《紫荊論壇》專稿/轉載請標明出處

鄧凱 I 法學博士、深圳大學港澳基本法研究中心客座研究員
 

疫情之下，透過健康碼互認實現粵港兩地跨境復關備受關切。在政治和政策等因素之外，健康碼自身的法理正當性需置於緊急法治和應急行政的語境下作出嚴謹推導。這不僅包括概括性數據規則應服從於常態數據法治的例外性以及對例外性的限制的動態平衡，也涵蓋健康碼互認所涉及的自願實名、個人數據跨境、個人數據刪除及可攜等關鍵技術場景在現有規範法框架下的演繹適用。健康碼互認預示粵港澳大灣區將以某種一體化的數字形態予以呈現，信息流、數據要素、技術架構等藉由一套可預測的數字規則形塑為新型共識邏輯，本文就此也提出大灣區數字法治秩序的構想與若干主張。
 

一、背景

本港第五波疫情嚴峻，與內地恢復正常通關再度擱置、延期。然而就在第四波疫情平穩，粵港兩地最接近復關通勤的2021年底，關於健康碼互認以支持跨境流通議題的熱度持續高企。2021年11月28日，行政長官林鄭月娥宣布港方將配合內地防疫政策，推出「港版健康碼」（簡稱「港康碼」）與廣東省「粵康碼」對接互認，為記錄活動軌跡並判斷風險做出安排。同年12月10日，「港康碼」系統正式向香港市民開放。半日內，就有超過13萬香港市民申請注冊，香港社會對與內地通關的期盼與剛性需求可見一斑。
 

就健康碼本身而言，其在疫情防控常態化背景下已然溢出了技術開發或產品應用的工具理性範疇，演化為集數字技術媒介、社會身份標識以及認證基礎設施一體的大型公共衞生政策體系，進而取決於、服從於特定的權責體制甚至整體防疫政策背後的意識形態。在該意義上，很難說「港康碼」是姍姍來遲的，轉碼接入「粵康碼」系統的制度實質在於國家「數字戰疫」矩陣對香港做出開放並主動予以接納，故而受客觀情勢、權力意志以及政治議程所驅動。姑且不論政治決斷、政策能力與權力因素，港康碼與內地互認也涉及諸多法律問題亟待釐清。一方面，健康碼自身的法理正當性需置於緊急法治和應急行政的語境下作出嚴謹推導；另一方面，也是倍受關注的，健康碼賦能跨境通勤是否意味著某種屬於粵港澳大灣區的全新數字法治或法制的形塑開端？本文旨在基於公開資料對上述拷問進行法律分析與釐清。

二、再論緊急法治下的健康碼法理

（一）個體權利讓渡具有正當性
 

健康碼的準確技術名稱應為「防疫通行碼」，產品設計初衷是為了解決疫情暴發時的無接觸身份認證這一現實痛點，用於實現類似無紙化的電子通行證功能即以顏色顯著標識便於「隔空」出示健康狀況，這也有賴於用戶個體主動上載登記個人信息，並誠信地申報特定時間內的行動軌跡與健康狀況數據。當恢復民生、有序流動等成為優先級考量，健康碼的技術框架則進一步吸納大數據邏輯，例如國家級的一體化政務服務平台開啟利用匯聚衞生健康、地理位置、交通出行等官方共享數據以提升其應用範圍和精準度，由此更多地支持人群識別、行蹤追溯、態勢研判等防控部署。輔之於算法分析，完整的健康碼技術架構應該是一個集線下場景、前端交互界面、雲計算、算法決策後台為一體的平台系統，不僅有效集成風險識別、風險判斷、風險處置等信息機制，更代表了公共衞生應急決策領域內的中國經驗。
 

