《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》要点解读

来源:金诚同达律师事务所

文章摘要
一、《实施指引》出台的背景及目的 2023年12月13日,国家互联网信息办公室和香港创新科技及工业局联合发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《指引》”)。

一、《实施指引》出台的背景及目的
2023年12月13日,国家互联网信息办公室和香港创新科技及工业局联合发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《指引》”)。这份指引是在2023年6月29日国家互联网信息办公室与香港特区政府创新科技及工业局签署的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称“《合作备忘录》”)框架下出台的首个文件,旨在促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展。
《指引》是在《合作备忘录》框架下构建粤港澳大湾区数据跨境流动安全规则的制度回应,同时也是《合作备忘录》的配套措施之一。它对《合作备忘录》的内容进行进一步细化,为内地-香港之间的数据跨境流动提供具体的操作规则和方案,这对于大湾区内的跨境贸易和服务有着重要的推动作用。
二、《实施指引》的适用范围



  1. 地域要求
    根据《指引》第二条,结合《指引》第四条,只有注册于(适用于组织)/位于(适用于个人)“广东九市”(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)和香港特别行政区的个人信息处理者和接收方可以通过订立标准合同开展数据跨境活动,但不得将相关数据向粤港澳大湾区以外的组织和个人提供。
    首先,虽然《指引》仅适用于注册于“广东九市”和香港的个人信息处理者及接收方,但对服务器所在地并没有明确的限制。因此,可以理解为即使个人或企业使用境外服务器,只要其位于“广东九市”和香港或在此区域内注册,仍有可能通过签订标准合同实现跨境数据传输。但是,具体情况还需根据相关法律法规和实际操作进行评估。这对于希望拓展跨境业务的企业来说,无疑是一个积极的信号。
    其次,对比此前颁布的《个人信息出境标准合同》第三条第八款的规定,境外数据接收方向境外的第三方提供个人信息时需要满足“业务需要+告知个人信息主体+依据法律取得同意+达成书面协议并承诺承担相应责任+依法向个人信息主体提供副本”。然而,《指引》所附的标准合同模板《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称“《标准合同》”)第三条第八款则简化了这一流程。数据接收方向“广东九市”和香港内的第三方转移个人信息数据时,仅需满足“业务需要+告知个人信息主体+依据法律取得同意”即可,既无需再与第三方达成书面协议并承诺承担潜在的法律责任,也无需进行事前个人信息保护影响评估和事后备案工作。这一改变有效降低数据接收方向第三方提供数据的合规成本,加速了数据在大湾区内内地和香港区域内的流动。

