律政思专栏

来稿作者：邓凯

“数据跨境流动”无疑是近年来数字法治及公共政策议题中最引发关注的制度领域之一。其之于“一国两制”的独特框架下，既关乎内地与香港之间个人信息权益的保护，也涉及数字经济及跨境贸易发展、粤港澳大湾区要素融通，更与网络安全、数据主权与国际合作之间的复杂平衡休戚相关。纵观香港与内地在该问题上的法律立场及行动策略，在过去的十数年间经历了诸多调整与变化，法律秩序日趋清晰，故值得进行简要的法律史考察。

初始阶段：
香港数据跨境条款未生效
内地法律政策后发却先至

在香港，《个人资料（私隐）条例》（以下简称《私隐条例》）是形塑本地信息法治的“基本法”。该法早于1995年制定，这不仅是亚洲域内最早确立个人资料全面保障的系统性立法，当中拟定的“数据跨境监管专条”即第33条更被视作融入彼时法治潮流（如欧盟数据保护指令相关规则）的制度效仿举措，故而具有很强的规则先进性。

《私隐条例》第33条规定，除明文列举的例外情形，原则上禁止个人资料向本港以外的法律管辖区转移。即便这一关于“跨境转移”的规制条款立意明确，但多年过去，其却始终处于未生效的搁置状态。究其原委，特区政府在数次回应质询时作出解释：首先，严格规限资料转移势必对包括银行及电讯业在内的商界跨境营运带来重大影响；其次，正式实施资料跨境机制仍需多维度地审慎考虑，例如应紧跟国际主流形式，以及个案式研判资料出境目的地的私隐法治强度等。总体来讲，香港的公共政策者视确保香港跨国经贸不得受困于资料及资讯限制流动为较优先的价值次序。特别是进入数字时代，数据自由无疑是驱动本港作为外向型经济体高速发展的命脉所在。具言之，数字全球化的总体趋势使得在港企业对高频的数据跨境场景有强需求；相反，如若过度强调个人资料的本地化保护恐加剧企业的内部治理负担与合规成本，不符合香港的全球化禀赋和重营商、促开放的发展战略。

与香港极为前瞻但又清醒务实的立法及实施策略不同，内地的相关政策属“后发”，是在网络基础设施逐步完善，数据跨境流动场景日益丰富之后，基于国家互联网安全视角而提出。2016年，《中华人民共和国网络安全法》在涉及“关键信息基础设施运行安全”章节中，首次明确提出“特定数据本地化和数据出境安全评估”的原则性要求。由此可见，在1995年到2016年这二十余年里，内地与香港之间的数据跨境流动并不受实定法律规范的严格限制。诚然，囿于当时经济社会的数位化程度并不算高，两地间或也缺乏有效的数据跨境场景。

第二阶段：
香港逐渐完善数据跨境机制
内地积极立法严控数据安全

必须指出的是，《私隐条例》第33条未生效，并不意味着数据跨境问题在香港不受法律约束。按照《私隐条例》保障资料原则第三项宣示，只有当收集目的与使用目的相同或直接相关，以及当事人知情且同意时，包括资料出境转移在内的数据使用行为方可允许。资料的二次转移使用也需符合这一概括但法定的要求。此后在2014年以及2022年，香港个人资料私隐专员公署分别发布两份跨境资料转移指引，均在引言处示明二者作为实务性行政指导的文件性质，以及为第33条的生效实施持续完善事前法制筹备的法律意图。特别是2022年5月发出的《跨境资料转移指引：建议合约条文范本》，其在很大程度上说明，“标准化合同机制”已成为调整香港数据跨境的重要合规工具。

这一阶段，内地采取积极立法严控数据安全的局面则较为明朗，搭建在《个人信息保护法》、《网络安全法》和《数据安全法》之上的数据出境法律体系几近齐备。在具体实施路径和监管工具选择方面，内地决策者也在不断探索，于2017年、2019年以及2021年分别三次就数据出境安全评估规范征求意见。2022年7月内地网信部门正式出台“数据安全评估制度”，并在次年2月发布同为部门规章的《个人资讯出境标准合同办法》。加之第三方认证路径经由技术标准的规范形式予以订明，数据出境专门法三法齐出，标志着内地数据跨境监管框架基本成型。整体上看，内地数据出境法制的适用范围宽泛，严格规管数据跨境的立法取态明确。也即这一阶段，“一国”之下的内地与香港之间在数据跨境流动问题上并无明显特殊优待、便利的法律安排。

第三阶段：
大湾区发展促成数据跨境
陆港数据从禁河迈向过河

从香港自身发展利益出发，纵使其与内地因分处不同的法律管辖区域而构成事实上的数据跨境，但仍有必要在“一国”的基本前提下将香港打造成为内地出境数据集中地，既发挥香港独特制度禀赋，又有助于提高香港在国际上的数据竞争优势。为此，港府也就一定条件下内地数据过境香港向中央政府作出政策争取。

变化于是发生在2023年。6月29日，特区政府创新科技及工业局与国家网信办在京签署《促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称《合作备忘录》），旨在共建伙伴关系，共创合作秩序，进而推动探索数据在粤港澳大湾区内跨境安全流动的新路径。的确，数据跨境承载着粤港澳大湾区在人流、物流、资金流之外的“资讯流”融通的价值场景，《合作备忘录》框架的拟定不但是湾区创新要素流动的又一次里程碑时刻，也源自大湾区顶层规划的内在需求。

两地之间数据跨境流通从严控到合作的转变，也释放出内地方面单边松绑监管的正向信号，背后的更深层次考虑亦包括：经济下行压力下，应适当放宽数据跨境流动条件，校正并适度收窄安全评估范围，此举既有助于降低企业合规成本，充分释放数据要素价值，也能扩大高水准对外开放。

基于内地监管转型这一情势且依托前述《合作备忘录》，国家网信办和香港创科及工业局于同年12月共同决定实施“标准合同方案”以便利大湾区个人信息跨境流动。一方面，标准合同不仅是现时数据跨境传输领域中最为成熟有效的合规工具之一，又是一种因应真实商业实践，回归企业经营自主的“软法”规制手段，其正当性不言而喻。另一方面，减负湾区数字企业跨境营商是该标准合同实施指引的主基调，呈现在文本规范上以“降级”和“简化”为基本程式特征。所谓“降级”是指，大湾区内个人信息跨境流动场景但凡符合本指引要求的，原则上应优先豁免适用数据出境安全评估申报，转而降级为强度相对较低的标准合同机制。而“简化”，主要体现在登记备案手续简便，只需向属地主管部门如广东省网信办或香港特区政府政府资讯科技总监办公室提供法人代表身份证明、承诺书以及标准合同即可。

第四阶段：
合作区激发数据跨境创新
多样化跨境路径值得期许

法理上讲，第三阶段中采用粤港澳大湾区标准合同模式的智慧之处，显然在于制度设计者以某种示范法的法律样态创新性地抹平了、弥合了香港与内地之间的数据法律体系差异（如分别依据两地法律对个人信息的范畴进行具体界定），从保护个人权益的角度合理地统筹了大湾区数据跨境监管的路径与方法。

进入到2024年，数据跨境监管法律及政策的优化调整仍在继续。在整体层面，国家网信办于3月正式发布《促进和规范数据跨境流动规定》，进一步明确了数据出境路径的适用及其豁免条件，为数据跨境流动供给了简洁、清晰的法律指引，极具积极意义。特别是规定自贸区在国家分类分级的数据制度框架下，可制定区内数据清单，经批准备案后，负面清单之外的数据可豁免出境限制。旋即，在粤港澳大湾区域内，广东自贸试验区制定《数据出境管理清单（负面清单）》，为金融业、互联网信息服务业、人工智能数据、零售业、汽车行业、航运业等领域的不同场景、不同类别数据开辟便利安全的流动管道。

清单运用方式也包括“正面清单”。国务院办公厅在同月印发《扎实推进高水准对外开放更大力度吸引和利用外资行动方案》，旗帜鲜明地主张“制定粤港澳大湾区跨境数据转移标准，依托横琴、前海等重大合作平台，建立港澳企业数据跨境流动机制，探索建立跨境数据流动“白名单”制度，稳步推动实现粤港澳大湾区内数据便捷流动。”

实际上在更早之前，也即2023年6月，作为“一河两岸、一区两园”的河套平台就通过编制出台《河套深港科技创新合作区跨境数据交易试点方案》的形式，率先试点数据跨境交易。其中的重要举措包括：夯实数据跨境流通基础设施，在园区内构建可提供数据安全存储、授权、存证、可信传输、隐私计算等功能的数据新型基础设施，借由“技术吸纳法律”的范式，实现定制化数据跨境可信传输。这一创制更被纳入广东省推进粤港澳大湾区规则衔接、机制对接典型案例中。

就在本文撰写过程中，《行政长官2025年施政报告》发布，强化AI数据优势一如既往被视作香港产业发展和革新的关键举措。行政长官李家超对此强调：“香港会加大发挥‘一国两制’的优势，推动早日实现内地数据在合规安全保障下可跨境流动到河套香港园区用于科研，助力AI应用测试与创新。”这意味着，内地与香港之间的数据跨境制度工具极有可能在全新的技术产业与法律规则语境下再度生成，未来更多样化的跨境路径值得期许。大湾区数据跨境史体现了两地法律的循证演进，也寓于规制与技术的精巧平衡不必急于朝夕的自然玄机，以及双方共识与信赖的达成取决于彼此耐心经营、相向而行的朴素隐喻。

作者邓凯是香港城市大学法律学院公法与人权论坛研究员，法学博士。

“律政思”是由法律专业人士主笔的法律评论专栏，旨在以专业视角，剖析国际、中国内地和香港的法律发展、法治建设及相关社会议题，深化公众的理解。

文章仅属作者意见，不代表香港01立场。