2024年11月29日，海南省通过了《海南自由贸易港国际数据中心发展规定》（以下简称《自贸港数据规定》），并于2024年12月1日起实施。《自贸港数据规定》旨在促进国际数据中心发展，支持开展国际数据中心业务，为促进数据跨境流动和提升数据治理能力提供保障，进而增强海南自由贸易港数据服务产业的国际竞争力，充分发挥数据要素对数字经济的引领作用。

海南自贸港自成立以来，就始终在持续推进发展具有国际竞争力的数据服务产业，探索培育国际化数据产业。如，全国首个数字保税区落户海南儋州洋浦，先行先试开展来数加工业务。所谓“数字保税”，即在特定区域内通过国际互联网专线进行数据交互，在确保数据安全的前提下，为产生于境外的数据要素提供收集、存储、加工、治理、交易等增值服务，服务产品用于境外市场或经审批后用于境内市场的商业模式，涉及数据的确权、保护、加工、应用和交易等完整产业链，是数字产业化和承接国际数据服务外包的重要业态。[1]

《自贸港数据规定》与来数加工业务密切相关，也与海南打造国际数据港密切相关。来数加工的概念来源于国际贸易中的“来料加工”，属于在数据领域给予特定的国际数据相应政策优惠，以免除数据出境申报相关义务。《自贸港数据规定》为来数加工的发展和壮大提供了充分的制度依据，无疑将对海南来数加工产业发挥显著的积极作用，同时也能激发海南自由贸易港数据服务产业的国际竞争力，带动海南乃至全国的数字贸易活动和数字产业发展。

1. 以“国际数据中心”为核心开展来数加工服务

根据《自贸港数据规定》，开展来数加工的适格主体是国际数据中心。国际数据中心在海南自由贸易港享受政策优惠、基础设施等保障，获得提供来数加工服务的巨大便利。

（1）《自贸港数据规定》明确了国际数据中心业务的内容是企业在海南自由贸易港内，利用高速便捷的跨境数据专用通道，仅向境外提供的数据存储、加工、交易等国际数据服务。我们理解，在《自贸港数据规定》的语境下，来数加工业务指符合条件的海南自由贸易港企业在境内对来源于境外的数据进行加工并提供至境外。在这一过程中，无论是待加工数据的入境，或者是加工后数据的出境，都可以使用高效便捷的跨境数据专用通道。不过，企业必须获得使用该通道的资格方能享受海南自由贸易港的优惠政策。《自贸港数据规定》第五条就企业申请使用该通道的程序进行了规定，具体而言，企业需要满足如下条件：①企业注册地及服务设施所在地均为海南自由贸易港。②企业向省级基础电信运营商提出申请并按程序获得批准。

（2）《自贸港数据规定》鼓励并支持国际数据中心向境外游戏服务、影视加工、商业航天、北斗应用、跨境电商、跨境直播、跨境旅游、远程医疗、远程教育、国际学术交流合作和跨国生产制造等国际数据服务。我们理解，只要国际数据中心向境外提供数据存储、加工、交易等数据服务，均属于《自贸港数据规定》所指的国际数据服务，来数加工自然也属于《自贸港数据规定》所涵盖的范围，《自贸港数据规定》原文所列举的具体情形实质上只是国际数据服务中的常见场景，并非限定国际数据服务的具体范围。值得注意的是，来数加工产业的发展通常能够助推本土数字产业的发展，如通过大量承接智能驾驶领域的数据加工业务，企业能够通过分析操作数据对驾驶习惯展开群体性分析，进而生成具有参考价值的数据产品，辅助智能驾驶设计。因此，《自贸港数据规定》对前述国际数据服务场景的鼓励和支持，也有助于带动本土相应产业的发展。

（3）《自贸港数据规定》支持国际数据中心在运营中自主选择国内外云服务、算力芯片、人工智能大模型等国际数据服务基础设施，并要求政府部门对相关基础设施予以完善，从基础设施保障的角度对建设国际数据中心予以支持。在智慧海南总体方案（2020-2025年）中，海南便已提出“进一步提升海南全光网服务能力，前沿部署国际互联网数据专用通道、海缆登陆站、国际通信出入口局，探索部署互联网交换中心等国际通信服务设施。” [2]2024年7月10日，继北上广三地设立国际通信业务出入局后，工业和信息化部向中国电信、中国移动、中国联通三家企业颁发许可，批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局，海南海口更是四地中唯一的三家运营商均设立国际通信业务出入局的地区。[3]无论从国家层面的政策支持角度，还是从海南的地方能动性角度，均可见海南自贸港在建设国际数据中心方面具有明显的基础设施优势。