  2. 数据要求
    1)数据来源要求
    在数据来源要求上,《指引》第四条规定,个人信息处理者在开展数据跨境运输活动前,应当按照个人信息处理者属地的相关法律法规要求,向个人信息主体告知个人有关信息处理的相关事项以履行其告知义务或者取得个人信息主体的同意。
    2)数据类型要求
    根据《指引》第二条第一款,《指引》适用的数据类型仅限于个人信息,且此类信息不属于“被相关部门、地区告知或者公开发布为重要数据”的个人信息。可以看出,本次《指引》与《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)(以下简称“《标准合同办法》”)对齐,仅适用于在粤港澳大湾区内地和香港两地之间就个人信息跨境传输的情形,不包括“重要数据”的跨境流动。有关个人信息的范围以及重要数据的含义,简要说明如下。
    个人信息是指以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息,但经过匿名化处理后的信息除外。常见的个人信息类型包括个人基本信息(如个人姓名、生日、性别、家庭关系等)、个人身份信息(如身份证、护照、驾驶证、居住证等)、个人生物识别信息(如个人基因、指纹、面膜识别特征等)、个人健康生理信息(如病历、检验报告、传染病史、家族病史、身高、体重等)、个人财产信息(如银行账户、存款信息、征信信息、消费和交易记录等)、个人通信信息(如通信记录内容、电子内容、短信、彩信等)、个人位置信息(如行踪轨迹、住宿信息、精确定位信息)等。
    而重要数据这一概念则首次出现在我国的《网络安全法》第三十七条,但当时并没有对重要数据进行具体界定。随后,《数据安全法》第二十一条对重要数据进行了明确定义,并被《数据出境安全评估办法》沿用。《数据出境安全评估办法》第十九条从社会危害性的角度定义“重要数据”。重要数据被定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。当然,识别重要数据还有更加直接的方式,《信息安全技术-数据出境安全评估指南(征求意见稿)》(以下简称“《识别指南》”)[1]附录A“重要数据识别指南”划定石油天然气、电力、通信、交通运输、金融、气象等28大类行业领域重要数据的范围,尽管该评估指南草案最终并未生效,但在实务中仍被用作判定“重要数据”的参考。
    针对个人信息与重要数据的关系,通常情况下个人信息应并不属于重要数据,但是针对某些特殊领域,基于大量个人信息生成的统计数据和衍生数据仍可能属于重要数据的范畴。因为此时相关数据不论是在数量上还是质量上都发生了变化,一旦遭到篡改、破坏、泄露或者非法获取、非法利用等可能带来巨大危害,此时可能被视为重要数据。针对此类数据,有必要采取严格的安全措施和合规管理,确保这些数据的安全性和完整性。因此,《指引》第二条明确,“针对被相关部门、地区告知或者公开发布为重要数据”的个人信息跨地区流通,并不属于适用《指引》的数据类型。
    3)数据规模要求
    与《个人信息出境标准合同》相比,《指引》扩大了通过订立标准合同进行跨境数据流动的范围。《标准合同办法》第四条规定了四种可以使用个人信息出境标准合同的情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。然而,《指引》所附的标准合同并未对出入境数据的规模进行限制。因此,在关键信息基础设施运营者和处理100万人以上个人信息的大湾区内内地数据处理者向香港提供个人信息的情形下,存在适用《指引》的空间,可能不必适用《数据出境安全评估办法》第四条强制要求数据提供方开展数据出境安全评估。但目前也有观点认为,《指引》在法律位阶上低于《数据出境安全评估办法》《规范和促进数据跨境流动规定》,因此可能仍需遵守相关规模限制。[2]
    笔者认为,《指引》旨在促进粤港澳大湾区内部的数据流动,为个人信息跨境流动提供便利措施,并且,《指引》下的跨境数据流动具有封闭性,仅限于大湾区“广东九市”和香港特别行政区。而且,《数据出境安全评估办法》《规范和促进数据跨境流动规定》的立法目的也是在保证国家安全和社会公共利益的前提下,促进数据跨境安全、自由流动。因此,适用《指引》开展数据跨境活动时可以不遵守相关规模限制具有一定的合理性。但是,考虑到数据跨境活动的复杂性和敏感性,不能完全排除《指引》仍需遵守相关规模限制的可能性。因此,为确保数据跨境流动的安全和合规性,有必要进一步研究和探讨这些限制的适用范围和具体要求。期待立法者能够给出更加明确和具体的指引,为数据跨境流动提供更加明确有效的法律保障。
    三、《实施指引》重点内容解读

  3. 事先评估
    根据《指引》第五条、第七条,结合《指引》第八条,个人信息处理者在通过订立标准合同提供个人信息前,需要完成个人信息保护的影响评估工作,评估重点包括以下几个方面:(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;(二)对个人信息主体权益的影响及安全风险;(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
    与《指引》出台前的《标准合同办法》相比,《指引》重新划定了个人信息保护影响评估的重点,删除了有关“出境个人信息的规模、范围、种类、敏感程度”、“境外个人信息保护政策和法规对标准合同履行的影响”、“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”等评估重点,“其他可能影响个人信息出境安全的事项”的兜底性事项也被一并删除。前述删改真正为事前评估工作减负,提高数据流动效率。值得一提的是,尽管《指引》不再要求备案时一并提交个人信息保护影响评估报告,但个人信息保护影响评估工作仍然是订立标准合同前必须完成的重要程序。这一评估旨在把控信息出境活动和个人信息的安全风险,并利于企业自身风险管理。

