前言
随着大数据和人工智能产业的发展,对数据利用和国际合作的需求不断攀升,特别是涉及开展跨境业务的企业对数据高效和便捷的跨境传输安排始终抱有强烈的制度期盼。今年6月,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(“《合作备忘录》”);在前不久的12月13日,国家互联网信息办公室、香港创新科技及工业局发布公告,公布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(“《实施指引》”),自发布之日起生效。至此,《备忘录》关于粤港澳大湾区(内地、香港)的数据跨境流动创新制度安排落地。
回顾自2016年以来,我国历经七年时间,陆续通过《网络安全法》《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》《个人信息出境标准合同办法》(“《标准合同办法》”)《个人信息跨境处理活动安全认证规范》等三部在安全评估、标准合同、保护认证方面的配套规定,形成了数据跨境流动管理的“3+3”法律制度体系,为数据出境提供了法律依据和合规路径。而《实施指引》进一步以“3+3”法律制度体系为保障,持续完善优化数据跨境流动管理制度,同时也不断创新发展,促进数据要素价值释放。
一、对备忘录及《实施指引》的认识
根据香港特别行政区政府政府资讯科技总监办公室官网[1],《合作备忘录》属于政策突破,具标志性的意义,在国家数据跨境安全管理制度下,推动内地数据在大湾区内安全有序流通的具体工作,大湾区内相关企业跨境数据流动的合规成本将可大大降低,促进区内相关跨境服务的提供,便民利商。
作为一项数据跨境传输方面的特殊制度安排,从效力上来看,《实施指引》仍然属于自愿性质,应当归属于企业经营自主权保留的范围。《实施指引》第二条第一款中规定,粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动,但并不影响内地《个人信息保护法》和香港特别行政区《个人资料(私隐)条例》的效力和执行。此外,粤港澳大湾区个人信息处理者仍然可以继续选择已有的“3+3”制度框架的出境路径。
二、适用情形和范围——主体、数量与限制条件讨论
从《实施指引》的适用主体来看,根据《实施指引》第二条第二款的规定,个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。考虑到内地《个人信息保护法》和香港特别行政区《个人资料(私隐)条例》可能对于“个人信息/个人资料”“个人信息处理者/资料使用者”等概念的内涵和外延定义并不完全相同,在判断数据跨境的提供方和接收方时,依然需要依据相应的法律进行识别和判断,也不影响作为各自适用法律义务主体的权利和责任关系。
与此同时,在《实施指引》中采取的是“注册地”而非“服务器”原则,统一了在适用《实施指引》时的判断标准,避免了实操中的潜在疑问或者可能随意扩大《实施指引》的适用范围。但《实施指引》在落地过程中可能遇到的问题是,当内地企业仅在大湾区设立了在内地《公司法》意义上不具备独立法人地位的分支机构(如注册在大湾区的分公司或各种形式的代表处、办公室等),而《个人信息保护法》定义中并未明确排除分公司作为个人信息处理者的情形(《民法典》上规定“组织”的外延大于“法人”),是否可以享受便利措施以实现向位于香港的合作接收方跨境转移个人信息,有待于在《实施指引》落地过程相关部门的进一步释明或澄清。需注意的是,此次《实施指引》是针对内地和香港特别行政区的制度设计,没有涵盖内地和澳门特别行政区之间的数据跨境流动。
从《实施指引》的适用范围和情形来看,相比于《标准合同办法》,此次指引中并未明确就跨境数据的数量和时间区间予以特殊限制。尽管如此,基于承袭与体现《合作备忘录》的政策理念和精神,进一步降低大湾区内地和香港两地企业跨境数据流动合规成本,我们从目的解释角度出发,倾向于理解原本根据相关规定因达到相应数量条件而需要通过数据安全出境评估的内地两地之间的个人信息跨境活动,在符合《实施指引》条件时,也可以通过其所规定的标准合同备案这一特殊安排合规开展。此外,同时参考香港政府资讯科技总监办公室公布的《粤港澳大湾区数据跨境流动便利措施简介会》简报内容[2]中,将“豁免个人信息流动数量上的限制”单独作为简化合规安排方面的第一项,也可以体现个人信息出境数量已不是《实施指引》所限制适用的情形。
当然,为了规避优惠政策滥用造成的风险,《实施指引》和相关说明均强调,依照《实施指引》通过订立标准合同跨境提供个人信息的,不得向大湾区以外的组织、个人提供,也即禁止出境后再向大湾区以外地区转移的情形。此外,本次《实施指引》仍然对齐《标准合同办法》,仅适用于在粤港澳大湾区内地和香港两地之间就个人信息跨境传输的情形,不包括“重要数据”的跨境提供活动。
