律政思專欄

來稿作者：鄧凱

「數據跨境流動」無疑是近年來數字法治及公共政策議題中最引發關注的制度領域之一。其之於「一國兩制」的獨特框架下，既關乎內地與香港之間個人信息權益的保護，也涉及數字經濟及跨境貿易發展、粵港澳大灣區要素融通，更與網絡安全、數據主權與國際合作之間的複雜平衡休戚相關。縱觀香港與內地在該問題上的法律立場及行動策略，在過去的十數年間經歷了諸多調整與變化，法律秩序日趨清晰，故值得進行簡要的法律史考察。

初始階段：
香港數據跨境條款未生效
內地法律政策後發卻先至

在香港，《個人資料（私隱）條例》（以下簡稱《私隱條例》）是形塑本地信息法治的「基本法」。該法早於1995年制定，這不僅是亞洲域內最早確立個人資料全面保障的系統性立法，當中擬定的「數據跨境監管專條」即第33條更被視作融入彼時法治潮流（如歐盟數據保護指令相關規則）的制度效仿舉措，故而具有很強的規則先進性。

《私隱條例》第33條規定，除明文列舉的例外情形，原則上禁止個人資料向本港以外的法律管轄區轉移。即便這一關於「跨境轉移」的規制條款立意明確，但多年過去，其卻始終處於未生效的擱置狀態。究其原委，特區政府在數次回應質詢時作出解釋：首先，嚴格規限資料轉移勢必對包括銀行及電訊業在內的商界跨境營運帶來重大影響；其次，正式實施資料跨境機制仍需多維度地審慎考慮，例如應緊跟國際主流形式，以及個案式研判資料出境目的地的私隱法治強度等。總體來講，香港的公共政策者視確保香港跨國經貿不得受困於資料及資訊限制流動為較優先的價值次序。特別是進入數字時代，數據自由無疑是驅動本港作為外向型經濟體高速發展的命脈所在。具言之，數字全球化的總體趨勢使得在港企業對高頻的數據跨境場景有強需求；相反，如若過度強調個人資料的本地化保護恐加劇企業的內部治理負擔與合規成本，不符合香港的全球化稟賦和重營商、促開放的發展戰略。

與香港極為前瞻但又清醒務實的立法及實施策略不同，內地的相關政策屬「後發」，是在網絡基礎設施逐步完善，數據跨境流動場景日益豐富之後，基於國家網路安全視角而提出。2016年，《中華人民共和國網絡安全法》在涉及「關鍵信息基礎設施運行安全」章節中，首次明確提出「特定數據本地化和數據出境安全評估」的原則性要求。由此可見，在1995年到2016年這二十餘年裏，內地與香港之間的數據跨境流動並不受實定法律規範的嚴格限制。誠然，囿於當時經濟社會的數位化程度並不算高，兩地間或也缺乏有效的數據跨境場景。

第二階段：
香港逐漸完善數據跨境機制
內地積極立法嚴控數據安全

必須指出的是，《私隱條例》第33條未生效，並不意味着數據跨境問題在香港不受法律約束。按照《私隱條例》保障資料原則第三項宣示，只有當收集目的與使用目的相同或直接相關，以及當事人知情且同意時，包括資料出境轉移在內的數據使用行為方可允許。資料的二次轉移使用也需符合這一概括但法定的要求。此後在2014年以及2022年，香港個人資料私隱專員公署分別發佈兩份跨境資料轉移指引，均在引言處示明二者作為實務性行政指導的文件性質，以及為第33條的生效實施持續完善事前法制籌備的法律意圖。特別是2022年5月發出的《跨境資料轉移指引：建議合約條文範本》，其在很大程度上說明，「標準化合同機制」已成為調整香港數據跨境的重要合規工具。

這一階段，內地採取積極立法嚴控數據安全的局面則較為明朗，搭建在《個人信息保護法》、《網絡安全法》和《數據安全法》之上的數據出境法律體系幾近齊備。在具體實施路徑和監管工具選擇方面，內地決策者也在不斷探索，於2017年、2019年以及2021年分別三次就數據出境安全評估規範徵求意見。2022年7月內地網信部門正式出台「數據安全評估制度」，並在次年2月發佈同為部門規章的《個人資訊出境標準合同辦法》。加之第三方認證路徑經由技術標準的規範形式予以訂明，數據出境專門法三法齊出，標誌着內地數據跨境監管框架基本成型。整體上看，內地數據出境法制的適用範圍寬泛，嚴格規管數據跨境的立法取態明確。也即這一階段，「一國」之下的內地與香港之間在數據跨境流動問題上並無明顯特殊優待、便利的法律安排。

第三階段：
大灣區發展促成數據跨境
陸港數據從禁河邁向過河

從香港自身發展利益出發，縱使其與內地因分處不同的法律管轄區域而構成事實上的數據跨境，但仍有必要在「一國」的基本前提下將香港打造成為內地出境數據集中地，既發揮香港獨特制度稟賦，又有助於提高香港在國際上的數據競爭優勢。為此，港府也就一定條件下內地數據過境香港向中央政府作出政策爭取。

