大灣區內跨境流動個人信息/資料的保護措施

大灣區內跨境流動個人信息/資料的保護措施

近年來，跨境交易數量以及數碼化趨勢明顯上升，特別是粵港澳大灣區（「大灣區」）城市間的緊密融合，香港特別行政區（「香港」）與大灣區其他城市之間的信息流動變得更加頻繁。這樣的趨勢也產生了個人信息在跨境流動過程中的保護需求。

於2023年6月29日，國家互聯網信息辦公室與香港特別行政區政府創新科技及工業局（「創新科技及工業局」）簽署了《促進粵港澳大灣區數據跨境流動的合作備忘錄》(「該諒解備忘錄」)。作為該諒解備忘錄下的一項便利措施，國家互聯網信息辦公室、創新科技及工業局及香港個人資料私隱專員公署制定了《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(《大灣區標準合同》) 以促進大灣區內個人信息的流動。於 2023年12月，國家互聯網信息辦公室與創新科技及工業局預先將《大灣區標準合同》開放給銀行、徵信、醫療等產業參與作爲先期試辦，並將逐步擴大涵蓋範圍至各業務領域。

本文將簡要介紹香港和中華人民共和國(「中國」)有關個人信息跨境傳輸的現行法律，並提供《大灣區標準合同》的概述。

管轄傳輸至相關司法管轄區以外的個人資料的相關法律

香港

在香港，規管保護個人資料的主要條例是《個人資料（私隱）條例》（第 486 章）（「個人資料（私隱）條例」），其中也規定了六項保障資料原則。

就個人資料轉移到香港境外的情況而言，《個人資料（私隱）條例》第三十三條禁止將個人資料轉移到香港境外的地方，除非滿足其中一項訂明條件。然而，截至本文發表之日，《個人資料（私隱）條例》第三十三條尚未生效。儘管如此，現行有效的《個人資料（私隱）條例》要求資料使用者如欲將個人資料轉移至香港境外，須 (一) 告知資料當事人其個人資料將被轉移至香港境外的資料接收方，以及使用資料的目的[1]，以及 (二) 如該資料用於新目的，需獲得資料當事人的訂明同意。[2]若資料使用者聘用資料處理者處理轉移至香港境外的個人資料，該資料使用者必須確保資料的保存時間不會超過必要的時間[3]，並免受未經授權的存取、處理、遺失或濫用。[4]

中國

《個人信息保護法》是中國專門主要保護個人資訊的法律。根據《個人信息保護法》，個人信息處理者[5]在將個人信息傳輸出境之前必須獲得該個人的單獨同意，也應依據《個人信息保護法》第三十九條及第五十五條的規定進行個人信息保護安全評估。此外，除豁免情形外[6]，該個人信息處理者亦須符合《個人信息處理者》第三十八條規定的四個條件之一：（一）通過國家網信部門的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；或（四）合乎法律、行政法規或者國家網信部門規定的其他條件。

《大灣區標準合同》

適用範圍

《大灣區標準合同》的採用屬自願性質，適用於在大灣區內地城市（即廣東省的廣州、深圳、珠海、佛山、惠州、東莞、中山、江門、肇慶）和香港（但不包括澳門特別行政區）註冊（就組織而言）或定居（就個人而言）的個人信息處理者和接收者之間的個人信息流動。大灣區個人信息處理者和接收者可以透過簽訂《大灣區標準合同》在大灣區內地城市與香港之間進行個人信息跨境流動。

 《大灣區標準合同》内容

《大灣區標準合同》中包含八條條款。該些條款規定了個人信息處理者和接收者各自的義務和責任、信息當事人的權利以及違約責任。

根據《大灣區標準合同》，信息處理者和接收者的主要義務和責任如下：

個人信息處理者

• 根據所在司法管轄區相關法律法規的通知要求，個人信息處理者需向個人信息主體告知接收方的名稱或者姓名、聯繫方式、個人信息跨境提供的處理目的、處理方式、個人信息的種類、保存期限、個人信息向接收方的同轄區第三方，以及行使個人信息主體權利的方式和程序等事項。[7]
• 向接收方跨境提供個人信息前，應當按照屬地法律法規要求取得個人信息主體同意。[8]
• 向個人信息主體告知其與接收方通過《大灣區標準合同》約定個人信息主體為第三方受益人，如個人信息主體未在30日內明確拒絕，則可以依據《大灣區標準合同》享有第三方受益人的權利。[9]
• 對擬向接收方提供個人信息的活動開展個人信息保護影響評估。[10]
• 根據《大灣區標準合同》内的條款處理，保存以及保護個人信息。[11]

個人信息接收方

• 不得向大灣區以外的組織或個人提供據《大灣區標準合同》接收的個人信息。[12]
• 若符合下列條件，接收方可向粵港澳大灣區内地或香港同轄區內的第三方提供個人信息：[13]
• 確有業務需要；
• 在符合所在司法管轄區相關法律法規規定的通知要求的情況下，已向個人信息主體發出與上述個人信息處理者向個人信息主體發出的類似通知；
• 已取得個人信息主體及個人信息處理者的同意；及
• 按照《大灣區標準合同》附錄一所列規定向同轄區内的第三方提供個人信息。
• 如接收方所在地的政府部門、司法機構要求接收方提供《大灣區標準合同》下的個人信息，應當立即通知個人信息處理者。[14]

 採用《大灣區標準合同》的程序

個人信息處理者在簽訂《大灣區標準合同》前需進行個人信息保護影響評估，並在備案日前3個月內完成該評估。

個人信息處理者及接收者應自《大灣區標準合同》生效日起10個工作天內向廣東省互聯網信息辦公室或香港特別行政區政府資訊科技總監辦公室進行備案，並有責任確認所交資料的真實性。

結論

《大灣區標準合同》是一份供資料使用者和接收者自願簽訂的協議。香港的資料使用者可以選擇不簽訂該《大灣區標準合同》，因為根據現行《個人資料（私隱）條例》，只要獲得資料當事人的知情同意，資料使用者便可以自由地將資料轉移到香港境外。另一方面，如果在香港的資料接收方希望從大灣區內地城市的個人信息處理者接收個人信息，《大灣區標準合同》能簡化信息流動的合規安排，從而促進大灣區的跨境合作。

如果您需要與上述相關的任何幫助或建議，我們很樂意為您提供諮詢。

[1] 保障資料原則第一條

[2] 保障資料原則第三條

[3] 保障資料原則第二條第三項

[4] 保障資料原則第四條第二項

[5] 個人信息處理者與《個人資料（私隱）條例》下的資料使用者有相似的涵義。因此，本文會互換這兩個術語。

[6] 根據國家互聯網信息辦公室於2024年3月22日發佈的《促進和規範數據跨境流動規定》, 個人信息處理者可於訂明情況下免於進行安全評估、簽訂標準合同或獲得個人信息保護認證。

[7]《大灣區標準合同》第二條第二項

^[8]《大灣區標準合同》第二條第三項

[9]《大灣區標準合同》第二條第四項

[10]《大灣區標準合同》第二條第八項

[11]《大灣區標準合同》第三條第一項到第六項

[12]《大灣區標準合同》第三條第七項

[13]《大灣區標準合同》第三條第八項

[14]《大灣區標準合同》第三條第十三項