作者:董皓、董楠、黄雯嫱
RWA(Real World Asset)是通过区块链技术,将现实世界中的资产代币化并在链上登记,从而实现资产权利的数字化表达与可交易化。本文中,我们将聚焦数据合规,分别从「发行人」与「投资者」的视角,分析在香港发行RWA项目可能的数据合规需求。*
* 境内外监管政策和实践迅速发展变化,本文仅代表写作时对相关规范的合理理解,不构成法律意见,且可能需要根据具体项目作出个案调整。
一、RWA项目中数据合规的重要性
在RWA模式下,代币对应现实世界的某类权利,如物权、债权、收益权或金融资产份额,其链上记录必须能够真实、准确地反映链下资产的状态。因此,底层数据的真实性、完整性和可追溯性,是代币化资产能否被视为“可信资产”的核心条件。一旦链上数据与链下资产出现偏差,不仅会导致估值失真,还可能误导投资者,从而触发欺诈、信息披露或跨境监管等法律风险。
例如,新能源收益权类项目常需记录发电量、现金流入、运维状态等链下运营数据,并持续同步至链上。只要其中任意一类数据失真,都会直接影响代币的价值判断及投资者收益分配。此外,RWA项目可能伴随大量个人和机构数据的收集、存储、传输与使用。例如发行主体的交易数据、投资者的身份信息、收益分配数据、智能合约执行记录等。在跨境结构下,这些数据可能会跨境流动,因此还必须同时考虑数据出境地(例如中国内地)数据法规、RWA发行地(例如香港)以及数据获取地(例如投资人所在地)的多重合规要求。
在此背景下,理解企业参与香港RWA项目的不同角色,对于分析其在各阶段的数据合规要求及潜在风险尤为重要。现实中,这些企业主要可以分为两类:
- 发行人:负责资产标准化、法律结构搭建、链上通证化及持续信息披露,其数据合规义务较为繁重;
- 投资者:需要满足身份识别、反洗钱等投资准入要求,其交易与收益数据亦受到多重监管约束。
二、发行者视角
发行人在资产标准化、跨境结构搭建、数据上链与信息披露等方面承担主要责任。整个流程通常分为四个阶段:
- 筹备阶段
这一阶段的核心目标是确保底层资产本身具备可通证化的法律基础,且相关数据的生成、整理与处理全部符合法规要求,从源头上保证资产上链的合法性与可靠性。因此,在筹备阶段,首要任务在于确认拟用于RWA的资产数据已完成合规化处理。
具体而言,首先需要对拟通证化资产进行系统盘点,筛选权属清晰、现金流稳定的资产类型。在锁定可通证化资产后,如果这些资产中包括大量数据,就需要对与数据有关的权属文件、基础合同、财务记录、收益分配凭证等进行全面核验,确保资产上链的真实性、完整性和法律有效性。
此外,如果在RWA发行后,有关数据仍然会被进一步处理、衍生,就需要对这些持续的数据处理工作的合规性作出判断,尽量在发行RWA以前就框定数据处理的方式、完成必要的合规动作。
- 跨境布局阶段
- 设计跨境架构过程中的数据合规
为隔离运营风险,内地企业常采用“双层SPV架构”参与香港RWA项目。由于SPV(特殊目的公司)并非数据的原始收集者或控制者,相关架构在设计阶段即可能面临数据合规方面的风险,所以在此阶段需要引入数据律师,避免架构设计的底层逻辑与数据合规要求出现矛盾。 - 确定架构后,完成对数据出境的合规动作
- 设计跨境架构过程中的数据合规
以中国内地为例,内地对数据出境活动实行分类型监管。中国内地的一般数据可自由跨境,数据出境安全管理仅针对重要数据和个人信息。其中,重要数据根据《数据安全法》的规定,出境必须通过国家网信部门组织的数据出境安全评估;个人信息按照《个人信息保护法》第三章的相关规定可通过安全评估、标准合同、保护认证三种途径出境。
