粤港澳大湾区个人信息跨境流动标准合同实施指引及标准合同发布

来源:中伦律师事务所

文章摘要
2023年12月10日,国家互联网信息办公室、香港创新科技及工业局联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《实施指引》”)及其附件《粤港澳大湾区(内地、香港)

2023年12月10日,国家互联网信息办公室、香港创新科技及工业局联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《实施指引》”)及其附件《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称“《标准合同》”)及《承诺书》,以落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施。该《实施指引》自发布之日起生效。
《实施指引》仅适用于注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市),或者香港特别行政区的个人信息处理者及接收方之间的数据传输活动,如后续再传输涉及向粤港澳大湾区以外的组织、个人提供,则不再适用《实施指引》。
根据《实施指引》及《标准合同》,前述个人信息处理者跨境传输个人信息,需遵循如下基本流程及要求:
告知同意:按照个人信息处理者属地法律法规要求告知个人信息主体并且/或者取得个人信息主体的同意,其中《标准合同》进一步明确个人信息跨境处理活动告知内容包括个人信息向同辖区第三方提供的情况(属地相关法律法规要求不需要告知的,从其规定);
开展个人信息保护影响评估:开展个人信息保护影响评估,并在相关情况变化时依法重新开展个人信息保护影响评估,补充或者重新订立标准合同;
订立标准合同:严格依法订立,并保证约定的其他条款不与标准合同冲突,合同生效后方可开展个人信息跨境提供;
标准合同备案:在标准合同生效之日起10个工作日内履行相应备案手续,对备案材料真实性负责;
接受属地监管机构的监督管理:包括在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知监管机构。具体而言,内地监管机构为国家网信办、广东省网信办,香港监管机构为香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。
但《实施指引》及《标准合同》也为粤港澳大湾区的个人信息跨境流动提供了一定便利,具体而言:
便捷跨境机制:仅从数据类型维度排除了被相关部门、地区告知或者公开发布为重要数据的个人信息的适用,而未强调数量限制;从当前条文上看,粤港澳大湾区内年度超百万个人信息出境活动或仍可通过订立《标准合同》的方式进行;
简化个人信息保护影响评估要点:重点评估个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性,对个人信息主体权益的影响及安全风险,接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全;无需就境外接收方所在地区的个人信息保护政策和法规对标准合同履行的影响做过多笔墨,相应的,《标准合同》内亦无“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”相关条款;
简化备案材料:仅需在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室提交:(1)法定代表人身份证件影印件;(2)承诺书;(3)标准合同,无需提交个人信息保护影响评估报告;
放宽向同辖区第三方提供个人信息的前提条件:《标准合同》中仅明确提及需满足基本必要性(业务必要性及合同附录范围限制)、透明性(告知)和合法性(如以同意为合法性基础,取得同意)等前提要求,未要求与第三方签署书面协议、根据个人信息主体的要求向个人信息主体提供该书面协议副本等;
减轻接收方合同义务:如删除“允许个人信息处理者对必要数据文件和文档进行查阅”“按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供(个人信息处理活动)相关记录文件”等条款。
除《实施指引》外,近期内地及香港政府也发布了多项文件,致力于促进两地数据流通。如香港特别行政区政府创新科技及工业局于今年12月8日发布《香港促进数据流通及保障数据安全的政策宣言》,提出特区政府会以先行先试方式,简化和便利大湾区内与银行、征信及医疗相关的个人资料从大湾区出境到香港的合规安排;今年11月1日,信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动,详细可点击阅读“《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》发布”。
了解更多《实施指引》相关信息,请点击文末“阅读原文”。
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》及《承诺书》

















技术驱动法律,专业成就未来