RWA项目的核心是将现实世界的资产（如债权、股权、实物资产收益权等）通过区块链技术进行通证化。在这个过程中，数据扮演着至关重要的角色，因为它用于证明底层资产的存在、价值和状态（即“现实世界”与“链上世界”的锚定）。正如上海数据交易所于2025年首次提出的RDA（Real Data Assets）新范式，强调RDA是RWA的灵魂。[1]当这些数据涉及收集、存储、处理或传输到境外时，就会触发中国关于数据跨境的监管规范。本文旨在对境内资产境外RWA涉及的数据跨境的合规及路径进行研讨。

一、境内企业境外RWA数据跨境案例

（一）朗新科技充电桩RWA项目[2]

1.项目简介：朗新科技旗下“新电途”充电桩运营平台，将其充电桩网络的未来运营收益进行资产通证化，发行RWA融资。

2.涉及的数据类型：

（1）用户个人数据：电动车主的身份信息、支付信息、地理位置（需经脱敏化和匿名化处理）。

（2）运营数据[3]：充电桩的实时状态（空闲/使用中/故障）、充电量、能耗、利用率、维修记录等。

（3）财务数据：每日收入流水、成本分摊（通过智能合约自动核算）。

（4）金融权益数据：RWA权益凭证持有者信息、收益分配记录、智能合约地址、交易哈希等。

3.数据跨境分析：一方面，面向境外投资者的信息披露。项目定期向境外投资者与合作机构传输脱敏后的核心运营数据，例如每日充电量、服务费收益、网络利用率等绩效指标，以满足境外监管机构的披露要求和投资者的知情权。另一方面，使用境外区块链基础设施。项目选择在境外区块链平台发行和托管通证，导致与资产锚定相关的关键数据（如核心运营数据、资产哈希值、收益证明凭证）存储于境外节点上，全球参与者通过该区块链平台对数据进行验证与同步。根据《汽车数据安全管理若干规定（试行）》的规定，汽车充电网的运行数据（充电桩的实时状态参数、充电电量、充电时长等关键信息）、涉及个人信息主体超过10万人的个人信息是重要数据。[4]朗新科技本次数据跨境，对于个人信息可以进行匿名化、去标识化处理，但因为涉及汽车充电网的运行数据跨境，本律师认为若涉及该等原始数据出境，本律师认为朗新科技应依照《数据出境安全评估办法》向国家网信部门申报并通过数据出境安全评估。

（二）协鑫能科光伏电站RWA项目[5]

1.项目简介：协鑫能科将其运营的光伏电站的未来发电收益进行通证化，投资者购买通证即享有电站的部分收益权。

2.涉及的数据类型：

（1）资产核心数据：电站的发电量、并网电量（即发电站实际卖给电网的电量，系“销量”指标）、电站运维状态（如设备健康度、故障记录）等。

（2）环境数据：日照辐射数据、天气数据。

（3）商业数据：与电网公司的购售电合同（PPA）关键条款（脱敏后），具体包含电价机制（即电价，固定电价还是浮动电价等）、合同期限、结算机制和对手方信息等。

（4）金融权益数据：RWA权益凭证持有者信息、收益分配记录、智能合约地址、交易哈希等。

3.数据跨境分析：与朗新项目类似，为了吸引国际资本，向境外投资者披露资产运营情况是核心需求。定期将电站的发电量、收益等运营绩效数据传输给境外投资者或托管机构，是典型的数据出境场景。根据《关键信息基础设施安全保护条例》《电力监控系统安全防护规定（2024）》、国家能源局印发的《光伏发电运营监管暂行办法》（已过有效期）等规定，光伏电站是国家关键信息基础设施，[6]其运行数据可能关系到区域能源安全，系重要数据。因此，本律师认为此类原始数据的出境必须通过国家网信部门申报并通过数据出境安全评估。

（三）巡鹰出行换电柜RWA项目

1.项目简介：巡鹰出行将其部署的换电柜网络及其运营收益（换电服务费、电池租赁费）进行通证化融资。

2.涉及的数据类型：

（1）用户个人数据：骑手/用户的身份信息、位置轨迹、换电行为习惯、电池使用数据。

（2）资产运营数据：换电柜地理位置、电池库存状态、电池健康度（SOH）、充放电循环数据、收益数据。

（3）金融权益数据：RWA权益凭证持有者信息、收益分配记录、智能合约地址、交易哈希等。

3.数据跨境分析：根据中国相关法律法规，用户位置轨迹和换电习惯数据应当属于敏感个人信息，这类数据的出境受到最为严格的监管。项目方向境外展示资产价值时，仅能传输经过脱敏处理后的聚合运营数据（即移除了所有能够识别到特定个人的信息，仅保留反映整体情况的大数据特征），且严格禁止传输任何原始个人数据。