行為組織面向上的健康碼可以被定性為一場由內地政府主導動員、科技企業迅速回應、公眾用戶全力配合所聯合完成的群體性社會實驗。之所以稱之為「實驗」，是因為其規範機制並無明確的路徑依賴可言，具有極強的突發危機屬性與超常規、新常態特質，從規則角度看應歸入「緊急法治」的範疇，並以維護公共健康及安全利益作為基本原則和最大公約數。換言之，借由健康碼的產品及技術範式——如個人信息申報，不同場合下不斷地「亮碼」、「掃碼」及其背後的位置信息歸集與流調情勢下行程數據的強制披露、風險分析等——皆可證成為緊急法授權下的個人信息自決權讓渡，社會主體就此獲得了或稱「置換」取得了重新流動的自由權利。
 

（二）行政應急性命題
 

誠如上述，健康碼產品技術邏輯所折射出的緊急法治原理首先建基於為促進應急之目的且以維護緊迫公共利益作為必要條件。緊急法治無疑是常態法治對風險現實的無奈妥協，具有顯著的例外屬性。落實到數據法層面上，以嚴格保護個人數據而著稱的歐盟數據保護委員會在《新冠病毒暴發期間處理個人數據的正式聲明》中也釋明了該種例外法治的應急取態：「個人數據保護規則並不妨礙針對病毒大流行採取的措施。與傳染病作鬥爭是所有國家共同的寶貴目標，因此，應當以最佳方式做出支持。」 
 

例常狀況下，透過新型信息技術架構達至公共安全和個體自由重價值的動態平衡，首先依托於國家行政對個人數據信息的採集與合理使用，這在實定法層面雖仍應以常態信息法治的「知情-同意」框架作為基本規範，但亦不排除突發緊急狀態下的「知情-非同意」例外數據規則。為保證應急權力能突破日常法律要求實現有效應急這一根本出發點，《傳染病防治法》、《突發事件應對法》、《突發公共衞生事件應急條例》等均授權政府可基於疫情防控之目的，收集、分析（使用）、加工健康碼數據，而僅以民眾「知情」作為唯一、必要的法律要件；與此同時，概括性地被《民法典》第1035條第一項中的「但書」——「處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，並符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外⋯」——所確認。
 

（三）透明度原則與比例原則
 

相對於例外性，緊急法治和應急行政更應服從於「限制性」原則，或稱「例外性的例外」。在健康碼數據規範中，就以「透明度原則」和「比例原則」完成對應急法治限制性的整體吸納。
 

「同意」要件缺位下的「知情」在很大程度上化約為個人數據的採集、使用需要嚴格遵照透明度原則，個體有權知悉數據收集的目的、方式和使用範圍。與之對應的健康碼產品規程則是，政府應在用戶協議中以最簡潔、易於理解的語言履行其告知義務。在內地的實踐中，以廣東省「粵省事」、上海「隨申碼」等為代表的健康碼產品多以肯定性授權的方式指引用戶閱讀並點擊同意隱私政策；深圳則專門編制操作指引，公開向用戶告知「健康碼」分析處理的數據類型、申訴渠道等內容。 這亦可視為行政法正當程序原則中「說明理由」法定要求的延伸與類推。
 

比例原則是常態信息法治中不可或缺的構成部分，其同時也築守著緊急法治下健康碼數據規則的底線要求。對於行政機關而言，「無須經同意」的信息處理行為則更有必要遵循衡平，防止恣意，避免專斷，並課予數據控制者以更多的法定義務，其中就包括必要、合理實施以及不過度處理等一系列相稱性原則。健康碼所涉及的比例原則可完整地推演如下：首先，對健康碼數據的收集、分析與加工必須基於疫情防控的正當目的；其次，特定信息行為的實施亦須限制在疫情相關的必要範圍，並且與防疫目的之達成具有正相關的邏輯聯繫；第三，堅持「不得過度處理」、「最小夠用」、「最小損害」是評估數據手段是否合乎比例的最後一環。例如在亮碼場景中通常採用「去標識化」、「匿名化」等技術措施對個人敏感信息做脫敏處理，從而保證信息手段與防疫目的之間適度、相稱。
 

