大湾区个人信息跨境流动新指引!数量不设限,简化评估内容
12月13日,国家互联网信息办公室(以下简称国家网信办)和香港特区政府创新科技及工业局(以下简称香港创科及工业局)共同发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同》)。
南都大数据研究院了解到,今年6月29日,国家网信办与香港创科及工业局曾签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,提出在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。此次《大湾区标准合同》正是基于该备忘录推出的首项便利措施。香港特区政府资讯科技总监办公室(以下简称香港资科办)表示,《大湾区标准合同》将简化涉及大湾区的九个内地城市和香港之间就内地个人信息跨境流动的合规安排,同时免除了内地数据跨境安全管理框架下就有关个人信息处理者跨境转移个人信息的数量限制,以及简化相关个人信息保护影响评估的评估内容。
免除大湾区内个人信息跨境流动数量限制
南都大数据研究院留意到,与今年2月国家网信办公布的《个人信息出境标准合同办法》(以下简称《内地标准合同》)相比,《大湾区标准合同》对订立标准合同跨境提供个人信息的条件明显放宽。
具体而言,《内地标准合同》中要求个人信息处理者通过订立标准合同方式向境外提供个人信息的,应当同时符合下列四种情形:非关键信息基础设施运营者;处理个人信息不满100万人;自上年1月1日起累计向境外提供个人信息不满10万人;自上年1月1日起累计向境外提供敏感个人信息不满1万人。
《大湾区标准合同》没有对个人信息处理者跨境转移个人信息的数量提出限制,仅提出个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意。
不过,《大湾区标准合同》同时明确,适用该版合同的个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。同时,依指引订立合同跨境流动的个人信息,不得再向粤港澳大湾区以外的组织或者个人提供。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋认为,此举极大便利了粤港澳大湾区内的数据跨境传输。他表示,按常规做法,出境数据达到一定条件时,需要经国家网信部门评估方可出境。从时间和程序上,这个过程都比签订标准合同要复杂。取消了关于数量的条件限制后,原本应当经网信部门评估后方可出境的数据,可以通过更加便利的渠道出境。
简化个人信息保护影响评估内容
同时,《大湾区标准合同》简化了个人信息保护影响评估相关要求。《内地标准合同》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下六方面内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
《大湾区标准合同》仅要求个人信息处理者重点评估三方面内容,具体包括:
(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
(二)对个人信息主体权益的影响及安全风险;
(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
南都大数据研究院留意到,这并非国家网信办首次放宽数据跨境流动相关评估要求。今年9月28日,国家网信办起草的《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,列出了不需要申报数据出境安全评估的多种情形,还提出《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与该规定不一致的,拟按照该规定执行。(点击阅读相关内容)
新规不影响政府部门履行个人信息保护职责
《大湾区标准合同》明确,该合同规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
香港创科及工业局发言人也强调,《大湾区标准合同》属于行政措施,并不影响个人资料私隐专员公署按《个人资料(私隐)条例》对条例的遵守情况作出监察及监管,香港个人资料的处理及出境会按自愿原则并按照《个人资料(私隐)条例》受规管。
首阶段邀请银行业、征信业及医疗业机构参与
香港资科办在新闻公报中指出,其和广东省网信办将共同有序落实《大湾区标准合同》便利措施。《大湾区标准合同》便利措施惠及大湾区内地城市及香港各行各业;香港资科办将于本月开展《大湾区标准合同》先行先试安排,首阶段会公开邀请对跨境服务需求较为殷切的银行业、征信业及医疗业机构参与。香港特区政府会适时检讨首阶段先行先试安排,以期将便利措施进一步推展至其他界别。
对于香港特区政府提出的部分行业先行先试安排,左晓栋指出,这些领域对于大湾区的经济发展和民生非常重要,其数据流动需求最为迫切;在这些领域先行先试,一方面可以最大化体现这一便利制度的优势,另一方面可以充分发现问题、试出经验。
香港创科及工业局发言人也表示:“我们衷心感谢国家网信办对促进粤港澳大湾区数据跨境安全有序流动的大力支持。《大湾区标准合同》为便民利企的措施,一方面有助降低企业个人信息跨境流动的合规成本,促进区内跨境服务的提供,另一方面推进大湾区数字经济发展,助力香港更好融入国家发展大局。”
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》全文
第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。
第二条 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称标准合同,见附件1)为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。
第三条 通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。
第四条 按照本实施指引,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:
(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意;
(二)不得向粤港澳大湾区以外的组织、个人提供。
第五条 个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
(二)对个人信息主体权益的影响及安全风险;
(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。
个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。
第七条 跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
第八条 个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案,提交如下材料:
(一)法定代表人身份证件影印件;
(二)承诺书(模板见附件2);
(三)标准合同。
个人信息处理者及接收方应当对所备案材料的真实性负责。
第九条 个人信息处理者及接收方接受属地监管机构的监督管理,包括但不限于:
(一)根据标准合同第二条第七项及第十项,个人信息处理者答复监管机构的询问及对合同的义务和责任的履行承担举证责任;
(二)根据标准合同第三条第十二项,接收方应接受监管机构的监督管理,包括服从监管机构作出的决定以及提供已采取必要行动的证明等;
(三)根据标准合同第六条第二项,个人信息处理者解除标准合同时,通知监管机构。
第十条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。
收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门依法处置。
第十一条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。
第十二条 以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
第十三条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十四条 国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况,经协商一致后对本实施指引及附件进行修订。
第十五条 本实施指引自发布之日起生效。
出品:南都大数据研究院 数据安全治理与发展研究课题组
采写:南都研究员 李伟锋 袁炯贤
编辑:李伟锋
banquan@nandu.cc. 020-87006626
