报告发布 | 从探索到落地:数据跨境跨区的湾区先行

核心观点

过去数年，粤港澳大湾区数据跨境流通制度持续完善，2024年以来，《促进和规范数据跨境流动规定》等系列政策密集出台，深圳数据交易所跨境专区、深港区块链跨境验证平台、横琴粤澳深度合作区数据跨境服务中心等一批先行先试项目相继落地，粤澳健康码互认、香港大学深圳医院患者数据“一键通行”、香港居民内地贷款发放、来数加工业务等典型案例不断涌现，数据要素跨境流动规模显著扩大、场景日益丰富，体现了大湾区数字经济的高速发展与政策红利释放特征。然而，数据跨境流通作为新兴领域，仍面临制度衔接不完全、合规成本较高、重要数据界定模糊、跨境场景复杂等挑战。

基于此，李兰兰女士的发言深入探讨了粤港澳大湾区数据跨境流通的现状、挑战与合规路径，围绕数据要素作为新质生产力的核心载体，提出了系统性思考与实务框架。她从五个方面展开论述：第一，明确界定跨境场景并归纳六类典型业务类型；第二，剖析内地“三驾马车”法律体系与港澳隐私条例的异同及衔接机制；第三，强调安全、发展、流通的辩证统一关系；第四，针对合规难点，提出摸排评估、路径选择、合同备案、跨部门协作与长效机制的综合解决方案；第五，展望湾区充分利用标准合同备案便利，从试点先行迈向全面自由流通的发展路径。她强调，数据跨境不仅是技术与业务问题，更是制度、合规与协同的系统性变革，需通过政策红利释放、合规体系建设与场景创新，守住安全底线，释放要素活力。这一框架为湾区企业合规实践提供了清晰指引，也为大湾区数据治理与数字经济高质量发展提供了重要参考。

以下为李兰兰女士发言纪要：

在实务工作中，许多企业常常询问某一具体场景是否属于跨境，因此必须首先判断是否存在跨境行为，方可进一步讨论该场景下应遵守的规则与义务。所谓跨境，实质上是指跨法域的数据流动。在粤港澳大湾区内，虽然香港、澳门与内地同属中国，但由于法律体系存在明显差异，从香港、澳门进入内地或从内地进入香港、澳门均构成跨境行为；若涉及其他国家，则更无疑属于跨境。至于何种数据会发生跨境流动会受到监管，根据《数据出境安全评估办法》的规定，主要包括以下几类：一是境内登记主体在经营过程中提供产品或服务所形成的、于境内产生的数据；二是境外登记主体向境内自然人提供服务时所产生的数据，例如某些外资平台在中国内地开展销售业务，境内用户通过中文界面支付费用并提供邮寄地址等个人信息，即已形成个人信息出境情形；三是在境内通过自动化或非自动化方式收集的数据，包括用户主动提供的个人信息、通过APP录入的数据、传感器自动采集的数据，以及企业研发、生产、经营、运维过程中形成的全部数据，这些数据一旦向境外传输，即构成跨境。

数据跨境的具体实现方式包括直接传输、通过API共享、向合作方提供数据以及访问行为等。实践中较为常见的问题是访问行为例如境内企业拥有境外分公司，境外员工通过官网或OA系统访问境内服务器，境外即已实现对境内数据的收集与访问。此外，涉及司法协助必须通过正式外交途径或主管机关处理，境内组织和个人不得擅自向境外司法或执法机构提供数据，即使收到看似官方的通知，也需逐级上报或向市场监管部门报告，切不可自行处理。另有一种特殊情形为过境中转数据，通常无需备案或报告，例如境外数据经中国境内中转后直接出境，且境内未进行任何加工处理；或者虽有加工，但所涉数据并非境内产生。因此，只要属于境内产生的数据向境外提供，原则上均须依法依规处理。

接下来，我将介绍数据跨境的典型场景，结合工作实务主要归纳为以下六类：第一类，境外企业在境内开展业务时收集使用境内客户信息，例如我们曾服务过的一家香港企业，其开发的APP供内地自然人注册、下单、支付等，属于典型跨境收集行为；第二类，境外集团访问、使用境内分支机构的数据，许多外资企业需将境内员工信息、销售数据、生产经营数据等传输至境外总部进行统一管理，此类业务场景在跨国企业中极为常见；第三类，境内企业使用境外服务时向境外主体提供数据，例如境内店铺需要借助境外技术能力，由境外技术服务商在境内收集数据后传输到境外；第四类，境内外企业合作开发产品或提供服务，包括“来数加工”模式（如一方提供数据、一方提供技术）或共同研发机器人等场景，双方作为共同处理者实现数据互通；第五类，境外企业虽无境内分支机构，但纯粹在境外分析境内个人信息，例如外资数据分析企业处理内地用户的消费偏好以辅助决策，此类场景在未来将更加普遍；第六类，境内外学术交流与网站访问，随着AI等前沿技术合作日益频繁，相关数据流动不可避免。

在明确跨境场景后，我们来进一步关注数据实际如何跨境流动。传输方式包括专线直传、服务器直连、云存储服务（如阿里云、华为云等提供境外云服务）、API接口等。在审查合规性时，我会重点调查供应商身份、是否签署合同、合同中是否明确数据安全保障措施。中国内地（大陆）的相关制度框架包括：（1）内地数据跨境流通的核心法律体系由“三驾马车”构成，即《网络安全法》《个人信息保护法》《数据安全法》。其中，《网络安全法》已完成修订，于2026年1月1日起实施，新法显著强化法律责任并加大处罚力度，与《数据安全法》《个人信息保护法》形成紧密配套体系。（2）配套部门规章、标准指南、指引以及网信办制定的标准合同亦不可或缺。跨境领域尤为重要的规范包括《数据出境安全评估办法》《个人信息出境标准合同办法》以及2024年发布的《促进和规范数据跨境流动规定》。在《网络安全法》中，对于关键信息基础设施运营者，其在境内收集和产生的个人信息与重要数据原则上应当在境内存储；确因业务需要向境外提供的，必须经过申报并开展安全评估。《数据安全法》沿用相同规定，非关键信息基础设施运营者则需遵循网信办其他规定。《个人信息保护法》明确，个人信息出境须满足以下任一条件：一是经国家网信部门主持的安全评估；二是经专业机构开展的个人信息保护认证；三是签订标准合同并按要求备案；四是法律、行政法规规定的其他条件。出境前须判断是否属于重要数据或达到一定量级（如累计处理100万人以上个人信息、上一年度起累计10万人或1万人个人信息），同时需取得个人的单独同意（可通过单独弹窗或隐私政策链接实现），并采取必要的安全保护措施。若未依法履行义务，最高可处上一年度营业额5%或5000万元以下罚款，主要负责人最高可处100万元罚款，并可能被禁止担任重要职务，甚至承担刑事责任。合法出境路径有三条，可择一而行：第一条为向中央网信办申请数据出境安全评估（重要数据或关键信息无论出境数量多少均需评估）；第二条为通过专业机构认证；第三条为签订标准合同并备案。若无需申请数据出境安全评估，则可选择认证或标准合同备案，可采用排除法判断出境适用路径。值得一提的是，粤港澳大湾区内个人信息流动可采用专用标准合同备案方式，实现相对自由流通，此举极大便利了湾区企业。针对具体场景，《促进和规范数据跨境流动规定》进一步细化豁免情形：若不含个人信息或重要数据，涉及国际贸易、跨境运输、学术合作、跨国生产制造、市场营销等场景，可免于申报；过境数据亦免于申报；即使涉及个人信息，但不含重要数据，且属于合同履行必需（如跨境购物、支付、开户、签证等）、集团内部人力资源管理、紧急保护自然人生命健康与财产安全，或当年累计向境外提供不满1万条敏感个人信息或10万条一般个人信息等情形，亦可豁免申报。自贸港、自贸试验区可制定本地化规则，深圳前海、河套、海南等地已陆续推出相关管理清单。

关于香港地区，我主要介绍三方面内容：一是《个人资料（私隐）条例》，尤其是虽尚未生效但实务中已参照执行的第33条，该条要求传输目的地具备对等法律规范、取得当事人书面同意、采取合理预防措施等；二是《跨境资料转移指引》中的建议合同范本（一版与二版）；三是转移人责任与接收人义务，包括目的限制、同意机制、数据准确性、保留期限最小化、安全保护措施、不得超出目的使用、不得未经同意再转移、响应更正或删除要求、提供合规证据、保障当事人查阅与更正权利等。香港跨境监管由资讯科技总监办公室负责，合同备案亦可向该办公室提交。

关于澳门地区，澳门个人资料保护局负责监管，主要涉及个人信息保护。跨境转移需满足当事人明确同意、履行合同必需、保护公共利益或司法诉讼、保护当事人重大利益等条件，或经公开登记后通知个资局。对于自动化处理、敏感个人信息、当事人无能力同意等情形，需履行通知义务；若不符合通知规定中所列的法律规定的条件，可申请个资局许可后将个人资料转移。

综上，内地要求单独同意、开展个人信息保护影响评估并备案或认证等；香港主要依托标准合同范本；澳门则强调适当保护水平并履行通知或申请许可。粤港澳大湾区内个人信息转移享有显著便利，企业只需满足实施指引规范即可相对自由流动。但需特别注意，若服务器不在大湾区内，或数据流向湾区以外，则不适用大湾区专用合同备案，而须按中央网信办规定处理。同时，数据不得含重要数据，需取得个人同意、开展个人信息保护影响评估，并在合同生效后10个工作日内向监管单位提交承诺书、标准合同及相关资料。港澳标准合同在变更备案、法定通知义务、属地监管资料要求等方面存在一定差异，但总体框架已经有标准合同版本可供使用。