（四）無法回避的身份認證
 

毋庸置疑，健康碼的社會功能和有效性來自於實名認證，「實名」的本質是對個體身份信息和健康（風險）信息的雙重識別。前者解決的是靜態意義上「我是誰」的問題，由國家通過登記信息比對核驗，對個人包括姓名、肖像、證件號、住址等一系列基礎身份標識做出數字化認證，以確保主體身份真實、可信以及具有生物唯一性；後者則納入了諸多防疫所需的動態身份權益，例如位置、行蹤、接觸、體溫、核酸檢測、疫苗接種等經由國家信用認證的「社會鏡像信息」。前者是後者得以必要開展的先決條件，即社會主體健康安全狀態的判明只有建立在該主體本身能被準確識別以及快速可追溯方才發揮其基本的決策價值；後者構成對前者內涵的合理延展，從緊急法治及公共安全利益角度出發，健康及風險認證信息能極大地補強個人可信身份之於現實公共秩序的責任程度。
 

較之於內地健康碼方案，部分歐美國家所採取的藍牙硬件接觸追蹤技術（contact tracing）極為苛刻地採納自願性與匿名性原則，其機制高度依賴用戶自主選擇上傳包括用戶身份、位置及確切接觸情況在內的個人信息，有關信息以匿名脫敏的數據形態傳輸疾控部門後台用於風險研判。這種模式的底層邏輯雖奉行原旨主義的最小化隱私與絕對的數據安全，但教條式地理解數字法治則直接導致流調價值落空，包括身份主體性、染病風險性在內的疫情元命題——這些本該是最基本的風險信息——均無法為上述接觸追蹤技術所回應。此外，「自願但未必自覺」更使得這項技術產品的公眾參與使用程度並不高，防疫效果未能如願，在結果論意義上進一步反襯了內地健康碼身份認證功能的合理性和必要性。

三、健康碼跨境互認的法律問題推演及有關釐清

為服務於香港恢復與內地的免檢通關，港版健康碼快速研發推出並獲准與廣東「粵康碼」系統進行跨境對接。根據現有已披露的公開資料，港康碼的申辦使用符合以下要求與特徵：一是具有自願性質，即港康碼僅適用於有需要以免檢、免隔離方式進入內地的香港市民，若相關人士並無計劃出入內地或接受以現時附隔離檢疫條件的入境政策安排，港康碼則並非強制。二是實名認證，申請人需填寫個人資料如姓名、身份文件號碼和簽發日期、電話號碼、居住地址等，並上載在港住址證明供核實之用，與此同時主動配合健康信息申報，通過上傳本港「安心出行」程序中的31日出行記錄、有效醫療檢測結果等信息用於系統比對和轉介。三是設置了風險觸發機制，參照此前澳門版健康碼（「澳康碼」）與內地互認對接的模式，一旦本港出現的確診個案或烈度較高的風險情勢對入境內地人士及內地防控管理整體秩序造成影響，相關風險信息將透過跨境轉碼系統觸發風險提示，進而輔助用戶的自我健康管理和內地疾控部門的流調部署。四是或具備記錄的自動刪除功能，同樣是比照「澳康碼」技術機制，港康碼的掃描記錄在超過特定期限後將有機會獲系統後台自動刪除。
 

基於港康碼的上述產品原則及技術特質，如下問題尤為值得在法律層面予以規範論證與推演釐清：
 

（一）自願賦碼作為通關的契約要件
 

較之於內地健康碼更近似於行政機關依職權而為的行政行為，一定程度上，內地當局允許香港居民透過「港康碼」與「粵康碼」對接機制復關入境是典型的依申請做出的行政給付行為，具有被動、謙抑的性質。當且僅當作為行政相對人的境外人士自願申辦港康碼，方可觸發內地允許其免隔離准入的行政給付事由，如若無需進入內地或選擇以常規附隔離條件的跨境，「港康碼」的申領就非必須而為。進入健康碼系統內，自願接受產品規則的意思自治和契約邏輯就為「知情—同意」及「透明度」原則所吸納。
 

