作者:金茂律师事务所 万波 律师 曹天鸣 实习生
2023年12月10日,国家互联网信息办公室与香港特区政府创新科技及工业局发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《粤港澳指引》”)以及相应的个人信息出境标准合同文本《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称“《粤港澳标准合同》”),并于发布当日起实施。相比起今年6月正式实施的《个人信息出境标准合同办法》(以下简称“《办法》”)以及相应的个人信息出境标准合同文本(以下简称“内地《标准合同》”),两者总体框架相似,但在文件目的、适用范围、备案流程,以及各自标准文本的条款设置方面有所不同。
本文将从整体上出发,分析对比《粤港澳指引》与《办法》两部文件,再逐一比对两部文件相应的标准合同条款,并就条款设置的区别进行分析。
一、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》解读
(一)文件目的
2023年6月,网信办出台的《办法》在中国内地正式实施,其明确了境外接收方处理个人信息的活动达到中国的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务等,为相关拟开展个人信息出境工作的企业提供了有力的实践指引。不同于《办法》主要为严格规范个人信息出境流动的目的,本次《粤港澳指引》的出台主要旨在为粤港澳大湾区间企业的个人信息跨境流动“减负”,促进粤港澳大湾区个人信息安全有序流动,协同联动打造“粤港澳大湾区数据特区”。
此前,若内地的个人信息处理者向香港地区的个人信息接受者传输个人信息,需要依照更为严格的《办法》规定要求双方签订《标准合同》,并进行相关备案手续。在《粤港澳指引》施行后,粤港澳大湾区内的企业则能够依照更为精简、便捷的《粤港澳指引》及《粤港澳标准合同》进行相关备案手续,极大优化了数据流通机制。
(二)适用范围
从适用范围上看,根据《粤港澳指引》第二条规定,该文件的适用范围为注册(适用于组织)或位于(适用于个人)“广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区”的个人信息处理者及接收方,也即本次主要为粤港间的数据流通创设了便利条件。但是,需要格外注意的是《粤港澳指引》要求个人信息处理者及接收方双方需同时满足注册或位于粤港澳大湾区的条件,即一方不在粤港澳大湾区即不在本指引适用范围之内。
另一方面,《粤港澳指引》对于适用的个人信息处理者的范围相较《办法》更为宽松。《办法》参照了《数据出境安全评估办法》第四条规定,在下列四种情形下需要进行数据出境安全评估,而不能适用内地《标准合同》:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。相较之下,《粤港澳指引》第二条明确规定,被相关部门、地区告知或者公开发布为重要数据的个人信息不适用《粤港澳标准合同》。对比而言,《粤港澳指引》并未提及个人信息的数量、时间的要求,这意味着拥有大体量数据的个人信息处理者也能够依据《粤港澳指引》,无需申报数据出境安全评估。
(三)重点比较
与《办法》相比,《粤港澳指引》有以下几点值得额外关注:
1、《粤港澳指引》第四条明确通过订立标准合同跨境提供个人信息应当履行标准合同列明的义务和责任,其中强调了个人信息处理者及接收方不得向粤港澳大湾区以外的组织、个人提供个人信息。该条表明了《粤港澳指引》下,个人信息的流通范围应当严格仅限在粤港澳大湾区之内。
2、《粤港澳指引》第五条简化了《办法》中的评估内容,删去了个人信息出境后风险、境外接收方政策评估,保留对以下内容重点评估:
(1)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
(2)对个人信息主体权益的影响及安全风险;
(3)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
笔者认为,该条的简化是基于内地对香港《个人资料(私隐)条例》等相关法律对个人信息保护的充分了解与信任,很大程度上减轻了评估工作的负担。
3、《粤港澳指引》要求个人信息处理者及接收方在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案,需要提交的材料有:(一)法定代表人身份证件影印件;(二)承诺书;(三)标准合同。不同于《办法》,《粤港澳指引》删去了备案时提供《个人信息保护影响评估报告》的要求,很大程度上减轻了企业通过备案的难度。
4、此外,《粤港澳指引》第七条对《办法》中重新展开评估的情况表述进行简化;第九条强调了个人信息处理者及接收方接受属地监管机构的监督管理;第十条对《办法》中违反办法的规定之后果进行细化,在未履行《粤港澳指引》及《粤港澳标准合同》要求的义务和责任的情况下,有关部门接受相关投诉、举报,并可要求其进行整改或对其依法处置;第十二条明确了内地与香港双方有关部门将协力工作,加强个人信息保护的工作。
二、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》解读
《粤港澳标准合同》保留了内地《标准合同》的框架,涵盖的内容包括合同相关定义、个人信息处理者及接收方的义务和责任、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息跨境提供说明、双方约定的其他条款等两个附录。
下表为内地《标准合同》与《粤港澳标准合同》的对比:
相较于内地《标准合同》,《粤港澳标准合同》在总体框架上除了将“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”整条删除之外,并无太大的变动。以下对有较大变化部分进行解读。
首先,《粤港澳标准合同》从术语定义、合同义务履行方面尊重属地法、基于境外接收方更大合同适用与解释空间。在术语定义方面,《粤港澳标准合同》在内地《标准合同》的基础上考虑了香港当地的定义,例如第一条中对于“个人信息处理者”与“个人信息主体”的定义中额外考虑了香港对于“资料使用者”与“资料当事人”的说法;将监管机构、相关法律法规的定义相应扩大,同香港当地监管部门与相应规定同步,这将极大便利粤港间对《粤港澳标准合同》的适用与数据的流通。此外,在合同义务履行方面,《粤港澳标准合同》明确关于个人信息处理者与接收方的义务和责任符合属地相关法律规定即可。例如,在第三条第一项中“个人信息处理者属地相关法律法规要求不需要告知的,从其规定”,简化内地《标准合同》中的内容,给予了香港属地《个人资料(私隐)条例》适用的空间。
其次,《粤港澳标准合同》简化了个人信息保护安全评估的内容,有效减轻了备案负担。《粤港澳标准合同》相较于内地《标准合同》,最显著的变化是将“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”内容整条删除,无需再对香港的个人信息保护水平进行评估,此举从侧面体现了内地对香港作为境外接收方,适用《个人资料(私隐)条例》等相关法律具有 “适当保护水平”之肯定。此外,在个人信息保护影响评估时的内容也如上文“三、重点比较”中所述有所简化。
最后,《粤港澳标准合同》对接收方向第三方提供个人信息的限制更宽松,便利了粤港澳大湾区辖区内数据的再流转。内地的《标准合同》中对境外接收方向中国境外第三方提供个人信息提出了高标准,需要满足“业务需要+告知+依照法律法规要求取得同意+第三方保证+书面协议副本”,此外合同中对于敏感个人信息、儿童个人信息等有更严格的要求。然而,《粤港澳标准合同》第三条第八项中,接收方满足“业务需要+告知+依照法律法规要求取得同意”即可向粤港澳大湾区辖区内第三方再流转数据,有助于促进辖区内的数据流通。