  4. 合同签订
    根据《指引》第六条,结合《指引》第二条,粤港澳大湾区个人信息处理者以及接收方可以通过订立标准合同实现个人信息在大湾区内内地与香港之间的相互传输。标准合同经订立生效后,即可开展个人信息数据的跨境流动,从而大幅简化数据出入境的流程。
    根据《指引》第六条,《指引》附件中提供了《标准合同》作为协议模版,要求标准合同必须严格按照《指引》及其附件中的要求订立。只有当合同生效后,个人信息处理者才能开展个人信息跨境提供活动。本条强调了标准合同内容的重要性,要求合同必须遵循《指引》附件中的内容。这意味着合同必须包含所有必要的信息和条款,以确保个人信息跨境流动的安全和合规性。此外,《指引》还明确了个人信息处理者与接收方之间的权利义务关系。虽然双方可以协商其他附加条款,但这些条款不能与标准合同中的主要内容和要求相冲突,否则可能会导致合同无效或违反相关法规。因此,在订立标准合同时,双方应充分了解并遵守相关法规和指引,确保合同的有效性和合法性。
    《个人信息出境标准合同办法》所附的《标准合同》相比,《指引》在多个方面进行了优化和调整。首先,在接收方的义务和责任条款中,《指引》删减了对接收方的要求,降低了标准合同采用的难度和沟通成本。具体来说,接收方不再需要履行《个人信息出境标准合同》中规定的“允许个人信息处理者对必要的数据文件和文档进行查阅”和“按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件”等义务。其次,《指引》删除了《个人信息出境标准合同》第四条“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”。这说明《指引》不再要求双方笼统地考虑境外接收方的法律法规对合同履行可能带来的不利影响,而是将法律的域外适用可能带来的的影响落到实处,体现了对香港法律法规的“尊重”。例如,《标准合同》第二条“个人信息处理者的义务和责任”中规定,向个人信息主体履行告知义务时,属地相关法律法规要求不需要告知的,从其规定。又例如,《标准合同》第三条“境外接收方的义务和责任”中规定,向个人信息主体履行告知义务时,个人信息处理者属地香港法律法规要求不需要告知的,从其规定。这些具体的规定使得合同更加贴近实际情况,更加符合法律的要求和标准,进一步增强了合同的法律效力和可执行性。

  5. 事后备案
    《指引》采取了自主缔约与备案管理相结合、保护权益与防范风险相结合的原则,通过订立标准合同的方式开展个人信息出境活动。根据《指引》第八条,个人信息处理者及接受方应在标准合同生效之日后10个工作日内进行标准合同备案工作。备案主体为广东省互联网信息办公室和香港特别行政区资讯科技总监办公室。备案主体的确定标准为属地标准,即标准合同下的香港合同方向香港特别行政区资讯科技总监办公室备案,大湾区内内地合同方向广东省互联网信息办公室备案。
    依据《指引》第八条,标准合同备案时只需提交法定代表人身份证件影印件、承诺书以及标准合同。《指引》未将个人信息保护影响评估报告列入备案材料清单。与《标准合同办法》不同,个人信息保护影响评估报告无需在备案时提交,简化了备案登记手续。其他备案流程细节有待更多文件进一步指引。这样的设计不仅有利于个人信息跨境流动的便利化,也有助于提升数据安全保障的效率和效果。
    2023年12月14日,香港特区发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同备案指南(适用于香港特区)》(以下简称“《备案指南》”)及备案表格。其中详细列明了标准合同下的香港合同方的备案流程,包括文件提交、检查文件及回复备案结果、补充或者重新备案等环节。同时,《备案指南》提供了备案材料提交方式以及材料邮寄地址。另外,《备案指南》还详细描述了备案文件要求、注意事项并提供相关手续模版。内地的备案登记细则近期也将公布。除此之外,内地和香港之间的备案事宜如何协调也有待监管的进一步澄清。期待未来有更多的相关法规和指引出台,为数据安全和隐私保护提供更加全面和完善的保障。
    香港特别行政区政府资讯科技总监办公室网络主页设立了“促进粤港澳大湾区数据跨境流动”专页[3],包括“《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》便利措施”、“相关文件”等模块,涵盖了对《指引》的简介、常见问题答疑、指引指南等相关文件。为有序推进《标准合同》的实施,政府资讯科技总监办公室推出了先行先试的安排,并在首阶段邀请银行业、征信业及医疗业的参与。如相关主体有意向参与,可以在该专页在线填报意向书并通过电子邮件(gbascc@ogcio.gov.hk)提交至政府资讯科技总监办公室。