（四）海南华铁信托RWA项目[7]

1.项目简介：海南华铁在海南利用其“跨境投融资便利化”政策，将高空作业平台、算力设备等实体资产的使用权和运营权益进行数字化映射，形成基于区块链的权益资产，而后进行通证化，并面向境外发售。

2.涉及的数据类型：

（1）资产核心数据：设备身份与静态数据（包括设备编码、位置、型号、技术参数、出厂日期等）；设备实时工况数据（包括运行状态、工时、能耗等）；设备维护与历史数据（包括保养记录、维修历史、零部件更换记录等）。

（2）商业运营数据：租金价格、客户使用时长、设备利用率等。

（3）金融权益数据：RWA权益凭证持有者信息、收益分配记录、智能合约地址、交易哈希等（但值得关注的是，该项目收益分配仍依赖线下人工核验，智能合约未完全接管）。

3.数据跨境分析：依托海南自贸港数据跨境特殊政策，海南华铁项目数据跨境流通效率得到了极大提升，数据出境的合规成本也得到了极大降低。值得关注的是，2025年7月，海南华铁携手上海数交所启动全球首个设备运营RDA项目，[8]推动海南华铁高空作业设备数据与上海数交所构建的数纽中心（NDP）所整合的多领域数据交叉验证，从而能衍生出设备健康度评估、碳足迹等衍生评估数据。凭借这些衍生评估数据，不仅有利于海南华铁优化资源配置，降低运营成本，还有利于境外投资者更全面地掌握资产信息。关于高空作业平台、算力设备等资产的核心数据是否属于重要数据而需进行出境安全评估，需具体评估，若用于电力、通信等关键基础设施维护，其位置、作业日志等数据可能关联公共安全；若处理重要行业（如金融、政务）的算力任务，其负载、能耗等数据可能影响国家算力安全，在此情形下，前述核心资产数据可能涉及重要数据而需进行数据出境的安全评估申报。

（五）奥瑞德算力RWA项目[9]

1.项目简介：奥瑞德将其子公司持有的AI服务器的未来服务收益权进行通证化，投资者购买通证即享有算力租赁的部分收益，为全国首单算力资产RWA。

2.涉及的数据类型：

（1）算力基础设施数据：具体地理位置、机房内部结构、电网接入点等。

（2）服务器运行数据：服务器利用率、算力输出指标（如FLOPs）、耗电量、机柜温度等。

（3）收益数据：客户使用情况（需经脱敏）、收益账单等。

（4）金融权益数据：RWA权益凭证持有者信息、收益分配记录、智能合约地址、交易哈希等。

3.数据跨境分析：首先，所有原始数据在境内算力中心本地处理，生成脱敏后的聚合报告，经专用通道传输至境外。其次，仅限脱敏后的关键绩效数据（KPI）通过预言机上链，供全球投资者验证，支撑资产估值与交易。

以上RWA项目的数据跨境核心提炼
目的	为了满足境外投资者due diligence（尽职调查）和持续信息披露的金融监管要求。
内容	主要是脱敏或聚合后的资产运营数据，而非原始个人数据。
挑战	在满足境外融资需求的同时，严格遵守中国《网络安全法》《数据安全法》《个人信息保护法》中构建的数据出境监管框架。
解决方案	通过数据脱敏/匿名化技术（如零知识证明）、选择合规的出境路径（如安全评估），以及利用自贸港特殊政策（如海南）来实现平衡。

二、境内哪些资产的数据不能跨境，无法通过跨境发行RWA？

根据《数据安全法》第21条，核心数据绝对禁止跨境。

核心数据范围：关系国家安全、国民经济命脉、重要民生、重大公共利益的数据。

核心数据列举：如国家安全类数据，包括但不限于国家军事部署、国防工程、尖端武器参数、军事管理区、国防科工单位等敏感区域地理信息，武器装备研制试验数据等；经济命脉类数据，包括但不限于国家黄金/外汇储备实时数据、战略物资（石油、稀土、粮食）储备库坐标及库存量、国家级金融交易系统（如CIPS、CNAPS）根密钥；重大公共利益类数据，包括但不限于三峡大坝、核电站等特大关键基础设施实时控制指令、国家疫苗库、战略血库全量溯源数据、跨省主干电网（如特高压）实时控制码等。

核心数据处理要求：

1. 实行严格管理制度，禁止任何形式出境；

2. 不适用负面清单例外规则（《促进和规范数据跨境流动规定》第6条规定，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。）

