×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 党建工作 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 CN EN JP
首页 > 出版刊物 > 专业文章 > 个人信息跨境流动监管趋势展望——《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》解读

个人信息跨境流动监管趋势展望——《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》解读

作者:吴鹏飞 吴金冬 2023-12-20
[摘要]2023年12月10日,国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“《大湾区指引》”)正式公布并施行。本文将对《大湾区指引》的要点进行解读,并尝试预测个人信息跨境流动监管的趋势。

2023年12月10日,国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“《大湾区指引》”)正式公布并施行。本文将对《大湾区指引》的要点进行解读,并尝试预测个人信息跨境流动监管的趋势。


一、适用范围受限制


整体上看《大湾区指引》简化了一些监管的要求,下文会详细介绍。但是,首先要说明的是《大湾区指引》在适用范围上有以下两方面限制:


第一,《大湾区指引》只适用于注册于粤港澳大湾区内地部分(广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)以及香港特别行政区的个人信息处理者及接收方之间的个人信息跨境流动,如果个人信息处理者是注册于粤港澳大湾区以外的外商投资企业,就不能适用《大湾区指引》。


第二,《大湾区指引》及标准合同均明确,接收方不得向大湾区以外的组织、个人提供个人信息(比如接收方继续向其欧美总部提供),因此《大湾区指引》也排除了外商投资企业借道香港向境外总部提供个人信息的可能。


由于上述限制,《大湾区指引》可能并不适用于绝大多数跨国企业因集中管理需求而在内部跨境传输个人信息的情况。


二、安全评估要求较现有法规有所放松


《大湾区指引》仅规定了订立标准合同并备案这一种合规路径。《大湾区指引》并未对出境个人信息的数量、敏感程度等加以限制,这可能意味着即使处理100万以上个人信息的处理者向境外提供个人信息也可以采用订立标准合同并备案的合规路径。但由于《大湾区指引》法律效力低于现有的《数据出境安全评估办法》和《个人信息出境标准合同办法》,《大湾区指引》是否还是受到上位法的约束,仍存在疑问。


值得注意的是,今年9月底,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”),该征求意见稿规定了预计一年内向境外提供不满1万人个人信息的,无需适用三种合规路径(即申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证),但此次发布的《大湾区指引》却未做类似“松绑”。


三、个人信息保护影响评估要求放宽


《大湾区指引》对个人信息保护影响评估的要求也有所放宽:


第一,评估的内容予以简化,删除了“出境个人信息的规模、范围、种类、敏感程度”“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅”以及“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”等内容。


第二,标准合同备案材料也大为简化,并未要求提供个人信息保护影响评估报告。对于企业来说,尽管仍要在跨境提供个人信息前进行个人信息保护影响评估,但因无需按照《个人信息出境标准合同备案指南(第一版)》(下称“《备案指南》”)中个人信息保护影响评估报告模板提供评估报告,企业可以自行合理判断评估工作的颗粒度。


根据我们此前的经验,企业按照数据出境风险自评估报告(模板)或《备案指南》中的个人信息保护影响评估报告(模板)的要求,通常需要花费几个月的时间收集材料、起草评估报告,这期间需要协调境内外团队,投入很多的人力物力,增加了企业的负担。而《大湾区指引》放宽个人信息保护影响评估的要求,无疑将有效减轻企业的负担。近期,我们团队协助个人信息处理量小的外资企业采用简易方式进行个人信息保护影响评估工作。


四、标准合同双方义务和责任减轻


大湾区版标准合同删除了接收方允许个人信息处理者对必要的数据文件和文档进行查阅的义务,以及按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件的义务。此外,依据双方签订的标准合同向同辖区内的第三方提供个人信息时,无需再进行标准合同备案,也无需向个人信息主体提供与第三方的协议副本。


五、从《大湾区指引》预测个人信息跨境流动监管的趋势


我们在上一篇文章《个人信息出境不再需要签署标准合同?答案比较复杂》中曾预测征求意见稿将会于11月底前正式出台,但被现实无情打脸,截至目前正式稿仍未发布。我们理解,这说明正式稿可能会对征求意见稿做出一些调整,我们电话咨询国家网信办得到的反馈也证实了这一点。粤港澳大湾区有着政策先行先试的优势,《大湾区指引》尚且未“松绑”向境外提供1万人以下个人信息时订立标准合同并备案的合规要求,我们再次勇敢地预测全国适用的《规范和促进数据跨境流动规定》在正式发布时可能也不会放松这一要求,但可能会参考《大湾区指引》放宽对个人信息保护影响评估的要求,减轻企业负担。


希望《规范和促进数据跨境流动规定》正式稿能尽快出台,以厘清个人信息跨境流动的监管要求,为企业提供更加明确的操作指引。这也是众多外资企业所期盼的。


实习生魏歆倢对本文亦有贡献。


Baidu
map