雖然香港與中國大陸之間由於疫情依然存在出入境的限制,但科技的發展使數據和信息仍能在兩地時刻無縫流動。隨著全球陸續推出數據保護的新法規和措施,香港和中國大陸在跨境資料轉移方面的規定是怎樣的呢?
香港
香港個人資料私隱專員公署(” 私隱公署 “)負責監察《個人資料(私隱)條例》(第 486 章)(”《 私隱條例 》”)的實施和合規情況。私隱公署致力確保個人資料在香港受到保護的同時,但也意識到其必須在界定的範圍内行使權力,以免阻礙信息的自由流動,而信息的自由流動是數據驅動型經濟的一大命脈。
在1995年頒布的《私隱條例》第 33 條至今仍未實施一事上,彰顯了私隱公署上述的行動宗旨。雖然沒有法律義務去遵守未實施的條例,但該署仍然強烈建議任何人士遵守第33條,並其後於2014年及2022年發布了兩份指引,為落實第 33 條作事前準備。
《私隱條例》第 33 條限制個人資料轉移至香港以外地區,除非符合以下條件之一:
- 接收資料的地區是私隱公署指明的,並有與《私隱條例》大體上相似或達致相同目的之法律正在生效;
- 有關資料使用者有合理理由相信在該地方有與《私隱條例》大體上相似或達致相同目的之法律正在生效;
- 有關資料當事人已以書面同意該項轉移;
- 有關資料使用者有合理理由相信:(一)該項轉移是為避免針對資料當事人的不利行動或減輕該等行動的影響而作出的;(二)獲取資料當事人對該項轉移的書面同意不是切實可行的;及(三)如獲取書面同意是切實可行的,則資料當事人是會給予上述同意的;
- 該資料藉《私隱條例》第8部下的豁免獲豁免而不受第3保障資料原則所管限;或
- 該使用者已採取所有合理的預防措施及已作出所有應作出的努力,以確保該資料不會在該地方以違反《私隱條例》的方式收集、持有、處理或使用(” 盡職努力的規定 “)。
雖然只要滿足上述任何一項條件即可將個人資料轉移至香港以外的地區,但私隱公署建議資料使用者採取多項措施以加強保障。在其發出的兩份指引中,載列了建議合約條文範本(” 建議條文範本 “)供資料使用者在其資料轉移協議中採用,以履行盡職努力的規定。根據該詳細指引來看,遵守「盡職努力的規定」可被視為滿足第 33 條列明之條件的最低要求。
建議條文範本依照了六大保障資料原則編制而成,確保所有條款符合《私隱條例》的規定。除了適用於從香港轉移個人資料到境外機構外,也適用於兩個均屬境外機構之間的轉移而有關轉移由一名香港資料使用者所控制。建議條文範本為從香港轉移個人資料提供了實用的基礎,使機構能夠就以下事項達成協議:(一)轉移的個人資料的範圍,(二)轉移的目的;及(二)在數據安全、管理數據訪問和改正資料等方面有具體的責任分配,以及資料接收者向其他司法管轄區或其他接收方繼續轉移有關資料的範圍。
除了建議條文範本外,不論資料轉移是否屬跨境性質,資料使用者亦應留意現行資料轉移的相關制度:
- 保障資料第1(3)原則 – 資料使用者應明確告知資料當事人可接收其資料的人士類別;
- 保障資料第3原則 – 當收集個人資料的用途有更改時,資料使用者必須徵得資料當事人的明文同意;
- 保障資料第4(2)原則 – 資料使用者應採取合約或其他方式,確保有關資料轉移至香港境內或境外的資料處理者時,不受未經授權或意外的查閱、處理、刪除、喪失或使用所影響;及
- 保障資料第2(3)原則 – 資料使用者應採取合約或其他方式,防止任何轉移至香港境內或境外資料處理者的個人資料被保存超過處理資料所需的時間。
資料保障的相關法律在全球不斷發展演進,而且跨境資料轉移可以於任何情況下發生。各機構應該認識其有關數據管理的責任,並在開展業務、參與更大型交易或搬遷業務時致力遵循規定和確保數據安全。
中國大陸
中國大陸有關個人信息跨境轉移上的法制仍處於發展階段,監管框架包括以下基本法律法規:
- 《個人信息保護法》;
