实务指引
随着我们的日常生活在多个方面迅速数码化,及贯通全球的营运模式激增,显而易见跨境资料转移正以倍速增长。2021年11月内地实施的《个人信息保护法》亦带来一套全新的监管制度,适用于从内地跨境转移个人资料至全球各地。就涉及香港资料使用者的跨境资料转移而言,我认为即使个人资料被转移至香港境外,最重要的是持份者仍须肩负起保障资料当事人个人资料私隐的责任。
有鉴于此,香港个人资料私隐专员公署在2022年5月12日发出《跨境资料转移指引 : 建议合约条文范本》(「《指引》」)。《指引》就建议合约条文范本(「建议条文范本」)的实际效果提供详细说明,并阐述如何借采纳建议条文范本以提供《个人资料(私隐)条例》(第486章)(「《私隐条例》」)下的足够保障予个人资料,尤如相关个人资料没有被转移至香港境外。《指引》亦建议资料使用者,尤其中小企业,采取最佳行事方式作为其资料管治责任的一部份,以保障及尊重资料当事人的个人资料私隐。
当中,《指引》介绍两套可被纳入资料转移者与资料接收者之间的一般性商业协议的建议条文范本,该些商业协议可能亦涵盖其他商业上的考虑。
法律规定
基本上,无论资料在哪地方,资料应一直受保障。《私隐条例》的保障资料第3原则旨在针对不当使用个人资料的情况。该原则订明,除非获得资料当事人明确及自愿的同意,否则个人资料不得用于新目的。因此,如为新目的而把个人资料转移至香港以外的地方,除非有关转移是属于《私隐条例》第8部下的豁免范畴,否则保障资料第3原则规定需要就有关转移获得资料当事人的订明同意。
此外,如资料使用者聘用资料处理者在香港境外代为处理个人资料,该资料使用者须采取合约规范方法或其他方法以保障个人资料,其中包括(i)防止转移予该资料处理者的个人资料被保存超过处理该资料所需的时间(保障资料第2(3)原则),及(ii)防止该等资料受未获准许或意外的查阅、处理、删除、丧失或使用所影响(保障资料第4(2)原则)。根据《私隐条例》第65条,资料使用者仍须就其授权的代理所作出的行为负上法律责任。
资料使用者在转移资料到香港境外的同时亦需要确保符合《私隐条例》的规定,因此资料使用者宜在跨境资料转移协议中引入建议条文范本。采用建议条文范本有助显示资料使用者已采取所有合理的预防措施及作出所有应作出的努力,以确保有关资料不会在获转移资料一方所属的司法管辖区,假设该些活动在香港发生,以违反《私隐条例》规定的方式收集、持有、处理或使用。当有怀疑或声称违反《私隐条例》要求(包括保障资料原则)的情况出现时,该等因素将会全被纳入考虑当中。
建议条文范本
两套建议条文范本列举立约各方在保障个人资料私隐方面的一般责任,分别供两种不同的跨境资料转移的情况应用,即(i)由一名资料使用者转移予另一名资料使用者;及(ii)由资料使用者转移予资料处理者。它们适用于由一香港机构转移个人资料至另一境外机构;或由一香港资料使用者所控制两个均属香港境外机构之间的个人资料转移,借以让跨境资料转移的各方能考虑《私隐条例》的相关规管要求,包括附表1的保障资料原则。
在跨境转移个人资料至香港境外的情况下,资料使用者应采取所有合理的预防措施及作出所有应作出的努力,以确保被转移的个人资料,不会在受转移的地方,假设该些活动在香港发生,以违反《私隐条例》规定的方式处理。举例来说,建议条文范本要求资料接收者:
良好的数据道德标准
最后,《指引》主张资料使用者应恪守良好的数据道德标准,简单而言,就是指做资料当事人合理地期望的事以及资料处理工作需具透明度。资料处理工作欠缺透明度可以令资料使用者与资料当事人之间产生不信任。采纳建议条文范本及坚守透明和问责的原则,不但有助资料使用者获得数据的最大价值,亦可以取得资料当事人的持续信任。
《指引》备有印刷版和网上版(https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_model_contractual_clauses.pdf)。