大灣區跨境資料傳輸新機制

法律熱點分析

胡銘深

楊楊朱律師事務所

合夥人

[email protected]

符曼姿

楊楊朱律師事務所

律師

[email protected]

粵

港澳大灣區(下稱“大灣區”)連線廣東省九個城市和香港及澳門特別行政區，打造一個高度融合的經濟和商業樞紐。而《粵港澳大灣區(內地、香港)個人資訊跨境流動標準合同》(下稱《大灣區標準合同》)標誌著大灣區進入了一個跨境資料流動的新時代。雖然採用《大灣區標準合同》是基於自願原則，但它為大灣區內部的資料跨境傳輸提供了一個替代路徑。

背景

中國內地《個人資訊保護法》。於2021年起正式實施的《個人資訊保護法》規定了個人資訊出境的三種主要路徑(適用豁免情形除外)：

非關鍵資訊基礎設施運營者和處理個人資訊低於規定數量的公司可採用中國內地的國家網際網路資訊辦公室(下稱“網信辦”)頒佈的《個人資訊標準合同》將個人資訊傳輸到境外。在採用《個人資訊標準合同》前必須進行並向中國內地地方網信辦提交個人資訊保護影響評估。
公司可向授權認證機構申請獲得個人資訊保護認證，證明公司的資料處理活動符合相關標準。
被歸類為關鍵資訊基礎設施運營者、處理人個資訊達到規定數量的公司以及需向中國內地境外傳輸特殊類別資料的公司必須透過政府部門組織的安全評估。

香港《個人資料(私隱)條例》(下稱《私隱條例》)。於1996年正式施行的《私隱條例》是香港主要的資料保護法，它並沒有明文限制跨境資料傳輸。

企業若計劃將資料從香港轉移至境外，應遵守《私隱條例》下的資料保護原則3，該原則要求資料使用者必須告知資料主體資料收集的目的、轉移資料的受讓者類別，並在資料用於新的目的時獲取資料主體的明確同意。

此外，香港個人資料私隱專員公署(下稱“私隱專員公署”)分別於2014年和2022年就《建議合約條文範本》釋出指引。這些指引旨在幫助資料處理機構和使用者在跨境傳輸個人資料過程中遵守《私隱條例》。

大灣區跨境資料傳輸法

適用地域範圍。

《大灣區標準合同》適用於以下九個城市和兩個特別行政區之間的個人資訊跨境傳輸，即廣州、深圳、珠海、佛山、惠州、東莞、中山、江門、肇慶、香港和澳門。

資料類別。除大灣區有關部門指定的“重要資料”，所有類別的個人資訊均可採用《大灣區標準合同》進行傳輸。

禁止傳輸至大灣區以外地區。《大灣區標準合同》不適用於需要將個人資訊傳輸至大灣區以外地區的情形。

個人資訊保護影響評估。這是對資料傳輸的合法性、必要性和安全風險的評估，個人資訊處理者必須在向相關部門提交《大灣區標準合同》備案之日前三個月內完成評估。

備案要求。已簽署的《大灣區標準合同》、承諾書、獲授權代表人身份證明檔案及其他支援檔案必須在10個工作日內提交給相關部門。

管轄法律與爭議解決。《大灣區標準合同》可適用中國內地或香港法律。爭議可透過中國內地或香港的法院或仲裁解決。

合規與執法。如有安全風險或事故發生，監管部門可要求當事方整改。如任一當事方沒有履行合同義務，另一方可向國家網信辦、廣東網信辦、香港創新科技及工業局、香港政府資訊科技總監辦公室和私隱專員公署投訴。

對香港資料保護的影響

對香港實體的合規要求加碼。

《私隱條例》沒有中國內地《個人資訊保護法》中要求跨境資料傳輸向政府備案的要求。而隨著《大灣區標準合同》機制的建立，兩地的資料處理者和資料接收方都須在合同生效日的10個工作日內向各自主管部門提交《大灣區標準合同》備案。此外，在大灣區內進行跨境資料傳輸的香港實體現面臨一個新的合規要求——必須進行個人資訊保護影響評估。

相關內地實體的合規負擔減輕。相比《個人資訊保護法》下的《個人資訊標準合同》，《大灣區標準合同》的要求更寬鬆。比如，大灣區的資料出口方不會因受資料量閾值限制而觸發安全評估，且個人資訊保護影響評估的適用範圍更為狹窄。

鞏固香港作為資料樞紐的地位。《大灣區標準合同》機制為大灣區內的個人資料傳輸建立了法律框架，旨在推動區域內的資料流動。隨著該機制的實施，香港將吸引意欲在大灣區建立區域資料中心或樞紐的公司，以支援其在該區域的運營活動。這將鞏固香港作為大灣區資料樞紐的地位。

作者 | 楊楊朱律師事務所合夥人胡銘深、律師符曼姿

本文刊載於《商法》2024年10月刊。如欲閱讀電子版，歡迎瀏覽《商法》官網。