2023.12.18 董潇 郭超 沈佳旖
关注要点
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“《实施指引》”)适用于所有注册或位于粤港澳大湾区内地部分和香港特别行政区的个人信息处理者与接收方。
《实施指引》简化了个人信息保护影响评估的内容、免除了向监管机构提交个人信息影响评估报告的义务、简化在粤港之间个人信息再传输的要求。
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(下称“《大湾区标准合同》”)与内地《个人信息出境标准合同》总体内容类似,但对部分条款进行了删减与改动,一定程度上简化了企业的合规义务。
阅读全文
2023年12月13日,国家互联网信息办公室(下称“国家网信办”)与香港特区政府创新科技及工业局共同发布《实施指引》,并以附件形式提供了《大湾区标准合同》及《承诺书》模板。
本文拟就《实施指引》出台的背景与意义、适用范围、合规要点、与现有制度的区别进行简要分析。
一、背景与意义
随着粤港澳大湾区的建设和发展,数据和信息流动成为推动湾区高质量发展的重要因素之一。粤港澳大湾区因涵盖了内地、香港和澳门三个不同的司法辖区而具备联通国际数据流动的发展潜力。
今年6月,国家网信办与香港特别行政区政府创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(下称“《备忘录》”),提出在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则。
今年11月,全国信息安全标准化技术委员会发布了《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求》(征求意见稿),提出了粤港澳大湾区跨境处理个人信息的基本原则与要求,并明确相关个人信息处理者可以依据《备忘录》以认证方式开展个人信息跨境处理活动,但尚待最终发布。
与此同时,随着数据出境安全评估、个人信息出境标准合同等数据出境制度逐步正式落地,监管部门也在实践中不断完善规则、并推动试点创新。
《实施指引》显示出落实《备忘录》中关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,以促进内地与香港之间的个人信息跨境安全有序流动,建立规则统一、开放有序、安全可控的大湾区数据跨境流动环境。虽然这项便利措施为自愿参与性质,对企业并无强制约束力,但为粤港地区的企业提供了一条更为便利的数据跨境路径,以推动后续数据跨境的进一步便利化。
二、适用范围
根据《实施指引》第二条,《实施指引》适用的主体为注册于或位于粤港澳大湾区内地九个城市(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市及肇庆市,下称“内地九市”)或香港特别行政区(下称“香港”)的个人信息处理者与接收方之间的个人信息跨境流动,即包括由内地九市至香港的个人信息跨境流动,及由香港至内地九市的个人资料跨境流动。
同时,《实施指引》也从数据类型的角度对适用范围加以限制,排除了被相关部门、地区告知或者公开发布为重要数据的个人信息。我们理解,这一部分构成重要数据的个人信息跨境提供将另行适用重要数据出境规则,而不能仅适用《实施指引》项下的标准合同要求。
新规在为内地九市企业数据出境减负的同时,对于香港企业而言也具有一定的吸引力,尤其是对母公司位于香港,子公司位于内地的集团该公司而言,在子公司出于集团统一管理目的传输数据至母公司处时,可一定程度降低合规成本,便利集团内部数据自由流通。此外,虽然香港目前暂无强制性的个人信息出境具体要求,但从个人信息安全角度来看,签订此种政府备案的标准合同能够保障对个人信息的保护,在合同明确双方的责任义务亦有助于保护企业本身。私隐公署亦鼓励香港企业采用《大湾区标准合同》作出相关个人信息跨境转移。1
三、合规亮点
《实施指引》很大程度上延续了《中华人民共和国个人信息保护法》(下称“《个保法》”)、《个人信息出境标准合同办法》(下称“《标准合同办法》”)等个人信息保护相关法律法规的要求,对内地九市与香港的个人信息处理者和接收方的责任与义务作出了规定。同时,《实施指引》与《大湾区标准合同》也出于大湾区发展的目的并考虑大湾区个人信息保护特殊情况增加或删去了部分规定。下文将结合相关规定的变化简析该指引的主要合规亮点。
1. 不得向粤港澳大湾区以外的组织、个人提供个人信息
《实施指引》明确,如按照该指引订立标准合同跨境提供个人信息,不得再向粤港澳大湾区以外的组织、个人提供个人信息。这一规定确保了个人信息仅在大湾区范围内进行跨境传输,防止内地九市企业利用《大湾区标准合同》将个人信息先传输至香港、再从香港传输至境外,从而规避《个保法》等内地法律规范中对于个人信息出境的有关规定,有助于在确保大湾区个人信息自由流动的同时,保障个人信息安全。
