2023年12月13日,国家互联网信息办公室(下称“网信办”)官网公布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“大湾区实施指引”),《 大湾区实施指引》由国家网信办和香港创新科技及工业局共同制定。就粤港澳大湾区(下称“大湾区”)内地个人信息跨境向香港流动开展内地标准合同备案,我们整理出如下十个问题,并作相应解答探讨。
1. 注册于大湾区的分公司可以适用《大湾区实施指引》吗?
《大湾区实施指引》第二条明确规定,个人信息处理者(本文仅指组织,下同)应当注册于大湾区内地部分的九个城市(广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)或香港。鉴于《中华人民共和国个人信息保护法》(下称“个人信息保护法”)规定的个人信息处理者并不局限于法人主体,我们倾向于认为分公司注册于大湾区内地的可以适用《大湾区实施指引》。
2. 跨境提供前还必须要取得个人信息主体的同意吗?
《大湾区实施指引》第四条规定跨境提供前,个人信息处理者应当按属地法律法规要求履行告知义务“或”取得同意。此处用词为“或”,不是“或/和”,那对于内地的个人信息处理者而言,是否可以仅履行告知义务呢?我们认为,内地个人信息处理者还是需要取得个人信息主体的同意,因为《个人信息保护法》第三十九条明确规定,跨境提供的应当同时履行告知义务和取得单独同意。
3. 香港A公司自内地接收个人信息后,是否可向欧洲总部或香港B公司提供?
《大湾区实施指引》系为促进大湾区数据跨境流动而制定,其明确规定个人信息不得向大湾区以外的组织或个人提供。因此,欧洲总部公司不可以访问香港公司从内地获取的个人信息。
根据《大湾区实施指引》附件1《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(下称“大湾区标准合同”)第三条,同时满足以下四个条件的方可向同辖区的香港B公司提供个人信息:
• 确有业务需要;
• 按照《大湾区标准合同》附录一“个人信息跨境提供说明”所列约定提供;
• 已告知个人信息主体香港B公司的名称、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项;
• 基于个人同意处理个人信息的,应当取得个人信息主体同意。
4. 个人信息保护影响评估有哪些简化?
《大湾区实施指引》并没有直接豁免《个人信息保护法》第五十五条规定的个人信息保护影响评估义务,但和2023年2月《个人信息出境标准合同办法》相比,《大湾区实施指引》要求重点评估的内容有所缩减,删除了《个人信息出境标准合同办法》附件《个人信息出境标准合同》(下称“国家标准合同”)下的“出境个人信息的规模、范围、种类、敏感程度”,“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”,“个人信息权益维护的渠道是否通畅”,“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”等。
此外,《大湾区实施指引》第八条规定内地个人信息处理者向广东省网信办提交的备案材料中没有《个人信息出境标准合同办法》下的个人信息影响评估报告,但结合《大湾区实施指引》附件2《承诺书(模板)》中的第三点承诺,“个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化”,内地个人信息处理者还是需要依法开展个人信息保护影响评估,只是个人信息影响评估报告将不再作为备案提交材料。
5. 内地个人信息处理者发生个人信息安全事件的应当通知广东省网信办还是国家网信办?
《大湾区实施指引》第十一条规定,发生个人信息泄露等安全事件的,内地个人信息处理者应当按照属地通知“国家互联网信息办公室、广东省互联网信息办公室”,此处的通知对象有待明确。如参照国家网信办2023年12月8日公布的《网络安全事件报告管理办法(征求意见稿)》下的报告对象,属于重大或特别重大网络安全事件的,那应当上报国家网信办。
6. 内地个人信息处理者还需要特别关注敏感个人信息吗?
《大湾区实施指引》重点评估内容没有规定个人信息的敏感程度,重新备案的触发情形没有规定敏感程度的变化,个人信息处理者的义务中没有规定告知敏感个人信息提供的必要性以及对个人信息主体权益的影响,《大湾区标准合同》附录一“个人信息跨境提供说明”未要求说明“出境敏感个人信息种类”。尽管如此,我们倾向于认为,内地个人信息处理者还是应当按照内地关于敏感个人信息的相关规定履行相应的合规义务,例如,《个人信息保护法》第三十条下的特殊告知义务。
7. 接收方超出约定处理目的、处理方式和处理的个人信息种类是否需要重新取得同意?
发生此种变化的,《国家标准合同》规定,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意。而《大湾区标准合同》第三条规定的是接收方应当事先告知个人信息处理者,补充或者重新订立标准合同,并履行相应备案手续。《大湾区标准合同》是否是以重新备案替代单独同意还有待内地网信部门的进一步明确。
8. 《大湾区标准合同》有减轻个人信息接收方的义务或责任吗?
《国家标准合同》第三条要求境外接收方承诺允许个人信息处理者对必要数据文件和文档进行查询,承诺按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关个人信息处理活动记录文件。而《大湾区标准合同》未保留这两点内容,这将有利于标准合同文本的签署,降低合同双方的沟通成本。
需要留意的是,《大湾区标准合同》第三条中新增了一项义务,即当接收方所在地的政府部门、司法机构要求接收方提供标准合同项下个人信息的,接收方有立即通知个人信息处理者的义务。
9. 内地个人信息处理者解除标准合同后必须通知属地监管机构吗?
《国家标准合同》规定个人信息处理者在特定情形下有权解除标准合同,并“在必要时”通知监管机构。而《大湾区标准合同》第六条则明确规定个人信息处理者应当通知属地监管机构。我们理解,此处的属地监管机构应该指广东省网信办。《大湾区标准合同》第六条同时删除了《国家标准合同》下解除权触发情形之一的“接收方遵守本合同将违反其所在国家或者地区的法律规定”。
10. 为个人信息自内地向香港流动而签署的《大湾区标准合同》可以约定适用香港法吗?
《大湾区标准合同》第八条规定,合同的成立、效力、履行、争议,适用“个人信息处理者”属地相关法律法规,第一条同时明确定义该合同所称“个人信息处理者”为个人信息跨境提供方。当个人信息自内地向香港流动时,个人信息跨境提供方属地位于内地,因此,应当适用内地的法律法规,双方不可另行约定适用香港法。
结语
《大湾区实施指引》的出台有利于促进粤港澳大湾区数据跨境流动,但就个人信息自内地向香港流动而言,《大湾区实施指引》并未实质改变内地现行个人信息保护法等法律法规下的标准合同备案相关合规义务。内地个人信息跨境提供方还需密切关注正在征询意见中的《规范和促进数据跨境流动规定》正式稿出台,并提前做好相应准备。
(以上)
声明上述内容仅供交流探讨,非法律意见或建议。讨论、咨询、稿,请后台留言。
继续阅读
阅读原文