“數據跨境新范式”系列報道
《個人信息出境標準合同辦法》《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》(以下簡稱《大灣區合同指引》)均明確提出:個人信息處理者向境外提供個人信息前,應當開展個人信息保護影響評估(以下簡稱“個保評估”),但兩者在評估內容、材料要求方面的表述均有明顯差異。相關要求的變動能否為個人信息處理者減輕數據出境合規負擔?開展評估時需要註意哪些細節?
側面體現對香港法律環境的認可
對比《個人信息出境標準合同辦法》與《大灣區合同指引》兩份文件可以看出,粵港澳大灣區(內地、香港)個人信息跨境流動標準合同(以下簡稱“大灣區合同”)對個保評估內容要求明顯減少。個人信息出境標準合同(以下簡稱“內地標準合同”)要求個人信息處理者向境外提供個人信息前,應當開展個保評估,重點評估以下六方面內容:
(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對個人信息權益帶來的風險;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
(四)個人信息出境後遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)境外接收方所在國傢或者地區的個人信息保護政策和法規對標準合同履行的影響;
(六)其他可能影響個人信息出境安全的事項。
大灣區合同僅要求個人信息處理者重點評估三方面內容,具體包括:
(一)個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性;
(二)對個人信息主體權益的影響及安全風險;
(三)接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。
數交數據經紀(深圳)有限公司專傢、廣和律師事務所信息網絡委主任、深圳-新加坡智慧城市合作計劃數據跨境管理小組專傢丁振贛指出,相關表述的變動不應被視為對個保評估要求的實質性改變。他提醒,我國《個人信息保護法》第五十六條已明確規定個保評估應當包括的內容,大灣區合同提出的評估要求與《個人信息保護法》無本質區別,隻是省去了對香港個人信息保護政策法規和出境風險的評估。
南都大數據研究院留意到,相較於內地標準合同,大灣區合同除了刪減個保評估要求外,還刪除“境外接收方所在國傢或者地區個人信息保護政策和法規對合同履行的影響”章節,從側面體現了對於香港作為接收方所在地的個人信息保護法律政策與法律環境的認可。
個人信息處理者應重視個保評估
在個保評估方面,《大灣區合同指引》另一個引發關註的焦點是未要求個人信息處理者在進行合同備案時提交個保評估報告。在丁振贛看來,免提交個保評估報告不能減輕個人信息處理者開展個保評估的義務:“個保評估是個人信息處理者實施個人信息出境行為前的必備合規動作,也是切實保護個人信息主體權益、降低數據合規風險的重要舉措,要倍加重視。”
泰和泰(深圳)律師事務所合夥人律師易懷炯、律師洪瑞成同時指出,盡管《大灣區合同指引》簡化了個人信息跨境流動的程序要求,但並未豁免企業應當履行的個人信息保護義務,特別是開展個保評估的義務。因此,企業不應認為指引實施後,相關部門就會放松對個人信息跨境流動的監管,企業仍舊應當以高標準,主動落實開展個保評估的義務。
南都大數據研究院也分別從香港特區政府資訊科技總監辦公室(下稱“香港資科辦”)的簡介會材料和大灣區合同文本確認,盡管個保評估報告不需在合同備案時提交,但個人信息處理者仍需在備案之日前三個月內完成該報告,並保存至少三年。
丁振贛建議,個保評估工作對於大部分個人信息處理者而言還是稍顯復雜,有需要的企業在第一次開展個保評估時,可以尋找專業的第三方機構協助實施,以降低合規風險。企業在首次評估中學習到方法框架,今後便可以自行開展個保評估工作。
材料查驗減少5個工作日
南都大數據研究院留意到,與內地標準合同相比,大灣區合同在“境外接收方的義務”中未再提出“允許個人信息處理者對必要的數據文件和文檔進行查閱”以及“應當按照相關法律法規要求直接或者通過個人信息處理者向監管機構提供相關記錄文件”等義務。
對此,金杜律師事務所合夥人律師寧宣鳳、合夥人律師吳涵、律師助理姚敏侶撰文指出,相關調整在保證香港個人資料私隱專員公署依照《個人資料(私隱)條例》正常開展個人資料保護和監督管理的同時,有效降低了香港企業在商業合作上針對所接收來自粵港澳大灣區內地個人信息時的合規顧慮。
此外,南都大數據研究院還註意到,大灣區合同在材料查驗時間上有所壓縮。《個人信息出境標準合同備案指南(第一版)》提出,對個人信息處理者提交的標準合同備案材料,所在地省級網信辦應在收到材料後的15個工作日內完成材料查驗,並通知備案結果。
廣東省互聯網信息辦公室發佈的《關於落實〈粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引〉的通知》提出,其將在收到紙質版材料後10個工作日完成材料查驗並通知結果。
香港資科辦發佈的《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同備案指南(適用於香港特別行政區)》承諾,將在收到備案文件後的10個工作日內通知個人信息處理者其備案結果。
BSI亞太區首席數據治理標準專傢、中國區首席安全官潘蓉認為,粵港澳大灣區在數據跨境方面不存在政治壁壘,因此更多的挑戰在於政府治理、企業業務、居民需求等方面因為數據、標準、流程不一致導致的不便。《大灣區合同指引》通過優化數據流通流程,有助於打破地域限制,促進數據的再利用。