- 《網絡安全法》;
- 《數據安全法》
- 《數據出境安全評估辦法》,將在2022年9月1日生效(“安全評估辦法”)及
- 《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規範》(“指南”)。
《個人信息保護法》規定個人信息處理者如要向境外提供個人信息,必須獲得個人信息主體的單獨同意。根據個人信息處理者的性質以及所處理數據的數量,個人信息處理者還應采取以下路徑之一進行合法的數據出境:
- 通過國家互聯網信息辦公室(“網信辦”)的安全評估(“强制安全評估路徑”);
- 獲得網信辦認可機構進行的個人信息保護認證(“認證路徑”);
- 按照網信辦制定的標準合同與境外信息接收方簽訂合同,清楚列明各方的權利和義務(“標準合同路徑”);或
- 符合網信辦或相關法律法規規定的其他條件。
安全評估辦法明確了需要采取强制安全評估路徑的情形,包括:
- 數據處理者向境外提供重要數據。“重要數據”被廣汎定義為一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據;
- 關鍵信息基礎設施運營和向境外提供個人信息;
- 處理100萬人以上個人信息的數據處理者向境外提供個人信息;及
- 自上年1月1日起纍計向境外提供10萬個人信息或者1萬個人敏感信息的數據處理者向境外提供個人信息。
如果上述情形都不適用,數據處理者可以選擇認證路徑或者標準合同路徑。
根據指南,認證路徑適用於以下信息跨境情形:
- 跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間進行的個人信息跨境處理活動;及
- 在境外處理中國境内自然人個人信息的活動,該等活動以向中國境內客戶提供產品或服務為,或分析、評估境内自然人的行爲,受《個人信息保護法》的域外管轄。
此類認證屬自願性質,但當局推薦個人資料處理者和境外接收方進行認證。然而,指南沒有涵蓋具體的認證程序以及網信辦認可的認證機構,相信日後發布的實施細則中會包含相關内容。
至於標準合同路徑,網信辦于2022年6月30日發佈了《個人信息出境標準合同規定(徵求意見稿)》,其中提供了個人信息跨境轉移的協議範本草案(“標準合同草案”),其性質類似於香港的建議條文範本。標準合同草案主要包括了以下内容:
- 與個人信息處理活動相關各方的基本信息;
- 個人信息出境的目的、範圍、類型、敏感程度、數量、方式、保存期限、存儲地點等;
- 個人信息處理者和境外接收方保護個人信息的責任與義務,以及為確保信息安全所采取的的技術和管理措施;
- 境外接收方所在國家或者地區的個人信息保護政策法規對遵守標準合同條款的影響;
- 個人信息主體的權利,以及保障個人信息主體權的途徑和方式;及
- 救濟、合同解除、違約責任、爭議解決等。
個人信息處理者應當在標準合同生效之日起10個工作日内,將標準合同及保護影響評估報告向所在省網信部門備案。
無論選擇哪條路徑,中國的數據處理者都需要事先開展自我評估。自我評估應側重於擬進行的數據轉移的合法性、正當性、必要性、相關風險、境外接收方保障數據安全的能力、數據主體是否有便捷的渠道行使其根據《個人信息保護法》享有的權利以及數據處理者和境外接收方擬簽署的法律文件是否充分規定了各方關於數據保護的責任和義務等。
隨著全球數據保護水平的提高,我們預計各地政府將推出更嚴格的關於跨境數據共享的法規制度。事實上,現任香港創新科技及工業局局孫東教授最近曾建議令香港成爲中國大陸出境數據集中地從而提升香港的競爭力。這將需要在香港制定網絡安全法,相關的公衆咨詢預計將於2022年底展開。爲了迎接數據安全和個人資料保護的新時代,公司需要建立和實施自我評估系統,以便更好地管理跨境數據轉移中的潛在風險。