大湾区跨境数据流动新机制

EN / 简

大湾区跨境数据流动新机制

背景

中国内地《个人信息保护法》

于2021年起正式实施的《个人信息保护法》规定了个人信息出境的三种主要路径（适用豁免情形除外）：

• 非关键信息基础设施运营者和处理个人信息低于规定数量的公司可采用中国内地的国家互联网信息办公室（下称“网信办”）颁布的《个人信息标准合同》将个人信息传输到境外。在采用《个人信息标准合同》前必须进行并向中国内地地方网信办提交个人信息保护影响评估。
  
  
• 公司可向授权认证机构申请获得个人信息保护认证，证明公司的数据处理活动符合相关标准。
  
  
• 被归类为关键信息基础设施运营者、处理人个信息达到规定数量的公司以及需向中国内地境外传输特殊类别数据的公司必须通过政府部门组织的安全评估。

香港《个人资料（私隐）条例》（下称《私隐条例》）

于1996年正式施行的《私隐条例》是香港主要的数据保护法，它并没有明文限制跨境数据传输。

企业若计划将数据从香港转移至境外，应遵守《私隐条例》下的数据保护原则3，该原则要求数据使用者必须告知数据主体数据收集的目的、转移数据的受让者类别，并在数据用于新的目的时获取数据主体的明确同意。

此外，香港个人资料私隐专员公署（下称“私隐专员公署”）分别于2014年和2022年就《建议合约条文范本》发布指引。这些指引旨在帮助数据处理机构和用户在跨境传输个人数据过程中遵守《私隐条例》。

大湾区跨境数据传输法

适用地域范围

《大湾区标准合同》适用于以下九个城市和两个特别行政区之间的个人信息跨境传输，即广州、深圳、珠海、佛山、惠州、东莞、中山、江门、肇庆、香港和澳门。

数据类别

除大湾区有关部门指定的“重要数据”，所有类别的个人信息均可采用《大湾区标准合同》进行传输。

禁止传输至大湾区以外地区

《大湾区标准合同》不适用于需要将个人信息传输至大湾区以外地区的情形。

个人信息保护影响评估

这是对数据传输的合法性、必要性和安全风险的评估，个人信息处理者必须在向相关部门提交《大湾区标准合同》备案之日前三个月内完成评估。

备案要求

已签署的《大湾区标准合同》、承诺书、获授权代表人身份证明文件及其他支持文件必须在10个工作日内提交给相关部门。

管辖法律与争议解决

《大湾区标准合同》可适用中国内地或香港法律。争议可通过中国内地或香港的法院或仲裁解决。

合规与执法

如有安全风险或事故发生，监管部门可要求当事方整改。如任一当事方没有履行合同义务，另一方可向国家网信办、广东网信办、香港创新科技及工业局、香港政府资讯科技总监办公室和私隐专员公署投诉。

对香港数据保护的影响

对香港实体的合规要求加码

《私隐条例》没有中国内地《个人信息保护法》中要求跨境数据传输向政府备案的要求。而随着《大湾区标准合同》机制的建立，两地的数据处理者和数据接收方都须在合同生效日的10个工作日内向各自主管部门提交《大湾区标准合同》备案。此外，在大湾区内进行跨境数据传输的香港实体现面临一个新的合规要求——必须进行个人信息保护影响评估。

相关内地实体的合规负担减轻

相比《个人信息保护法》下的《个人信息标准合同》，《大湾区标准合同》的要求更宽松。比如，大湾区的数据出口方不会因受数据量阈值限制而触发安全评估，且个人信息保护影响评估的适用范围更为狭窄。

巩固香港作为数据枢纽的地位

《大湾区标准合同》机制为大湾区内的个人数据传输建立了法律框架，旨在推动区域内的数据流动。随着该机制的实施，香港将吸引意欲在大湾区建立区域数据中心或枢纽以支持其在该区域运营活动的公司，这将巩固香港作为大湾区数据枢纽的地位。

于《商法》2024年12月杨杨朱律师事务所 - 法律热点剖析中首载。