Skip to content

報章專欄

媒體報道

個人資料私隱專員在「香港律師」的文章
粵港澳大灣區個人信息跨境流動的可靠框架 (2024年3月)

隨著粵港澳大灣區(大灣區)内各城市之間的聯繫日漸增加,為鞏固香港作為國際經濟龍頭的獨特地位、促進香港發展為數據樞紐,國家互聯網信息辦公室(國家網信辦)與香港特別行政區政府創新科技及工業局(創科及工業局)於2023年6月29日簽署《促進粵港澳大灣區數據跨境流動的合作備忘錄》(《合作備忘錄》),共同推動大灣區數據跨境流動的工作。

無可置疑,數據自由流通是香港以至大灣區的長遠發展和成功的基石,國家網信辦、創科及工業局和個人資料私隱專員公署(私隱專員公署)共同制訂《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(《大灣區標準合同》) ,並於2023年12月13日發布,作為《合作備忘錄》下促進大灣區個人信息跨境流動的便利措施。

適用範圍
《大灣區標準合同》適用於大灣區九個內地城市(即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市及肇慶市)和香港之間的個人信息跨境轉移。換言之,在大灣區內註冊(適用於機構)或位於(適用於個人)大灣區的個人信息處理者和接收方,透過按照各自屬地相關法律法規(特別是內地的《個人信息保護法》及香港的《個人資料(私隱)條例》(香港法律第486章)(《私隱條例》))的規定採用《大灣區標準合同》,便可以在大灣區九個內地城市(內地城市)和香港之間進行個人信息跨境轉移。
 
筆者建議香港機構和執業者仔細閱讀私隱專員公署發布的「跨境資料轉移指引:《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同》」,以進一步了解《大灣區標準合同》的具體要求。
 
《個人資料(私隱)條例》(第486章)的要求
香港的資料使用者若想依據《大灣區標準合同》將個人資料從香港轉移至內地城市,需留意現有法律規管,包括《私隱條例》下的六項保障資料原則。

值得注意的是,如資料使用者欲將資料跨境轉移至香港以外的地方,應妥善告知資料當事人,其個人資料將被轉移至境外的資料接收方,並說明該資料將會用於什麽目的(保障資料第1原則)。資料使用者亦須評估依據《大灣區標準合同》將個人資料轉移至香港以外的地方,會否構成「新目的」。如有關轉移會構成「新目的」,資料使用者需獲得資料當事人的訂明同意(保障資料第3原則)。此外,若資料使用者聘用資料處理者在香港境外代為處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料處理者的個人資料被保存超過處理該資料所需的時間 (保障資料第2(3)原則),及防止該等資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用 (保障資料第4(2)原則)。
 
緊遵香港保障個人資料的法制
採用《大灣區標準合同》作出個人資料跨境轉移有助顯示資料使用者已採取合理的預防措施及作出應作出的努力,以確保有關資料不會在内地以任何違反《私隱條例》的方式(假如該些活動在香港發生)被收集、持有、處理或使用。公署因而鼓勵資料使用者採用《大灣區標準合同》,以跨境轉移個人資料到粵港澳大灣區的内地城市。資料使用者亦應留意,《大灣區標準合同》為一便利措施,並無阻《私隱條例》的執行,亦不影響私隱專員公署保障個人資料私隱及監察《私隱條例》符規情況的工作。
 
《大灣區標準合同》
《大灣區標準合同》包含八個部分,當中規定個人信息處理者(包括資料使用者)和資料接收方的義務和責任。
 
就《大灣區標準合同》的實施,資料使用者及接收方亦應留意國家網信辦及創科及工業局於2023年12月13日發布的《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》(《大灣區標準合同實施指引》)。
 
主要定義
根據《大灣區標準合同》的規定,「個人信息處理者」一詞,就內地而言,是指在個人信息處理活動中自主決定處理目的、處理方式的組織或個人;就香港特別行政區而言,亦涵蓋「資料使用者」,即就個人資料而言,指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人。「個人信息處理者」是跨境轉移個人信息的一方。

同樣地,「個人信息主體」一詞,就內地而言,是指個人信息所識別或者關聯的自然人;就香港特別行政區而言,亦涵蓋「資料當事人」,即就個人資料 而言,指屬該資料的當事人的個人。

至於「個人信息」的定義,內地城市的個人信息處理者應依從《個人信息保護法》的定義作出詮釋;而香港的資料使用者則應依從《私隱條例》的定義。

簡而言之,《大灣區標準合同》的條文旨在確保個人信息處理者和接收方可各自依從屬地所適用的法律法規執行合同的規定。
 
放寬部分要求
作爲促進大灣區内個人信息跨境流動的便利措施,《大灣區標準合同》放寬了部分在内地的《個人信息出境標準合同辦法》[1]中訂立的要求,例如:

  1. 有關個人信息跨境流動的數量及敏感個人信息的限制並不適用於《大灣區標準合同》;
  2. 《大灣區標準合同》的合約方無須就接收方所在地區的個人信息保護政策和法規進行相關評估;
  3. 就有關開展個人信息保護影響評估的要求,《大灣區標準合同》要求個人信息處理者評估的項目範圍亦大幅減少;及
  4. 《大灣區標準合同》並沒有與敏感個人信息或自動化決策機制相關的特別規定。
額外要求
為與内地的相關法律法規對接,相對《私隱條例》的規定,《大灣區標準合同》亦對個人信息處理者和接收方訂立了額外的合約要求。例如:
  1. 個人信息處理者應對擬向接收方提供個人信息的活動開展個人信息保護影響評估(《大灣區標準合同》第二條第(八)項);
  2. 雙方應遵守《大灣區標準合同》的備案程序(《大灣區標準合同實施指引》第八條第(三)項);及
  3. 接收方不得向大灣區以外的組織、個人提供據《大灣區標準合同》接收的個人信息(《大灣區標準合同》第三條第(七)項)。
個人信息處理者的主要義務和責任
《大灣區標準合同》第二條列明個人信息處理者(包括資料使用者)的義務和責任如下:
  1. 向個人信息主體(包括資料當事人)告知必要的信息,如接收方的名稱或者姓名和聯繫方式、個人信息跨境提供的處理目的和處理方式、個人信息向接收方的同轄區第三方提供的情況(如適用)等(第二條第(二)項);
  2. 向接收方跨境提供個人信息前,應當按照屬地法律法規要求取得個人信息主體同意(第二條第(三)項);
  3. 向個人信息主體告知其與接收方通過《大灣區標準合同》約定個人信息主體為第三方受益人(第二條第(四)項);及
  4. 對擬向接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內容,並保存評估報告至少三年(第二條第(八)項):

  1. 個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性﹔
  2. 對個人信息主體權益的影響及安全風險﹔及
  3. 接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。
接收方的主要義務和責任
《大灣區標準合同》内另一條值得注意的條款是第三條,當中列明接收方有以下義務和責任,包括:
  1. 接收方不得向大灣區以外的組織、個人提供據《大灣區標準合同》接收的個人信息(第三條第(七)項)。
  2. 接收方在同時符合下列條件的情況下方可向大灣區內地或香港特別行政區同轄區內的第三方提供個人信息(第三條第(八)項):

  1. 確有業務需要;
  2. 已告知個人信息主體該第三方的必要信息,以及行使個人信息主體權利的方式和程序等事項;
  3. 已按照個人信息處理者屬地法律法規要求取得個人信息主體同意(適用於基於個人同意處理個人信息的情況);及
  4. 按照《大灣區標準合同》附錄一「個人信息跨境提供說明」所列約定向同轄區內的第三方提供個人信息。

  1. 如接收方所在地的政府部門、司法機構要求接收方提供《大灣區標準合同》下的個人信息,接收方應當立即通知個人信息處理者(第三條第(十三)項)。
 
其他值得注意的措施和說明
個人信息處理者和接收方應在《大灣區標準合同》生效之日起10個工作日內,按照屬地向相關部門進行標準合同備案,並應對所提交的備案材料的真實性負責。在香港,合約方應向政府資訊科技總監辦公室提交標準合同備案;大灣區內地城市的備案機關則爲廣東省互聯網信息辦公室。

《大灣區標準合同》應嚴格依照《大灣區標準合同實施指引》簽訂,個人信息轉移在《大灣區標準合同》生效後方可進行。個人信息處理者可與接收方約定其他條款,但該等條款不得與《大灣區標準合同》相衝突。如果《大灣區標準合同》與雙方簽署的其他法律文件存在衝突或不一致,則以《大灣區標準合同》的條款為準。
 
總結
《大灣區標準合同》便利措施簡化大灣區內個人信息跨境流動的合規要求,既可促進大灣區的數字經濟發展,亦有助香港融入國家發展大局。就此,公署衷心感謝國家網信辦對促進大灣區個人信息跨境流動的鼎力支持。

數據的戰略重要性不容小覷,若數據運用得宜,可推動香港經濟增長、促進數字經濟發展。《大灣區標準合同》既符合《粵港澳大灣區發展規劃綱要》,亦屬「一國兩制」指導原則下,促進香港及大灣區發展和成功的重大突破。

[1]《個人信息出境標準合同辦法》已於2023年6月1日在内地實施。符合相關條件的個人信息處理者可透過訂立標準合同向境外提供個人信息。