內地《個人信息保護法》自2021年11月1日起實施,是內地首部針對個人信息保護而訂立的法律。《個人信息保護法》對個人信息從內地轉移至其他司法管轄區作出規管。本文旨在為香港企業重點介紹當中的規定及主要要求。
《個人信息保護法》反映了保護個人信息方面最新的國際標準,亦標誌著內地在個人信息保護領域踏進新里程。當中值得注意的規定之一是關於個人信息跨境轉移的規管。香港企業,尤其是於內地開展個人信息處理活動的企業,都需要了解並且遵循這些規定。
《個人信息保護法》下跨境資料轉移的先決條件
首先,個人信息處理者如欲向境外提供個人信息,須分別按《個人信息保護法》第三十九條及第五十五條的規定,取得相關資料當事人的單獨同意,以及進行個人信息保護影響評估。處理者亦須具備《個人信息保護法》第三十八條所指明的其中一項條件: (i) 通過國家網信部門的安全評估; (ii) 經專業機構進行個人信息保護認證; (iii) 按照國家網信部門制定的標準合同與境外接收方訂立合同;或 (iv) 內地法規規定的其他條件。
相關部門官員過往的發言曾提到「單獨同意」是指就個別資料處理活動取得的特定同意。換言之就多項資料處理活動取得的捆綁式同意則未必能符合以上要求。
儘管國家網信部門尚未公布影響評估、安全評估、認證及標準合同條款的細節,數據處理者仍可參考國家互聯網信息辦公室於2021年10月29日發布的《數據出境安全評估辦法(徵求意見稿)》(下稱「《徵求意見稿》」)諮詢文件,了解當中可能涉及的規則。
《徵求意見稿》的諮詢期於2021年11月28日結束,而有關部門或會於隨後為《徵求意見稿》定稿,以便利依據《個人信息保護法》進行的個人信息跨境轉移。
《徵求意見稿》第五條規定,數據處理者在將數據轉移離開內地前,應事先開展數據出境風險自我評估。有關自我評估應針對多個特定範疇,當中包括: (i) 數據出境的合法性、正當性和必要性; (ii) 出境數據的數量和敏感程度; (iii) 處理者為確保數據安全而採取的措施;及 (iv) 數據接收方保護數據的能力。
《徵求意見稿》第九條亦列明數據轉移合同須包括的條款,例如: (i) 接收方對數據的准許用途; (ii) 數據的保存地點; (iii) 數據的保存期限和對數據再次轉移作出的限制;及 (iv) 數據外洩事件的處理方法。
對關鍵信息基礎設施運營者的額外規定
關鍵信息基礎設施運營者及指定類別的處理者(有關例子包括處理個人信息達到指定數量,即《徵求意見稿》所指一百萬人的個人信息)須遵從更嚴格的規定。根據《個人信息保護法》第四十條,這類處理者須將個人信息儲存於內地。如確需將個人信息轉移離開內地,便須通過國家網信部門組織的安全評估,除非其他法規另有豁免。
雖然《個人信息保護法》沒有提供「關鍵信息基礎設施」的定義,但數據處理者或可參考國務院於2021年7月發布的《關鍵信息基礎設施安全保護條例》(下稱「《條例》」)。《條例》第二條指出關鍵信息基礎設施為重要行業和領域的重要網絡設施和信息系統,當中包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等,以及其他一旦遭到破壞、喪失功能或數據洩漏時可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施和信息系統。
對境外上市的數據處理者的額外規定
國家互聯網信息辦公室於2021年11月14日發布了《網絡數據安全管理條例(徵求意見稿》)》(下稱「《條例草案》」)諮詢文件,建議對境外上市或正計劃到境外上市的數據處理者作出額外的規定。《條例草案》第十三條訂明,(i) 處理一百萬人以上個人信息的數據處理者赴國外上市;及 (ii) 數據處理者赴香港上市,並影響或可能影響國家安全,均須申報網絡安全審查。此外,《條例草案》第三十二條要求赴境外上市的數據處理者,須每年開展一次數據安全評估,並於每年1月31日前向網信部門提交報告。《條例草案》的諮詢期於2021年12月13日結束。
罰則
值得一提的是,違反《個人信息保護法》規定最高可被判處人民幣五千萬元或上一年度營業額百分之五的罰款。履行個人信息保護職責的部門亦可作出其他行政處罰,包括責令暫停相關業務,或吊銷相關業務許可或營業執照(《個人信息保護法》第六十六條)。
為加深公眾對《個人信息保護法》的認識,個人資料私隱專員公署(私隱公署)最近出版了《內地〈個人信息保護法〉簡介》。《簡介》除了提供印刷本外,亦可在私隱公署網站下載︰ https://www.pcpd.org.hk/tc_chi/resources_centre/publications/books/files/pcpd_china_pipl_book2021.pdf