您的位置 : 环球研究 / 环球评论 / 新闻详情
跨境数据流动创新保障性措施的先行先试——《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布
2023年12月18日孟洁 | 王程 | 钱星辰

引言

 

2023年12月13日,国家互联网信息办公室(下称“国家网信办”)与香港创新科技及工业局为落实《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(下称“《合作备忘录》”)中提出的组织实施粤港澳大湾区(下称“大湾区”)个人信息跨境标准合同的要求,共同制定了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“《实施指引》”),并以附件的形式提供了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(下称“《大湾区标准合同》”)与《承诺书(模板)》供相关主体使用。

 

在今年6月29日签署的《合作备忘录》公告中,国家网信办与香港特区政府创新科技及工业局共同提出将在国家数据跨境安全管理制度框架下,建立大湾区数据跨境流动安全规则。本次《实施指引》适用注册于/位于大湾区内地部分(广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)或者香港特别行政区(下称“香港特区”)的个人信息处理者及接收方。作为《合作备忘录》核心思路的落地举措,《实施指引》可以进一步促进大湾区的数据有序高效流动,促进数据作为生产要素在大湾区城市群内充分释放价值,为大湾区产业发展赋能。

 

一、中国数据出境政策现状

 

(一)内地

 

在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(下称“《个保法》”)三部法律相继施行后,内地数据出境的基础合规框架已初步形成。在个人信息跨境流动方面,《个保法》第三十八条列明了个人信息处理者应采取的三项安全保障措施,即“通过网信部门组织的安全评估”“按照国家网信部门的规定经专业机构进行个人信息保护认证”“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(上述三点合称为“数据出境保障性措施”)。随后,为帮助三种出境保障性措施落地,国家网信办及相关行业监管部门也陆续出台了一系列部门规章和指南性文件。

 

就“订立个人信息出境标准合同”而言,根据国家网信办于2023年2月22日发布的《个人信息出境标准合同办法》(下称“《标准合同办法》”)第四条,当个人信息处理者同时符合以下情形时,可以通过订立标准合同的方式向境外提供个人信息:

 

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供个人信息不满10万人的;

(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

 

《标准合同办法》以附件的方式提供了《个人信息出境标准合同》(下称“《内地标准合同》”)的文本,且配套出台了《个人信息出境标准合同备案指南(第一版)》,进一步为标准合同的签订和备案提供了指引。

 

顺应2022年发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”),国家网信办在2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(下称“《跨境流动规定(征意稿)》”),旨在确保数据有序跨境流动的同时降低企业的合规负担。《跨境流动规定(征意稿)》虽未正式生效,但对三种数据出境保障性措施的适用逻辑进行了较大的调整更新,同时还提出了豁免采取安全保障措施的十大重点场景,较大程度地降低了个人信息出境合规要求的门槛。

 

(二)香港特区

 

在个人信息出境的立法方面,中国香港特区颁布的《个人资料(私隐)条例》(下称“《私隐条例》”)在其第33条中作出了专门规定。根据该条款,在香港进行或受主要营业地在香港的资料使用者[1]控制而收集、持有、处理[2]或使用[3]的个人资料[4]将原则上被禁止传输至香港以外的地方,除非满足以下条件:

  • 转移目的地存在与《私隐条例》相似或已经生效的与本条例目的相同的法律;

  • 使用者有合理理由认为该目的地存在上述法律;

  • 有关的资料当事人[5]已通过书面方式同意该转移活动;

  • 该使用者有合理理由相信:(i)该项转移是为避免针对资料当事人的不利行动或减轻该行动的影响而作出的;(ii)获取资料当事人的书面同意不是切实可行的;及(iii)如获取书面同意是切实可行的,且资料当事人会给予上述同意;

  • 该资料凭借《私隐条例》第8条的规定获得豁免,包括执行司法职能、个人事务、雇佣等事由;或

  • 该使用者已采取所有合理的预防措施并已作出所有应尽的努力,以确保该资料不会以违反转移目的地《条例》的方式被收集、持有、处理或使用。

虽然《私隐条例》第33条“限制”个人资料向香港以外的地区进行转移且迄今已进行了数次修订更新,但时至今日该条款仍未实施。香港目前也尚未规定数据处理活动达到一定条件时必须采取的数据出境保障性措施,而更多是通过发布推荐性的指引来规范香港个人资料跨境转移的活动,具体而言:

