随着粤港澳大湾区(大湾区)内各城市之间的联系日渐增加,为巩固香港作为国际经济龙头的独特地位、促进香港发展为数据枢纽,国家互联网信息办公室(国家网信办)与香港特别行政区政府创新科技及工业局(创科及工业局)于2023年6月29日签署《促进粤港澳大湾区数据跨境流动的合作备忘录》(《合作备忘录》),共同推动大湾区数据跨境流动的工作。
无可置疑,数据自由流通是香港以至大湾区的长远发展和成功的基石,国家网信办、创科及工业局和个人资料私隐专员公署(私隐专员公署)共同制订《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(《大湾区标准合同》) ,并于2023年12月13日发布,作为《合作备忘录》下促进大湾区个人信息跨境流动的便利措施。
适用范围
《大湾区标准合同》适用于大湾区九个内地城市(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市及肇庆市)和香港之间的个人信息跨境转移。换言之,在大湾区内注册(适用于机构)或位于(适用于个人)大湾区的个人信息处理者和接收方,透过按照各自属地相关法律法规(特别是内地的《个人信息保护法》及香港的《个人资料(私隐)条例》(香港法律第486章)(《私隐条例》))的规定采用《大湾区标准合同》,便可以在大湾区九个内地城市(内地城市)和香港之间进行个人信息跨境转移。
笔者建议香港机构和执业者仔细阅读私隐专员公署发布的「跨境资料转移指引:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》」,以进一步了解《大湾区标准合同》的具体要求。
《个人资料(私隐)条例》(第486章)的要求
香港的资料使用者若想依据《大湾区标准合同》将个人资料从香港转移至内地城市,需留意现有法律规管,包括《私隐条例》下的六项保障资料原则。
值得注意的是,如资料使用者欲将资料跨境转移至香港以外的地方,应妥善告知资料当事人,其个人资料将被转移至境外的资料接收方,并说明该资料将会用于什么目的(保障资料第1原则)。资料使用者亦须评估依据《大湾区标准合同》将个人资料转移至香港以外的地方,会否构成「新目的」。如有关转移会构成「新目的」,资料使用者需获得资料当事人的订明同意(保障资料第3原则)。此外,若资料使用者聘用资料处理者在香港境外代为处理个人资料,该资料使用者须采取合约规范方法或其他方法,以防止转移予该资料处理者的个人资料被保存超过处理该资料所需的时间 (保障资料第2(3)原则),及防止该等资料受未获准许的或意外的查阅、处理、删除、丧失或使用 (保障资料第4(2)原则)。
紧遵香港保障个人资料的法制
采用《大湾区标准合同》作出个人资料跨境转移有助显示资料使用者已采取合理的预防措施及作出应作出的努力,以确保有关资料不会在内地以任何违反《私隐条例》的方式(假如该些活动在香港发生)被收集、持有、处理或使用。公署因而鼓励资料使用者采用《大湾区标准合同》,以跨境转移个人资料到粤港澳大湾区的内地城市。资料使用者亦应留意,《大湾区标准合同》为一便利措施,并无阻《私隐条例》的执行,亦不影响私隐专员公署保障个人资料私隐及监察《私隐条例》符规情况的工作。
《大湾区标准合同》
《大湾区标准合同》包含八个部分,当中规定个人信息处理者(包括资料使用者)和资料接收方的义务和责任。
就《大湾区标准合同》的实施,资料使用者及接收方亦应留意国家网信办及创科及工业局于2023年12月13日发布的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(《大湾区标准合同实施指引》)。
主要定义
根据《大湾区标准合同》的规定,「个人信息处理者」一词,就内地而言,是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人;就香港特别行政区而言,亦涵盖「资料使用者」,即就个人资料而言,指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人。「个人信息处理者」是跨境转移个人信息的一方。
同样地,「个人信息主体」一词,就内地而言,是指个人信息所识别或者关联的自然人;就香港特别行政区而言,亦涵盖「资料当事人」,即就个人资料 而言,指属该资料的当事人的个人。
至于「个人信息」的定义,内地城市的个人信息处理者应依从《个人信息保护法》的定义作出诠释;而香港的资料使用者则应依从《私隐条例》的定义。
简而言之,《大湾区标准合同》的条文旨在确保个人信息处理者和接收方可各自依从属地所适用的法律法规执行合同的规定。
放宽部分要求
作为促进大湾区内个人信息跨境流动的便利措施,《大湾区标准合同》放宽了部分在内地的《个人信息出境标准合同办法》[1]中订立的要求,例如: