备注、传输要求增加可操作性。五是实施方式方面。根据自贸区实际发展情况，政府管理部门可以选择“负面清单”或“正面清单”两种方式实施数据跨境管理。这两种方式各有特点，需要根据实际情况进行选择和调整。六是动态调整机制方面的安全性和合规性。审核等各个环节，以确保企业能够顺利执行清单要求。营商环境和企业国际竞争力。重点行业数据出境管理的对比及分析异，但所关注的重点领域仍存在一定的相似之处。汽车行业一般清单的形式列举在符合相关管理要求情况下可实现自由流动的智能网联汽证出境的数据类型，具体内容对比如下：表16汽车行业数据跨境流动的规定各地区负面清单地区适用范围清单形涉及的一般数据类型/场景涉及的重要数据涉及的个人信息合规出境方式式天津《负面清单》列明了天津自贸区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。负面清单无。负面清单中涉及的数据均为重要数据。反映重要敏感区域的地理位置、作业状况的数据。智能汽车运行过程中获取的军事管理区、国防军工单位、县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量数据以及OTA数据等。10万以据。上海适用于在上海自贸区及临港新片区范围内登记注册的，且在临港新片区开展智能网联汽车领域数据跨境流动相关活动的从事汽车制造、零部件和一般数据清单1.跨国生产制造国家经济运行情故和特别重大事故；（4）VIN号属于企业不适用重要数据联。61信息关联等传输要求。2.在全球协同研（数据；（3）中VIN号来源于等要求。3.在全球售后服务场景下：为满足国家法律规定的三包、召回要求，以及车辆维修升级等确需跨境流动的售后服务数据，主要包括车辆基本信务报表等有关数62据。4.在二手车全球贸易场景下：为促进国内二手车国际贸易，支撑车辆定价和汽车销售需要跨境流动的车辆数据，主要包括车辆基本信息、维修保养和保险等有关历史数据。北京本清单适用的汽车企业包括汽车制造商、清单。本清单所称汽要数据。本清单范围以系国家科技实口管制物项；可负面清单无。负面清单中涉及的数据均为重要数据。重要数据包括：涉及军事管理以及县级以上党政机关等重要敏感区域的地理信企业及其他敏感重要机构提供车联网信息服务过程中产生的不宜公开信息。车辆流量、物流等反映经济运行情况的数据。能够反映一定区域内汽车充电网运行情况的数据。息、车牌信息、路1.重要数据2.符合条件63一定程度反映国牌信息等的车外家战略储备、应视频、图像数据。急动员能力；支撑交通、运输等5.包含车辆远程行业关键基础设的关键车联网信施运行或国家战息服务数据。略性汽车产品生产的数据；会对6.包含车辆控制等在线升级数据；国家安全、利益包含电控单元等和领土主权造成威胁或者损害的售后数据。7.可能被利用实施对数据等，遵照国车联网关键设备、家有关部门规定系统组件供应链执行。的破坏，以发起高持续威胁等网络攻击相关的数据；可一定程度反映交通、运输等行业性关键信息基础设施网络安全保护情况，可被利用从而对车联网关键信息基础设施实施网络攻击的数据；涉及车联网信息服务的关键信息基础设施相关数据。生物医药行业个人信息的管理。表17生物医药行业数据跨境流动的规定各地区负面清单地区适用范围清单形式涉及的一般数据类型/场景涉及的重要数据涉及的个人信息合规出境方式天津《负面清单》列明了天津自贸区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。负面清单涉及的数据均为重要数据。需要通过数据出境安全评估的健康医疗类数据包整体情况或关系生物安全的安全、生命安全人类自身安全的生物安全和疾控数据。关系人民群众用药安安全、公共安全的数据。如涉及特定药品及与药品生产流程、生产设施有关的试验数据等。导致10万需通过数据出境安全评估的方式完成数据出境。上海适用于在上海自贸区及临港新片区范围内登记注册的，且在临港新片区开展数据跨境流动相关活动的从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织等数据处理者，但不适用于生物医药领域关键信息基础设施运营者。