个人信息保护法律热点问题：内地与澳门个人信息出境标准合同简评

2024年9月10日，国家互联网信息办公室（下称“国家网信办”）发布与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定的《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》（下称“《实施指引》”）并以附件形式提供了《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同》（下称“《澳门标准合同》”）及《承诺书》模板。

本文将简要说明《实施指引》和《澳门标准合同》的发布背景、主要内容、与内地标准合同的比较以及我们的观察。

一、 发布背景

在《实施指引》发布前一日，国家网信办就与澳门经济财政司签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，旨在推动内地与澳门数据跨境安全有序流动。而早在去年6月，国家网信办与香港创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，提出建立粤港澳大湾区数据跨境流动安全规则，并于同年12月公布香港版实施指引。本次《实施指引》颁布，是继香港版实施指引后推动大湾区数据流动的又一便利措施，与香港版实施指引共同构建了粤港澳大湾区个人信息跨境流动的基本框架。

二、主要内容

《实施指引》及《澳门标准合同》在内容上与去年年末内地与香港共同制定的相关规定基本一致，仅根据澳门相关法律规定对部分细节进行了微调。

在适用主体方面，《实施指引》适用的主体仍为注册于或位于粤港澳大湾区内地九个城市（即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市及肇庆市，下称“内地九市”）与澳门特别行政区的个人信息处理者与接收方之间的个人信息跨境流动。

在适用范围方面，《实施指引》排除了对被相关部门、地区告知或者公开发布为重要数据的个人信息的适用。并且，根据《实施指引》第二条及第四条，其仅适用于通过订立标准合同的方式在内地九市与澳门之间进行个人信息跨境流动，相关个人信息不得向粤港澳大湾区以外的组织、个人提供。这一规定旨在防止内地企业利用该规定将澳门作为中转站，将个人信息先传输至澳门、再从澳门传输至境外，从而规避内地个人信息跨境安全管理制度。同时，企业如属于符合《实施指引》进行个人信息跨境传输的企业，且个人信息仅在内地九市与澳门之间传输，则仅需在《实施指引》提供的数据跨境传输路径与内地《促进和规范数据跨境流动规定》、《个人信息出境标准合同办法》等有关规定明确的数据跨境传输路径中择其一即可，也就是说，如企业根据《实施指引》订立《澳门标准合同》并备案，则可免除根据内地数据跨境传输路径履行安全评估、标准合同、认证的义务。

《实施指引》对于个人信息处理者及接收方的主要义务规定如下：

个人信息处理者的义务：（1）按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意；（2）开展个人信息保护影响评估；（3）在特定情况（如跨境提供个人信息的目的、范围、种类、方式发生变化等）下，应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并按照个人信息处理者属地法律法规要求履行备案手续和法定通知义务。

个人信息处理者和/或接收方的义务：（1）个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案；（2）个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的，应立即采取补救措施并按照属地规定通知相关监管实体。

《澳门标准合同》第二条与第三条则进一步细致具体地对个人信息处理者及接收方的义务和责任作出了规定，如个人信息处理者向接收方提供的个人信息仅限于实现处理目的所需的最小范围、个人信息处理者应答复属地监管机构关于接收方的个人信息处理活动的询问、接收方应采取对个人权益影响最小的方式处理个人信息、接收方应采取特定的技术和管理措施并定期进行检查以确保个人信息安全、对开展的个人信息处理活动进行客观记录并保存记录至少3年等等。

三、与内地标准合同的对比

国家网信办于今年3月颁布了《促进和规范数据跨境流动规定》，与此前的《个人信息保护法》、《个人信息出境标准合同办法》等法律法规共同构成了当前内地个人信息跨境安全管理框架。与香港版实施指引类似，《实施指引》为粤澳企业提供了一条可选择的更为便利的数据跨境传输路径，简化了备案要求、减轻了企业负担。其与内地相关规定的主要区别如下：

• 免除了内地个人信息跨境安全管理框架下就有关个人信息处理者跨境转移个人信息的数量限制；

• 简化进行标准合同备案时所需的材料，只需要提供标准合同、承诺书及属地监管机构要求的其他材料；

• 简化个人信息保护影响评估中应当包含的评估内容，且备案时无须提交评估报告；

• 标准合同订立、备案、解除等情况时，无需考虑境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行的影响；

• 未对敏感个人信息处理作出规定，也未要求特别披露敏感个人信息处理的相关内容；

• 简化向大湾区内第三方提供个人信息的条件。

四、我们的观察

2024年国务院政府工作报告中明确，我国将加大吸引外资力度，其中一个重要举措便是“解决数据跨境流动问题”。粤港澳大湾区涵盖了内地、香港和澳门三个不同的司法辖区，在联通国际数据流动的方面具有重大的意义。早在去年8月，国务院发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》，其中就提到建议探索便利化的数据跨境流动安全管理机制，支持在大湾区等地试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务。目前，内地已正式与香港、澳门分别订立了数据跨境流动合作备忘录，并共同制定和发布相关标准合同实施指引和模板。此外，去年11月，全国信息安全标准化技术委员会还发布了《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求（征求意见稿）》，明确相关个人信息处理者可以依据《备忘录》以认证方式开展个人信息跨境处理活动。这些举措都是以粤港澳大湾区作为先行试点，探索个人信息跨境传输共享的便利机制。

虽然大湾区标准合同机制属自愿性质，但目前实践中已有部分企业选择了该机制。根据广东省委网信办官员在2024国家网络安全宣传周论坛上的介绍，截止今年8月，广东省网信办已完成21个粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案¹，已备案的标准合同涵盖医疗、金融等场景²。

《实施指引》和《澳门标准合同》出台后，大湾区企业现可选择多种合规路径实现数据跨境传输。其中，采用大湾区标准合同能一定程度简化合规流程，减轻企业合规负担，促进数据安全、顺畅、高效地跨境流动。同时，粤港澳大湾区作为跨境数据流动的试验田，正探索一条既顺应数字经济发展又确保国家数据安全的创新路径。通过在大湾区的先行实践，可以积累宝贵经验，为全国范围内的数据跨境流动政策提供参考借鉴，推动形成更加成熟、稳定、可持续、且适用于全国范围企业的跨境数据流通安全管理制度。

[1] 参见https://www.21jingji.com/article/20240911/herald/568a9b7c0f34b4622ba0561fded818bd.html。

[2] 参见https://www.cnbayarea.org.cn/homepage/news/content/post_1233230.html。