接下来，我将介绍粤港澳大湾区数据跨境流通的一些实际成功案例，这些案例均基于公开信息收集整理，充分体现了政策红利与技术创新在推动数据要素流动方面的显著成效。

早在2020年疫情期间，就实现了粤澳两地健康码的互认，这一机制在广东省多个城市较早落地并投入使用，为跨境人员流动提供了便捷的健康信息共享服务。随后，在2023年，深圳数据交易所正式开设了数据跨境专区，允许批量数据跨境产品上架并开展交易，成为全国首个开展数据跨境交易的交易所。同年，深圳福田区率先开展数据跨境交易试点，被评为“中国改革2023年度地方全面深化改革县域案例”，获得国家级荣誉肯定。进入2024年，深港两地跨境平台建设取得重要进展。2024年5月，深圳和香港两地宣布深港跨境数据验证平台上线试行，平台基于区块链底层技术和分布式数据传输协议进行开发，该平台以哈希值跨境能够实现数据用户自主携带资料的可信验证；同时，香港高校与深圳河套地区实现了学术数据的共享，为科研合作提供了高效通道。今年5月，横琴粤澳深度合作区数据跨境服务中心和大模型合规指导中心顺利揭牌，这一重要举措进一步促进了粤港澳大湾区内数据跨境流动，为经济发展注入新动能。许多企业之所以需要数据跨境流动，根本原因在于业务本身具有跨境属性，数据流动随之产生，因此这一机制对湾区整体经济发展的支撑作用尤为显著。

今年7月1日，香港大学深圳医院首次测试数据跨境传输，顺利通过深港数据跨境安全便捷通道，将患者数据“一键通行”至香港，为两地患者就医提供了有力支撑。香港理工大学则依托深港跨境验证平台，成功实现了学历认证的“秒级核验”，极大便利了人才在湾区内的流通。此外，澳琴数字贸易国际枢纽港入选国家数据基础设施试点；深港数据中心、前海医疗跨境数据空间、企业出海数据跨境合规服务平台等一批重点项目也集中发布，珠海云上智城投资公司等机构与澳门科技大学共建粤澳医疗可信数据空间等。

2025年7月8日，在横琴粤澳深度合作区成立了“国际跨境可信数据空间—澳琴站”、粤澳跨境医疗可信数据空间，并在2025年9月8日实现首单港人北上就医“无感及时保险理赔”模式，标志着保险理赔场景的重大突破。全国首笔依托跨境验证完成的香港居民内地贷款也在深圳成功发放；在10月份，广州稳诺数据有限公司与香港企业合作开展“来数加工”业务,为产生于境外的数据提供加工、治理、交易等增值服务，这标志着从货物跨境向数据跨境的质的飞跃。广州同样实现了首笔跨境数据单入表的案例。随着粤港澳大湾区持续深化发展，未来我们将与越来越多国家和地区建立跨域平台，进一步拓展数据要素的流通空间。

最后，我将重点分析企业如何开展粤港澳大湾区数据跨境业务。在实务工作中，我通常建议企业首先对公司内部现状进行全面摸排，系统了解目前有哪些数据向境外流动、流动的量级达到何种程度、是否满足合法、正当、必要性原则。通过对标《网络安全法》《个人信息保护法》《数据安全法》以及《促进和规范数据跨境流动规定》等法律法规，逐一识别合规差距，例如是否需要缩小数据字段范围、用区间或职能描述替代具体个人信息、完善不规范的隐私政策等。同时，我还会审查现有跨境合同内容以及双方补充约定是否符合标准合同要求。实践中，我们经常发现许多企业的关联公司之间法律关系界定不清，这就需要补充明确的授权链路；此外，数据流转链路往往较长，一旦某一环节出现脱链，就会直接影响整体合法合规性。

在此基础上，企业必须开展个人信息保护影响评估（PIA）工作，这是《个人信息保护法》明确规定的前置程序，没有开展的一定要补做。为了实现长治久安，我强烈建议企业建立常态化的个人信息保护影响评估机制，在内部形成完整的流程体系，包括审批、留痕、存档等环节，确保无论是监管部门检查还是其他主体核查，都能随时提供完整证据。在摸排与评估完成后，企业需要根据实际情况选择合适的出境路径。如果符合条件，可以选择合同备案或专业机构认证；若达到中央网信办规定的量级或涉及重要数据、关键基础设施运营者，则必须向中央网信办申请数据出境安全评估备案。这一选择并非随意，而是需要综合考虑时间、业务影响以及成本等因素，因此我通常会建议企业先进行路径判断，再做出决策。

同时，在开展上述工作的过程中，企业内部往往需要组建专门的工作小组，涉及多个部门协同配合。例如，可参考欧盟的DPO（数据保护官）模式，明确个人信息保护负责人；同时，法务部、合规部门、知识产权部门、信息安全部门、业务部门以及数据管理部门等均应纳入小组。因为数据跨境本质上服务于业务需求，业务部门必须深度参与，共同厘清数据因何而流、流向何处。外部方面，企业可以引入专业律师事务所提供协助，而境外的接收方也必须积极配合，因为合同签署、内容变更等环节均需其同意，方能保障数据流动顺畅支持业务开展。当然，若某些跨境场景尚不清晰，企业也可以直接向监管部门咨询，目前网信办等监管机构的服务态度和效率都非常好。在摸排阶段发现的问题，结合现行法律法规提出针对性的整改建议，并在后续工作中协助企业逐项落地整改，直至全面达到合规状态。整改完成后，出具明确的合规结论，确认当前数据出境行为合法合规。接下来，便可进入合同协调环节。如果属于粤港澳大湾区内部流动，例如向香港提供数据，则可直接采用网信办与香港方面共同制定的标准合同进行签署。该标准合同文本统一且不得修改，仅能在划横线处填写具体内容；如需个性化约定，可在附录2中补充，但原则上不得违反法律法规及标准合同本身的规定，以避免出现矛盾。

在实务中，我曾参与协助多家企业顺利完成上述流程，并帮助客户取得相关备案证书。

全国首例数据跨境交易项目由深圳数据交易所协助一家香港公司完成，成功获得国内光大银行300万元授信。在此过程中，律师事务所出具了合规法律服务报告，第三方机构出具了数据价值评估报告，为交易提供了坚实的合规基础。

我们曾办理的跨境数据典型案例有：

（1）开展合作的双方分别为境内外企业，首先全面梳理业务模式、数据流向、采集方式、技术保护措施以及跨境环节，然后开展全链条合规评估并实施整改，最终实现业务连续性与合规并重。

（2）“来数加工”场景中，协助企业厘清各方法律关系——因为法律关系直接决定责任与义务的分配，这是合规的前提；同时，协助起草加工合同、明确加工内容、数据流转路径等关键条款，确保整个合作过程合法合规。

跨境数据业务确实面临多法域、多层级的法律要求，因此企业必须高度重视合规工作。我的建议是，企业应建立一套完整、持续运行的合规体系，并实现实时监控。在粤港澳大湾区内，企业尤其要充分利用政策红利，如完成标准合同备案可大幅降低合规成本，因此我诚挚欢迎更多企业落户大湾区。未来，我希望能够推动建立粤港澳统一的分类分级标准，进一步简化合规流程，推广深港平台已有的先行先试模式，并建设更多跨境公共服务平台，将河套、横琴等地的成功试点经验向更多产业和业务场景辐射，从而更好支撑粤港澳大湾区数字经济的高质量发展。

以下为许可先生发言纪要：

作为一名长期从事数据研究并深度参与数据跨境政策制定的研究者，我从2016年《网络安全法》出台之后，就持续关注并参与相关部委针对个人信息和重要数据出境管理规则的制定过程中。由于我主要从事政策研究而非实务操作，我对李律师所分享的粤港澳大湾区实际案例以及未来机制衔接问题特别关注。

首先，我们可以回顾一下粤港澳大湾区数据跨境规则制定的背景。当时之所以要推动大湾区内部数据自由流动，根本原因在以及当时数据出境管理办法对重要数据和个人信息出境设定了较为严格的限制，这导致我国数据出境面临高昂的合规成本。因此，中央层面将大湾区内部数据自由流动视为一项重要的政策红利，旨在为香港、澳门以及广东提供制度性便利。然而，时至今日，这一政策红利究竟还剩下多大程度，我认为必须打上一个问号。主要原因在于《促进和规范数据跨境流动规定》出台之后，数据跨境问题的难点已经向重要数据一侧转移，个人信息出境由于获得了大量豁免情形，大多数企业因此得到明显缓解。虽然仍有一些企业因处理大规模个人信息而需进行安全评估，但整体而言，个人信息出境的合规压力已大幅降低。然而，重要数据出境并不在粤港澳大湾区特殊政策的豁免框架之内，因此我对这一政策红利在重要数据领域的实际效力存有疑问。这是我关心的第一个问题，即粤港澳大湾区数据跨境协同机制的现状与实效。

第二个问题涉及粤港澳大湾区数据跨境的核心机制——SCC（标准合同条款）备案方式。目前，随着政策进一步放松，特别是近期出台的个人信息出境认证规则，认证机制正在成为另一条重要路径。从基本原则上看，SCC与认证应当基于相同的保护标准，且认证在成本上通常高于SCC，但同时也具备显著优势，即有可能发展为基于主体而非基于场景的长期认证。也就是说，认证从SCC的个案、一次性场景备案可能转向基于主体的普遍、中长期认证。在这样的背景下，粤港澳大湾区数据跨境的未来路径选择就变得尤为关键：基于场景的SCC备案与基于主体的认证机制在未来将如何衔接？此外，李律师最后提到建立粤港澳统一的分类分级标准，这一想法确实很有意义，但我也认为实施起来相当复杂。首先，广东省内部能否实现统一的分类分级。《促进和规范数据跨境流动规定》特别强调自贸区可以制定特殊政策，甚至采用负面清单制度，这对数据出境将产生重大影响。目前广东省是否已完成统一分类分级，尚不清楚。其次，如果进一步要实现港澳与广东的分类分级统一，我认为难度极大。因为《数据安全法》及其实施条例所强调的分类分级，核心是基于国家安全的划分，而港澳地区的法律体系与内地差异显著，香港、澳门对数据出境的管制强度远低于内地，因此要实现三地统一分类分级，在现有框架下几乎不可能。如果抛开重要数据，仅就个人信息而言，香港和澳门本身对个人信息出境并无严格管制，此时再谈统一分类分级，其实际意义也值得商榷。

最后一个问题则是粤港澳大湾区作为数据跨境制度先行先试区的定位与未来发展。本来，大湾区被赋予先行试验区的功能，一方面是为了便利香港、澳门与广东的数据流动，另一方面也承载着为全国探索经验的使命。然而，随着《促进和规范数据跨境流动规定》及认证规则的出台，这一制度红利的相对优势正在被削弱。在当前框架下，粤港澳大湾区数据跨境仍以香港、澳门为终点目的地，禁止通过港澳作为跳板向境外传输，这使得香港从大湾区机制中获得的实益相对有限。与此同时，香港在国际数据中心竞争中面临新加坡的激烈挑战，而当前制度框架并未赋予香港足够竞争力。因此，从国家战略层面，如何重新思考并赋予粤港澳大湾区更多制度空间和政策红利，成为一个非常重要的问题。我认为，这不仅是广东、深圳学者和研究机构应当积极呼吁的方向，更需要从中央层面给予更明确的支持。过去我们认为大湾区机制是一项重大福利，但如今看来其优势已不如预期。如果继续维持现有架构，粤港澳大湾区在国际数据要素竞争中的地位可能会进一步弱化。因此，我们是否可以基于粤港澳大湾区的独特地位，特别是香港的国际金融和法律优势，提出更具前瞻性和竞争力的制度创新？例如，我认为一个值得深入探索的方向正是李律师最后提到的区块链、隐私计算、可用不可见等技术手段，但更核心的在于建立真正的个人信息匿名化制度，而非仅停留在可用不可见层面。个人信息一旦实现有效匿名化，即可大幅豁免诸多监管要求，并实现快速、高效的跨境利用。欧盟近期在SRB案例中已允许动态匿名化并认可接收方标准，粤港澳大湾区完全可以借鉴这一思路，基于隐私计算、匿名化技术、可信数据空间等场景，形成更加便利的跨境通道，甚至探索更优化的入境机制。除了现有的“来数加工”模式外，是否可以考虑建立“境内关外”制度，即在特定技术保障下实现数据在境内加工后以匿名化形式出境，从而大幅降低合规成本。

总之，我非常期待在现有架构下，粤港澳大湾区能够继续发挥数据制度先行先试和创新功能，向中央积极主张数据跨境的特殊性和制度创新空间。只有不断突破现有框架，才能真正让大湾区在与新加坡等国际数据枢纽的竞争中保持优势，否则当前的制度红利将会越来越弱。

作为一名长期参与数据跨境立法与实务工作的研究者，我今天想结合自身经验以及此前参与部分立法工作的体会，谈谈对粤港澳大湾区数据跨境流通的几点看法。我们今天的研讨主题聚焦大湾区数据跨境流通，我个人认为，当前真正面临较大困难的仍是数据入境问题。数据出境监管方面，较为清晰，网信等部门的监管思路保持着较为严格的态势。我们刚才讨论的重点更多是大湾区框架内个人信息，尤其是必要交流、交易环节产生的个人信息流通，以及商业数据中相对自由流通的部分，这些并不属于十分严格的出口限制范围。

在具体研究和业务实践中，我特别关注近年来AI领域的快速发展。自DeepSeek等国内大模型问世以来，整个AI产业热度持续升温，而在国际层面，各国都在强调数据主权，AI领域的全球主导权争夺实际上已成为国家未来发展的核心命题。虽然我国是数据资源大国，但与美国等先进国家和地区相比，在AI能力、算法能力以及底层数据质量等方面仍存在一定差距。如果我们希望在未来成为数据主权强势国家，并在AI领域占据全球领先位置，那么如何将全球有效、有价值的数据合法、安全地传输到中国境内，无疑是一个极为重要的课题。这一问题不仅涉及法律层面，更关乎地缘政治、技术标准、产业政策等多重维度，需要跨学科、跨部门的系统性思考。当前，大湾区确实拥有相对便利的措施和规则，但我在实践中感受到的实际促进作用并不如预期。真正能够跨境流动的数据，往往并非需求量最大的那类数据，而需求量最大的那类数据——无论在香港、澳门还是中国大陆的法律框架下——都受到相对较多的限制。中国大陆更多从数据主权、国家安全角度进行管控，香港则更接近欧盟GDPR的逻辑，重点关注个人信息保护，澳门的逻辑与香港大体相似，但不特别强调数据主权。因此，目前能够便利流动的，主要还是常用场景下的用户个人信息或部分非敏感商业数据，真正实现全范围数据跨境流动一体化运营的道路仍然相当遥远。

其次，我一直在思考如何进一步发挥大湾区的独特优势，使其在未来数据要素竞争中更具领先力。回顾传统经济领域，我们曾利用香港作为桥头堡走向全球；在数据领域，由于数据的高度敏感性，我们是否可以借鉴类似机制，让香港真正成为离岸数据交互中心：一方面，将全球数据通过香港合法、安全地传输至中国内地；另一方面，将中国内地数据通过香港向外输出，支持企业走出去和经济全球化。这一命题虽然宏大且阻碍重重，但却是未来必须认真考虑的内容。如果仅仅停留在个别交易环节的个人信息流通便利化，我认为其作用范围仍然偏小，与中央对大湾区作为数字经济核心引擎的定位相比，支撑力度明显不足。因为数字经济的发展，归根结底依赖于数据要素的高效流动，包括商业数据、个人信息乃至重要数据的便利流通。如果缺乏这些机制，大湾区一体化建设在数据领域仍将面临较大障碍。

对于出境，我们刚才提到三种主要路径，目前在具体场景中已相对成熟，只需逐一识别适用即可。但入境问题则面临更大挑战，即中国境内的数据保护水平是否达到先进国家或地区的认可标准。全球数据跨境流动的基本共识是接收国保护水平须达到出境国的要求。尽管我国已形成以“三架马车”为核心的制度体系，并出台大量配套文件，但目前在欧盟等主要经济体的“白名单”中仍未被列入。这其中固然有政治因素，但也可能反映出我们在数据保护实践中的不足。坦率地说，从律师视角观察，国内大量企业对数据保护的重视程度并不高，通常只有面临行政处罚或刑事风险时才会显著提升重视度。日常合规投入往往有限，许多企业认为花几万元购买ISO 27001认证即已完成大量工作，但实际上，市场上大量“买证”行为往往导致制度空转、难以落地。若由国际权威机构进行深度咨询和提供认证服务，成本和深度又会大幅提升。如果整个社会的数据保护水平停留在这一阶段，国外对数据流入中国的担忧就具有一定正当性，这也要求我们在制度完善、执法力度、企业合规意识、技术保障等多个维度持续努力。

此外，粤港澳三地法律制度确实存在明显差异。中国大陆的“三架马车”更强调数据主权、个人信息保护与国家安全，香港和澳门则主要聚焦个人资料与隐私保护，澳门相较香港更侧重事前许可制度。总体而言，香港、澳门对数据出境的限制低于内地，主要集中在个人隐私层面，实际便利性较强。但在实践中，我们也经常遇到标准不统一的问题，例如敏感个人信息的范围界定，三地定义并不完全一致，甚至在某些领域缺乏明确的敏感数据定义，这导致具体数据交互过程中难以形成统一标准。广东省内部的分类分级标准也尚未完全统一，更不用说推动三地乃至国际层面的标准统一，这无疑是一项长期而艰巨的工作。另外，不同法域的执法力度与处罚水平差异，也直接影响企业合规意识。目前网信部门的执法案例相对较少，更多由公安部门主导，罚金通常在企业可接受范围内。像滴滴80多亿、中国知网5000万等顶格处罚虽有震慑作用，但大量日常罚单金额并不高，许多企业甚至专门预留行政处罚预算，业务照常运行。这就考验监管部门的执法智慧：既要保持震慑力，又不能过度影响企业正常经营。跨境数据流动不仅限于大湾区，还需放在全球视野中考量。例如与新加坡、欧盟、日本、东盟等经济体的合作，若能通过条约实现便利措施当然最好，但条约便利措施同样不能突破主权国家的基本法律规定，例如我国重要数据的出境安全评估要求不可豁免。因此，跨境数据流动中信任机制的缺失仍是核心挑战，包括担心数据从香港流向美国、从内地流向第三国等链路安全问题。从法律人角度，我们只能通过合同约定、定期审计、事后救济等方式进行约束，但要真正保障全链路安全，还需依赖社会信用体系、合规文化、技术手段的综合支撑。