三、境内哪些资产的数据被限制出境？跨境发行RWA需履行哪些数据合规程序？

（一）重要数据

1.识别路径及标准：

（1）各自贸区/自贸港发布的分类分级标准规范或者负面清单；

目前，部分自贸区已经发布相关规则，如：

《中国（江苏）自由贸易试验区数据出境负面清单管理办法（试行）》，附件包括《中国（江苏）自由贸易试验区数据分类分级参考规则》《中国（江苏）自由贸易试验区数据出境管理清单（负面清单）（2025版）》

《中国（广西）自由贸易试验区数据出境负面清单管理办法（试行）》，附件包括《中国（广西）自由贸易试验区数据分类分级参考规则》《中国（广西）自由贸易试验区数据出境管理清单（负面清单）（2025版）》

《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》

《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》，附件包括《中国（北京）自由贸易试验区数据分类分级参考规则》《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》

《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》

《海南自由贸易港数据出境管理清单（负面清单）（2024年版）》

《中国（浙江）自由贸易试验区数据出境负面清单管理办法（试行）》，附件包括《中国（浙江）自由贸易试验区数据分类分级参考规则》《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》。

以《中国（江苏）自由贸易试验区数据分类分级参考规则》（简称《参考规则》）为例，《参考规则》自上而下列出了13类行业40个子类别的数据分类，并针对每一类行业的重要数据识别列出了对应的“重要数据识别参考规则”。

（2）部分行业、领域已经公布数据分类分级标准规范或者重要数据识别申报规则，如《DB14/T 3552—2025 能源企业数据安全保护管理规范》《GB/T 43705-2025 科学数据安全分类分级指南》《信息安全技术 数据安全保护要求》《JR/T 0197-2020 金融数据安全 数据安全分级指南》《YD/T 3865-2021 工业互联网数据安全保护要求》，以及工业领域的《工业领域重要数据识别指南》、电信领域的《电信领域重要数据识别指南》、自然资源领域的《地理信息数据分类分级工作指南（试行）》、统计领域的《统计数据安全管理办法》等。

以《汽车数据安全管理若干规定（试行）》为例，该《规定》第三条规定的重要数据范围如下：

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：

（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

（二）车辆流量、物流等反映经济运行情况的数据；

（三）汽车充电网的运行数据；

（四）包含人脸信息、车牌信息等的车外视频、图像数据；

（五）涉及个人信息主体超过10万人的个人信息；

（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

（3）通过召开会议、制发文件、一对一通知等形式告知到数据处理者（见国家网信办发布的《数据出境安全管理政策问答》）

（4）没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则，数据处理者也没有被有关部门告知应当进行重要数据识别申报的，若未识别申报重要数据，未对相关数据进行重点保护，不会被认定为违反重要数据保护相关规定，不会因此受到行政处罚（见国家网信办发布的《数据出境安全管理政策问答（2025年5月）》）。

2.出境合规程序：

按照以上识别路径及标准识别数据类别，确定是否系重要数据，若是，则需履行申报数据出境安全评估程序，具体为：

（1） 开展出境风险自评估——重点评估以下内容，并形成自评估报告：

a)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

b)出境数据的规模、范围、种类、敏感程度，以及数据出境可能对国家安全、公共利益、个人或者社会组织合法权益带来的风险；

c)境外接收方承诺承担的责任义务，以及履行责任义务的管理措施和技术措施、能力等能否保障出境数据的安全；

d)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，以及个人信息权益维护的渠道是否通畅等；

e)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；

f)其他可能影响数据出境安全的事项。

（2） 省级网信部门初审——省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。

（3） 国家网信部门终审——国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估工作将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。

（4） 获取评估结果通知书，根据评估结果开展或停止数据出境活动——评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。

提示：数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估（《促进和规范数据跨境流动规定》第二条）。

（二）特定个人信息

1.定义：

根据《个人信息保护法》第四条，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

2.出境限制及合规路径选择：

序号	数据处理主体	出境限制情形	出境合规方式	相应法条
1	关键信息基础设施运营者	向境外提供任何规模/数量的个人信息	通过所在地省级网信部门向国家网信部门申报数据出境安全评估	《数据出境安全评估办法》第四条
2	处理100万人以上个人信息的	向境外提供任何规模/数量的个人信息
3	关键信息基础设施运营者以外的数据处理者	自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息的	通过所在地省级网信部门向国家网信部门申报数据出境安全评估	《促进和规范数据跨境流动规定》第七条
4		自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的	依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。	《促进和规范数据跨境流动规定》第八条
备注	1.根据《个人信息保护法》第五十五条的规定，但凡向境外提供个人信息，均需进行个人信息保护影响评估（PIA），即进行个人信息保护影响评估是任何个人信息合规出境的前置程序。根据《个人信息保护法》第五十六条，PIA评估的范围为：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。PIA评估报告和处理情况记录应当至少保存三年。 2.《个人信息保护法》第三十八条规定，个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 3.根据《个人信息保护认证实施规则》，个人信息保护认证的认证模式为：技术验证 + 现场审核 + 获证后监督。

四、境内哪些资产的数据可自由出境？

一般数据可自由出境。

（一）认定标准：

1.未被列入核心/重要数据目录/负面清单；

2.不涉及关键信息基础设施运营者处理的个人信息，不涉及处理100万人以上个人信息的信息处理者处理的个人信息；

3.不涉及《促进和规范数据跨境流动规定》第七条、第八条的情形。

（二）出境管制豁免情形：

法律依据：《促进和规范数据跨境流动规定》第三条至第六条

第三条　国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，若不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第四条　数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，若处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第五条　数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

本款所称向境外提供的个人信息，不包括重要数据。

（三）典型场景：

如国际贸易订单信息（不含敏感物流数据）；跨国研发合作中的非核心技术参数；自贸区内跨境供应链基础数据等。

五、境内企业跨境RWA后，如何进行数据保护与合规？

在数据已完成首次合规出境，RWA通证已在境外市场发行和交易后，数据保护与合规工作的重心就从“事前审批”转移到了“事中持续监控”和“事后应急响应”。以下是“发行之后”阶段，企业必须履行的数据保护与合规义务及对应的法律依据：

（一）持续监控与定期审计（法定义务）

持续监控与定期审计是确保境外数据处理活动持续合规的核心。

1.《数据出境安全评估办法》第十四条：“通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；（三）出现影响出境数据安全的其他情形。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。”

因此，涉及限制出境类数据，出境主体必须在出境安全评估2年有效期内，持续监控出境数据的状态、对各类影响或可能影响出境数据安全的情形保持高度警惕，确保所有出境数据处理活动与申报时承诺的条件和状态一致。

2.《数据安全法》第三十条：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”

3.《个人信息保护法》第五十四条：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”

因此，涉及限制出境类数据的，出境主体必须定期开展风险评估或合规审计，确保出境数据持续安全与合规。

（二）事件响应与报告（强制要求）

若RWA发行后出现数据安全事件，企业必须立即采取行动，进行事件响应及报告。

1.《数据安全法》第二十九条：“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”

2.《个人信息保护法》第五十七条：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。”

因此，企业应制定数据出境安全事件应急预案。一旦发现出境数据在境外被泄露、篡改、滥用，必须立即采取补救措施（如通知境外接收方暂停处理、切断数据通道）。同时，应依法及时向所在地省级网信部门报告，并告知受影响的个人（如适用）。

（三）变更管理与重新申报（动态合规）

RWA发行后若涉及业务或环境发生变化，可能触发重新申报评估义务。

1.《数据出境安全评估办法》第十四条：“在数据出境安全评估结果有效期内出现以下情形之一的，数据处理者应当重新申报评估：（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；...（四）其他可能影响出境数据安全的情形。”

因此，出境主体应对出境数据及出境情势的变更保持高度敏感及关注，若出现出境数据状态发生变化、出现各类影响或可能影响出境数据安全的情形、出境安全评估有效期届满等情形，出境主体应重新申报评估甚至终止数据出境。

对于已成功发行RWA的企业，在数据层面必须持续做到：
核心工作	法律依据	具体行动
定期进行合规审计及风险评估	《数据安全法》第27、30条 《个人信息保护法》第57条	每年对自身数据出境活动进行内部或第三方合规审计，确保与申报时一致。
监控与应急响应	《数据安全法》第29条及《个人信息保护法》第57条	建立安全监控系统，制定应急预案，发生事件立即补救和报告。
动态跟踪与变更管理	《数据出境安全评估办法》第14条	关注国内外政策变化，发生重大变更时主动重新申报评估。
到期重新申报	《数据出境安全评估办法》第14条	在2年有效期届满前60个工作日，主动重新提交安全评估申请。

六、结语

对于跨境RWA发行而言，数据合规跨境是整体合规的核心，资产方应严格遵守我国《网络安全法》《数据安全法》和《个人信息保护法》等相关法律法规的规定，合法合规进行数据出境。否则，不仅相关企业（发行方、资产方等）需承担法律责任，直接责任人（个人）亦涉及可能被追究法律责任。此外，“发行成功”绝不意味着数据合规的结束，而是一个新阶段的开始。企业需要建立一个常态化、制度化的持续合规体系，以应对发行后的监管要求、技术变化和安全威胁。否则，可能涉及相关许可被撤销、业务中断、其他严厉处罚的法律后果。