国家互联网信息办公室(国家网信办)发布的《数据出境安全评估办法》和《促进和规范数据跨境流动规定》(以下简称“《促进和规范规定》”)共同提供了处理涉及中国内地数据的合规边界。前者确立了“负面清单”制度,只有清单内的数据出境才需要严管,特别是对于“国际贸易、跨境运输、学术合作、跨国公司生产制造和市场营销等活动中收集和产生的数据出境,如果不包含个人信息或重要数据,无需申报数据出境活动”这一条意义重大;后者则是为高风险、大规模的数据出境活动设定了必须事先申报并通过安全评估的强制程序。
在《促进和规范规定》和《评估办法》搭建的国家框架下,有关部门进一步制定了针对粤港澳大湾区这一特定区域制定的具体操作细则和便利化试点。例如,2025年11月28日,广东省网信办发布《粤港澳大湾区个人信息跨境流动标准合同备案指南》(以下简称“《大湾区标准合同》”),明确将大湾区内地与港澳间的个人信息跨境流动标准合同备案流程,统一整合至国家网信办的“数据出境申报系统”,实现了线上化办理。内地企业有责任确保香港的接收方能够履行其在《大湾区标准合同》下的义务,例如确保接收方有足够的技术和管理措施保障数据安全、监督接收方遵守地域限制(不得将数据转移出大湾区范围)和后续转移限制(向大湾区内的第三方转移需满足严格条件)等。应当注意的是,这些限制条件存在一些模糊地带,在数据合规工作中需要予以逐项分析。
- 发行阶段
在完成前述工作后,发行者需对香港的监管环境进行评估,以了解可能适用的法律框架、监管要求以及合规注意事项。 - 发行后的合规要求
对香港RWA发行者而言,合规工作并未随着代币发行完成而终结。相反,在代币持续流通与项目运营过程中,围绕定期申报、持续披露及监管沟通所产生的数据处理与跨境传输行为,往往构成更为长期、隐蔽且高频的数据合规风险点。例如:若发行者在RWA项目运营中涉及收集客户个人信息,应符合香港PDPO对收集和处理个人数据的要求。
三、投资者视角
香港对投资者的监管核心是“投资者适当性”原则,旨在保护散户投资者,同时为专业投资者提供更广泛的产品通道。
散户投资者只能购买非证券型RWA,仅当其被认定为“专业投资者”(Professional Investors, PI)时,才能购买证券型RWA代币并获取资产收益权。根据《证券及期货(专业投资者)规则》,“专业投资者”分为两类:一类是在金融或投资机构工作、拥有专业资格的专业投资者,以及符合条例说明的投资计划及管理公司;另一类是总资产或投资组合的规模不少于一定数额的个人、信托法团、法团或合伙公司。
除了符合“专业投资者”的认定,投资者在认购和后续交易过程中,还需要依照监管要求提供信息,包括真实、完整、必要的身份、资质和信息来源等,同时配合中介机构进行适当性评估,以便中介机构履行《反洗钱条例》及证监会指引下的KYC(Know Your Custome)和CDD(Customer Due Diligence)义务等。
基于以上,如果投资者想要对RWA进行投资,其必须提供真实身份及钱包信息,确保链上交易可追溯,并配合平台完成资金来源核查、可疑交易调查及资金转移规则(“Travel Rule”)等反洗钱(Anti-Money Laundering,简称“AML”)要求,从而保障虚拟资产平台的合规运营。在这个角度上,个人数据的处理就成为必然,因此也自然需要数据律师的评审和意见。
此外,由于各国对跨境处理数据有较为严格的规定(相比在境内处理而言),而RWA的投资者又往往来自多个司法管辖区。在这种情况下,对可以披露给投资者的数据进行分析,令其既符合证券监管的规则,又尽量做到轻量化,避免过重的跨境数据合规义务,也需要数据律师的参与。
四、结论
RWA、尤其是底层资产中存在大量数据的RWA项目必须同时回应资产所在地、发行地、投资人所在地的多重数据监管要求。要顺利完成发行动作,需要在项目初始阶段就引入数据合规律师,让他们与证券合规律师同时入场,避免因为早期架构中未考虑数据合规义务而给项目推进带来的障碍。
A good piece.