進一步延展，「港康碼」必須以實名認證完善用戶的風險評估著實也屬於極為樸素的社會常識訴諸，畢竟在確保用戶主體身份真實、可信以及具備生物唯一性之後才能實現與健康信息的一一對應，方才有機會證明「我是誰」、「我沒病」以及「我可信」的疫情防控元命題。至於香港居民在通關完畢進入內地管轄區後是否應以「粵康碼」數據規則配合履行防疫義務，毋庸置疑受屬地管轄的基本法治原則支配。
 

（二）個人數據的跨境轉移
 

關於健康碼對接互認是否涉及數據跨境，現有公開資料不足以得出相關結論，僅有的確切表述來自多位港府官員的媒體聲明：用戶自行於「港康碼」中上載的個人信息、出行記錄等數據將存儲至政府資料庫，待正式通關時，須與內地資料庫進行比對以識別風險；以及強調健康碼系統不設在本港境內的行程追蹤功能，以充分保障用戶隱私。
 

僅就數據跨境流通而言，各方反復論及並重點關切的「港康碼」個人隱私保障和數據安全議題首先建基於香港對跨境數據流通採取嚴格監管的立法模式。香港的數據跨境規則框架以《個人資料（私隱）條例》和《跨境資料轉移指引》為基礎規範，從維護香港作為國際金融和貿易中心地位的角度出發，強調對個人隱私加重保護。《個人資料（私隱）條例》第33條以除外規定的表述方式明確了個人數據跨境轉移的實務性指引，即只有符合以下六類例外情形，否則數據跨境不被允許：(a)跨境目的地為白名單司法管轄區；(b)數據目的地數據保護法相似；(c)權利人的書面同意；(d)數據跨境是出於保障權利人利益；(e)《私隱條例》其它特定的豁免事由（如健康、危急處境等）(f)數據安全保障已充分勤勉盡責。
 

然而在摒棄個人數據保護的狹義理解後，《個人資料（私隱）條例》第33條及《跨境資料轉移指引》的相關教義規範依然可基於目的解釋推演得出適用於「港康碼」技術架構的規則空間：
 

第一，內地作為風險數據出境的目的地，依照第33(2)(b)條，應當被視作具備保護力相當的數據法制。自2016年起，內地的《網絡安全法》、《數據安全法》、《個人信息保護法》相繼頒布實施，並輔以多部法規、規章等配套立法密集出台，數據安全制度的體系完備，頂層設計趨於成熟，也引入了國際通行的個人數據保護規則，其中就囊括了對個人信息跨境施以嚴格合規要求的專章規定。從整體上看，內地的個人信息保護與數據治理法律架構可被較為充分地認定為與《個人資料（私隱）條例》強度相似或立法目的相同，從而滿足第33(2)(b)條的數據可獲准出境之情形。 
 

第二，根據第33(2)(c)及(d)條，個人數據跨境轉移的獲准一方面有賴於用戶書面同意，另一方面也不排斥在未取得書面同意的情形下，從保障數據當事人利益（或避免損失）所必須的良善角度出發，允許數據出境。如此維度上的數據跨境事實行為應示明其目的及信念合理。誠如前述，當本港出現的確診個案或烈度較高的風險情勢觸發健康碼的風險提示機制時，包含個人數據在內的風險信息跨境向內地實時轉移即可界定為符合當事人利益保障的良善初衷，內地疾控部門通過數據系統及時協助其就醫檢疫與自我健康管理正是出於對當事人生命權和健康利益免遭損失的最大尊重。
 

第三，第33(2)(e)條所給定的關乎「健康」和「危急處境」的豁免事由也可印證上述關乎數據跨境轉移應當有助於數據當事人「緊急避險」的思路，從而阻卻對數據跨境的限制。第33(2)(e)條指明的「可援引」豁免條文有：第59條（健康）——「轉移關乎某資料當事人的身份、所在地及健康（身體及/或精神）的個人資料，否則可能會對該當事人或其他人的身體或精神健康造成嚴重損害」；第63C條（危機處境）——「轉移的個人資料用作識辨某人身份，而該人正處於危及生命狀況之中；或進行緊急拯救行動或提供緊急救助服務」。
 

