从香港个人资料跨境传输规则展望与内地的数据跨境流动合作

2022-04-22

以下文章来源于关键基础设施安全应急响应中心。

关键基础设施安全应急响应中心

国家互联网应急中心下属机构，专门致力于国家关键信息基础设施的网络安全应急保障工作，开展相关领域的关键技术研究、安全事件通报与应急响应。

一、引言

为了落实《网络安全法》中关于数据出境的基本框架，国家互联网信息办公室分别于2017年和2019年就数据出境安全评估出台过两个办法的征求意见稿。随着2021年《数据安全法》和《个人信息保护法》的相继实施，上述两个征求意见稿被同年颁布的《数据出境安全评估办法（征求意见稿）》所替代，正式版预计会很快出台。这些都标志着我国数据出境安全管理制度建设正在处在“加速期”。

香港特别行政区凭借其国际金融中心、贸易中心、航运中心等优势，一直以来作为连接内地与国际的重要纽带，承接来自内地的资本、劳动力、技术等生产要素。近年来数字经济高速发展，涉港的数据跨境流通也日益频繁。党中央、国务院发布的《粤港澳大湾区发展规划纲要》强调要探索有利于信息等创新要素跨境流动和区域融通的政策举措，例如促进信息等要素的跨境和区域流动、加强医疗数据和生物样本跨境使用的管理等，为香港在大湾区数据跨境流动扮演重要角色提供了机遇。而2022年初实施的新修订版《网络安全审查办法》将涉数据企业上市需进行网络安全审查的范围限定在“国外”，也给香港的资本市场以及与内地数据互联互通带来很多想象空间。

本文拟通过初探香港的个人资料跨境传输规则，展望其与内地在数据跨境流动领域的合作前景。

二、港个人资料跨境传输的相关规定

（一）《个人资料（私隐）条例》

香港早在1995年便出台了《个人资料（私隐）条例》（“条例”），是亚洲最早全面保障个人信息的法域之一。其中关于数据跨境传输的规则是第33条。然而，该第33条至今迟迟未实施。即使2021年香港立法會对《条例》进行修订，也未改变这一现状。

1.基本概念

《条例》中没有使用中国大陆常用的“个人数据”或“个人信息”的概念，而是采用了“个人资料”一词。根据《条例》第2条的定义，个人资料是直接或间接与个人有关的，从该资料中可以确定有关个人身份的，存在形式可以查询或处理的资料。可以看出，《条例》“个人资料”与欧盟通用数据保护条例（GDPR）中“个人数据”及中国大陆《个人信息保护法》中“个人信息”有细微差别，《条例》强调“确定”性（即要明确到具体个人身份），而后两者强调“可识别”性（即仅需从群体中挑出个体，无需具体到个人身份）。另外，《条例》中也未对这一概念进行细分，如敏感个人信息等。

同时，该条例中也未对资料跨境作出定义。不过，香港数据保护机构（即香港个人资料私隐专员公署）出台了《》，在该指南中对资料跨境做出如下定义：“将资料转移到香港以外的地方，通常表现为将个人资料从香港发送或者传输到另一个司法管辖区进行储存或者处理等行为。例如，通过快递、邮寄或电子方式发送包含个人数据的纸质或电子文件。”

2.资料跨境传输的具体规定

《条例》第33条是对资料跨境传输的专门规定。根据该条款，个人资料原则上不能被传输至香港之外，除非：

（a）传输目的地有与《条例》大体上相似或有已经生效的与本条例的目的相同的法律（类似欧盟GDPR的“白名单”制度），

（b）使用者有合理理由相信该地存在有这种法律，

（c）有关的资料当事人已通过书面同意该项传输，

（d）该使用者有合理理由相信：(i)该项传输是为避免针对资料当事人的不利行动或减轻该行动的影响而作出的；(ii)获取资料当事人的书面同意不是切实可行的；及(iii)如获取书面同意是切实可行的，资料当事人会给予上述同意，

