研究成果
原创 | 机制创新、监管协同,内地与香港推动粤港澳大湾区数据跨境安全有序流动
发布时间:2023-12-14 08:59:03      来源:国家工业信息安全发展研究中心


机制创新、监管协同,

内地与香港推动粤港澳大湾区

数据跨境安全有序流动



    解读《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》


       在“一国两制”方针下,落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》,国家互联网信息办公室与香港创新科技及工业局于13日共同发布实施《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《实施指引》),及《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称《标准合同》)。《实施指引》聚焦粤港澳大湾区信息流快速流通的需求,统筹内地、香港关于个人信息保护的相关规定,明确标准合同的适用范围、备案流程、责任义务等具体要求,规范大湾区组织、个人跨境提供个人信息活动,对于完善国家数据跨境管理制度、支持粤港澳大湾区数据经济发展、促进数据领域国际合作具有重大意义。


立足国家战略,推动粤港澳大湾区数字经济高质量发展


粤港澳大湾区建设是习近平总书记亲自谋划、亲自部署、亲自推动的国家发展战略,是进一步丰富“一国两制”内涵、扩大改革开放、提升经济创新力和竞争力的重大实践。当前,粤港澳大湾区建设已取得阶段性重大成绩,粤港澳三地“1小时生活圈”基本形成,基础设施互联互通建设有效推进,数字经济发展成效显著。

《粤港澳大湾区发展规划纲要》提出“共建粤港澳大湾区大数据中心和国际化创新平台”“开放型经济新体制加快构建,粤港澳市场互联互通水平进一步提升,各类资源要素流动更加便捷高效”。基于《个人信息保护法》第四十条“法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”的授权,《实施指引》规定,“粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动”,豁免了达到一定规模的个人信息从粤港澳大湾区内地向香港流动的数据出境安全评估,推动跨境个人信息高效、安全交互。

国家互联网信息办公室与香港特别行政区政府创新科技及工业局、香港个人资料隐私专员公署共同制定适合我国国情的具有中国特色的数据跨境流动规则,打通了粤港澳大湾区内地、香港个人信息流通的堵点和壁垒,对加快推进粤港澳大湾区数字产业化和产业数字化、推动数字经济和实体经济深度融合具有重要意义。

兼顾两地法律,便利区域个人信息安全、自由双向流动


内地、香港两地法系与相关法律法规要求均存在一定差异,香港的《个人资料(私隐)条例》《跨境资料转移指引》,与内地的《网络安全法》《个人信息保护法》《数据出境安全评估办法》等,分别规定了不同的个人信息范围、个人信息处理者、个人信息处理合法性基础、出境安全管理要求、监管机构等事项,《实施指引》坚持属地管理原则,强化两地法规政策的衔接。

《实施指引》规定个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府资讯科技总监办公室进行标准合同备案,要求个人信息处理者及接收方接受属地监管机构的监督管理,强调不影响内地履行个人信息保护职责的部门和香港个人信息资料隐私专员公署在职责范围内依法加强个人信息保护和监督管理工作。同时,《标准合同》针对“个人信息处理者”“接收方”“个人信息”“个人信息主体”“监管机构”等定义,分别依据内地《个人信息保护法》与香港《个人资料(私隐)条例》进行详细阐述。并且,因香港《个人资料(私隐)条例》并无敏感个人信息等相关规定,此次《标准合同》也未对相关事项作出特殊规定。

《实施指引》“抹平”粤港两地跨境个人信息制度鸿沟,对通过国际条约或协定的方式开展个人信息出境活动作出具体制度安排,推动粤港澳大湾区数据市场共建、数据资源共享,促进区域开放合作与协调发展。

明晰适用规则,压实个人信息处理者与接收方保护职责


《实施指引》坚持统筹发展与安全,在提供粤港澳大湾区个人信息跨境流动便利措施的同时,强调保护个人信息权益,要求个人信息处理者和接收方履行标准合同列明的义务和责任。对于涉及向粤港澳大湾区以外的组织、个人提供个人信息,被相关部门、地区告知或者公开发布为重要数据的个人信息等情形的,不适用本《实施指引》,以切实防范个人信息出境安全风险。

《实施指引》明确个人信息处理者及接收方应当对所备案材料的真实性负责,规定个人信息处理者告知同意、影响评估,以及与接收方均需履行应急处置、配合监管等义务和责任。要求个人信息处理者及接收方备案材料包括法定代表人身份证件影印件、承诺书、标准合同,虽未提及个人信息保护影响评估报告,但《实施指引》强调“个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估”,即香港个人信息处理者也需要履行相应职责,这既是对香港《保障个人资料:跨境资料转移指引》中关于资料使用者评估接收者资料保障机制的回应,又提高了个人信息跨境流通的合规水平。

《标准合同》以具有法律效力的文件形式,细化个人信息处理者及接收方的义务和责任,规定了跨境提供个人信息最小必要原则、告知个人信息主体的内容、尽合理的采取技术和管理措施、向个人信息主体提供合同副本等事项,要求保障个人信息主体知情权、决定权、删除权等权利。并且《实施指引》规定,有关部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件,需要交由其他执法部门处置的,交由相关部门依法处置,进一步督促个人信息处理者或者接收方依法依规开展个人信息处理活动。


打造合作样板,主动构建数据跨境国际合作的中国模式


当前,全球主要国家和地区在数据域外管辖权、数据治理原则、隐私保护要求、涉公共利益数据等方面的法律法规存在较大差异,导致数据跨境流动国际合作的理念、原则与机制等方面存在较为严重的分歧,一定程度上影响了数据的有效利用,阻碍了全球数字经济发展。如何找到安全和发展的利益平衡点,已成为当前全球数据跨境流动合作的关键难题。

粤港澳大湾区具有“一国两制”的制度特殊性,区域内包含一个国家、两种制度、三种法系、多种文化,港澳两个特别行政区均有独立的立法、执法和司法机关。《实施指引》推动了粤港澳大湾区数据跨境流动的机制创新,一方面促进大湾区内数据要素的便利流动,推动大湾区融合发展;另一方面提供了合理统筹了各方法律法规要求的路径与方法,构建了中国版“标准合同”国际合作范本,为全球数据跨境流动合作提供重要的借鉴。

总之,《实施指引》开启数据跨境流动企业承诺与监管创新的双重奏,盘活了粤港澳大湾区内地、香港的数据要素资源,推动香港更好融入国家发展大局,促进广东省九市联动香港主动融入国际数据合作的大局,对于推动我国与其他国家和地区的数据跨境合作,促进、引领数据领域国际合作具有重要意义。

(国家工业信息安全发展研究中心  杨晓伟)

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.