三、出境路径——事前评估、事中合同签署和事后备案要求
根据《实施指引》的规定,如选择参照《实施指引》通过订立标准合同的方式开展个人信息跨境提供的,至少应当满足以下要求:
第一,在签订标准合同之前,开展个人信息保护影响评估。重点评估的内容包括: 1.个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性; 2.对个人信息主体权益的影响及安全风险; 3.接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
相比于《个人信息出境标准合同办法》关于个人信息保护影响评估的要求,《实施指引》中对评估要点进行了简化,将原本在个人信息保护影响评估中要求的:1)“出境个人信息的规模、范围、种类、敏感程度”;2)“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”;以及3)“当地个人信息保护政策和法规对合同履行的影响”等内容进行了省略。从原有的个人信息出境标准合同备案和签署实践来看,省略的相关内容恰恰是在完成个人信息保护影响评估中问题相对困难、评估相较复杂的部分。我们理解,区别于“3+3”数据出境合规制度中秉持的数据出境安全问题“一事一议”的总体原则,以及针对数据出境接收方所在地的国家/地区个人信息保护法律、制度和政策评估方向,《实施指引》均作出了突破和特殊规定,由此可见,《实施指引》在要求个人信息处理者履行个人信息保护影响评估的义务方面作出了更大程度的灵活安排。
第二,签订标准合同。粤港澳大湾区个人信息处理者与接收方应当严格按照《实施指引》的附件订立标准合同,合同生效后才可以开展个人信息跨境提供(活动)。根据官方释明,基于《实施指引》签署的《标准合同》不得随意修改。如双方就具体商业活动安排有其他考虑,可就商业行为另定商业合同,但该合同约定的内容不得与《标准合同》的内容相冲突,且针对另行约定中不明确或不一致事项,《标准合同》的条款将优先于双方所签署的其他任何法律文件而适用。
第三,标准合同生效后履行备案手续。个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案。相比之下,《标准合同办法》只规定了个人信息处理者的备案义务,但《实施指引》规定“接收方”也应当履行备案义务。由于《实施指引》既适用于由粤港澳大湾区内地城市至香港的个人信息跨境流动,也适用于由香港至粤港澳大湾区内地城市的个人资料跨境流动,因此从理论上说两地企业均有可能成为个人信息处理者或者接收方。参考适用于“香港合同方(不论是个人信息处理者或接收方)”的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同备案指南(适用于香港特别行政区)》[3](“《大湾区标准合同备案指南(香港)》”)相关说明,香港个人信息处理者(涵盖“资料使用者”)及接收方应当在《大湾区标准合同》生效之日起10个工作日内,须向政府资讯科技总监办公室(资科办)进行备案。虽然《实施指引》第八条中并未明确说明,在内地和香港之间就同一数据跨境传输活动是否需要在两地由个人信息处理者及接收方各自向对应属地主管部门进行备案,但考虑到《大湾区标准合同备案指南(香港)》中有意区分了香港合同方分别作为“个人信息处理者”和“接收方”两种不同的备案申请流程(且当作为接收方申请时仅接受确认收妥备案文件通知,但当作为个人信息处理者申请通过后还将予以发放备案编号),因此我们理解,即便是同一个人信息跨境传输活动,也不排除两地企业需分别依据对应角色向各自属地主管部门申请并履行标准合同备案程序的可能,并有待于在实践中进一步观察。
四、标准合同内容——保持基本要素同时减轻接收方义务
应当明确的是,依照《标准合同办法》签署的个人信息出境标准合同,与依照《实施指引》订立的标准合同,在性质上属于两项不同的安排和合规路径。不过对比《实施指引》的标准合同与《标准合同办法》的标准合同,两者条款中所包含的基本合同要素是一致的,包括双方的合同义务和责任、个人信息主体的权利和相关的救济方法,以及合同解除、违约责任、争议解决等事项。总体来说,在标准合同的内容方面,无论是定义条款,还是在双方权利义务和责任约定上,多处体现了遵从属地数据保护法律和监督管理规则的思路,如在获得个人同意的方式上,该版本标准合同要求开展跨境提供个人信息活动的主体“应当按照属地法律法规要求取得个人信息主体同意”,有别于原有要求取得个人“单独同意”的规定。
