隨著粵港澳大灣區(大灣區)内各城市之間的聯繫日漸增加,為鞏固香港作為國際經濟龍頭的獨特地位、促進香港發展為數據樞紐,國家互聯網信息辦公室(國家網信辦)與香港特別行政區政府創新科技及工業局(創科及工業局)於2023年6月29日簽署《促進粵港澳大灣區數據跨境流動的合作備忘錄》(《合作備忘錄》),共同推動大灣區數據跨境流動的工作。
無可置疑,數據自由流通是香港以至大灣區的長遠發展和成功的基石,國家網信辦、創科及工業局和個人資料私隱專員公署(私隱專員公署)共同制訂《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(《大灣區標準合同》) ,並於2023年12月13日發布,作為《合作備忘錄》下促進大灣區個人信息跨境流動的便利措施。
適用範圍
《大灣區標準合同》適用於大灣區九個內地城市(即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市及肇慶市)和香港之間的個人信息跨境轉移。換言之,在大灣區內註冊(適用於機構)或位於(適用於個人)大灣區的個人信息處理者和接收方,透過按照各自屬地相關法律法規(特別是內地的《個人信息保護法》及香港的《個人資料(私隱)條例》(香港法律第486章)(《私隱條例》))的規定採用《大灣區標準合同》,便可以在大灣區九個內地城市(內地城市)和香港之間進行個人信息跨境轉移。
筆者建議香港機構和執業者仔細閱讀私隱專員公署發布的「跨境資料轉移指引:《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同》」,以進一步了解《大灣區標準合同》的具體要求。
《個人資料(私隱)條例》(第486章)的要求
香港的資料使用者若想依據《大灣區標準合同》將個人資料從香港轉移至內地城市,需留意現有法律規管,包括《私隱條例》下的六項保障資料原則。
值得注意的是,如資料使用者欲將資料跨境轉移至香港以外的地方,應妥善告知資料當事人,其個人資料將被轉移至境外的資料接收方,並說明該資料將會用於什麽目的(保障資料第1原則)。資料使用者亦須評估依據《大灣區標準合同》將個人資料轉移至香港以外的地方,會否構成「新目的」。如有關轉移會構成「新目的」,資料使用者需獲得資料當事人的訂明同意(保障資料第3原則)。此外,若資料使用者聘用資料處理者在香港境外代為處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料處理者的個人資料被保存超過處理該資料所需的時間 (保障資料第2(3)原則),及防止該等資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用 (保障資料第4(2)原則)。
緊遵香港保障個人資料的法制
採用《大灣區標準合同》作出個人資料跨境轉移有助顯示資料使用者已採取合理的預防措施及作出應作出的努力,以確保有關資料不會在内地以任何違反《私隱條例》的方式(假如該些活動在香港發生)被收集、持有、處理或使用。公署因而鼓勵資料使用者採用《大灣區標準合同》,以跨境轉移個人資料到粵港澳大灣區的内地城市。資料使用者亦應留意,《大灣區標準合同》為一便利措施,並無阻《私隱條例》的執行,亦不影響私隱專員公署保障個人資料私隱及監察《私隱條例》符規情況的工作。
《大灣區標準合同》
《大灣區標準合同》包含八個部分,當中規定個人信息處理者(包括資料使用者)和資料接收方的義務和責任。
就《大灣區標準合同》的實施,資料使用者及接收方亦應留意國家網信辦及創科及工業局於2023年12月13日發布的《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》(《大灣區標準合同實施指引》)。
主要定義
根據《大灣區標準合同》的規定,「個人信息處理者」一詞,就內地而言,是指在個人信息處理活動中自主決定處理目的、處理方式的組織或個人;就香港特別行政區而言,亦涵蓋「資料使用者」,即就個人資料而言,指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人。「個人信息處理者」是跨境轉移個人信息的一方。
同樣地,「個人信息主體」一詞,就內地而言,是指個人信息所識別或者關聯的自然人;就香港特別行政區而言,亦涵蓋「資料當事人」,即就個人資料 而言,指屬該資料的當事人的個人。
至於「個人信息」的定義,內地城市的個人信息處理者應依從《個人信息保護法》的定義作出詮釋;而香港的資料使用者則應依從《私隱條例》的定義。
簡而言之,《大灣區標準合同》的條文旨在確保個人信息處理者和接收方可各自依從屬地所適用的法律法規執行合同的規定。
放寬部分要求
作爲促進大灣區内個人信息跨境流動的便利措施,《大灣區標準合同》放寬了部分在内地的《個人信息出境標準合同辦法》[1]中訂立的要求,例如: