粤港澳大湾区数据流通近日再获里程碑式进展。国家网信办和香港创科及工业局于12月10日共同公布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称《指引》），对内地与香港的相关信息跨境流动作出制度性安排，此举不仅是对此前双方达成合作意向──于6月29日签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称《合作备忘录》）──的最新回应与揭晓澄清，更意味着标准合同这一法律工具已然成为破题大湾区数据跨境的正式且优位的选择。本文旨在就该指引所涉及的政策考量、法律要点以及积极影响进行初步探明与简要评析。

　　不同层面共商、共建数据跨境流动创新机制由来已久。尽管从整体上看，内地现行的数据跨境法制框架立基于严格规管出境行为，但在“数据安全”与“数据利用”二重法益间的复杂张力中，促进数据自由流动始终是不可或缺的价值面向。

　　香港肩负出境数据中枢职能

　　去年年末《数据二十条》公布，支持推动数据跨境流动双边多边协商，并明确鼓励探索数据跨境流动与合作的新途径新模式。今年9月28日，国家网信办公布《规范和促进数据跨境流动规定（征求意见稿）》，拟对既有的跨境数据安全评估监管政策作出重大调整，因其豁免多项评估场景，显著减轻企业合规负担，故而利好各类数据跨境业务与数字市场的信心提振。

　　另一方面，地方试点实践数据跨境无疑也是形塑数据流转法律秩序的重要环节，这其中尤以粤港澳大湾区的能动施策为甚。大湾区之所以是最佳试验场，天然地归功于港澳角色。“一国两制”下，香港享有“背靠祖国、联通世界”独特优势，因此更有条件，也有义务肩负起内地出境数据中枢的战略职能，先行先试与数据跨境流动相关的政策措施与系列技术安排。

　　此外，就香港自身而言，在国家明确支持香港建设国际创科中心之下，打造全球“数据港”，提升香港在国际上的数据竞争优势，也是应有之义。

　　笔者曾在本栏目撰文评述（“完善数据跨境流动法制提升湾区竞争力”2023年7月14日），《合作备忘录》仅仅是数据跨境双边多边协议的开始，该框架下的配套方案也正在密锣紧鼓的研究制定中，大湾区内数据跨境流动的攸关方与持份者将受益于更具实操性的法律规范。本次《指引》公布了配套执行细则，也即标准合同这一法律工具或称合规手段正式被择取并纳入大湾区数据跨境传输尤其是个人信息跨境流动的规则体系中。

　　关于标准合同的制度功能，其一直被认为是现时数据跨境传输领域中最为成熟有效的合规工具之一，也代表了数字治理的某种发展潮流：例如，欧盟GDPR就将标准化合同条款（Standard Contractual Clauses, SCCs）嵌入了跨境数据流动的全过程，即便欧盟法院于2020年裁决隐私盾架构（Privacy Shield Framework）无效后，仍有数千家美国公司采用标准合同机制实施美欧之间的数据跨境。早在2021年6月欧盟更新条款之前，东盟也公布了自己专属的数据跨境传输标准化合同（Model Contractual Clauses for Cross Border Data Flows, MCCs）。就中国内地而言，“标准合同备案”则是除“第三方认证”以及定性为事前许可的“出境安全评估”之外的第三条主流数据跨境法制路径，其正当性不言而喻。

　　在法理上讲，标准合同机制既能实现监管者对于数据跨境传输重要事项的审核判断，也能基于违约责任督促数据处理者积极履行安全保障义务。易言之，这一法律合规工具的底层逻辑在于通过设定私法义务将数据主权维护、数据安全保护等公法责任之履行标准予以细化甚至是量化，在不直接对数据处理者施以行政法律规管的前提下构建数据跨境传输的可信任秩序，并以此求得数据监管与数据流动的价值平衡。

　　回到《指引》本身，减负湾区数字企业跨境营商是主基调，体现在文本规范上则以“降级”和“简化”为两大基本特征。所谓“降级”是指，大湾区内个人信息跨境流动场景但凡符合本指引要求的，原则上应优先豁免适用数据出境安全评估申报，转而降级为强度相对较低的标准合同机制。诚然，前者作为事前许可式的传统管制范式，难以适应高频化、网络化的数据跨境交互需求和大湾区融合发展的内在利益。需要说明的是，上述“降级”也存有两重限制性例外（第二条）：一是被认定为重要数据的个人信息出境不能适用该标准合同，二是个人信息双向出境到香港或内地后，不能再转至其他国家和地区。

　　提升全球数字治理话语权

　　所谓“简化”，主要体现在登记备案手续简便，只需向属地主管部门如广东省网信办或香港特区政府资讯科技总监办公室提供法人代表身份证明、承诺书以及标准合同即可（第八条）。尽管在签订合同之前，个人信息处理者仍应开展个人信息保护影响评估（PIA），但该评估属自评估且无需作为附件提交备案。更重要的在于，《指引》项下的自评估事项相较于内地的一般性要求也有大幅简化，删除要求评估“个人信息出境后遭到篡改、破坏、洩露、丢失、非法利用等的风险”、“当地个人信息保护政策和法规对合同履行的影响”等义务强度较高内容。此举不但有助于减少评估工作的复杂性和繁琐程度，便利于企业内部运营，其在规则层面，也基本保持与香港《保障个人资料：跨境资料转移指引》的价值对齐，进而为大湾区企业和个人提供更加稳定的营商可预期。

　　不止于此，《指引》推动粤港澳大湾区数据跨境流动的巨大贡献更包括以某种示范法的法律样态创新性地抹平、弥合了两地之间的数据法律体系差异（例如分别依据内地《个人信息保护法》与香港《个人资料（私隐）条例》对个人信息等法律客体的具体范畴进行明确界定和具体阐述），合理地统筹了数据跨境监管的路径与方法。对内，湾区制度对接、规则衔接等主张自此有了属于数字经济与数据要素的全新语境与示例；对外，大湾区版本的“标准合同”更代表着一种中国方案范式，不仅为它域的数据跨境实践带来借鑑，也为提升国家在全球数字治理中的话语权和引导权提供必要助益。

　　香港城市大学法律学院公法与人权论坛研究员、法学博士