個人資料私隱專員公署(私隱專員公署)留意到,國家互聯網信息辦公室(網信辦)發布的《數據出境安全評估辦法》(《辦法》)於今日(9月1日)生效。
私隱專員公署提醒香港企業,尤其是在內地開展業務的香港企業或機構,例如銀行、保險公司和證券公司等,如符合《辦法》所訂明的情形,可能須按有關規定向國家網信部門申報數據出境安全評估。
個人資料私隱專員(私隱專員)鍾麗玲指出︰「在《辦法》實施前已經開展的數據出境活動,如不符合《辦法》的規定,亦須在《辦法》實施起計6個月內,即2023年2月28日前,完成整改。鑑於國家網信部門處理申請可能需時,有關企業或機構應盡早了解《辦法》的規定及評估《辦法》對其數據出境活動的影響,作出適時的跟進和(如有需要)尋求專業意見,以符合《辦法》的相關要求。」
具體而言,《辦法》要求數據處理者(當中包括企業或機構)向境外提供數據,如有以下情形之一,須開展數據出境風險自評估,並須通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
-
數據處理者向境外提供重要數據;
-
關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
-
自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息;
-
國家網信部門規定的其他需要申報數據出境安全評估的情形。
當中「重要數據」是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
至於出境風險自評估,當中包括重點評估以下事項:
-
數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
-
出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
-
境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
-
數據出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
-
與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務;
-
其他可能影響數據出境安全的事項。
為協助有關企業或機構了解內地個人信息出境相關法規的最新發展,私隱專員公署將舉辦網上專題講座,公署亦更新了內地《個人信息保護法》專題網頁,提供包括《辦法》在內的簡介︰
https://www.pcpd.org.hk/tc_chi/data_privacy_law/mainland_law/mainland_law.html
請按此參閱《辦法》全文。國家網信辦亦上載了《辦法》的記者會問答,就《辦法》背景及內容提供更詳細的解釋,請按此瀏覽。
背景資料
內地《個人信息保護法》列明,個人信息處理者如需向境外提供個人信息,須先自行作出個人信息保護影響評估,取得當事人的單獨同意,以及具備指明條件,當中包括通過國家網信部門組織的安全評估。而《辦法》就如何進行數據出境安全評估(包括評估的事項、流程及期限等)提供更詳細和嚴格的規定。
《辦法》乃根據内地的《網絡安全法》、《數據安全法》及《個人信息保護法》等法規而制定,以規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。