香港“普通法”制度 助中企应对数据跨境挑战

曾瀞漪 金石财经主持人

黄继儿 香港大律师 香港私隐专员公署前专员

曾瀞漪：二十届三中全会精神香港宣讲会于8月26日举行，其后律政司司长林定国表示，“普通法”制度是香港独特优势，必须坚持和保留。您作为大律师又是香港私隐专员公署前专员，如何从学习三中全会精神看香港“普通法”制度的重要性？“普通法”有何特点？

黄继儿: 三中全会不单引领国家迈向中国式现代化、高质量发展，以及数字化，对香港的发展和民生福祉同样极为重要。

国家主席习近平多次指出，法治是最好的营商环境。捍卫法治，普通法只是其中一种制度，主要是在英（英联邦、前英国管治的地方）、美奉行的一种法律制度。

不能说普通法制度比其他法制更好，例如在欧洲实施普通法制度的国家聊聊可数。

但要注意的是奉行普通法制度的国家和地方都是我们国家和香港的主要贸易伙伴 。

香港是世界上唯一拥有英、汉双语普通法制度的司法管辖区，也是中国唯一的普通法司法管辖区，只要大家维护「一国」之根本，适当使用普通法制度的优势，必定会为整个国家带来无穷的机遇和成果。

什么是普通法？正如其名，就是普通人都会用的法律，就像普通话一样 。由法庭按照普通人的生活习惯和思维，解释和演绎立法机关所定立的法律，根据既定的法院和判决级别，制定 “先例可援” 的制度：下级法院必须跟从上级法院的判决，从而灵活应对社会价值和环境、场景变化的需要，打造普通人认知法律的确定性及可预期性，创造有利的营商环境。

普通法制度是老外熟悉的法制，熟能生巧，尤其是香港作为国际金融、贸易中心和国际法律及争议解决服务枢纽，能与纽约和伦敦相提并论。为人熟悉的法制是对外贸易的重要基石，也是支撑着「一国两制」（包括两个法制）下香港资本主义的基础之一。

普通法的优势之一就是所依据的司法判例制度，不限于取自单一司法管辖区的判决，而是可以纳入所有普通法适用地区的案例。《基本法》第八十四条订明，香港特区法院可参考其他普通法适用地区的司法判例。

现时，源自普通法适用地区的案例已盈千累万。所涉的自由和权利，亦受《基本法》的条文所保证。

香港普通法法治招牌缔造出稳定公正、透明而可预期的营商环境，让企业可放心交易及投资，创造商机，亦有助企业形成和发展新质生产力，更好地融入国家发展大局。

曾瀞漪：所以对于香港这个国际金融中心、贸易中心来说，普通法制度使得香港跟国际交流的这套法律体系非常顺畅，没有隔阂了。对中国的企业来说，每个时候要走出去都有不同的挑战，最新的发展就是中国的网民已经有接近11亿人了，巨量的网民数字背后就是庞大的数据资产，这些数据资产的背后既是企业的增长机会，但是企业走出去数据跨境面对的挑战也很复杂。在律师行业中，最近承接的案件跟数据有关的纠纷是不是占越来越大的比重？

黄继儿:今时今日数据就是钱，这是不争的事实，企业要赚钱也是理所当然的。数据流通对于跨国、跨境贸易至关重要。当今数据受法律保障也是世界大趋势。若不能平衡这两个自然的冲突，法律纠纷就少不了。

我们每天用手机、扫二维码、上网都可能把我们的个人和周边的数据传送出去，甚至出海 。

当前律师承接走出去的法律纠纷大多涉及保障数据的使用、数据安全和数据流动，包括在没有当事人的同意下使用或披露个人信息；没有采取切实可行的步骤保障所收集的数据的安全和传送，因而引致非法披露、查阅或遗失有关数据，或让非法分子有机可乘，利用数据犯罪 (如洗黑钱、金融诈骗和黑客入侵) 或危害个人及企业的利益，甚至国家安全，造成损失。企业也可能因此触犯有关的法律法规遭到惩处。

企业面对的法律挑战来自多方面：个人客户 、商业客户、 企业伙伴 、 不明来历的黑客 ; 本地、外地 (包括香港)及国际监管机构 ; 更不用说因地缘政治而引起的了 。

曾瀞漪：近年欧美纷纷制定与数据安全有关的法规法律，您对中国企业走向国际产生的数据跨境问题有何提醒？

黄继儿：欧美制定新的法规很大部分取决于中国企业在国内和跨国 、跨境 (例如传输数据出境到香港) 数据治理的能力。跨国、跨境数据流动是研发活动的关键，也是业务蓬勃发展的关键。这些对于金融和保险、制药、汽车以及资讯和通讯技术 (ICT) 等行业尤其重要。

