出海实务 | 《大湾区标准合同》事前、事中、事后如何实操？《大湾区实施指引》系列解读（三）

Original W&W国际法律团队出海互联网法律观察

2024-08-25

团队介绍：

W&W国际法律团队，国内外一站式法律合规顾问

W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域，如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。

（如有项目需求或了解代表案例，欢迎联系。）

联系方式：

邮箱：jie.wang@kindinglaw.com

TEL：+86 13650790754

文/ 王捷律师团队

引言

2023年12月31日，国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同发布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称为《大湾区实施指引》）。

继上期文章介绍了《大湾区实施指引》的效力、适用范围、开展流程等方面内容，本系列第三期将就标准合同的解除、备案、监管和先行先试安排等其余焦点内容，为企业带来详细的实操分析。

推荐阅读：

出海实务 | 中国数据出境政策现状如何？《大湾区实施指引》全面解读（一）

出海实务 | 简化粤港澳大湾区数据跨境手续，企业需要了解的To do list（附官方问答）《大湾区实施指引》系列解读（二）

《大湾区实施指引》

内容解读

合同解除、违约责任与适用法律

什么情况下会导致《大湾区标准合同》的解除？

《大湾区标准合同》第六条规定了合同的解除事宜。

首先，接收方违反《大湾区标准合同》约定的义务和责任，或者被采取强制性措施导致无法履行《大湾区标准合同》的，个人信息处理者可以暂停向接收方提供个人信息，直到违约行为被改正或者合同被解除。

其次，有下列情形之一的，个人信息处理者有权解除本合同，并通知个人信息处理者属地监管机构：

由于境外接收方违反《大湾区标准合同》约定的义务和责任，或者被采取强制性措施导致无法履行本合同，个人信息处理者暂停向境外接收方提供个人信息的时间超过 1 个月。
接收方严重或者持续违反《大湾区标准合同》约定的义务和责任。
根据主管法院或者监管机构作出的终局决定，接收方或者个人信息处理者违反了《大湾区标准合同》约定的义务和责任。

另外，出现第3种情形时（即上文的“根据主管法院或者监管机构作出的终局决定，接收方或者个人信息处理者违反了《大湾区标准合同》约定的义务和责任”），接收方也可以解除《大湾区标准合同》。

最后，合同的解除并不免除合同双方在个人信息处理过程中的个人信息保护义务和责任。不同于《标准合同》的是，《大湾区标准合同》解除的情形不包括接收方遵守标准合同将违反其所在国家或者地区的法律规定。需要注意《大湾区标准合同》要求在合同解除时个人信息处理者应当通知属地监管机构，而《标准合同》则规定必要时通知监管机构，可见，对于《大湾区标准合同》的签订主体，在合同解除时，需要注意履行通知义务。

《大湾区标准合同》签订后需要注意什么？

合同签订后，双方必须遵守其属地的法律法规及履行合同约定的权利和义务，以及个人信息保护的义务和责任，并承担违反合同约定的责任。

需要注意的是，“任何一方因违反本合同而侵害个人信息主体享有的权利，应当对个人信息主体承担民事法律责任，且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任”，即违约方如果在侵害个人信息主体权利的同时违反了相关行政、刑事法律的规定，应当同时承担相应的民事法律责任和行政、刑事法律责任。

在合同双方应承担连带责任的情况下，个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时，有权向另一方追偿。例如，位于广州的A公司作为出境方和位于香港的B公司作为接收方共同侵害了位于广州的个人信息主体C的个人信息权益，C由于地域、交通等原因不便向B公司追责，可以请求A公司先承担全部的责任。随后，A公司可向B公司追偿其承担的超过其责任份额的部分。

《大湾区标准合同》的解释遵循什么样的原则？

遵循属地原则。在合同的解释方面，《大湾区标准合同》第八条规定，“本合同应当按照个人信息处理者属地相关法律法规适用的规定进行解释，不得以与个人信息处理者属地相关法律法规适用的规定的权利、义务和责任相抵触的方式解释本合同。”适用个人信息处理者属地相关法律法规对《大湾区标准合同》进行解释（如个人信息处理者注册于或位于内地，则按照内地相关法律法规解释，注册于或位于香港，则按香港地区的相关法律法规进行解释），体现了对出境个人信息的保护，保障了个人信息跨境传输活动受到个人信息处理者所在地的相关法律法规保护。