（e）该资料凭借《条例》第8部项下获得豁免，包括执行司法职能、个人事务、雇佣等事由，

（f）该使用者已采取所有合理的预防措施并已作出所有应尽的努力，以确保该资料不会在传输目的地以违反《条例》的方式收集、持有、处理或使用。

然而，鉴于上述条款尚未实施，现阶段将个人资料传输出香港并无任何限制。不过，资料使用者在将个人资料传输到境外时，仍然有义务遵守《条例》的其他规定，如第4(2)条要求资料使用者在个人资料传输给处理者情况下负有安全保障义务。此外，香港个人资料私隐专员公署还鼓励资料使用者遵循《》的相关指引。

（二）《跨境资料转移个人保护指南》

香港个人资料私隐专员公署于2014年公布了《跨境资料转移中的个人资料保护指南》（“指南”），专门针对跨境资料传输中资料使用者义务所提供合规指引，旨在帮助资料使用者们了解在第33条生效后，其在资料跨境传输中需要承担的相关责任。

1.对《条例》第33条适用范围的澄清

如果一个位于香港的个人或实体向同样位于香港的接收者传输资料，但互联网路由经过香港以外的地方，根据《指南》的规定，这种情况不属于《条例》第33条调整的范畴。然而，如果接收者位于香港以外，则需要遵守《条例》第33条的规定，例如：跨国公司在位于香港的内部服务器中储存个人数据，但其在香港以外的雇员被允许下载个人数据，这也属于《条例》第33条调整的范畴。

此外，《指南》中特别提到，资料使用者将个人资料处理工作委托给第三方处理者的趋势日益普遍。这种趋势下，资料使用者必须通过订立合同或其他方法，防止资料被传输至资料处理者后的保存时间超过处理该资料所需的时间（即第三方处理完资料后不得保存该资料），并防止未经授权的查阅、处理、删除、遗失或使用，例如：资料使用者将客户的个人资料转交位于香港以外的实体，以便直接进行电话促销。在这种情况下，该实体在使用个人资料促销时，仍须遵守《条例》的规定。同时，资料使用者仍需就其授权的代理所作的行为负责。

2.对《条例》第33条中例外的说明

关于《条例》33条所提的例外（即可以跨境传输的情形），《指南》中作了进一步的说明。

首先，《条例》第33(2)(b)条关于接收者所在地有“与本条例基本相似或具有相同目的的任何法律生效”，这一例外情况主要是针对未经评估的司法管辖区，而非经审查并认定不足以列入白名单的司法管辖区。

如果个人资料的接收人不在白名单中，资料使用者仍可把个人资料传输到香港以外的地方，只要其有合理理由相信该地方有“与条例实质上相似或目的相同”的法律。为满足这项规定，资料使用者应自行对拟接收者所在地的资料保护（或数据保护）制度进行专业评估。评估应考虑多项因素，包括适用范围、是否有相同的原则、当事人的权利及救济方法、遵守程度及传输限制等。资料使用者不能仅依赖于主观信任，必须能够证明其相信是合理的。资料使用者在进行评估时可以参考编制白名单时所采用的方法。

其次，《条例》第33(2)(c)规定基于当事人同意是资料境外传输的依据之一。《指南》中明确，这种同意需要以书面形式明确和自愿地作出，并且没有被撤回。对于资料使用者来说，取得同意是一项更严苛的要求，因为给予同意表明资料当事人允许其个人资料被送往一个资料隐私保护水平不确定，甚至可能不合标准的地方。资料当事人应被告知传输个人资料的目的和作出这种同意的后果，即个人资料被传输到另一个地方后，可能受到较低标准的保护。而且，为了取得资料当事人对传输的书面同意，资料使用者应以容易理解和可读的方式，向资料当事人提供有关其个人资料将被传输到哪些地方的信息。

第三，《条例》33(2)(d)允许为避免和减轻对资料当事人的不利影响而进行的跨境传输。该例外适用于传输前无法获得资料主体同意，但为保护资料主体的利益而必须进行传输。例如：包括为履行资料主体为当事人的合同而必须传输，如果不进行传输，资料主体将遭受重大经济损失。必须注意的是，这一例外的适用范围很窄，即资料使用者必须证明他们的相信是合理的，并提供相关的事实情况。

第四，《条例》32(2)(f)中还规定了资料使用者可以在采取合理的预防措施和尽职调查情况下再传输。《指南》中表明，在传输各方之间签订具有可执行性的合同是满足这一例外情况的方法之一。《指南》在附件中设计了一套资料传输条款的范本，但这一示范条款仅是建议，并非强制。如果是发生在集团内部的跨境转移，那么资料使用者应当实施足够的内部保障措施和政策，这一情形类似于GDPR中的“约束性企业规则”（BCR），但目前香港个人资料私隐专员公署尚未出台相应的范本或指南以明确“内部保障措施和政策”的具体内容。

三、对《条例》33条生效问题的分析

关于《条例》33条迟迟无法生效的原因，可以从香港前个人资料私隐专员黄继儿大律师在2020年1月“大湾区数据互联互通与安全发展高峰论坛”上的报告中窥见端倪。该报告中提到，推迟实施第33条主要是因为“资料处理的数码化和企业经营的全球化加剧了在港经营企业对33条的担忧”。具体而言，包括以下四方面的原因：（1）企业担忧33条实施后将对其日常经营产生影响；（2）中小企业对合规感到困难；（3）缺乏公署的指南，加剧了合规的难度；（4）企业实施合规措施需要更多的时间。由此可见，香港作为国际经贸交往的中心，在港企业对于数据自由流动具有较高的需求。因此，香港地区数据保护和数据自由流动之间的矛盾格外突出，如何在二者之间作出平衡是香港立法者当前面临的艰难抉择。

四、内地与香港数据跨境流动合作的建议

如前文所述，中国大陆正在加快建立数据出境安全管理制度，《数据出境安全评估办法》等配套法规文件实施在即。鉴于香港与大陆处于不同法律区域，数据在两地之间流动即构成跨境流动，届时入港数据将面临大陆的相应监管措施（如《个人信息保护法》第38条规定的安全评估、认证或订立标准合同）。然而香港与大陆虽然“两制”，但毕竟是“一国”，数据在两地之间流动能否建立起某种“简化安排”或“便利通道”，以便促进互联互通是一个值得探索话题。要达到该目标固然涉及多方因素，但《条例》33条的早日生效必将产生正向作用，毕竟这给入港数据再出境创建了一道“安全阀”。

此外，《条例》由于制定时间早，在保护范围、数据主体权利、处罚措施等方面的规定相较于近年来国际上主流的立法实践来说略显落后，以处罚措施为例：《条例》中并未直接规定违反条例的行为将受到的处罚，即使违反执行通知也仅处以每日1000港币的罚款，而《个人信息保护法》的处罚金额则可能高达人民币5000万或上一年度营业额5%。这样较为宽松的立法现状亟待补强。

为了促进内地与香港数据跨境流动合作，笔者提出如下几点建议：

1.修改和完善《条例》，尽量与内地相关法律接轨（例如，将“个人资料”定义范围扩大至与内地《个人信息保护法》中的“个人信息”一致），以便“车同轨，书同文”，并将两地的个人信息保护水平拉齐。

2.对于接收大陆个人信息的香港主体采取认证机制，取得认证的香港接收方可以直接接收大陆数据。

3.在香港建立监督机制，持续监督入港数据的存储、使用、传输等处理情况。

4.在完善第33条配套规则的基础上，推动第33条尽快生效，以确保入港数据向第三地再传输时具有一定限制规范，以免使香港成为内地数据出境安全管理的“短板”。

我们相信香港立法专家们可以发挥智慧在制度建设上有所创新和突破，探索在确保安全的前提下，让数据在内地与香港之间有序流动，以便发挥自身独特优势，促进粤港澳大湾区建设，也有助于其早日建成国际数据中心。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。