暂且不谈地缘政治，保障数据安全自然地需要合法合规 （靠谱）：符合所订明的要求，采取所需的措施和方法。法规以外，可能仍须考虑有关伦理、道德的要求（例如涉及人工智能的）。

欧盟话语权下的数据跨境流动主要的法规有 【欧洲经济合作发展组织OECD 指南 】、【108 公约 】、【95 指令】（包括约束性的公司规则 BCR)、及近年的【通用数据保护条例 GDPR 2018】、【 非个人数据自由流动框架条例 2018】、【数字服务法 DSA 2024】等。要留意的是已脱欧的英国及个别欧盟成员的法规可能与欧盟统一的法规有差异 。

美国话语权下的数据跨境流动规则有【APEC 跨境隐私规则 CBPR】、【跨太平洋伙伴关系协定数字贸易规则 CPTPP】、【美墨加协议 USMCA】等。

美国强调数据的自由流动，认为强行采取法律结构对其进行规制极有可能阻碍商业活动，主张以自律规范的形式对个人隐私进行有效保护，美国形成的以联邦立法为原则，以宪法、普通法和各州立法为辅助的体系，规管和保护数据流动。

美国国内的有【讯息自由法】、【隐私法】、【联邦信息安全管理法】、【网络安全法】、【受控非密信息管理行政命令】、【美国消费者数据隐私法 USCDPA】、【儿童在线隐私保护法 COPPA】、【加州消费者隐私法 CCPA 】、【 云端法 Cloud Act]等。要留意的是美国除了联邦法例外，不同的州可能有不同的法规。

曾瀞漪：中国的互联网普及带动数字经济更快速的发展，国家非常关注数据安全，尤其跨境数据的安全性。2017年6月实施“网络安全法”、2021年9月实施“数据安全法”。中国企业的数据出海如何有效保障数据跨境流动的安全性和有效性？

黄继儿：自【数据安全法 】、【网络安全法】、【中国个人信息保护法】先后实施，以及2022年通过【资料出口安全评估办法】以来，中国企业和欧美在华企业从中国出口数据 (包括南下到香港) 面临越来越多的不确定性和困难。他们特别关注对所有「重要数据」出口的系统性应用安全审批。

企业采取的应对方法可以包括:

1. 在数据出境前，应自我整理有关类别 (「重要资料」)、数量；确认出海、出境（例如香港）适用的法规，和数据入口地的限制；

2.若企业是关键基础建设（CII - 包括能源、银行、金融数据）业者，应依照《网路安全法》《关基条例》完成相关义务；

3. 如果数据涉及个人信息，应依据《个信法》建构好个人资讯保护义务体系；

4.判断数据是否需要网路安全审查、资料安全评估、个人数据保护认证、标准合约备案 ;

5. 若涉及数据安全评估、数据保护认证、标准合约备案，判断是否有豁免情形 ;

6.若涉及数据从大湾区南下香港，应先寻求香港有实践经验的律师针对最近实施的【促进和规范数据跨境流动规定】和【粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引】的专业意见 ;

7. 若南下香港, 或经香港出海的数据涉及金钱或银行户口, 应先寻求香港有实践经验的律师针对【香港个人资料 （私隐）条例】和最近实施的两条【国家安全法】的专业意见 （2020年港区国安法、2024年维护国家安全条例）。

8. 寻求香港律师专业意见的原因，不单是外语、外文；而是外国、外地的文化和思维方式。香港律师有超过180年对外实践的经验，能明白和有效具体地应对外企所想所求，并消除他们的误解和疑虑；同时也懂国情；相信这仍然是香港的优势。

当前国际关注对于「重要数据」的定义，跨国、跨境数据流动的限制也是投资者对中国内地和香港信心有疑虑的重要因素。

欧洲理事会主席在2023年12月与习主席会面时也提出了这个问题。（欧洲是中国（包括香港）最主要的贸易伙伴）。  

今年8月27日，中欧资料跨国数据流动交流机制举行第一次会议，就中欧区域企业关于数据跨境流动的具体问题以及监管框架进行了交流，相信快有完善的建议和机制。

曾瀞漪：您的分析让我们进一步了解，中国企业或者外资企业数据要跨境流动的话，涉及的数据安全问题非常广泛而复杂。但是香港的律师可以运用香港的普通法制度帮助他们面对这些挑战。感谢黄继儿大律师到节目当中来。