粤港澳大湾区数据跨境合规流通研究

数字经济的规模和影响力不断增加，并日益成为全球经济的主要驱动力。数字化技术是未来创新、高效、包容和可持续的经济体系的关键组成部分。2016年举办的G20杭州峰会通过了二十国集团数字经济发展与合作倡议（数字经济倡议）。这是首个由G20集团领袖签署的关于数字经济的政策性文件。

在数字经济时代，个人数据被喻为“新的石油”，个人数据连接着云、人工智能、大数据、健康设备、互联网商业、区块链、物联网、社交媒介等终端。随着人的流动和商业企业的跨境经营，数据的频繁跨境流通成为常态。而数据跨境流通中的安全、合规与风险逐渐成为政府、企业和个人需要关注的问题。本文从跨境数据保护的国际视角来看大湾区数据流通的合规治理，对粤港澳大湾区的跨境数据治理的提出相关建议。

一、数据的重要性和跨境传输需求不断增加

今时今日，全球紧密协作，数据跨境传输已成为一种必然趋势。如何寻求全球数据流通和数据安全之间的平衡点，已成为各个国家和地区最关心的话题之一。一方面，数据要能够在机构、国家、个人之间自由流通，且不会受到政策障碍而妨碍社会经济的发展；另一方面，又要保证数据在跨境传输过程中得到充分的保护。

全面数字经济时代的实现，不仅依靠创新技术的应用，如人工智能、云计算、物联网等。智能应用也加剧了数据流动及其流动中的分析，这也是数字经济蓬勃的原因。数据应用是整个数字经济中的关键和必备的生产要素。通过合理、有效的数据分析与流通，多数据的互相结合，才能提炼出有价值的资源，造福社会、企业和个人，建立更加美好的数字世界。

然而，在数字经济快速发展的过程中，网络安全和隐私安全时刻威胁着数据的正当流通和应用。为了应对数字经济时代的新挑战，各个司法管辖区积极参与数据保护，制定了多个数据保护条例和管理办法，涉及隐私和重要数据、跨境数据传输的要求等，为相关数据得到正当合法的使用提出了具体的要求和指南，为高速发展数字经济保驾护航。随着各国各地跨境数据传输要求越来越多，企业在进行多地跨境业务时，需要面对多地严格的合规要求，增加合规成本之余，也不利于企业快速展开跨境正当业务，开拓海外市场，提供创新数字服务，对数据经济发展造成障碍。

目前，全球最少有102个司法管辖区已施行或即将施行全面的个人资料保护法例；亚洲区内更有十个司法管辖区已实施或即将实施个人资料保护的法例。此趋势反映全球各地政府对数据传输过程中个人资料的保护愈来愈重视。

粤港澳大湾区包括香港特别行政区、澳门特别行政区和广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市（珠三角九市），总面积5.6万平方公里，2018年末总人口约7100万人，是我国开放程度最高、经济活力最强的区域之一，在国家发展大局中具有重要战略地位。具有如此大规模的人口，且粤港澳湾区GDP占全国GDP比重的12.07%。在如此大体量的湾区经济中，大量的数据不仅在湾区内部流动，还通过人才、资源、劳动力、技术等生产要素的流动流向世界各地。数据的跨境流通十分频繁。

二、粤港澳大湾区现行数据出境体系架构

（一）香港——打造国际数据中心枢纽

香港作为粤港澳大湾区的重要一环，是重要的国际金融中心，也是连接国际与国内的纽带。香港兼具人才流、信息流、物流、服务流、资金流等优势资源，又处于独特的地理位置，具备良好的发展数据中心的优势。据安永的报告，在法律方面，香港有独立的立法、执法和司法机关，并且从1996年起就开始实施《个人隐私条例》，保障信息数据的自由流动，具备较完整的法治体系和数据流通保障体系；人才方面，香港有大量的专业人才，友好的移民政策和语言体系；技术方面，香港有先进的电信基础设施、可靠的电力支持和蓬勃发展的通信技术市场。在此基础上，香港有着打造国际数据中心枢纽的基础。

具体到香港的数据跨境流通规则框架，香港主要以《个人资料（私隐）条例》、《跨境资料转移条例》为基础，配套以成熟的律师、顾问团队，保护数据在跨境传输中的安全。在该条例下，香港是亚洲首个就个人资料保障制定法例的司法管辖区，能够覆盖公、私营机构，并且紧贴全球标准，建立基于国际认可的保障资料原则。在该资料条例的框架内设定了大致六个方面的原则，分别是：收集目的及方式；准确性、储存及保留；使用；保安措施；透明度；查阅及更正。

《跨境资料转移条例》包含三种资料转移的情况，分别由香港转移至境外、在其他两个司法区之间的转移，以及有关的转移由香港使用者控制。与条例相配套的还有《跨境资料转移指引》，通过合规——问责——伦理道德监督的机制，保障个人资料的安全。

（二）澳门——个人资料保护法的规定

澳门《个人资料保护法》虽未就个人信息转移及跨境转移做出定义，但从该法第五章内容可知个人信息跨境转移是指将个人信息转移到澳门以外的地方的行为。同时，《个人资料保护法》针对个人信息跨境转移的一般原则和例外情况分别作出规定，为规范个人信息跨境转移提供了基本法律依据。

澳门在个人信息跨境转移事宜上遵循“严格限制”的立场，将个人信息转移到澳门以外的地方应同时满足两个条件：其一，接收转移信息当地的法律体系能确保适当的保护程度；其二，信息转移行为须同时遵守《个人资料保护法》其他有关规定（第十九条第一款）。若不具备此两项条件，则有关信息跨境转移行为原则上被禁止。其中，第二项条件较易把握，即个人信息跨境转移应属个人信息处理行为之一种，因此《个人资料保护法》有关个人信息处理的基本原则、信息主体权利等规范同样适用于信息跨境转移行为。

而第一项条件作为“落实资料转移的首要决定标准”，涉及判断接收转移信息当地对个人信息的法律保护程度是否适当的决定主体及考量因素。判断接收转移信息的法律体系是否能确保前述适当保护程度的决定主体是“公共当局”（第十九条第三款），即个人资料保护办公室。而个人资料保护办公室需在根据转移的所有情况或信息转移的整体进行审议的基础上方可作出是否适当的判断。

具体而言，其在判断时需考量的具体因素包括：信息的性质、处理信息的目的、期间或处理计划、信息来源地和最终目的地以及有关法律体系现行的一般或特定的法律规则及所遵守的专业规则和安全措施（第十九条第二款）。对于接收转移信息地是否具备个人信息保护适当程度作出判断后，国际上惯常做法是基于政治考虑而把已经达到充分保护的国家名单列出来（白名单）而不是把没有充分保护的国家名单列出来（黑名单）。但截至目前，澳门个人资料保护办公室尚未宣告任何一个国家或地区具有适当保护程度。

（三）中国大陆——法律、法规和标准建构的数据跨境安全阀

2016年11月，全国人大常委会正式通过了《网络安全法》，规定了关键信息基础设施个人信息和重要数据跨境流动的一般规则。为了落实《网络安全法》的要求，2017年4月11日，国家互联网信息办公室公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称《征求意见》）。《征求意见稿》从保障个人信息和重要数据安全角度，规定了数据出境的一般原则和具体要求。与此同时，考虑到全球数字经济发展对数据跨境流动的需求以及我国参与国际相关规则的需要，《征求意见稿》第十五条指出“我国政府与其他国家、地区签署的关于数据出境的协议，按照协议的规定执行”。

2018年11月，国家标准《信息安全技术数据出境安全评估指南（征求意见稿）》（以下简称《数据出境评估指南》）出台，目的是进一步明确数据出境安全评估管理要求，规范启动条件、评估内容、实施流程、结果判定等具体内容。根据《数据出境评估指南》要求，现阶段出境数据的管理范畴主要包括“个人信息”和“重要数据”。其中，《数据出境安全评估指南》中的重要数据是指政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)，一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能造成危害国家、集体和第三人利益的后果。

此标准中重点规定了数据跨境安全评估的流程和方案。首先评估数据出境目的；数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上评估数据出境安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如下图所示：

另外，2019年6月13日凌晨，国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法（征求意见稿）》（以下简称“征求意见稿”），并于2019年6月13日向社会公开征求意见。根据《征求意见稿》，网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境），应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。具体内容包括：第一，明确了出境评估的主管机构——网络运营者所在地的省级网信部门。第二，个人信息出境安全评估的重点内容。第三，个人信息保管要求。第四，个人信息出境合同要求。

三、粤港澳大湾区数据跨境流通的冲突分析

中国粤港澳大湾区发展合作，在5.6万平方公里的区域内就涉及了两种社会制度、三种关税制度和三种货币。其中数据跨境的合规流通，主要涉及制度和法律冲突、技术冲突两个方面。

（一）制度和法律冲突

粤港澳大湾区由于历史上的因素形成了不同的社会制度，香港和澳门地区在中央政府的领导下根据不同的制度建构形成不同的组织和社会，在数据跨境流通中难免会出现制度方面的冲突，这些冲突包括显性的冲突和隐性的冲突。显性的冲突如立法、执法和司法层面的差异。

首先，在立法层面，香港地区的《个人资料（私隐）条例》、《跨境资料转移条例》，澳门地区的《个人资料保护法》与中国大陆地区《网络安全法》、《个人信息出境安全评估办法》，分别规定了不同的个人信息监督管理机构，同时对数据和隐私的范围界定也有区别，不同地区法律法规的适用范围不同。而当涉及法律冲突时，我国《涉外民事关系法律适用法》并未对数据跨境中的权属和责任等问题进行阐明。其次，在执法层面，中国大陆地区目前对数据跨境流通管理较为严格，在政府、法人、社会团体内部都有数据跨境流入流出的审查机制，法务风控等部门也有相关职能，甚至部分企业还设置了数据合规官来负责数据出入境的合规性审查。而香港和澳门地区的数据跨境流通环境相对宽松自由，尤其香港致力于打造国际数据流通中心，需要接纳来自世界各地的数据流、信息流。再者，在司法层面，粤港澳地区的三方司法体系都相对独立，对证据、辩护等要求也不同，需要加强跨区域跨级别的司法合作交流。

（二）技术冲突

粤港澳大湾区在技术发展层面目前也存在差异化，在涉及数据跨境流通的技术层面，例如大数据、云计算、人工智能、供应链金融、LOT等，以及与金融科技相关的应用如开放银行、数字牌照等，中国大陆相对于香港和澳门而言，在金融科技这一轮技术驱动的数字经济时代处于占优势的位置，并且在吸引投资资金的能力上较香港和澳门地区强。具体表现一是技术标准的冲突，例如底层算法代码的差异、API数据接口、数据跨境合规审查的严格或宽松程度有区别、数据标准的差异；二是技术布局和战略的冲突，不同机构在数据传输流通的过程中，能从中挖掘分析到的结果和准确性有差异；三是技术人才的冲突。在相关技术人才供不应求的环境下，对于大数据、人工智能和算法相关人员的竞争一定程度上加剧粤港澳大湾区的资源稀缺度。

四、政策与行业建议

（一）完善数据权属 挖掘数据价值

数据的合规跨境流转，前提需要构建起一整套数据规则，包括数据使用权、收益权的归属，数据定价和交易规则、数据流转中的权利义务和侵权责任等等。在未来的数据跨境流通中，第一，完善顶层设计，加快大陆地区“数据法”的研究制定；第二，借鉴境外数据跨境流通的司法案例，指导大陆和港澳地区的数据跨境司法实践；第三，通过设定专门的数据管理部门，加强数据跨境流通的合规性，同时引导数据全产业链的平衡发展，充分挖掘各环节链条上流通数据的价值。第四，大陆地区通过数据跨境合规制度和政策的先行制定和实施，可以带动港澳地区数据跨境流通的合规水平，与香港地区“国际数据中心枢纽”的角色和地位良性呼应。

（二）技术上发力，争夺数据跨境流通话语权

在数据跨境流通愈加频繁的当下，中国大陆地区可以从技术上发力，抢占粤港澳大湾区数据流通的话语权和主导地位，尤其充分发挥深圳作为对扩大开放桥头堡、“先锋军”、“试验田”的战略地位，鼓励金融科技创新的落地，引导“技术+制度”双轮创新驱动大陆地区的数据跨境流通。一是将人工智能、大数据、云计算、区块链等技术放在战略地位，优先发展规划新兴技术和产业，通过优秀人才引进、技术黑客活动等措施提升创新竞争力；二是注重在关键领域的单点突破，例如在5G、云计算、AI、开放银行等领域的突破，可以有效引领话语权；三是减少数据跨境流通的本地化限制，畅通粤港澳大湾区数据流动。通过技术创新加快粤港澳大湾区的数据跨境流通的效率，兼顾安全性，为粤港澳数字经济的发展提质增效。

（三）建立适用于粤港澳湾区的数据安全流通标准

随着粤港澳大湾区数据流通水平的不断提高，我国应该努力在国内立法和国际规则方面达到协同发展，兼顾香港相关数据资料流通条例的基础上不断完善国内（包括地方）跨境数据流动管理立法规则和制度，在综合考虑安全与发展的情况下，达到维护国家数据主权和促进跨境数据自由流动的平衡。同时，建议粤港澳大湾区从不同层级出台政策，梳理数据跨境流通机制，减少本地化的数据跨境流通阻碍，做好大陆地区与香港、澳门地区法规政策的衔接协同，畅通大湾区数据流通体系。

（四）借鉴欧盟等国家/国际组织经验，设立数据多样化合规流动机制

粤港澳大湾区的数据跨境流通，可以借鉴欧盟、美国、OPEC等国家、国际组织的经验，从多种渠道设立数据多样化的合规流动机制。例如：1.建立白名单机制。根据个人信息保护状况及对等措施，将部分地区纳入可自由流动的国家与地区。2.根据安全评估的主要标准，建立指引性的数据跨境流动协议范本，类似于欧盟标准合同范本，引导企业在数据出境中，通过合同法律机制来管控数据出境风险。3.鼓励行业协会及其他自律组织参与安全评估。作为市场机制补充，在安全评估中发挥作用，从而建立可落地实施，具有活力的数据管理秩序。4.对不同性质的数据采取分类管理方法。不仅区分个人数据、重要数据，形成对应的跨境流动管理策略，也可进一步在管理实践中，根据数据的安全属性进行梯度性管理。

（五）探索沙盒试点等金融科技试验机制

监管沙盒为金融科技的创新提供真实版的缩小环境，兼顾创新和风险监管，而在实践中由数据跨境引发的纠纷和风险不少。初期可以将粤港澳大湾区数据跨境流通纳入试点，建立中国大陆数据中心。完成自身数据保护框架后，建议邀请部分跨境转移企业参加试点。在沙盒中测试跨境数据转移的合规性和风险，测试成功后，可改进以进一步推广到市场。

作者：张夏明 京东数科研究院政策法规中心研究员，本文仅代表作者个人观点

声明：本文来自京东数字科技研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。