适用场景
计划或正在通过香港RWA(现实世界资产)模式进行融资的中国企业,特别是涉及新能源、光伏等实体资产,且融资过程中涉及资产数据收集、上链及跨境传输环节。
核心要点
1. RWA融资的核心数据链路
RWA融资涉及从境内底层资产(如充电桩、光伏设备)采集运营数据与用户信息,经境内中间节点处理、上链至境内联盟链,再通过跨链桥将哈希值映射至境外公链的完整数据流转过程。企业需清晰识别并管理此链路中的每个数据处理环节。
2. 资产转移伴随的数据责任转移
当底层资产所有权及收益权转移至为融资设立的WFOE(外商独资企业)时,WFOE通常成为新的数据处理者。这要求其必须重新审视并履行《个人信息保护法》等法规下的各项义务,包括处理合法性基础、告知义务、安全保护及跨境传输合规要求。
3. 数据上链环节的合作模式与责任
企业将数据上链至境内联盟链时,与平台方的合作模式(委托处理、共同处理或提供)决定了双方的责任划分。在常见的委托处理模式下,企业作为委托方需签订详尽的协议并监督平台方的处理活动,确保其符合约定与法规。
4. 数据跨境传输的匿名化挑战
通过哈希技术将数据哈希值传输至境外公链,并不当然满足法律上的“匿名化”要求。哈希值存在被反向破解或关联推断出原始数据的风险,因此不能简单视为已匿名化处理而豁免数据出境合规评估。企业需对拟传输数据的性质、量级和敏感性进行审慎评估。
实务建议
- 在资产转移至WFOE时,若涉及已收集的个人信息,务必依据《个人信息保护法》第22条,向个人告知接收方(WFOE)的名称与联系方式等变更信息。
- 若委托第三方(如设备商、技术服务商)进行数据采集或处理,必须签订明确的数据处理协议,界定双方为委托处理关系,并约定数据处理的目的、范围、方式及安全保护责任。
- 与境内联盟链平台方合作时,应在协议中清晰界定数据处理合作模式(建议明确为委托处理),并约定平台方仅能按指示进行技术操作,不得自主决定处理目的与方式。
- 在将数据哈希值向境外传输前,务必对数据类型(特别是个人信息和重要数据)、数量、敏感性进行出境风险自评估,不可仅依赖哈希技术就假定已实现合规匿名化。
- 考虑采用“零知识证明”等增强型隐私计算技术,在允许境外投资者验证数据可信性的同时,确保其无法接触原始数据,作为数据跨境使用的补充安全措施。
风险提示
- 误区:认为将资产收益权转移给WFOE后,原运营方处理数据就与己无关。正解:WFOE作为权益人,通常被推定为数据处理者,需承担主要合规责任。
- 误区:认为哈希处理后的数据跨境传输无需考虑出境合规。正解:哈希值法律上未必构成“匿名化”,传输重要数据和个人信息可能仍需通过安全评估、认证或订立标准合同等合规路径。
- 注意事项:数据“匿名化”是动态概念,随着技术进步,当前匿名化的数据未来可能被再识别,企业需持续关注技术发展和监管动态。
- 注意事项:选择联盟链平台时,不仅要关注其技术能力,更要厘清并书面约定数据合作的法律关系模式,避免因责任不清引发合规风险。