卫·视角

跨境资料转移 —— 您不可不知的事情

17 七月 2022

虽然香港与中国大陆之间由于疫情依然存在出入境的限制,但科技的发展使数据和信息仍能在两地时刻无缝流动。随着全球陆续推出数据保护的新法规和措施,香港和中国大陆在跨境资料转移方面的规定是怎样的呢?

香港

香港个人资料私隐专员公署(” 私隐公署 “)负责监察《个人资料(私隐)条例》(第 486 章)(”《 私隐条例 》”)的实施和合规情况。私隐公署致力确保个人资料在香港受到保护的同时,但也意识到其必须在界定的范围内行使权力,以免阻碍信息的自由流动,而信息的自由流动是数据驱动型经济的一大命脉。

在1995年颁布的《私隐条例》第 33 条至今仍未实施一事上,彰显了私隐公署上述的行动宗旨。虽然没有法律义务去遵守未实施的条例,但该署仍然强烈建议任何人士遵守第33条,并其后于2014年及2022年发布了两份指引,为落实第 33 条作事前准备。

《私隐条例》第 33 条限制个人资料转移至香港以外地区,除非符合以下条件之一:

  • 接收资料的地区是私隐公署指明的,并有与《私隐条例》大体上相似或达致相同目的之法律正在生效;
  • 有关资料使用者有合理理由相信在该地方有与《私隐条例》大体上相似或达致相同目的之法律正在生效;
  • 有关资料当事人已以书面同意该项转移;
  • 有关资料使用者有合理理由相信:(一)该项转移是为避免针对资料当事人的不利行动或减轻该等行动的影响而作出的;(二)获取资料当事人对该项转移的书面同意不是切实可行的;及(三)如获取书面同意是切实可行的,则资料当事人是会给予上述同意的;
  • 该资料借《私隐条例》第8部下的豁免获豁免而不受第3保障资料原则所管限;或
  • 该使用者已采取所有合理的预防措施及已作出所有应作出的努力,以确保该资料不会在该地方以违反《私隐条例》的方式收集、持有、处理或使用(” 尽职努力的规定 “)。

虽然只要满足上述任何一项条件即可将个人资料转移至香港以外的地区,但私隐公署建议资料使用者采取多项措施以加强保障。在其发出的两份指引中,载列了建议合约条文范本(” 建议条文范本 “)供资料使用者在其资料转移协议中采用,以履行尽职努力的规定。根据该详细指引来看,遵守「尽职努力的规定」可被视为满足第 33 条列明之条件的最低要求。

建议条文范本依照了六大保障资料原则编制而成,确保所有条款符合《私隐条例》的规定。除了适用于从香港转移个人资料到境外机构外,也适用于两个均属境外机构之间的转移而有关转移由一名香港资料使用者所控制。建议条文范本为从香港转移个人资料提供了实用的基础,使机构能够就以下事项达成协议:(一)转移的个人资料的范围,(二)转移的目的;及(二)在数据安全、管理数据访问和改正资料等方面有具体的责任分配,以及资料接收者向其他司法管辖区或其他接收方继续转移有关资料的范围。

除了建议条文范本外,不论资料转移是否属跨境性质,资料使用者亦应留意现行资料转移的相关制度:

  • 保障资料第1(3)原则 – 资料使用者应明确告知资料当事人可接收其资料的人士类别;
  • 保障资料第3原则 – 当收集个人资料的用途有更改时,资料使用者必须征得资料当事人的明文同意;
  • 保障资料第4(2)原则 – 资料使用者应采取合约或其他方式,确保有关资料转移至香港境内或境外的资料处理者时,不受未经授权或意外的查阅、处理、删除、丧失或使用所影响;及
  • 保障资料第2(3)原则 – 资料使用者应采取合约或其他方式,防止任何转移至香港境内或境外资料处理者的个人资料被保存超过处理资料所需的时间。

资料保障的相关法律在全球不断发展演进,而且跨境资料转移可以于任何情况下发生。各机构应该认识其有关数据管理的责任,并在开展业务、参与更大型交易或搬迁业务时致力遵循规定和确保数据安全。