还有一个值得关注的现象是，某些新兴模式和技术已经超出现行法律规制能力。例如，我近期接触的一个基于区块链实现全球数字资产跨境流动的项目，数据分布在全球多个节点，此时如何认定“跨境传输”以及如何满足多国出境合规要求，就成为难题。如果严格要求满足全球所有相关国家规则，项目基本无法推进；但若不满足，又明显构成跨境传输场景。这种情况下，现有法律框架难以给出清晰答案。我非常期待监管部门定期发布数据出境配套问答、指南文件，将实践中遇到的疑难问题逐步补齐。因为立法周期较长，实践中应更多依赖政策性文件、指导意见来解决实际难题。此外，如果合规成本过高，可能会导致两种极端：要么企业放弃业务，要么不计成本合规。这都会损害企业的合规忠诚度。因此，监管部门需要在震慑与便利之间找到平衡。如果仅聚焦大湾区内部，我认为可以借鉴欧盟GDPR或CDPR的跨境流通便利机制，在主权范围内通过更宽松的规则促进数据流动，尤其是重要商业场景数据的流通，但必须辅以严格的管控措施，而非完全放开。结合自贸港、自贸区可能推出的分类分级负面清单制度，总体方向应是不断突破、创新、扩大便利范围，以支撑数字经济与其他产业的联动增长。

基于以上思考，我提出几点不成熟的建议：第一，建立粤港澳大湾区数据规则协调委员会，由广东或中央层面牵头，与香港、澳门共同参与，定期解决日常遇到的规则衔接、标准互认问题，避免每次遇到模棱两可情形都需逐级请示其他监管部门。该委员会可逐步推出湾区数据分类分级共识性指南，从金融、交通、医疗等重点行业入手，逐步扩大覆盖范围。第二，充分利用香港、澳门作为离岸中心的桥头堡地位，逐步探索将其打造为全球数据流入中国内地、内地数据走向全球的枢纽。这不仅符合数据安全流动前提下仍保持强大控制权的战略要求，也将为我国未来成为AI实力大国、数据强国提供制度支撑。

以下为魏安迪女士发言纪要：

作为一名长期在数据领域从事实务工作的法律工作者，我更关注客户在落地法律规定时所面临的实际问题与困难。数据跨境流动问题的根源，与数据本身所蕴含的高度战略价值密切相关。在信息化时代，数据已被普遍视为国家核心战略资源，许多国家都深刻认识到这一点，尤其是那些直接关系国家秘密的数据，更需重点保护。因此，各国和各地区对本国数据外流的态度日益谨慎。与此同时，个人信息权利保护或个人数据保护问题也成为重要考量。由于各国法律制度存在显著差异，各国对个人数据保护的力度和方式也各不相同。个人数据与传统法律客体不同，传统管辖逻辑主要依赖属人管辖和属地管辖，但数据一旦跨境流动，这两种管辖原则都难以完全适用或存在明显局限性，这正是各国不断加强对数据跨境管制的根本原因之一。

各国普遍担心本国公民数据流出后，其所获得的保护水平低于本国标准，因此通过立法不断强化出境监管。然而，粤港澳大湾区的情况具有特殊性。本质上，我们是一个国家，但由于实行“一国两制”，法律制度却分属三套完全不同的体系：内地、香港和澳门各自拥有独立的法律框架，这导致三地在个人信息或个人数据保护水平上存在明显差异。尽管如此，从实践经验来看，两岸三地在商务活动和居民日常生活消费方面的联系极为紧密。商业活动自不必说，近年来跨境医疗、跨境保险、跨境投资、跨境购房等消费场景日益频繁。因此，尽管存在三种不同的法律制度，但大湾区内部数据跨境流动的频率实际频率相当之高。如果严格按照《个人信息保护法》《数据安全法》、香港《个人资料（私隐）条例》或澳门《个人资料保护法》的规定对数据跨境实施严格管理，必然会给当地企业和居民带来大量不必要的合规负担与不便。这正是三地政府近年来持续努力的方向，即通过更便捷的制度安排，尽可能消弭三地法律差异带来的障碍，为商务活动和居民生活提供更大便利。李律师和许可老师已经介绍过相关情况，许可老师更多从更高层面讨论大湾区的制度红利。目前，三地政府已联合推出内地与香港、内地与澳门各自的标准合同指引，相对于内地一般数据出境企业而言，合规要求和备案流程确实得到一定简化。然而，从客户角度来看——我们接触过大量深圳企业——其数据跨境业务场景极为多样，尤其是中小型企业，合规成本仍然居高不下。

以深圳为例，许多企业规模在仅几百人，法务合规人员往往只有一人或几个人，却要同时应对日常合同审查、诉讼事务、合规管理等多项工作，而跨境场景又非常多，可能涉及五六个、七八个甚至每个部门都有多个独立业务场景。这一人既要完成日常工作，又要处理大量跨境合规事宜，工作量极大。若再招聘专职人员，则直接推高合规成本。刚才许可老师提到认证与标准合同备案两种路径，从难度上看可能相差不大，但从成本角度来看差异显著：认证通常需要投入大量资金，而标准合同备案成本相对较低，这正是企业特别关注的重点。因此，在两岸三地频繁的数据跨境活动中，如果能够进一步降低合规成本，无疑对本地企业具有重大吸引力。目前我们仅实现了标准合同备案的简化，我个人认为这对客户而言远远不够，但同时我也看到三地政府部门正在持续努力，未来仍有更大提升空间。