（三）個人數據刪除與救濟措施
 

按照媒體披露，「港康碼」或參照「澳康碼」設置有掃描記錄在規定天數後的自動刪除功能。這一功能設計既是產品應用合規的基本要求，也表徵為信息自主範式下個人數據處理規則的當然延伸。換言之，健康碼個人數據的歸集與使用必須與疫情防控的公共利益目的嚴格關聯，並且個人權利部分讓渡絕非無期限、無節制的，這其中就包含對時限維度上數據最小夠用原則的恪守，因而也解釋了超時效且無益於緊急法治技術治理所必需的個人數據應當被及時刪除的原因所在。即便數據自動刪除的功能設置不以嘗試證立個人信息刪除權的絕對權屬性為規範基礎，但也的確表達出個人數據權利在遭遇讓渡於公共利益的例外時不但呼喚公權力機關在數據控制和數據處理上保持自我克制，也需要「再平衡」制度設計的樸素法理。
 

同樣的數據「再平衡」機制保障也體現在應當在健康碼數據規則中完善救濟措施，尤其當個體的數據權益及其衍生出的一系列物理世界關係如通行自由、社交便利等由自動化決策所深度支配時，確保救濟渠道順暢就變得尤為必要。這一問題也指向由誰來適格地擔任數據保護權責機構的關鍵拷問。儘管「港康碼」的數據保護專責機構尚不得知，但有理由相信，香港個人資料私隱專員公署將在本司法管轄域內就數字防疫所牽涉的個人數據規則指引、行政監督、申訴追責、調查處理等執行事務進取努力，以及在健康碼跨境對接互認上推動更多的數據機制探索與創新。
 

（四）個人數據可攜的數字技術映射
 

隨著新型數字技術的發展，特別是基於區塊鏈技術的「分布式數據傳輸協議」（DDTP）模式在解決個人信息驗真、個人隱私數據加密保護，以及跨機構、跨場景的數據協作系列問題上的成熟應用，健康碼跨境互認所面臨的現實考驗與法律難點得以「技術性地」被紓解。換言之，健康碼跨境互認無疑是當下最理想的實驗場域之一。
 

誠然在健康碼跨境互認實踐中，分布式協同的技術邏輯優勢已嶄露頭角，以「澳康碼」與「粵康碼」的互認互轉為例：一個基本前提首先是，依據澳門《個人資料保護法》的規定，存於澳門境內的居民個人隱私數據不得通過數據服務器發送出境，這其中也包括行程信息與健康信息；其次，在既無需直接傳輸和交換兩地用戶數據又能核驗認證用戶信息真實有效性的前提下保障通關順暢就成為跨境疫情防控的關鍵；作為技術選項，區塊鏈治下的分布式數字身份和可驗證數字憑證技術可實現粵澳兩地機構在後台不互聯的情況下依然完成個人數據的跨境認證。簡而言之，健康碼互認的「澳門版本」採納了由用戶自行驅動的數據提交和核驗機制，推動數據要素在用戶個人知情同意、自主授權下進行跨境攜帶流通。這一過程中，區塊鏈技術充分融合零知識證明、同態算法、安全多方計算、選擇性披露等數據隱私保護最新成果，尤其在技術規範上通過排除對與實現疫情防控目的無關的敏感信息歸集，固守數據法治的「最小夠用」準則。據統計，截止去年6月，澳門健康碼跨境互認項目已支持超9,500萬人次順利通關。