中国大陆

中国大陆有关个人信息跨境转移上的法制仍处于发展阶段,监管框架包括以下基本法律法规:

  • 《个人信息保护法》;
  • 《网络安全法》;
  • 《数据安全法》
  • 《数据出境安全评估办法》,将在2022年9月1日生效(“安全评估办法”)及
  • 《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“指南”)。

《个人信息保护法》规定个人信息处理者如要向境外提供个人信息,必须获得个人信息主体的单独同意。根据个人信息处理者的性质以及所处理数据的数量,个人信息处理者还应采取以下路径之一进行合法的数据出境:

  • 通过国家互联网信息办公室(“网信办”)的安全评估(“强制安全评估路径”);
  • 获得网信办认可机构进行的个人信息保护认证(“认证路径”);
  • 按照网信办制定的标准合同与境外信息接收方签订合同,清楚列明各方的权利和义务(“标准合同路径”);或
  • 符合网信办或相关法律法规规定的其他条件。

安全評估辦法明確了需要采取强制安全評估路徑的情形,包括:

  • 数据处理者向境外提供重要数据。 “重要数据”被广泛定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据;
  • 关键信息基础设施运营和向境外提供个人信息;
  • 处理100万人以上个人信息的数据处理者向境外提供个人信息;及
  • 自上年1月1日起累计向境外提供10万个人信息或者1万个人敏感信息的数据处理者向境外提供个人信息。

如果上述情形都不适用,数据处理者可以选择认证路径或者标准合同路径。

根据指南,认证路径适用于以下信息跨境情形:

  • 跨国公司或者同一经济、事业实体下属子公司或关联公司之间进行的个人信息跨境处理活动;及
  • 在境外处理中国境内自然人个人信息的活动,该等活动以向中国境内客户提供产品或服务为,或分析、评估境内自然人的行为,受《个人信息保护法》的域外管辖。

此类认证属自愿性质,但当局推荐个人资料处理者和境外接收方进行认证。然而,指南没有涵盖具体的认证程序以及网信办认可的认证机构,相信日后发布的实施细则中会包含相关内容。

至于标准合同路径,网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》,其中提供了个人信息跨境转移的协议范本草案(“标准合同草案”),其性质类似于香港的建议条文范本。标准合同草案主要包括了以下内容:

  • 与个人信息处理活动相关各方的基本信息;
  • 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
  • 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为确保信息安全所采取的的技术和管理措施;
  • 境外接收方所在国家或者地区的个人信息保护政策法规对遵守标准合同条款的影响;
  • 个人信息主体的权利,以及保障个人信息主体权的途径和方式;及
  • 救济、合同解除、违约责任、争议解决等。

个人信息处理者应当在标准合同生效之日起10个工作日内,将标准合同及保护影响评估报告向所在省网信部门备案。

无论选择哪条路径,中国的数据处理者都需要事先开展自我评估。自我评估应侧重于拟进行的数据转移的合法性、正当性、必要性、相关风险、境外接收方保障数据安全的能力、数据主体是否有便捷的渠道行使其根据《个人信息保护法》享有的权利以及数据处理者和境外接收方拟签署的法律文件是否充分规定了各方关于数据保护的责任和义务等。

随着全球数据保护水平的提高,我们预计各地政府将推出更严格的关于跨境数据共享的法规制度。事实上,现任香港创新科技及工业局局孙东教授最近曾建议令香港成为中国大陆出境数据集中地从而提升香港的竞争力。这将需要在香港制定网络安全法,相关的公众咨询预计将于2022年底展开。为了迎接数据安全和个人资料保护的新时代,公司需要建立和实施自我评估系统,以便更好地管理跨境数据转移中的潜在风险。

本文件(与任何透过本文件中所列链接可获取的资讯)仅供参考,并不构成法律咨询。在采取或克制任何因本文件内容引发的行动前,应寻求专业法律咨询。

分享

相关经验

作为一家全方位律师事务所,我们能够提供广泛范畴及议题的建议与资讯。以下为部分相关领域