變化於是發生在2023年。6月29日，特區政府創新科技及工業局與國家網信辦在京簽署《促進粵港澳大灣區數據跨境流動的合作備忘錄》（以下簡稱《合作備忘錄》），旨在共建夥伴關係，共創合作秩序，進而推動探索數據在粵港澳大灣區內跨境安全流動的新路徑。的確，數據跨境承載着粵港澳大灣區在人流、物流、資金流之外的「資訊流」融通的價值場景，《合作備忘錄》框架的擬定不但是灣區創新要素流動的又一次里程碑時刻，也源自大灣區頂層規劃的內在需求。

兩地之間數據跨境流通從嚴控到合作的轉變，也釋放出內地方面單邊鬆綁監管的正向信號，背後的更深層次考慮亦包括：經濟下行壓力下，應適當放寬數據跨境流動條件，校正並適度收窄安全評估範圍，此舉既有助於降低企業合規成本，充分釋放數據要素價值，也能擴大高水準對外開放。

基於內地監管轉型這一情勢且依託前述《合作備忘錄》，國家網信辦和香港創科及工業局於同年12月共同決定實施「標準合同方案」以便利大灣區個人信息跨境流動。一方面，標準合同不僅是現時數據跨境傳輸領域中最為成熟有效的合規工具之一，又是一種因應真實商業實踐，回歸企業經營自主的「軟法」規制手段，其正當性不言而喻。另一方面，減負灣區數字企業跨境營商是該標準合同實施指引的主基調，呈現在文本規範上以「降級」和「簡化」為基本程式特徵。所謂「降級」是指，大灣區內個人信息跨境流動場景但凡符合本指引要求的，原則上應優先豁免適用數據出境安全評估申報，轉而降級為強度相對較低的標準合同機制。而「簡化」，主要體現在登記備案手續簡便，只需向屬地主管部門如廣東省網信辦或香港特區政府政府資訊科技總監辦公室提供法人代表身份證明、承諾書以及標準合同即可。

第四階段：
合作區激發數據跨境創新
多樣化跨境路徑值得期許

法理上講，第三階段中採用粵港澳大灣區標準合同模式的智慧之處，顯然在於制度設計者以某種示範法的法律樣態創新性地抹平了、彌合了香港與內地之間的數據法律體系差異（如分別依據兩地法律對個人信息的範疇進行具體界定），從保護個人權益的角度合理地統籌了大灣區數據跨境監管的路徑與方法。

進入到2024年，數據跨境監管法律及政策的優化調整仍在繼續。在整體層面，國家網信辦於3月正式發佈《促進和規範數據跨境流動規定》，進一步明確了數據出境路徑的適用及其豁免條件，為數據跨境流動供給了簡潔、清晰的法律指引，極具積極意義。特別是規定自貿區在國家分類分級的數據制度框架下，可制定區內數據清單，經批准備案後，負面清單之外的數據可豁免出境限制。旋即，在粵港澳大灣區域內，廣東自貿試驗區制定《數據出境管理清單（負面清單）》，為金融業、互聯網信息服務業、人工智能數據、零售業、汽車行業、航運業等領域的不同場景、不同類別數據開闢便利安全的流動管道。

清單運用方式也包括「正面清單」。國務院辦公廳在同月印發《扎實推進高水準對外開放更大力度吸引和利用外資行動方案》，旗幟鮮明地主張「制定粵港澳大灣區跨境數據轉移標準，依託橫琴、前海等重大合作平台，建立港澳企業數據跨境流動機制，探索建立跨境數據流動「白名單」制度，穩步推動實現粵港澳大灣區內數據便捷流動。」

實際上在更早之前，也即2023年6月，作為「一河兩岸、一區兩園」的河套平台就通過編制出台《河套深港科技創新合作區跨境數據交易試點方案》的形式，率先試點數據跨境交易。其中的重要舉措包括：夯實數據跨境流通基礎設施，在園區內構建可提供數據安全存儲、授權、存證、可信傳輸、隱私計算等功能的數據新型基礎設施，借由「技術吸納法律」的範式，實現定制化數據跨境可信傳輸。這一創制更被納入廣東省推進粵港澳大灣區規則銜接、機制對接典型案例中。

就在本文撰寫過程中，《行政長官2025年施政報告》發佈，強化AI數據優勢一如既往被視作香港產業發展和革新的關鍵舉措。行政長官李家超對此強調：「香港會加大發揮『一國兩制』的優勢，推動早日實現內地數據在合規安全保障下可跨境流動到河套香港園區用於科研，助力AI應用測試與創新。」這意味着，內地與香港之間的數據跨境制度工具極有可能在全新的技術產業與法律規則語境下再度生成，未來更多樣化的跨境路徑值得期許。大灣區數據跨境史體現了兩地法律的循證演進，也寓於規制與技術的精巧平衡不必急於朝夕的自然玄機，以及雙方共識與信賴的達成取決於彼此耐心經營、相向而行的樸素隱喻。

作者鄧凱是香港城市大學法律學院公法與人權論壇研究員，法學博士。

「律政思」是由法律專業人士主筆的法律評論專欄，旨在以專業視角，剖析國際、中國內地和香港的法律發展、法治建設及相關社會議題，深化公眾的理解。

文章僅屬作者意見，不代表香港01立場。

01專欄精選不同範疇專家，豐富公共輿論場域，鼓勵更多維度思考。