中文
2025-09-25
王紫涵、阙子璇在RWA项目发行过程中,境内数据跨境传输需严格遵循中国数据安全与跨境监管要求,笔者团队在本系列第三篇文章已经对数据合规相关的法律框架进行了梳理,本篇文章旨在进一步探讨和分析RWA数据跨境传输的路径、具体政策及合规要点。 目前内地赴港已公开的RWA项目,如上图所示,多采用“两链一桥”的方式完成底层资产从境内区块链至境外区块链之间的流转,具体而言相应的底层资产的数据收集、存储、传输等流程如下: 步骤 内容 步骤一:数据采集与初步处理 境内数据采集:通过物联网设备(IOT)或系统实时采集资产运营数据(如充电桩使用记录、光伏电站发电量等),数据存储于境内服务器或联盟链。 数据脱敏与加密:对涉及个人隐私或敏感信息的数据进行脱敏处理(如匿名化、去标识化),并通过加密技术保障数据传输安全。 步骤二:数据上链与境内存储 境内联盟链存证:将处理后的数据上传至境内合规联盟链(如蚂蚁链、BSN等),生成唯一哈希值作为数据存证,确保数据不可篡改且符合监管要求。 数据留存境内:原始数据及关键运营数据原则上留存境内,仅传输经处理后的哈希值或脱敏数据至境外。 步骤三:数据映射与验证 通过跨链桥技术将境内联盟链数据哈希值映射至境外公链,境外投资者可通过零知识证明(ZKP)等技术验证数据真实性,但无法获取原始数据。 步骤四:境外数据应用与权益管理 境外公链流通:RWA代币在境外公链发行与交易,投资者可通过链上查看脱敏数据及哈希值,了解资产运营情况。 收益分配与治理:智能合约自动执行收益分配,投资者可通过链上投票参与资产治理,但链下权益仍需通过法律文件明确。 从上表可见,底层资产的原始数据并未直接传输至境外,而是通过加密工具哈希函数的使用将数据转化为哈希值上传至境内联盟链并最终合规传输至境外公链,境外投资者通过提交证明,证明其掌握的哈希值与境内存储的原始数据匹配从而触发境内数据验证流程,验证通过后可最终获取底层资产相关的脱敏数据。 就数据存证技术而言,由于哈希算法单向加密特性,如果想从哈希值反推原始数据几乎是不可能的,以哈希函数“SHA256”为例,对于任何输入,它都会输出一个256位的二进制数列,也就是需要尝试2256次才能枚举完,因为这一独特性质,哈希函数也被广泛地应用在密码学领域[1]。 就数据验证技术而言,通过零知识证明、同态加密、TEE等技术组合,投资者可在不获取原始数据的前提下,安全验证境外公链哈希值对应的境内资产真实性。 在采用“两链一桥”模式时,若哈希值/脱敏数据不涉及重要数据或个人信息,且无法通过技术手段还原原始数据,则原则上无需申报数据出境安全评估;若数据仍存在可识别性或敏感性,或涉及国家安全、公共利益,则仍需履行境内数据出境的评估及审批程序。考虑境内数据跨境传输监管力度,笔者团队建议融资主体优先评估底层数据的分类和分级结果,并与网信部门提前沟通数据存证及验证技术的实现效果,说明数据的不可逆性,再综合判断是否需数据跨境传输申报评估,以降低合规风险。 1、数据跨境传输的一般流程 如前所述,在采用“两链一桥”模式时,特定情形下仍需按照数据跨境传输相关监管规定履行合规义务。根据《数据安全法》《网络安全法》《个人信息保护法》《数据出境安全评估办法》(国家互联网信息办公室令第11号)、《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)等相关法律法规规定,涉及重要数据和个人数据出境时,一般需履行以下流程: (1)事先评估 数据处理者向境外提供重要数据,需在申报前完成自评估报告,内容需包括数据处理者基本情况、出境数据的范围、种类等、境外接收方信息、数据安全防范措施、数据出境相关法律文件约定等。除了自评估报告外,数据处理者应通过数据出境申报系统提交身份证明材料、《数据出境安全评估申报表》(含数据出境场景、数据类型、境外接收方信息等)、与境外接收方签订的法律文件(合同等)其他证明材料(如数据安全认证、合规审计报告等)等。 (2)事中审查 先由省级网信部门初审,完成提交材料完备性查验,初审通过后,由国家网信部门在7个工作日内决定是否受理,受理后,国家网信部门将重点审查数据出境对国家安全、公共利益的影响、境外接收方所在国的数据保护水平、法律文件中安全责任条款的落实情况等,受理后45个工作日内(可延长)完成评估。 (3)事后督查 通过数据出境安全评估的有效期为3年,有效期届满前60个工作日可申请延长,需满足数据出境目的、范围等未变化等条件,若出现重大变化情形,应当重新申报。 2、自贸区/自贸港负面清单 根据《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)第六条的相关规定,自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 目前,在RWA数据跨境传输中,可以充分利用自贸港/自贸区政策优化合规路径,简化审批流程,将持有境内底层资产的SPV设立在自贸港/自贸区:若不属于自贸港/自贸区负面清单内的数据,则可以优先通过当地数据中心专用通道传输;若属于负面清单内数据,则需向省网信部门申报评估流程,履行数据合规手续。笔者团队梳理目前主要自贸区/自贸港的负面清单政策如下: 目前从上述负面清单罗列的业务场景而言,海南自贸港的负面清单条目仅涉及十四项场景,且海南还成立专门的数据跨境服务中心提供全流程(包括但不限于政策咨询、材料申报、技术支撑)的配套服务,利用海南自贸港进行数据出境并结合香港市场进行RWA一级发行及海外市场二级发行已成为目前较为主流的RWA项目发行模式。以朗新充电桩RWA项目为例,朗新集团选择在海南设立WFOE进行数据跨境,将IOT监测的实时数据上传至蚂蚁链,并通过跨链桥传输至境外公链发行ERC-100标准证券型代币。笔者团队建议融资主体在制定数据跨境方案时,结合自身项目特征,综合对比各个地区的监管政策,合理确定落地方案。 在RWA项目数据跨境传输的实践中,“两链一桥”模式通过技术创新与合规设计的融合,为资产数字化提供了可行路径,自贸区/自贸港的差异化政策为项目落地提供了重要抓手。数据跨境合规的本质仍在于对监管要求的实质性遵守,无论是采用技术脱敏还是政策豁免,融资主体均需以数据分类分级为基础,动态评估跨境场景的风险等级,并建立覆盖事前评估、事中监控、事后审计的全周期管理体系。笔者团队建议相关机构持续关注网信部门对哈希存证、跨链验证等创新技术的认定标准,以及自贸区负面清单的动态调整趋势,在合规框架内探索更为高效、合规的跨境数据流动方案。 [1] 《WEB3.0:赋能数据经济新时代》,杜雨、孙孜铭著。 【相关免责声明】 本文所述RWA(真实世界资产)数据合规分析,聚焦区块链技术与实体经济融合场景,不涉及虚拟货币发行、交易、融资等金融活动,亦不提供任何代币化操作指引或平台接入服务。本文仅作信息交流使用,不构成任何投资建议或商业决策依据,提示各位读者请严格遵守所在地区法律法规,不得参与任何非法金融行为。 点击查看作者其他文章 融孚观点 | RWA专题系列(一):当我们在谈RWA时,我们谈些什么? 融孚观点 | RWA专题系列(二):RWA的合规监管之路(外部篇) 融孚观点 | RWA系列(三):RWA监管体系及合规模式分析(内地篇) 融孚观点 | RWA专题系列(四):不得不提的RWA灵魂之数据篇 作者| 王紫涵 阙子璇 王紫涵 融孚上海办公室 律师 深耕金融领域,包括但不限于RWA、区块链等Web3.0金融、结构化金融、金融科技等。 曾主办过多个ABS、REITs项目及债券项目,促成多个项目发行落地。同时在风电、光伏新能源项目投融资方面有丰富的经验。其擅长为客户投融资提供合规审查、交易结构设计及风险防控等全周期法律支持。 作为融孚区块链与金融业务研究委员会的核心成员之一,致力于区块链与Web3.0领域项目合规发展,助力真实资产价值高效流通。 联系邮箱:zihan.wang@sglaw.cn 阙子璇 融孚上海办公室 律师 深耕于能源与自然资源、ESG、融资并购、建设工程、涉外法律服务等领域。 美国南加州大学法学硕士,曾获巴黎二大商事法 DSU 文凭。曾主办60余起新能源项目融资并购及争议解决事宜(含海上/陆上风电、集中式/分布式光伏、储能、供水、污水处理等),擅长为新能源企业提供合规审核、融资开发、建设运营、交易架构设计等全过程法律服务。 作为融孚区块链与金融业务研究委员会的核心成员之一,致力于研究新型融资方式在新能源领域的应用适配,为企业探索创新融资路径提供前瞻性法律视角,以专业赋能企业境内外布局。 联系邮箱:zixuan.que@sglaw.cn