四、跨境數字治理的大灣區構想

健康碼互認議題實際所投射出的是對粵港合作以及整個粵港澳大灣區將以某種共同的、一體化的數字形態予以呈現的期許。信息流、數據要素、技術架構等借由一套可預測的銜接規則和治理機制可形塑為屬於大灣區的新型共識邏輯。打造基於一致性原理的數字單一市場與數據法律制度，其重要性不容諱言，包括國際數字競爭力、數據規則話語權、區域融合升維、基層民生發展、科技創新走廊建設、跨境產業數字化應用等都是其中不可或缺的價值基準。對於如此宏大的建構性主題，下文謹從前述已論及的部分觀點出發，擬提出若干主張與大灣區數字法治的構想。
 

第一，構建更加明確的數據分類分級管理體系。建立數據分類分級縱然是內地數字安全監管法律框架的規範要求，即《數據安全法》提出「國家建立數據分類分級保護制度」，將數據明確劃分為一般數據、重要數據、核心數據，同時要求各地區、各部門制定重要數據目錄。然而，其之於粵港澳大灣區數據秩序的實證意義更在於數據分級分類首先有助於三地數字科技企業有效地管理、保護、儲存和使用數據資產，這也是實現數據跨境傳輸、提升數字競爭力的一項基礎性制度。較為可行的實務方案是，通過編制具有「示範法」②功能的「數據分類分級指引」作為規則藍本或「軟法」公約。該通用規範將更明確地厘定分級標準、類別標識和詳細特徵，並借以粵港澳三地平行但趨同地遵守、借鑒這一通約實現數據分級分類法制協同，從而更實操地指導灣區企業在數據跨境傳輸的場景中做好合規工作，兼顧數據安全梯度保障與產業發展促進的雙重政策旨趣。
 

第二，引入白名單制度，加速形成粵港澳大灣區數據流通自由港（圈）。「白名單制度」是跨境、跨法域數據合作的慣常政策議程。近幾年，歐盟、美國等大型數字經濟體都選擇在其數據保護立法中設立「白名單制度」，旨在簡化傳輸數據程式，促進開放自由環境中的數字經濟合作和數字貿易。例如，歐盟GDPR就依據「充分性保護」原則，綜合評估數據出境目標國家或地區的數據保護立法強度、執法及實施水平、救濟措施的體系性設計、國際合作參與等情況，符合歐盟理念並認定為具備同等數據保護標準的法域可獲准納入白名單，據此享有無需特別授權即可自由接收來自歐盟的個人數據。再如，日本則已加入了由美國主導的APEC跨境隱私規則體系，並與歐盟也達成了充分性認定協議，倡導「可信數據自由流動」理念，與主流西方國家一道積極踐行促進數據跨境流動。在大灣區內，港澳地區的數據跨境體系架構中已不乏關於「白名單」機制與目的地數據保護充分（恰當）評估的法律淵源。如前述，香港《個人資料（私隱）條例》第33條除外規定中的前兩項恰好對應「白名單」與保護強度評估準則。澳門的個人數據跨境規範在遵循「嚴格限制」立場的基礎上，也把「數據信息接收方當地的法律體系能確保適當的保護程度」作為限制出境之例外的首要評估條件。③誠然，除白名單制之外，歐盟、相關國際組織與雙邊多邊合作框架的其他實踐經驗也值得借鑒，包括較為流行的數據跨境流動協議範本模式，以及由行業協會和其他自律組織自行組織數據出境安全評估等法律政策工具均可探索適用。
 

第三，在上述行為法規範之外，粵港澳大灣區數據法制韌性的提升也有賴於組織法的有效、專業保障。誠如前文論及的歐盟「充分性認定」就將「是否配備有效的專業規制機構」作為評估指標。一個理想的數據保護機構應滿足「統一、獨立、專業」這三重標準：「統一性」指代的是權責統一與問責制度清晰的組織法基本原則；「獨立性」則要求數據保護機構能夠防止並排除其他行政機關的介入干擾，中立、不偏倚地履行數據監管職能；「專業性」衍生自數據保護場景日益複雜這一客觀事實，當專責機構需要在「技術、法律和政策的交叉領域中多面作戰」，機構專業度就尤為關鍵，只有「專業機構」才能體系性地履行好包括規則制定、行政監督、接受投訴、調查處理等在內的為數據保護所必須的行政權能。
 

第四，關於大灣區數字基礎設施延展的場景因應。如果說新冠疫情加速了各式場景的數字化轉型進程，那麼健康碼就是這一語境下社會主體認證的新型數字基礎設施，並以顏色表徵個人身體狀況、反映風險情勢從而充實了數字身份的緊急法治內涵。可以預見，當疫情風險解除後，基於用戶掃碼慣性、政府「碼上治理」的承襲，二維碼的數字認證作為一套技術行為制度，將溢出公共衞生治理的範疇，不僅成為常態化公共服務的入口，且顯著地加權智慧城市、數字政府等日常電子政務實踐。這一預設對於服務粵港澳大灣區基層社會民生的作用更不容小覷，其中以持續探索灣區資源加快流動、促進出入境便利化為典型場景。健康碼的跨境互認對接或許正是大灣區數字治理的奇點時刻，粵港澳三地升格數字手段破除「割據」，講述的是在非常時期以數字化技術推動大灣區人流、物流等要素貫通提質增效的中國故事。
 

第五，應鼓勵數字技術企業合作參與大灣區數字治理。科技企業參與技術治理具有天然優勢，健康碼即源自於互聯網公司在疫情初期敏銳發掘用戶需求痛點，並快速響應政府訴求，在政務服務平台入口開闢疫情相關功能服務，從而逐步以接受政府委托的數據處理者角色參與風險數據治理。也由此，應充分認肯科技企業在數字治理秩序中的良好司職價值。繼續引申，在提升大灣區數據要素制度韌性的過程中，除個人信息、隱私保護及公共數據安全保障的法益外，平衡商業數據流動的產業發展要求也是培育大灣區數據生態的應有之義，政企合作治理模式始終不應忽視。應允許、鼓勵並引導數據科技企業有序地參與數據跨境流動的標準制定、技術解決方案產品設計、產業生態共建等環節，以及在實施細則中對灣區企業經營發展訴求、業務能力優勢、行業產業定位予以充分考慮，例如吸納跨境數據分級分類的商業慣例與公司實務規則、企業自評與認證機制等市場規範。

五、結語：更多的大灣區數字法治想象

粵港澳大灣區融合既是空間戰略，又關乎制度共建與規則銜接，這實際上把跨境交互的各類場景、各項命題置於法律地理學範疇下全面審視，同時更應謀求某種法律性與空間性兼備並相互交錯的「疊接」（Splice）關係作為可預測的穩定秩序。竊以為，在「一國兩制」長期主義發展觀的視域中，數字治理構型以及數字化交互規則的想象力拓展始終是重要選項，至少健康碼跨境互認及其背後的數字技術範式已然開始承擔解決跨境流動不足，升維協同治理質效，重塑灣區法治形態的賦能角色。
囿於篇幅所限與筆者的研究未盡，本文在結尾處僅做設問如下：首先，由數字技術加持的線上糾紛解決系統（ODR）平台會否成為未來大灣區跨境糾紛解決的主流形式？需要定爭止紛的內容除普通民、商事案件外，理應包括因數據跨境糾紛。其次，區塊鏈技術所具備的採信任穿透、鑒證確權、分布共享等技術特徵能否有效補強多元法域之間的法律協同？如何更精準地應用於跨境司法訴訟中的採信、證據固定、文書交換等程序環節？以及，更前沿的數據匿名化、差分隱私、聯邦學習等技術方法如何更好地賦權跨境數據治理？再次，前述大灣區數據保護專責機構在履行其監督救濟權能時，可否衍生出某種智慧裁判者樣態，以及在人工智能、人工智能法的撮合下，普通法系和成文法系會否實現趨同？最後，當下火出天際的「元宇宙」概念能否再造有關場景並為大灣區融合的時空邏輯提供最終極的法律想象？在擺脫教條、解放思想後，想象與創造的空間是存在的。

本文發表於《紫荊論壇》2022年5-6月號第49-57頁