2. 数据跨境优惠措施

来数加工产业涉及大量数据的跨境流动，因此数据跨境机制对于来数加工产业的发展具有重要意义。就企业适用的数据跨境机制，《自贸港数据规定》给予了两项主要优惠政策：1）可以利用高速便捷的跨境数据专用通道；2）免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。即符合条件的企业无需申报数据出境，可以自主进行数据出境活动，而高速便捷的跨境数据专用通道则可以为企业提供高速率、低时延的数据传输能力，提高企业数据处理的效率。

具体来说，《自贸港数据规定》第九条规定如下两种情形中数据豁免出境监管流程：1）数据过境，即对在境外收集和产生的数据进行存储、加工、交易等数据服务，且服务过程中没有引入境内个人信息或者重要数据。2）向境外提供海南自由贸易港数据出境负面清单以外的数据。数据过境免予适用数据出境监管流程在《促进和规范数据跨境流动规定》中已有规定，《自贸港数据规定》对数据过境的认定标准与《促进和规范数据跨境流动规定》相同，这一标准相较于新加坡《个人数据保护法》（PDPA）“在过境期间没有在新加坡被访问、使用或披露的个人数据可以豁免”的标准更为宽松。新加坡因其对数据跨境流动较为宽松的监管态度，目前属于亚洲范围内具有较强吸引力的国际数据中心，但受限于其面积和能源日益不足的制约，不少企业可能会考虑其他数据跨境监管宽松且面积能源充足、基础设施健全稳定的地区进行数据中心的投资建设。

3. 配套安全保障机制

便利的数据跨境流动机制诚然有助于来数加工产业的发展，但来数加工产业的发展还与数据安全、数据治理能力等安全保障机制息息相关，健全的数据安全保障机制能提高投资者对地区数据产业环境的信任度，进而增强对投资的吸引力，这对于发展数据产业尤其是数字产业服务业、数字技术应用业、数字要素驱动业等数字经济核心产业[4]而言尤为重要。

《自贸港数据规定》就安全保障机制作出了如下规定：首先，由省网信部门统筹协调网络和数据安全监督管理工作，与有关主管部门建立健全风险评估、信息共享、监测预警、应急处置等安全保障机制并对国际数据中心及其业务运营者予以指导。同时，省网信部门和有关主管部门还负有监督数据出境活动中的风险和数据安全事件并督促整改的责任。其次，省级基础电信运营商需要建立内部安全保障制度，履行法律法规规定的网络和数据安全保护义务。再次，国际数据中心及其业务运营者也应当遵守《网络安全法》、《数据安全法》等相关规定，履行合规义务，建立健全全流程网络和数据安全管理制度，制定应急处置预案，落实安全管理责任，采取技术措施和其他必要措施，保障网络和数据安全。具体来说，来数加工过程中需要特别注意防止原始数据遭到篡改或删除以及数据泄露风险。如果原始数据遭到篡改或删除，将直接减损加工成品的准确性，而数据泄露问题不仅可能损害承接来数加工业务企业的自身利益，也可能损伤加工委托方的利益，甚至于数据安全等国家利益。

1. 来数加工产业的法律与政策支持

数据跨境流动是国际数字贸易发展的重要支撑，我国近年来出台一系列政策与法规，以规范和促进数据依法有序自由流动，促进数据产业发展。《自贸港数据规定》以自贸港为依托，进一步放宽来数加工场景下的数据跨境流动，代表了国内数据跨境流动政策利好的最高水平。

《国务院办公厅关于以高水平开放推动服务贸易高质量发展的意见》《中共中央办公厅 国务院办公厅关于数字贸易改革创新发展的意见》中均明确，要在国家数据跨境传输安全管理制度框架下，建立高效便利安全的数据跨境流动机制，优化服务贸易数字化发展环境，促进数据跨境有序流动。《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》专门针对外商提出探索便利化的数据跨境流动安全管理机制，要求为符合条件的外商投资企业建立绿色通道，特别是要试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务。

《海南自由贸易港建设总体方案》中明确，要在确保数据流动安全可控的前提下，扩大数据领域开放，创新安全制度设计，实现数据充分汇聚，培育发展数字经济。《海南省人民政府办公厅关于印发海南省培育数据要素市场三年行动计划(20242026)的通知》中也提到，海南省将主动对接CPTPP、DEPA等高标准国际经贸规则，探索构建区域性数据流动规则。积极争取国家支持海南在DEPA等规则方面先行先试。探索建立多渠道、便利化的数据跨境流动监管机制健全多部门协调配合的数据跨境流动监管体系。

