2023年12月13日,国家互联网信息办公室(“网信办”)与香港创新科技及工业局共同发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(“《实施指引》”)。《实施指引》中提供了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(“《大湾区标准合同》”),可作为内地与香港之间的个人信息跨境流动路径的重要参考,并对《大湾区标准合同》的订立条件和备案要求进行了具体的说明。
与网信办于今年年初出台的《个人信息出境标准合同办法》(“《办法》”)相比,《大湾区标准合同》对于个人信息跨境传输的合规标准更加宽松,并且也对香港的个人信息在大湾区内地城市传输提出了规范性要求。对于香港银行而言,《实施指引》的出台无疑减少了合规成本,为香港银行在粤港澳大湾区范围内开展数据跨境流动提供了便利。
2023年6月30日,网信办与香港创科和工业局共同签署了《促进粤港澳大湾区数据跨境流动的合作备忘录》(“备忘录”),《实施指引》是在备忘录框架下出台的第一份文件。而备忘录出台的目的,正是促进数据在大湾区内跨境安全流动。在此之前,进行跨境数据流动,首先面对的是司法管辖的问题,根据《个人信息保护法》第三条的规定,我国对于个人信息保护的管辖同时采取了属地和属人原则,在中国境内的处理自然人个人信息的活动和在中国境外处理中国境内自然人个人信息的活动都可能被管辖,这和香港《个人资料(私隐)条例》中对于个人信息的管辖方式相似[1],因此可能存在重复管辖的问题,不利于数据的流通。
《个人信息出境标准合同》(“《标准合同》”)就境内企业的数据出境提供了一条方便的途径,但《标准合同》存在很大的局限性,企业需要承担的合规风险也相对较大。《办法》就个人信息处理者能向境外提供的信息进行了限制,提供信息的数量和种类均要满足《办法》的要求。因此,《标准合同》可能仅仅适合规模较小或者个人信息处理量较少的企业。
《办法》第5条规定,个人信息处理者向境外提供个人信息前,需要开展个人信息保护影响评估,开展个人信息保护影响评估需要参考《信息安全技术 个人信息安全规范》以及《信息安全技术 个人信息安全影响评估指南》这两项国家标准。在《标准合同》中,需要进行个人信息保护影响评估总共有六类事项。境内企业需要就出境个人信息安全、境外接收方能力、境外法律政策等方面进行研究和风险评估,这将带来不小的合规成本负担。
由于个人信息流动的可能存在的管辖冲突、《标准合同》在信息种类、信息数量、事前评估等方面的局限,粤港澳大湾区内部的数据流动存在规范意义上的限制。而《实施指引》的出台针对上述问题进行了调整,减少了对数据流动的限制。
《实施指引》规定,《大湾区标准合同》仅适用于粤港澳大湾区内地部分和香港之间的信息传输,个人信息处理者明确不得向粤港澳大湾区以外的组织、个人提供个人信息。根据《大湾区标准合同》第三条第七款和第八款的规定,个人信息接收者不能将个人信息提供给粤港澳大湾区以外的第三方,但能将个人信息转委托于同辖区中的第三方处理。第三方需要按照《大湾区标准合同(附录一)》中的约定处理个人信息,即需要提供处理目的、处理方式、个人信息种类的说明,并同样不能将个人信息提供于粤港澳大湾区同辖区之外的另一方。
《大湾区标准合同》仅适用于大湾区内的跨境信息流通,并将跨境后的个人信息严格限制在大湾区内。因此,《大湾区标准合同》并不能实现以香港作为媒介,将个人信息跨境传输到另一国家的目的。
《实施指引》第九条规定,个人信息处理者及接收方接受属地监管机构的监督管理。根据《大湾区标准合同》第四条第一款,个人信息主体依据个人信息处理者属地相关法律法规和本合同规定享有对个人信息的知情权和决定权。根据《大湾区标准合同》第四条第四款,接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向个人信息处理者或者接收方属地相关监管机构提出投诉和寻求司法救济的途径。从个人信息主体的视角,以上可以总结为法律适用属人、法律救济属地的原则。即对于个人信息主体而言,确认是否存在个人信息使用违规,需要参照主体所在地的法律;而进行投诉,申请司法救济,需要由处理者或者接收方的属地决定。