  • 2014年12月,私隐公署发布了《保障个人资料:跨境资料转移指引》》(简称“《2014年指引》”),初次提供了用于指导资料跨境转移的建议合约条文范本,以建议性的方式鼓励资料使用者采用该指引内的推荐操作模式来保护个人资料。

  • 2022年5月,私隐公署发布了《跨境资料转移指引:建议合约条文范本》(下称“《2022年指引》”),进一步提供了两套用于资料跨境传输的范本,分别适用两种不同的跨境数据转移的情况,即(1)由一名资料使用者转移予另一个资料使用者,及(2)由一名资料使用者转移予一名资料处理者,旨在应对愈加严格的全球数据保护监管与新型的通信科技对资料跨境转移带来的新挑战。

尽管《私隐条例》第33条至今尚未生效,由《2014年指引》和《2022年指引》构成的建议合约条文范本体系可以帮助香港企业及相关组织更好地开展数据使用和处理活动,使之在日常的经营活动及与其他机构的合作中逐渐调整和适应,在满足合规要求的同时促进数据自由流动。

 

(三)粤港澳大湾区

 

基于内地和香港分别就个人信息跨境流动实践的探索,两地政府在今年6月29日共同签署了《合作备忘录》,以在国家数据跨境安全管理框架下建立大湾区数据跨境流动的安全规则,推动该区域数字经济产业的高质量发展。在《合作备忘录》签署后,大湾区也在数据出境保障性措施的优化方面开展了部分探索性工作。

 

2023年10月,香港特区行政长官李家超发表《行政长官2023年施政报告》时提到,将在大湾区以先行先试方式,简化内地个人资料流动到香港的合规安排。2023年11月1日,全国信息安全标准化技术委员会进一步制定了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,规定了大湾区跨境处理个人信息应遵循的基本原则和保护要求。该标准文件作为实践指南,虽不具有法律强制性,但仍然为“个人信息保护认证”这一数据出境保障性措施在大湾区的弹性落地提供了实操性指引。

 

本次发布的《实施指引》则进一步完善了大湾区的数据流动合规实施路径,有助于将数据作为推动经济增长的新引擎,促进区域性数字经济的发展。

 

二、《实施指引》的七大亮点

 

本次发布的《实施指引》及其附件《大湾区标准合同》,在《标准合同办法》及《内地标准合同》的基础上,充分考虑了内地和香港两个不同法域出境政策的要求和大湾区在数字经济发展方面的重要战略角色,其创新重点体现在以下七个方面。

 

(一)结合政策定位明确适用范围

 

根据香港特区政府资讯科技总监办公室的说明,《大湾区标准合同》是一项简化大湾区中内地地区与香港之间的个人信息跨境[6]流动合规安排的措施,属自愿性质,让两地的个人及机构按统一范本订立标准合同,规范合同双方在个人信息保护方面的责任和义务[7]。依据《实施指引》第二条,可以订立《大湾区标准合同》的情形包括两种:由大湾区中的内地地区向香港传输个人信息、或由香港向大湾区中的内地地区传输个人信息。《实施指引》同时明确,如果跨境流动的个人信息被其他相关法律文件认定为重要数据时,个人信息出境方无法通过与入境方签署《大湾区标准合同》的方式作为数据合规保障路径实施出境活动。

 

在跨境个人信息数量或出境时间的要求方面,《实施指引》则没有具体说明。根据《实施指引》第四条,通过订立《大湾区标准合同》方式跨境提供个人信息的,应当履行标准合同列明的义务责任,并确保在个人信息处理者跨境提供个人信息前,按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意,且不得向大湾区以外的组织、个人提供(包括不得从香港地区再传输到其他国家地区)。

 

(二)因地制宜明确出境适用要求

 

《实施指引》和《大湾区标准合同》在法律法规的适用方面,充分考虑了内地和香港的数据保护法律体系的差异。

 

《大湾区标准合同》在第一条中,基于内地《个保法》和香港《私隐条例》,对“个人信息处理者”“个人信息主体”“监管机构”等不同的术语进行了区分解释。而在个人信息识别和合规基础义务的履行方面,《大湾区标准合同》也提出了应当按照两地的法规进行分别确认。

 

在争议解决方面,《大湾区标准合同》第八条第四项列明了仲裁机构,在保留了中国国际经济贸易仲裁委员会、中国海事仲裁委员会的基础上,更新补充了中国广州国际仲裁委员会、粤港澳大湾区国际仲裁中心、香港国际仲裁中心三个机构,并将诉讼涉及的管辖机构明确为“内地或者香港”有管辖权的人民法院。在该条第五项也明确了合同的解释应当按照个人信息处理者属地相关法律法规的规定进行解释,且不得与个人信息处理者的权利、义务相抵触,降低了因合同产生争议或纠纷而裁判依据不明确造成的解释不准确性。

 

(三)结合实践要求增加监管主体

 

在《大湾区标准合同》适用的监管部门方面,《实施指引》第十条及第十一条列明了国家互联网信息办公室、广东省互联网信息办公室或者香港特区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署有开展监管活动的权利、责任及义务,明确了内地与香港政府部门有序监管大湾区数据流动活动的监管框架。

 

(四)平衡个人信息处理者责任义务

 

虽然个人信息转移双方订立的合同必须严格依据《大湾区标准合同》订立,不得随意修改,但个人信息转移双方可在不与《大湾区标准合同》的内容相冲突的前提下就商业行为另定商业合同[8]。同时,在内地组织或个人作为个人信息处理者时,《大湾区标准合同》规制的内容与《内地标准合同》需要履行的义务和应承担的责任相比之下较少。以订立标准合同前需要开展的个人信息保护影响评估工作为例,《实施指引》将重点评估的内容缩减为三项,仅保留:

 

(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;

(二)对个人信息主体权益的影响及安全风险;

(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

 

对照内地《标准合同办法》,个人信息处理者根据《大湾区标准合同》开展个人信息保护影响评估时不再需要重点评估:跨境流动个人信息的规模、范围、种类、敏感程度;个人信息跨境流动后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;接收方所在地区的个人信息保护政策和法规对标准合同履行的影响。

 

上述评估维度的缩减可视作两地对彼此数据保护立法政策方面的认同,并对两地在合作机制下对《实施指南》与《大湾区标准合同》的灵活更新与调整具备充分的信心。

 

需要注意的是,当位于香港的组织或个人作为个人信息处理者通过签署《大湾区标准合同》的方式向内地传输个人信息时,因为《大湾区标准合同》的规定在较多维度上与内地的要求保持一致,因此香港的组织或个人也应重点关注《个保法》等内地法律法规的要求和合同约定以履行合规义务。

 

(五)合理减轻接收方合规责任义务

 

在接收方的合规责任义务方面,《大湾区标准合同》较《内地标准合同》不仅移除了接收方利用个人信息进行自动化决策时需要履行的责任义务,还移除了接收方应允许个人信息处理者对必要数据文件和文档进行查阅等方面的相关表述,在保障必要的责任义务的同时完成了合理减负。

 

值得注意的是,与《内地标准合同》相比,《大湾区标准合同》在第三条第八项中明确,接收方向同一辖区内的第三方提供个人信息时,仅需满足确有业务需要、履行告知义务、以及依法征得有效同意并符合合同附录所列约定的要求,极大提升了个人信息在大湾区内部流通的便捷性。

 

虽然《大湾区标准合同》相较《内地标准合同》移除了多项合规要求,值得注意的是,《大湾区标准合同》在第三条第七项和第八项中,明确了不得向大湾区以外的组织、个人提供根据此合同接收的个人信息(包括个人信息向境外第三方的再传输行为),将个人信息跨境流转的范围限定在了大湾区。

 

(六)强调个人信息主体权利行使保障

 

《大湾区标准合同》虽免除了个人信息处理者出境安全保障措施中的部分义务,但依据《实施指引》第四条第一项的要求,处理者在跨境提供个人信息前仍然应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意,保障了个人信息主体知情同意的权利。《大湾区标准合同》除了强调须同时基于属地法律法规要求和合同约定保护个人信息主体的相关权利外,其第四条第一项也明确了个人信息主体享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明,并可以选择向个人信息处理者或接收方提出行权请求,同时要求被请求方根据属地法律要求在合理期限内完成响应。

 

(七)基于合同相关方承诺简化备案手续

 

依据《实施指南》第八条,签署《大湾区标准合同》的个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特区政府资讯科技总监办公室进行标准合同备案,并提交如下材料:

 

(一)法定代表人身份证件影印件;

(二)承诺书(模板见附件2);

(三)标准合同。

 

