大湾区内跨境流动个人信息/资料的保护措施

大湾区内跨境流动个人信息/资料的保护措施

近年来，跨境交易数量以及数码化趋势明显上升，特别是粤港澳大湾区（「大湾区」）城市间的紧密融合，香港特别行政区（「香港」）与大湾区其他城市之间的信息流动变得更加频繁。这样的趋势也产生了个人信息在跨境流动过程中的保护需求。

于2023年6月29日，国家互联网信息办公室与香港特别行政区政府创新科技及工业局（「创新科技及工业局」）签署了《促进粤港澳大湾区数据跨境流动的合作备忘录》（「该谅解备忘录」）。作为该谅解备忘录下的一项便利措施，国家互联网信息办公室、创新科技及工业局及香港个人资料私隐专员公署制定了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》（《大湾区标准合同》）以促进大湾区内个人信息的流动。于 2023年12月，国家互联网信息办公室与创新科技及工业局预先将《大湾区标准合同》开放给银行、征信、医疗等产业参与作为先期试办，并将逐步扩大涵盖范围至各业务领域。

本文将简要介绍香港和中华人民共和国（「中国」）有关个人信息跨境传输的现行法律，并提供《大湾区标准合同》的概述。

管辖传输至相关司法管辖区以外的个人资料的相关法律

香港

在香港，规管保护个人资料的主要条例是《个人资料（私隐）条例》（第 486 章）（「个人资料（私隐）条例」），其中也规定了六项保障资料原则。

就个人资料转移到香港境外的情况而言，《个人资料（私隐）条例》第三十三条禁止将个人资料转移到香港境外的地方，除非满足其中一项订明条件。然而，截至本文发表之日，《个人资料（私隐）条例》第三十三条尚未生效。尽管如此，现行有效的《个人资料（私隐）条例》要求数据用户如欲将个人资料转移至香港境外，须 (一) 告知资料当事人其个人资料将被转移至香港境外的数据接收方，以及使用数据的目的[1]，以及 (二) 如该数据用于新目的，需获得数据当事人的订明同意。[2]若数据用户聘用数据处理者处理转移至香港境外的个人资料，该数据用户必须确保数据的保存时间不会超过必要的时间[3]，并免受未经授权的存取、处理、遗失或滥用。[4]

中国

《个人信息保护法》是中国专门主要保护个人信息的法律。根据《个人信息保护法》，个人信息处理者[5]在将个人信息传输出境之前必须获得该个人的单独同意，也应依据《个人信息保护法》第三十九条及第五十五条的规定进行个人信息保护安全评估。此外，除豁免情形外[6]，该个人信息处理者亦须符合《个人信息处理者》第三十八条规定的四个条件之一：（一）通过国家网信部门的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；或（四）合乎法律、行政法规或者国家网信部门规定的其他条件。

《大湾区标准合同》

适用范围

《大湾区标准合同》的采用属自愿性质，适用于在大湾区内地城市（即广东省的广州、深圳、珠海、佛山、惠州、东莞、中山、江门、肇庆）和香港（但不包括澳门特别行政区）注册（就组织而言）或定居（就个人而言）的个人信息处理者和接收者之间的个人信息流动。大湾区个人信息处理者和接收者可以透过签订《大湾区标准合同》在大湾区内地城市与香港之间进行个人信息跨境流动。

《大湾区标准合同》内容

《大湾区标准合同》中包含八条条款。该些条款规定了个人信息处理者和接收者各自的义务和责任、信息当事人的权利以及违约责任。

根据《大湾区标准合同》，信息处理者和接收者的主要义务和责任如下：

个人信息处理者

• 根据所在司法管辖区相关法律法规的通知要求，个人信息处理者需向个人信息主体告知接收方的名称或者姓名、联系方式、个人信息跨境提供的处理目的、处理方式、个人信息的种类、保存期限、个人信息向接收方的同辖区第三方，以及行使个人信息主体权利的方式和程序等事项。[7]
• 向接收方跨境提供个人信息前，应当按照属地法律法规要求取得个人信息主体同意。[8]
• 向个人信息主体告知其与接收方通过《大湾区标准合同》约定个人信息主体为第三方受益人，如个人信息主体未在30日内明确拒绝，则可以依据《大湾区标准合同》享有第三方受益人的权利。[9]
• 对拟向接收方提供个人信息的活动开展个人信息保护影响评估。[10]
• 根据《大湾区标准合同》内的条款处理，保存以及保护个人信息。[11]

个人信息接收方

• 不得向大湾区以外的组织或个人提供据《大湾区标准合同》接收的个人信息。[12]
• 若符合下列条件，接收方可向粤港澳大湾区内地或香港同辖区内的第三方提供个人信息：[13]
• 确有业务需要；
• 在符合所在司法管辖区相关法律法规规定的通知要求的情况下，已向个人信息主体发出与上述个人信息处理者向个人信息主体发出的类似通知；
• 已取得个人信息主体及个人信息处理者的同意；及
• 按照《大湾区标准合同》附录一所列规定向同辖区内的第三方提供个人信息。
• 如接收方所在地的政府部门、司法机构要求接收方提供《大湾区标准合同》下的个人信息，应当立即通知个人信息处理者。[14]

 采用《大湾区标准合同》的程序

个人信息处理者在签订《大湾区标准合同》前需进行个人信息保护影响评估，并在备案日前3个月内完成该评估。

个人信息处理者及接收者应自《大湾区标准合同》生效日起10个工作天内向广东省互联网信息办公室或香港特别行政区政府资讯科技总监办公室进行备案，并有责任确认所交数据的真实性。

结论

《大湾区标准合同》是一份供数据用户和接收者自愿签订的协议。香港的资料用户可以选择不签订该《大湾区标准合同》，因为根据现行《个人资料（私隐）条例》，只要获得资料当事人的知情同意，资料用户便可以自由地将数据转移到香港境外。另一方面，如果在香港的数据接收方希望从大湾区内地城市的个人信息处理者接收个人信息，《大湾区标准合同》能简化信息流动的合规安排，从而促进大湾区的跨境合作。

如果您需要与上述相关的任何帮助或建议，我们很乐意为您提供咨询。

[1] 保障资料原则第一条

[2] 保障资料原则第三条

[3] 保障资料原则第二条第三项

[4] 保障资料原则第四条第二项

[5] 个人信息处理者与《个人资料（私隐）条例》下的数据用户有相似的涵义。因此，本文会互换这两个术语。

[6] 根据国家互联网信息办公室于2024年3月22日发布的《促进和规范数据跨境流动规定》, 个人信息处理者可于订明情况下免于进行安全评估、签订标准合同或获得个人信息保护认证。

[7]《大湾区标准合同》第二条第二项

^[8]《大湾区标准合同》第二条第三项

[9]《大湾区标准合同》第二条第四项

[10]《大湾区标准合同》第二条第八项

[11]《大湾区标准合同》第三条第一项到第六项

[12]《大湾区标准合同》第三条第七项

[13]《大湾区标准合同》第三条第八项

[14]《大湾区标准合同》第三条第十三项