W&W团队解读:《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》
文/ 王捷 倪子媛 邱世贸
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
11月1日,全国信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》(“《粤港澳跨境要求(征)》”),针对粤港澳9+1个城市完善跨境指引。基于大湾区一国两制三法系特殊性,粤港澳三地对于“个人信息”的定义和划分及个人信息处理规则等方面存在差异,也导致监管范围和力度上存在不同。此文希望简要通过划重点的方式,给粤港澳大湾区的企业些许参考。
第一节 适用范围
(一)未包含澳门特别行政区
根据《粤港澳跨境要求(征)》,本文粤港澳大湾区指9个城市(广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,及香港特别行政区的个人信息处理者),但未见包含“澳门特别行政区”字样。
(二)个人信息处理活动全纳入要求范围,
不仅仅是跨境传输
首先厘清两个概念区别:
个人信息跨境传输:存在提供方与接收方两方,个人信息跨境传输的情形可见《数据出境安全评估申报指南(第一版)》关于“数据出境行为”的定义。
例:广州A公司将客户信息传输给香港B公司 OR 香港B公司直接访问、调用广州A公司储存在内地服务器的个人信息。
个人信息跨境处理:境外机构直接采集境内自然人的个人信息并进行处理,适用《中华人民共和国个人信息保护法》(以下简称为《个保法》)第3条第2款而落入《个保法》管辖。
例:香港A公司设立面向内地用户的购物网站,直接采集、分析内地用户使用该购物网站时自主提供或自动收集的信息。
综上,《粤港澳跨境要求(征)》在地理范围上适用于粤港澳大湾区9+1城市与地区(未含澳门),在数据处理范围上覆盖个人信息全生命周期(收集、存储、适用、加工、传输、提供、公开、删除),若港企或内地大湾区规定的9个城市企业存在跨境处理活动,可参考该文件处理个人信息。
第二节 重点快评
—强调了哪些?
(一)香港内地逐渐保持一致
《粤港澳跨境要求(征)》在强调重述《个保法》的各项要求中,融入了香港《个人资料(私隐)条例》中的相关规定,同时强调各地需遵守属地法律法规。例如:
*强调商业营销行为:《个人资料(私隐)条例》中专章强调了使用个人信息进行商业营销,需征得个人信息主体同意,对应《粤港澳跨境要求(征)》4.3条d和c项。
*响应个人信息主体权力请求日期为40日或属地法律法规。《粤港澳跨境要求(征)》的5.2条b项:要求个人信息处理者收到请求后的40日内或属地法律法规期限内响应,对应《个人资料(私隐)条例》第五部分19条。
(二)不允许转移至粤港澳大湾区之外第三方
《粤港澳跨境要求(征)》的4.5.2条c项与d项,强调接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方,未来官方将积极促进粤港澳大湾区内的个人信息处理者之间数据流通,尽可能降低大湾区内数据合规成本。例如未来大湾区内的数据跨境处理无需签署SCC,相关认证手续可以简化等等。
第三节 如何利好
大湾区企业?
基于大湾区一国两制三法系的特殊性,粤港澳三地对于“个人信息”的定义和划分及个人信息处理规则等方面存在差异,也导致监管范围和力度上存在不同。本实践指南的发布虽无较多实践指导,但代表着一种趋势,对于粤港澳大湾区企业为利好,为个人信息跨境处理认证落地再添保障。结合国庆前《规范和促进数据跨境流动规定(征)》可能很快会生效,也大大减轻了粤港澳大湾区个人信息处理者的合规负担。具体后续如何,我们期待湾区认证制度的落地。
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
亚太观察 | 韩国:PIPC公布违反个人信息保护法的惩戒标准