然而,后续还需进一步明确的是,如某一内地九市的企业将个人信息传输至香港的企业,而香港企业使用位于境外的系统服务器、或存在境外远程访问的情况,此种情形是否符合该条要求。
2.《大湾区标准合同》不可修改
根据《实施指引》,个人信息转移双方订立的合同必须严格按照《实施指引》内的《大湾区标准合同》订立,不得随意修改。如个人信息转移双方就具体商业活动安排有其他考虑,双方可就商业行为另定商业合同,但该合同约定的内容不得与《大湾区标准合同》的内容相冲突。
3. 个人信息保护影响评估义务减轻
与《个保法》中规定相同,《实施指引》要求个人信息处理者通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估并应在规定的情形下重新开展评估、补充或重新订立标准合同,履行相应备案手续。
不过,相较于《个人信息出境标准合同》(下称“内地标准合同”),《大湾区标准合同》对个人信息保护影响评估的评估内容进行了简化,删除了对于如下内容的评估要求:(1)出境个人信息的规模、范围、种类、敏感程度;(2)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(3)评估当地个人信息保护政策和法规对合同履行的影响;(4)其他可能影响个人信息出境安全的事项。
此外,《实施指引》第八条规定了个人信息处理者及接收方按照属地进行标准合同备案时需要提交的材料,即法定代表人身份证件影印件、承诺书与标准合同。也就是说,进行备案时并不需要提交个人信息影响评估报告,相关报告只需个人信息处理者自行留档即可。
4. 备案义务调整
《实施指引》明确了有关主体的备案义务,要求个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地进行标准合同备案。相较于《标准合同办法》中仅要求出境方向所在地省级网信部门备案,《实施指引》还要求个人信息接收方在属地网信办(针对内地接收方)或香港政府咨询科技总监办公室(针对香港接收方)进行备案。
5. 监管机关的监督管理
《实施指引》对个人信息处理者及接收方接受属地监管机构监督管理的义务区分不同主体类型作出了规定。这些义务包括但不限于:对个人信息处理者而言,应当答复监管机构的询问及对合同的义务和责任的履行承担举证责任、应在解除标准合同时通知监管机构;对接收方而言,应接受监管机构的监督管理,包括服从监管机构作出的决定以及提供已采取必要行动的证明等。
四、与现有规定及内地标准合同的区别
《实施指引》及《大湾区标准合同》的主要内容与《标准合同办法》及内地标准合同基本一致,但在合同义务上仍然存在部分差异。除了在上文中论及的区别之外,主要有如下几项:
1. 未要求特别披露敏感个人信息处理的相关内容
《大湾区标准合同》未包括关于敏感个人信息处理的相关内容,也不要求在标准合同附录中特别披露跨境个人信息中的敏感个人信息种类。
2. 简化向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息的条件
《大湾区标准合同》允许接收方在确有业务需要、履行了有关告知义务并征得有关个人同意,以符合标准合同附录的约定的处理目的和处理方式向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息。同时,《大湾区标准合同》也简化了对向第三方提供个人信息的要求。
3. 未加入境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行的影响
考虑到接收地仅包括香港,《大湾区标准合同》未纳入内地标准合同中“境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行的影响”。同时在个人信息保护影响评估、签订标准合同和备案、合同解除等相关情形下不再需要考量关于境外接收方所在地法律环境相关内容。
4. 对可选择的仲裁机构作出限制
《大湾区标准合同》第九条限定了通过仲裁解决争议时可以选择的仲裁机构。如《大湾区标准合同》双方选择仲裁方式解决争议,只能将争议提交特定的五家仲裁机构,不再向标准合同双方提供选择其他仲裁机构的自主选项。
五、我们的建议
《实施指引》的出台为粤港企业之间的数据流动提供了一条可选择的便利途径,也是粤港澳大湾区数据流动便利化向前推进的重要落地举措。符合《大湾区标准合同》适用范围的企业可以考虑评估、运用该条便利途径在合规的前提下实现大湾区内的数据流动。
1. 香港个人资料私隐专员公署(私隐公署)发布「跨境资料转移指引:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》」,参见https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html#Contact_us。