相对于《标准合同》对个人信息种类和数量的限制,《大湾区标准合同》对可以跨境的个人信息的种类和数量几乎不做限定。根据《数据出境安全评估办法》第四条规定,当处理个人信息达到规定数量或向境外提供关键数据时,必须通过网信部门申报数据出境安全评估。《标准合同》对个人信息和种类的限制即照此制定。但根据《个人信息保护法》第四十条规定,法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。按照上位法优于下位法原则,同时考虑到有关机构出具《大湾区标准合同》是促进数据跨境安全流动的目的,可以认为《大湾区标准合同》不必受到《数据出境安全评估办法》的限制。
在《个人信息保护法》中,敏感个人信息是需要重点保护的信息,包括生物识别、宗教信仰、特定身份、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。对于这部分敏感的个人信息,处理它们需要得到个人的单独同意。在《数据出境安全评估办法》和《标准合同》中,针对敏感信息的跨境有严格的数量限制。除此之外,《标准合同》有针对敏感信息的专门规定。其中包括,1. 就敏感信息向个人信息主体履行告知义务;2. 进行个人信息保护影响评估时需要考虑信息的敏感程度;3. 对第三方提供敏感信息时,应该向个人主体告知;4. 需要基于个人同意处理信息的,涉及不满十四周岁未成年人个人信息的,需要得到未成年人或者其他监护人的单独同意。但就《大湾区标准合同》而言,一方面不存在对敏感信息的数量限制;另一方面,没有针对敏感信息的特别规定。对于需要跨境传输敏感信息的企业而言,这将是是重大的利好。
相对于《标准合同》,《大湾区标准合同》大幅减少了需要进行个人信息保护影响评估的内容。总体内容只有三部分:个人信息处理目的和合法性、正当性、必要性基础;个人权益影响及风险;接收方承诺承担的义务和保障信息安全的能力。相关企业不再需要进行以下的评估:1. 个人信息出境后受到泄露、迫害、非法利用等的风险、维护权益渠道是否通畅等。2. 境外当地个人信息保护政策和法规对合同履行的影响。个人信息保护影响评估内容的调整,减少了企业进行个人信息保护影响评估的成本,企业不再需要评估境外法律个人保护法律政策;同时也减少了企业可能因个人信息保护影响评估承担的合规风险。
《实施指引》中第二条规定,被相关部门、地区告知或者公开发布为重要数据的个人信息除外。其中“重要数据”是从数据安全的角度出发的,根据《数据安全法》规定,重要数据需要列入“重要数据目录”之中。而个人信息一般不属于重要数据,金融账户等信息亦不在此限制之中。对于金融企业而言,其需要传输的信息往往数量巨大,同时金融账户等信息属于 “敏感信息”。在《标准合同》的框架下,金融企业无法就大量金融账户信息进行跨境传输,而在《大湾区标准合同》中,这类信息大量传输成为了可能。跨境银行之间的数据互通将更为便捷,香港银行和内地银行之间的合作将更为简单。目前,在港的中资机构和在内地的港资机构都有很多,在金融领域体现尤为明显。有些银行在内地和香港各自设立了总部,然而两个总部背后虽然是同一股东,但它们在不同系统里注册,在运营方面并不互通。通过《大湾区标准合同》,两地合作银行之间共享信息的成本将大大减少。
《大湾区标准合同》中个人信息保护影响评估标准和成本的降低减少了企业的合规成本。《标准合同》对敏感信息的特殊对待在《大湾区标准合同》完全没有体现;另一方面,《大湾区标准合同》中,企业进行个人信息保护影响评估的内容和《个人信息保护法》五十六条完全对应。考虑到《实施指引》促进跨境数据流动的目的,可以理解为,对符合《大湾区标准合同》的企业,其无需为跨境数据流动中的个人信息保护影响评估承担额外的合规成本。对于香港银行而言,这部分合规成本的降低也将帮助跨境业务的实施。
《大湾区标准合同》的目的是为大湾区内地企业和香港企业之间的跨境数据传输扫除制度障碍,以实现跨境数据流动的效果。从合同文本和《实施指引》能够看出,网信办和香港创新科技及工业局正在努力消除大湾区内个人信息传输的“跨境”属性,以促进粤港澳大湾区一体化的计划。对于大湾区内的相关企业尤其是开展跨境金融业务的银行和金融机构而言,该文件将可能带来重大的利好消息,合规成本有望因此大幅降低。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
— 往期推荐 —
大成能为您做什么?
联系我们 +