从全球经验来看，数据出境合规路径虽然在《个人信息保护法》和《数据安全法》中主要限于安全评估、标准合同、个人信息保护认证三种，但世界范围内已形成多种成熟做法值得借鉴。例如，欧盟GDPR首创的BCR（Binding Corporate Rules，有约束力的公司规则），即集团内部制定一套针对数据跨境流动的统一规则，经监管部门认证后，集团内部所有数据跨境均可直接适用，无需逐案履行其他合规义务。这一制度的核心在于仅适用于集团公司内部传输，若涉及集团外部则仍需满足其他要求。新加坡也借鉴了类似制度。目前，欧盟已有多家知名企业通过BCR认证，例如SAP、Intel等高端科技公司，而新加坡虽关注度稍低，但BCR对集团内部大量数据跨境场景的便利性已得到实践验证。如果能够将类似规则引入粤港澳大湾区，企业只需制定一套集团规则并获得监管认证，即可大幅节省时间与成本。

此外，新加坡的CDPR（Cross-Border Data Protection Rules）认证制度也值得关注。该制度规定，若境外接收方已取得CDPR认证，则无需再签订标准合同或履行其他出境义务，也无需取得个人信息主体同意。CDPR本质上是东盟框架下的隐私认证体系。我国《个人信息保护法》虽已规定个人信息保护认证，但该认证适用于所有数据跨境场景。若在粤港澳大湾区内推出类似CDPR的专用认证制度，由于三地同属一国，尽管法律不同，但仍具有特殊性，其认证标准必然与内地一般个人信息保护认证有所区别，否则完全可以直接采用内地认证。因此，我认为在认证路径上进一步探索多元制度，是值得尝试的方向。

至于白名单制度，虽然我国《网络安全法》和《个人信息保护法》目前均未规定，但白名单制度为欧盟GDPR首创并被新加坡、阿联酋等多国借鉴。白名单制度的核心是认定接收地个人信息保护水平与出境地相当，从而豁免部分合规义务。香港《个人资料（私隐）条例》第33条（目前尚未生效）实际上也包含类似白名单的条款，但官方尚未公布具体白名单国家和地区列表。从粤港澳大湾区角度看，若能探索类似白名单机制，显然可大幅降低合规成本。尽管顶层立法暂无白名单规定，但鉴于三地保护水平差异，落地难度较大，不过若未来能够实现，仍将是企业极为欢迎的便利措施。

最后，对于企业而言，如何开展数据跨境合规工作，法律规定虽然简洁，但实际落地却涉及大量具体工作。合规或法务部门作为职能部门，对业务了解程度有限，必须依赖前端业务部门的配合，这往往需要投入大量人力、物力。从我们多年服务企业的经验来看，企业开展数据跨境合规工作通常可分为三个主要步骤。首先，全面梳理并识别公司所有数据跨境场景。法律合规部门可采取两种方式：一是自行逐一摸排每个业务场景，确认是否存在跨境流动；二是向业务部门明确“数据跨境”的定义，由业务部门自行识别并上报。实践表明，第一种方式耗时耗力，第二种方式更适合大型企业，因为其法务合规部门在集团内部具有较强话语权，能够有效推动业务部门配合。通过此方式，可较为高效地将各业务部门的数据跨境场景梳理清楚。其次，绘制详细的数据跨境流程图，明确数据从哪个国家或地区流向哪个国家或地区，是集团内部流通还是涉及外部第三方，同时标注数据量级、数据类型等关键信息。只有清晰掌握这些要素，才能准确对应后续适用的合规要求。再者，对标各相关国家或地区的具体数据跨境合规要求。例如，数据流向新加坡或香港时需满足哪些条件，逐一对比现有实践是否已符合要求、是否属于豁免情形、是否需要签订标准合同或完成认证等。同时，必须综合考虑不同路径的时间成本、资金成本、业务影响等因素，进行全面权衡。最后，进行路径选择。在完成前述分析后，确定最适合企业的合规路径，例如选择标准合同备案、认证还是其他方式，从而确保既满足法律要求，又最大限度降低合规成本与业务中断风险。

更多深圳研究院新闻动态、活动资讯

请关注公众号

“中国人民大学深圳研究院”

更多学术成果分享

最新政策文件专业解读

深圳宝安、前海产业发展洞察

请关注公众号

“人大深圳社会科学”

微信扫一扫预订办公空间、行政公寓

人大深圳共享空间预订系统