内地《个人信息保护法》自2021年11月1日起实施,是内地首部针对个人信息保护而订立的法律。《个人信息保护法》对个人信息从内地转移至其他司法管辖区作出规管。本文旨在为香港企业重点介绍当中的规定及主要要求。
《个人信息保护法》反映了保护个人信息方面最新的国际标准,亦标志着内地在个人信息保护领域踏进新里程。当中值得注意的规定之一是关于个人信息跨境转移的规管。香港企业,尤其是于内地开展个人信息处理活动的企业,都需要了解并且遵循这些规定。
《个人信息保护法》下跨境资料转移的先决条件
首先,个人信息处理者如欲向境外提供个人信息,须分别按《个人信息保护法》第三十九条及第五十五条的规定,取得相关资料当事人的单独同意,以及进行个人信息保护影响评估。处理者亦须具备《个人信息保护法》第三十八条所指明的其中一项条件: (i) 通过国家网信部门的安全评估; (ii) 经专业机构进行个人信息保护认证; (iii) 按照国家网信部门制定的标准合同与境外接收方订立合同;或 (iv) 内地法规规定的其他条件。
相关部门官员过往的发言曾提到「单独同意」是指就个别资料处理活动取得的特定同意。换言之就多项资料处理活动取得的捆绑式同意则未必能符合以上要求。
尽管国家网信部门尚未公布影响评估、安全评估、认证及标准合同条款的细节,数据处理者仍可参考国家互联网信息办公室于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》(下称「《征求意见稿》」)谘询文件,了解当中可能涉及的规则。
《征求意见稿》的谘询期于2021年11月28日结束,而有关部门或会于随后为《征求意见稿》定稿,以便利依据《个人信息保护法》进行的个人信息跨境转移。
《征求意见稿》第五条规定,数据处理者在将数据转移离开内地前,应事先开展数据出境风险自我评估。有关自我评估应针对多个特定范畴,当中包括: (i) 数据出境的合法性、正当性和必要性; (ii) 出境数据的数量和敏感程度; (iii) 处理者为确保数据安全而采取的措施;及 (iv) 数据接收方保护数据的能力。
《征求意见稿》第九条亦列明数据转移合同须包括的条款,例如: (i) 接收方对数据的准许用途; (ii) 数据的保存地点; (iii) 数据的保存期限和对数据再次转移作出的限制;及 (iv) 数据外洩事件的处理方法。
对关键信息基础设施运营者的额外规定
关键信息基础设施运营者及指定类别的处理者(有关例子包括处理个人信息达到指定数量,即《征求意见稿》所指一百万人的个人信息)须遵从更严格的规定。根据《个人信息保护法》第四十条,这类处理者须将个人信息储存于内地。如确需将个人信息转移离开内地,便须通过国家网信部门组织的安全评估,除非其他法规另有豁免。
虽然《个人信息保护法》没有提供「关键信息基础设施」的定义,但数据处理者或可参考国务院于2021年7月发布的《关键信息基础设施安全保护条例》(下称「《条例》」)。《条例》第二条指出关键信息基础设施为重要行业和领域的重要网络设施和信息系统,当中包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等,以及其他一旦遭到破坏、丧失功能或数据洩漏时可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。
对境外上市的数据处理者的额外规定
国家互联网信息办公室于2021年11月14日发布了《网络数据安全管理条例(征求意见稿》)》(下称「《条例草案》」)谘询文件,建议对境外上市或正计划到境外上市的数据处理者作出额外的规定。《条例草案》第十三条订明,(i) 处理一百万人以上个人信息的数据处理者赴国外上市;及 (ii) 数据处理者赴香港上市,并影响或可能影响国家安全,均须申报网络安全审查。此外,《条例草案》第三十二条要求赴境外上市的数据处理者,须每年开展一次数据安全评估,并于每年1月31日前向网信部门提交报告。《条例草案》的谘询期于2021年12月13日结束。
罚则
值得一提的是,违反《个人信息保护法》规定最高可被判处人民币五千万元或上一年度营业额百分之五的罚款。履行个人信息保护职责的部门亦可作出其他行政处罚,包括责令暂停相关业务,或吊销相关业务许可或营业执照(《个人信息保护法》第六十六条)。
为加深公众对《个人信息保护法》的认识,个人资料私隐专员公署(私隐公署)最近出版了《内地〈个人信息保护法〉简介》。《简介》除了提供印刷本外,亦可在私隐公署网站下载︰ https://www.pcpd.org.hk/tc_chi/resources_centre/publications/books/files/pcpd_china_pipl_book2021.pdf