實務指引
隨著我們的日常生活在多個方面迅速數碼化,及貫通全球的營運模式激增,顯而易見跨境資料轉移正以倍速增長。2021年11月内地實施的《個人信息保護法》亦帶來一套全新的監管制度,適用於從內地跨境轉移個人資料至全球各地。就涉及香港資料使用者的跨境資料轉移而言,我認為即使個人資料被轉移至香港境外,最重要的是持份者仍須肩負起保障資料當事人個人資料私隱的責任。
有鑒於此,香港個人資料私隱專員公署在2022年5月12日發出《跨境資料轉移指引 : 建議合約條文範本》(「《指引》」)。《指引》就建議合約條文範本(「建議條文範本」)的實際效果提供詳細說明,並闡述如何藉採納建議條文範本以提供《個人資料(私隱)條例》(第486章)(「《私隱條例》」)下的足夠保障予個人資料,尤如相關個人資料沒有被轉移至香港境外。《指引》亦建議資料使用者,尤其中小企業,採取最佳行事方式作為其資料管治責任的一部份,以保障及尊重資料當事人的個人資料私隱。
當中,《指引》介紹兩套可被納入資料轉移者與資料接收者之間的一般性商業協議的建議條文範本,該些商業協議可能亦涵蓋其他商業上的考慮。
法律規定
基本上,無論資料在哪地方,資料應一直受保障。《私隱條例》的保障資料第3原則旨在針對不當使用個人資料的情況。該原則訂明,除非獲得資料當事人明確及自願的同意,否則個人資料不得用於新目的。因此,如為新目的而把個人資料轉移至香港以外的地方,除非有關轉移是屬於《私隱條例》第8部下的豁免範疇,否則保障資料第3原則規定需要就有關轉移獲得資料當事人的訂明同意。
此外,如資料使用者聘用資料處理者在香港境外代為處理個人資料,該資料使用者須採取合約規範方法或其他方法以保障個人資料,其中包括(i)防止轉移予該資料處理者的個人資料被保存超過處理該資料所需的時間(保障資料第2(3)原則),及(ii)防止該等資料受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響(保障資料第4(2)原則)。根據《私隱條例》第65條,資料使用者仍須就其授權的代理所作出的行為負上法律責任。
資料使用者在轉移資料到香港境外的同時亦需要確保符合《私隱條例》的規定,因此資料使用者宜在跨境資料轉移協議中引入建議條文範本。採用建議條文範本有助顯示資料使用者已採取所有合理的預防措施及作出所有應作出的努力,以確保有關資料不會在獲轉移資料一方所屬的司法管轄區,假設該些活動在香港發生,以違反《私隱條例》規定的方式收集、持有、處理或使用。當有懷疑或聲稱違反《私隱條例》要求(包括保障資料原則)的情況出現時,該等因素將會全被納入考慮當中。
建議條文範本
兩套建議條文範本列舉立約各方在保障個人資料私隱方面的一般責任,分別供兩種不同的跨境資料轉移的情況應用,即(i)由一名資料使用者轉移予另一名資料使用者;及(ii)由資料使用者轉移予資料處理者。它們適用於由一香港機構轉移個人資料至另一境外機構;或由一香港資料使用者所控制兩個均屬香港境外機構之間的個人資料轉移,藉以讓跨境資料轉移的各方能考慮《私隱條例》的相關規管要求,包括附表1的保障資料原則。
在跨境轉移個人資料至香港境外的情況下,資料使用者應採取所有合理的預防措施及作出所有應作出的努力,以確保被轉移的個人資料,不會在受轉移的地方,假設該些活動在香港發生,以違反《私隱條例》規定的方式處理。舉例來說,建議條文範本要求資料接收者:
良好的數據道德標準
最後,《指引》主張資料使用者應恪守良好的數據道德標準,簡單而言,就是指做資料當事人合理地期望的事以及資料處理工作需具透明度。資料處理工作欠缺透明度可以令資料使用者與資料當事人之間產生不信任。採納建議條文範本及堅守透明和問責的原則,不但有助資料使用者獲得數據的最大價值,亦可以取得資料當事人的持續信任。
《指引》備有印刷版和網上版(https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_model_contractual_clauses.pdf)。