与《内地标准合同》的备案要求相比,《大湾区标准合同》备案虽然免除了提交个人信息保护影响评估报告的义务,但仍要求企业根据《实施指南》自主开展个人信息保护影响评估工作并基于评估结果作出合规承诺,因此对于签订《大湾区标准合同》的个人信息处理者来说,开展个人信息保护影响评估更多的是作为加强企业自身风险管理能力的有效工具。《大湾区标准合同》对于备案程序的简化一方面为大湾区组织及个人的个人信息跨境流动提供了便利,另一方面也没有完全放松对相关组织及个人开展个人信息保护影响评估工作的要求。

 

12月14日,香港特区发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同备案指南(适用于香港特区)》及备案表格[9],适用于《大湾区标准合同》下位于香港的合同方(不论作为《大湾区标准合同》下的个人信息处理者或接收方),为香港的组织或个人在备案的实践开展方面提供了清晰的指引和参考。

 

三、《实施指引》出台的意义

 

在全球数字经济蓬勃发展和中国“数据二十条”等政策的有力支撑下,尽管《跨境流动规定(征意稿)》的正式稿尚未发布,但促进数字经济发展和加速数据要素价值释放的相关工作已经处于高速推进中。本次《实施指引》与《跨境流动规定(征意稿)》第七条的规定遥相呼应,进一步完善了数据跨境传输的体系。

 

数据作为基础生产要素,是推动科技创新和经济高质量发展的重要动力,大湾区内各城市之间经济合作开展紧密,城市间的数据跨境流动需求与日俱增。在具有标志性意义的《合作备忘录》签署后,本次发布的《实施指引》及配套的《大湾区标准合同》将为大湾区中的内地地区与香港之间的跨境数据流动带来便利。通过简化流程和降低合规成本,上述文件有力地推动大湾区内跨境贸易和服务。香港特区政府资讯科技总监办公室提出,为有序开展《大湾区标准合同》的落地工作,其将会同广东省互联网信息办公室共同推出配套的便利措施,惠及大湾区内地城市和香港的各行各业。香港地区将组织进行《大湾区标准合同》便利措施的先行先试,在首阶段邀请银行业、征信业及医疗业企业参与。

 

根据香港特区政府资讯科技总监办公室的说明,企业参与《大湾区标准合同》的签署与备案完全基于自愿原则。若大湾区企业作为个人信息处理者及接收方采用《大湾区标准合同》,须根据《实施指引》的要求及相关数据保护法律法规开展合规工作。

 

综上所述,大湾区企业在开展数据跨境流动活动的过程中应密切关注《跨境流动规定(征意稿)》的发布情况,并可以在满足《实施指引》规定的前提下考虑与区域内的相关方签署《大湾区标准合同》以增强出境活动的合规性和便利性,但同时企业也应当注意履行相关的个人信息保护合规义务以避免触碰监管红线。

 

注释:

[1] 《私隐条例》项下的“资料使用者”:就个人资料而言,指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人(具体请参见《私隐条例》第一部分)。

[2] 《私隐条例》项下的“个人资料的处理”:个人资料的修改、新增、删除或重新排列(无论是否采用自动化或其他方法)(具体请参见《私隐条例》第一部分)。

[3] 《私隐条例》项下的“使用”:包括个人资料的披露或转移(具体请参见《私隐条例》第一部分)。

[4]《私隐条例》项下的“个人资料”:指符合以下说明的任何资料(数据):(a)直接或间接与一名在世的个人有关的;(b)从该资料直接或间接地确定有关的个人身份是切实可行的;及(c)该资料的存在形式使得查阅及处理均是切实可行的(具体请参见《私隐条例》第一部分)。

[5] 《私隐条例》项下的资料当事人:就个人资料而言,指该资料隶属的个人(具体请参见《私隐条例》第一部分)。

[6] 此处“跨境”指的是跨关境:关境以内即适用《中华人民共和国海关法》及相关关税制度的区域,也即除港澳台地区以外的中华人民共和国领土;关境以外,包括中华人民共和国拥有主权的港澳台地区,和中华人民共和国行使主权的领土范围以外的国家或地区。

[7] https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html,最后访问于2023年12月18日。

[8] https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html,最后访问于2023年12月18日。

[9] https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/doc/gbascc02_fg_sc.pdf,最后访问于2023年12月18日。

 

点击文末“相关下载”,可跳转查阅附录一:标准合同涉及政策文件对比;附录二:标准合同的内容对比。

 

相关下载