《促进和规范数据跨境流动规定》第4条规定，数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，可免予适用数据出境申报要求。这可以理解为国内对数据过境最权威的法律规定。同时，根据《促进和规范数据跨境流动规定》第6条，自贸区可以在国家数据分类分级保护制度框架下，制定需要纳入数据出境监管流程范围的数据清单（以下简称负面清单）；自贸区内数据处理者向境外提供负面清单外的数据，亦可免予适用数据出境申报要求。

海南自贸港《自贸港数据规定》落实国家政策要求，特别是落实《促进和规范数据跨境流动规定》的两条规定，明确了在自贸港具体落地的适用情形，整合各项利好政策，通过国际数据中心服务于来数加工产业，促进自贸港数据产业的发展和壮大，是打造国际化、高水平数据港的重要一步。

2. 《自贸港数据规定》的优惠措施

根据《自贸港数据规定》要求，优惠政策主要包括两项：1）可以利用高速便捷的跨境数据专用通道；2）免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

来源：金杜网络安全与数据合规团队整理

对于境内外数据交互频繁的企业来说，这两项优惠政策非常有利。符合条件的企业不需要申报数据出境，而是可以自主进行数据出境活动，而高速便捷的跨境数据专用通道则可以为企业提供高速率、低时延的数据传输能力，提高企业数据处理的效率。

值得注意的是，《自贸港数据规定》给出的优惠政策还可以进一步叠加利好。今年4月，工信部发布《关于开展增值电信业务扩大对外开放试点工作的通告》，提出在包括海南自由贸易港在内的四个地区开展增值电信业务扩大对外开放试点工作，并于10月正式启动（详见前期系列文章：《工信部试点增值电信业务对外开放》《深度解读如何推进增值电信业务扩大开放试点工作》《工信部启动增值电信业务对外开放试点》）。根据试点工作方案，外资企业可以在试点地区独自经营互联网数据中心（IDC）、在线数据处理与交易处理（EDI）等电信业务，深度参与中国云计算服务、算力服务市场。

可以预见的是，海南自贸港的企业将同时享受业务开放、数据开放、通道开放等综合优惠政策，海南自贸港也将成为中国数据产业优惠政策水平最高的地区。企业要享受《自贸港数据规定》的优惠政策，需要满足一定的条件：1）实体注册、服务设施在海南自由贸易港内；2）向省级基础电信运营商申请并经批准后，可以使用高速便捷的跨境数据专用通道；3）对在境外收集和产生的数据进行存储、加工、交易等数据服务且过程中没有引入境内个人信息或者重要数据，或者，向境外提供海南自由贸易港数据出境负面清单以外的数据；4） 向境外提供游戏服务、影视加工、商业航天、北斗应用、跨境电商、跨境直播、跨境旅游、远程医疗、远程教育、国际学术交流合作和跨国生产制造等国际数据服务，能够得到鼓励和支持。

3. 如何适用及相应的合规保障

根据海南自贸港《自贸港数据规定》，免予数据出境申报的情形有两种：对在境外收集和产生的数据进行存储、加工、交易等数据服务且过程中没有引入境内个人信息或者重要数据，或者，向境外提供海南自由贸易港数据出境负面清单以外的数据。对于后一种情形，有待海南自贸港进一步出台具体的负面清单，企业方可相应地遵照适用。而对于前一种情形，如何保证“没有引入”，需要搭建相应的合规框架，以控制合规风险。具体而言，根据不同的数据业务场景和实际情况，可以考虑以下几种方式。

（1）物理隔离。物理隔离需要实现服务器隔离，是指将用于境外数据处理的服务器与境内数据存储或处理的服务器物理或逻辑隔离，确保数据独立性。通过隔离服务器，企业能够清晰地定义和控制哪些数据流向境外，哪些数据保留在境内，确保法律规定得以遵守。此外，服务器隔离还能增强数据安全性，减少潜在的外部攻击面。

企业在实施服务器隔离措施时应注意以下事项。首先，需要确保隔离技术能够有效防止数据泄露或非法传输，因此在技术上需要具备高标准的防火墙、网络监控等安全措施。其次，隔离可能会增加企业的硬件、管理和维护成本，尤其在跨国经营或数据流动频繁的情况下。此外，企业还需要定期检查和更新隔离措施，避免因设备故障或配置错误导致隔离失效。