而在切实减轻合同磋商负担、缓解尤其是香港合同方作为境外接收方时的合规压力方面,依据《实施指引》签订的标准合同作出了更进一步的调整,例如,接收方无需履行原有标准合同中个人信息境外接收方应当 “允许个人信息处理者对必要的数据文件和文档进行查阅”,以及应当“按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件”等义务,在保证香港个人资料私隐专员公署在香港依照《个人资料(私隐)条例》正常开展个人资料保护和监督管理的同时,也有效降低了香港企业在商业合作上针对所接收来自粤港澳大湾区内地个人信息时的合规顾虑。
此外,由于依照《实施指引》签订标准合同限制向大湾区以外地区再转移个人信息的适用条件限制,因此该版本的标准合同中省略了向境外第三方提供个人信息的相关要求,同时补充就跨境传输后向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息的条件。
五、备案实操——提交材料与承诺书
根据《实施指引》,备案需要提供的材料包括:1.法定代表人身份证件影印件;2.承诺书; 3.标准合同。对比《标准合同办法》,《实施指引》的备案,不需要提交“个人信息保护影响评估报告”。区分来看,《实施指引》中虽然要求在开展大湾区内地和香港个人信息跨境传输活动前应当开展个人信息保护影响评估,但并未规定需将评估报告及其相关记录作为一项材料予以提交。从解释上说,企业内部根据既有业务流程和个人信息保护规程所建立的风险评估流程对个人信息出境活动开展合规审核工作,符合个人信息保护评估法律规定相应要求时,也可视作履行了该义务,因此该规定的变化认可了粤港澳大湾区内地和香港企业一般性或日常化的个人信息保护影响评估活动,取而代之《数据出境安全评估》和《标准合同办法》中相应硬性和模式化的评估报告提交要求,一定程度上为从事个人信息跨境活动的企业减少了合规成本。
此外,《实施指引》规定标准合同备案同时需要企业提交“承诺书”,承诺事项包括三项:①备案材料所有内容真实、完整、准确和有效;②粤港澳大湾区(内地、香港)个人信息跨境流动标准合同备案工作提供必要的配合和支持;③个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化。具体来看,第②项承诺是落实《实施指引》第十二条的规定,即通过《实施指引》方式开展数据跨境活动,并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
六、先行先试——面向银行业、征信业及医疗业企业
为了推动落实《实施指引》,香港创新科技及工业局下属的政府资讯科技总监办公室宣布将和广东省互联网信息办公室共同推出《大湾区标准合同》便利措施,惠及大湾区内地城市和香港各行各业,首阶段邀请银行业、征信业及医疗业参与。希望参加的先行先试个人或组织,需要在2023年12月31日前提交《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同便利措施先行先试的意向书》。
结语——对企业的合规启发及未来预期
公告及《实施指引》的发布,对于个人信息跨境而言,是数据跨境流动创新的一次重大创新,且在发布即实施的政策向导下具有利好的现实意义。对于符合《实施指引》适用条件和范围的个人信息处理者及接收方,尤其是粤港澳大湾区的内地及香港两地企业而言,可以根据《实施指引》调整数据跨境合规策略,根据官方释明或指导申请合同备案或者报名先行先试必要时积极寻求主管部门或者专业第三方机构的支持,以优化企业个人信息处理过程中基于业务需要跨境提供个人信息的合规运营模式及效率。
公告及《实施指引》迈出了数据跨境创新举措的重要一步。同时,基于我们的观察,还需要密切关注国家互联网信息办公室于今年9月28日向社会公开征求意见的《规范和促进数据跨境流动规定(征求意见稿)》,该规定从全域、全类型的视角,对数据跨境流动作出便利化措施安排,有理由相信,它的出台将会是数据跨境安全流动和促进创新举措的又一大步。
扫码订阅“金杜律师事务所”,了解更多业务资讯
https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html
https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/doc/20231213_CBDF_Brief_materials.pdf
https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/doc/gbascc02_fg_sc.pdf