  6. 过程监督
    《指引》第十条为粤港澳大湾区内的个人信息跨境流动提供了监督机制。根据该条规定,任何组织和个人如果发现个人信息处理者或接收方未履行《指引》及标准合同规定的义务和责任,都有权利向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署进行投诉、举报。若收到投诉、举报的部门发现个人信息跨境活动存在重大安全风险或发生个人信息安全事件,他们可以要求个人信息处理者或接收方进行整改。如果需要交由其他执法部门处置,相关部门将依法进行处置。本条鼓励公众参与,通过投诉和举报的方式,对个人信息处理者和接收方的行为进行监督。同时,它也为相关部门提供了干预和处置的权力,确保个人信息跨境流动的安全和合规性。
    此外,根据《指引》第十一条规定,当个人信息处理者或接收方遭遇个人信息泄露等安全事件,必须立刻采取相应的补救措施,并且需按照所属地区,相关个人或企业应当通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。本条强调了个人信息处理者和接收方在发生安全事件时的责任和义务。个人信息处理者和接收方不仅需要迅速应对并尝试修复泄露等事件,还有义务通知相关的监管部门。这种即时通知机制有助于确保监管机构能够及时了解和处理个人信息的安全问题,从而保护公众的隐私和数据安全。

  7. 争议解决
    1)协议解除
    《标准合同》第六条明确了合同解除的相关规定,确保了合同双方权益的平衡。首先,如果接收方违反了本合同的约定或被采取强制性措施导致无法履行合同,个人信息处理者有权暂停向接收方提供个人信息,直到违约行为得到改正或合同被解除。其次,在特定情况下,个人信息处理者有权解除本合同并通知个人信息处理者属地的监管机构。这些情况包括:(1)个人信息处理者根据第一项规定暂停向接收方提供个人信息的时间超过1个月。(2)接收方严重或持续违反本合同的约定和责任。(3)根据主管法院或监管机构作出的终局决定,接收方或个人信息处理者违反了本合同的约定和责任。在第(3)种情形下,接收方也有权解除合同。最后,即使合同解除,双方在个人信息处理过程中的个人信息保护义务和责任仍然存在。当合同解除时,接收方应立即返还或删除根据合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。如果从技术上难以删除个人信息,接收方应实施停止除存储和采取必要的安全保护措施之外的其他处理方式。
    2)违约责任
    根据《标准合同》第七条规定,针对合同相对方,若一方违反标准合同约定并给对方造成损失,则需要为给对方造成的损失承担责任;针对个人信息主体,若任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任。此外,即使违约方已经承担了民事法律责任,违约方仍然需要承担相关法律法规规定的行政、刑事等法律责任(若有),表明对个人信息权益的侵害行为可能会受到多重法律制裁。对于违约双方之间,如果双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方共同承担责任。这意味着,当多方共同导致个人信息主体的权益受损时,个人信息主体有权要求他们共同承担责任。如果一方承担的责任超过其应当承担的责任份额时,该方有权向其他责任方追偿。这确保了各方责任的公平分配和权益的公平保护。
    3)适用法律及管辖法院
    根据《标准合同》第八条规定,标准合同双方可约定采取仲裁或者诉讼的方式解决争议。在仲裁机构的选择上,《标准合同》提供了多个备选项,包括中国国际经济贸易仲裁委员会、中国海事仲裁委员会、中国广州国际仲裁委员会、粤港澳大湾区国际仲裁中心、香港国际仲裁中心。如果双方决定采取诉讼方式解决争议,他们可以依法向内地或香港有管辖权的法院提起诉讼。另外,《标准合同》第八条第五项规定,标准合同的内容应当按照个人信息处理者属地相关法律法规适用的规定进行解释,不得以与个人信息处理者属地相关法律法规适用的规定的权利、义务和责任相抵触的方式解释本合同。因此,在法律适用上,以个人信息处理者属地相关法律法规为准。
    四、《实施指引》的重要意义
    数据作为基础生产要素,是推动科技创新和经济高质量发展的重要动力。大湾区内各城市间经济合作紧密,数据跨境流动需求日益增长。《合作备忘录》签署后,《指引》及《标准合同》的发布为大湾区内地与香港间跨境数据流动提供便利,为企业和个人提供了更加清晰、具体的操作指南,简化个人信息保护的评估流程,降低数据流动的合规成本,这将为大湾区内企业带来更多的发展机遇。
    感谢实习生龚然对本文作出的贡献。
    [1] 《信息安全技术重要数据识别指南(征求意见稿)》,https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220113195354&normid=20201104200036&recodeid=45625。
    [2] 深圳市网络与信息安全行业协会:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布(附要点与逐条对比)》,载微信公众号,https://mp.weixin.qq.com/s/-ntcdgyCJjTjTTJgrTM8g。
    [3] 香港特别行政区政府资讯科技总监办公室:《促进粤港澳大湾区数据跨境流动》,https://www.ogcio.gov.hk/sc/our
    work/business/cross-boundarydataflow/index.html。

技术驱动法律,专业成就未来