（2）人员权限设置。人员权限设置，是通过对数据访问进行严格管理，确保只有授权人员可以接触和处理特定数据，从而防止数据泄露、滥用或误用。这一措施通过基于角色的权限控制（RBAC）或基于任务的访问控制（TBAC）等方式，限制不同角色的员工在不同层级、范围内访问数据。企业可以根据员工的职务和工作需求，为其分配适当的数据访问权限，确保敏感数据仅限于相关人员查看和操作。人员权限设置的特点在于通过细化访问权限，提升数据使用的透明度和可追溯性，这能够帮助企业在数据处理过程中进行实时监控，便于及时发现并纠正违规行为，并提高数据的安全性，防止员工因不当访问或外部恶意攻击导致数据泄露。

企业在实施人员权限设置措施时应注意以下事项。首先，权限分配必须依据实际需求，避免过度授权或权限滥用。其次，企业应定期更新和审核权限设置，确保离职员工或职责变动的人员不再拥有原有权限。权限管理系统需要与企业的员工变动同步，且权限更改应具备审批流程和日志记录，以便追踪和审计。最后，员工的合规培训也至关重要，以减少因疏忽或误操作引发的安全隐患。

（3）定期合规审计及应急演练。数据安全是动态、持续的管控过程，服务器隔离和人员权限设置措施属于静态动作，企业为了确保“没有引入”的状态，还需动态地开展合规审计及应急演练工作。

此外，还应当注意的是，根据《促进和规范数据跨境流动规定》和《自贸港数据规定》，数据过境豁免不是对所有数据安全保护义务的绝对豁免，企业仍然需要履行数据出境的其他安全保护义务，具体来说包括以下几项：

（1）建立健全全流程网络和数据安全管理制度，制定应急处置预案，落实安全管理责任，采取技术措施和其他必要措施；

（2）发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告；

（3）向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务；

（4）向境外提供重要数据的，应当进行风险评估，并与数据接收方通过合同等方式约定处理目的、方式、范围以及安全保护义务等。

《促进和规范数据跨境流动规定》和《自贸港数据规定》都明确，发现数据出境活动存在较大风险或者发生数据安全事件的，网信部门和有关主管部门可以要求数据处理者进行整改，消除隐患。《促进和规范数据跨境流动规定》中还规定，对拒不改正或者造成严重后果的，将依法追究法律责任。这些都是在自贸港开展国际数据中心业务时特别需要注意的，宜提前做好合规布局，防范可能存在的数据安全风险。

推进来数加工的目的，应当是带动数据产业高质量发展，发展新质生产力。为了促进和保障来数加工，国家和海南自贸港从政策、法规、基础设施等多方面发力，对于来数加工，不应仅仅是“加工”这么简单，而应当定位于高端数据产业发展，打造高水平数字自贸港，推动我国数字经济高质量发展。来数加工的制度安排，在短期内可以促进自贸港成为数据中转站，但未来面向全球数字经济发展格局，还应进一步成为数据枢纽站和国际数据中心港。因此从长远布局上来看，还有更多的数据治理工作要做。

1. 提升数据治理国家环境。

来数加工是当前的制度红利，而其深层次吸引力来自于数字软实力。这种实力就是数据治理水平的国际博弈，数据投资与传统投资类似，既要考虑基础设施水平，同样关心政策环境及持续稳定性。我国已经初步构建了中央和地方立法相结合，涵盖法律、行政法规、部门规章以及地方性立法多个法律层级，涉及数据安全与发展、个人信息保护、商业数据流通以及政务数据管理等多个方面的数据法律制度体系。[5]在立法体系已较为完备的基础上，需要深化已有规定在实践中的落地，提高相关执法、司法能力，综合性地提高数据治理能力和数据合规水平。

2. 持续优化数据跨境管理。

来数加工只是手段而非目的，其所面对的数据类型比较有限。发展优质数据产业，还需要更多的国际数据资源，也需要促进国内数据资源与国际融合。因此从根本上来看，完善全国性的数据跨境监管措施，是打造数字领域国际国内双循环的关键要义。随着我国数据出境相关法规的制定和实施，结合来数加工的先行先试经验，下一步还可以继续探索优化我国数据出境监管实践，形成丰富、灵活的政策工具箱，为跨国企业开展在华业务和中国企业出海提供更多的路径选择。

3. 确保数据安全底线。

安全与发展是数据治理的基本原则之一，来数加工也应兼顾风险与收益。数据既是产业资源，也是国家资源。国际数据治理经验表明，数据流动能够带来经济收益，但也同样关乎数据安全和国家安全。即将实施的《网络数据安全管理条例》中首次明确，网络数据处理者应当对所处理的网络数据的安全承担主体责任。这对网络数据处理者提出了比较高的要求，开展来数加工的企业也同样属于网络数据处理者，应当积极开展数据合规以确保妥善履行数据安全主体责任。