一般数据清单（正面清单与传输要求相结合）常见数据跨境场景及相应场景下的一般数据类型主要包括：临床试验与研发场景下：主要包括去标识化受试者的个人基本资料、生理健康信息，以及研究者的个人基本资料、教育工作信息等有关数据。药物警戒与医疗器械不良事件监测场景下流动的药物警戒和医疗器械不良事件监测去标识化患者的个人基本资录和不良反应信息等有关数据。医学问询场景下括去标识化问询人的个人基一般数据清单不适用重要数据。联。66本资料、问询信息等有关数据。产品投诉场景下括去标识化投诉人的个人基息和投诉汇总信息等有关数据。商业合作伙伴管理场景下：主要包括组织商业合作伙伴的背景信息、建档信息、合同管理信息，以及个人商业合作伙伴的个人基本资料、银行账户信息、资质信息等有关数据。北京本清单适用学药品制剂制造企业等。本清单所称业企业日常生产负面清单涉及的数据均为重要数据。括：1.一定规模以疗、健康生理状况、医疗救援保障数据、特定药品实验数据等。2.定规模以上特定领域、特定群体、特定区1.自当年1月1日起累1.重要估的方67经营等过程中涉域的生物特征式完成及的个人信息数数据、医疗资出境；据和重要数据。3.纳入出口管3.纳入出口管制或技术出口管理事2.符合个人信理事项的数据项的数据。息可通中，需履行《出过出境口管制法》等相流动。标准合关法律法规规定的出口许可申请2.对于遗传同备案、个人信义务的，不适用家有关部门息保护本清单。规定的规模认证出或者精度的境。基因数据。企业需按照《人类遗传资源管理条例实施细则》的规定完成履行相应的出境义务。金融行业业维度以及侧重的领域有所不同，具体如下：表18金融行业数据跨境流动的规定各地区负面清单地区适用范围清单形式涉及的一般数据类型/场景涉及的重要数据涉及的个人信息合规出境方式68天津明了天津自贸负面无。负面清单中涉及的数据1.银行：一旦遭到100据；会威胁1003.融资租100需通过数据出境安区企业向境外清家安全或者银行机全评估的提供数据需要单据。构自身安全的数据，方式完成申报数据出境数据出境。安全评估、订立要企事业单位账户个人信息出境标准合同、通过易数据等；个人信息保护认证的情形。2.家安全或者重要单的承担国家重大工程或者国民经济社会发展重要领域建设项目的企事业单位投保或者理赔数据等。3.遭到泄露或者被他相关企业运营的数据。如涉及党政机融资租赁数据等。69上海适用于在上海自贸区及临港新片区范围内在临港新片区开展数据跨境流动活动的公开募集证券投资基金管理公司等数据处理公募基金领域关键信息基础设施运营者。一般数据清单市场研究场景下：为提高境内研究效率和品质，以及吸引外资投资中国市场，需要跨境流动的市场研究数据，主要包括产业研究报告和宏观经济分析报告有关数据。内部管理场景下：为实现跨国企业全球化理，需要跨境流动的内部管理数据，主要理、供应商管理、投资者管理和风险管理等有关数据。一般数据清单不适用重要数据。相关联。对在一般数据清单内的数据，可向临港新片区管委会申请登记备案，并在满足相关管理要求下自由流动。北京清单未针对金融行业作出细分规定。规义务。交通行业体现的尤为明显。篡改可能造成重大交通事故的数据，不仅局限于民航领域。19交通行业数据跨境流动的规定北京负面清单地区适用范围清单形式/场景涉及的重要数据涉及的个人信息合规出境方式北京适用于民用航空运输业领域相关企业包括航空旅客运输、航空货物运输、通用航空服务、民用航空器维修企业等，航空器制造以及其它非民用航空业务不适用本清单。负面清单无。负面清单中涉及的数据均为重要数据。涉及民用航空器事故的飞行数据记录器数据。涉及民用航空器事故的驾驶舱语音记录器数据。涉及民用航空器事故的航空器健康状况监测数据。纳入出口管制或技术出口管理事项的数据。1自当年1月1日起累计向境500以上的个人信息（不含敏感个人信息10人以上的敏感个人信息。2.1日起累计向境外提供50万人以500人的个人信息（不含敏感个人信息），10万人的敏感个人信息。3自当年1月1日起累计向境通过数据出境安全合个人信息标准合同备案以及个人信息保护认证。外提供10万人以上且不满万人的个人信息（不含敏感个人信息万人的敏感个人信息。天津《负面清单》列明了天津自贸区企业向境外提供