备案实操

《大湾区标准合同》备案应当提交哪些材料？

《大湾区实施指引》规定的事后备案手续相较内地标准合同的备案手续有所简化，有助于企业降低合规成本，详细对照可参考下表：

《大湾区实施指引》虽然要求个人信息处理者和接收方在开展个人信息跨境传输活动前进行个人信息保护影响评估，但却并未要求将个人信息影响评估报告作为备案材料提交。此安排降低了企业准备备案材料的工作量，但不意味着个人信息处理者可以先不开展个人信息保护影响评估，监管机构有可能在监管过程中要求查阅跨境提供个人信息前开展个人信息保护影响评估后制成的个人信息保护影响评估报告，以监督管理个人信息处理者和接收方的个人信息跨境传输合规情况。

个人信息处理者和接受方是否都需要进行备案？

在备案实操方面，《大湾区实施指引》要求个人信息处理者及接收方按照属地向广东省互联网信息办公室或者香港特区政府资讯科技总监办公室进行标准合同“双备案”，即个人信息处理者与接收方都要办理备案手续。经向有关单位咨询，内地企业如果作为数据出境方向香港企业传输个人信息，需要向省网信办提交备案材料并履行备案程序；如果内地企业作为数据接收方接收香港企业传输的个人信息，主要需要履行告知义务。

备案手续包括哪些流程？是否有具体的指南可以参考？

香港特区政府资讯科技总监办公室发布的《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案指南》（以下简称为《香港特区备案指南》）以及广东省网信办发布《关于落实〈粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引〉的通知》（以下简称为《广东备案指引》）进一步明确了注册于大湾区内的个人信息处理者及接收方个人信息跨境流动标准合同的备案流程。

广东省网信办发布的《广东备案指引》仅适用于大湾区广东省内地九市（粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案指南）的个人信息处理者及接收方备案。《香港特区备案指南》仅适用于香港特区的个人信息处理者（资料使用者）及接收方。

根据《广东备案指引》，内地的个人信息处理者及接收方需要先向所在地级以上市互联网信息办公室提交电子版备案材料预审，经材料完整性检查后，由所在地级以上市互联网信息办公室送广东省互联网信息办公室预审。电子版材料预审通过后，个人信息处理者及接收方送达纸质版材料并附带电子版材料（光盘）至广东省互联网信息办公室（邮政EMS寄递地址：广东省广州市0035信箱）。具体的备案流程包含材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。

根据《香港备案指南》，香港地区的个人信息处理者及接收方的备案流程包括文件提交、检查文件及回复备案结果、补充或者重新备案等环节。不同于内地的是，香港地区的《大湾区标准合同》备案不包含电子版预审环节。香港个人信息处理者或接收方（申请人）须以邮递或亲身方式向香港特区政府资讯科技总监办公室递交备案所需文件，并在信封上标明「粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案文件」。

监管

《大湾区标准合同》签订双方将面临哪些监管要求？

根据《大湾区实施指引》，个人信息处理者及接收方需接受属地监管机构的监督管理，包括但不限于个人信息处理者答复监管机构的询问及对合同义务和责任的履行承担举证责任；接收方接受监管机构的监督管理，包括服从监管机构作出的决定以及提供已采取必要行动的证明；个人信息处理者解除合同时通知监管机构等。

因此，我们建议个人信息跨境提供方和接收方对个人信息跨境处理活动进行日志记录，以应对监管需求。属地监管机构，就内地而言，是指国家互联网信息办公室、广东省互联网信息办公室；就香港特区而言，是指香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。

如果发现《大湾区标准合同》双方违反合同义务或《大湾区实施指引》的要求，应该怎么处理？

根据《大湾区实施指引》第十条，任何组织和个人发现个人信息处理者或接收方按照《大湾区实施指引》进行粤港澳大湾区内的个人信息跨境流动，但不履行本实施指引及标准合同要求的义务和责任的，可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。

收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的，可以要求个人信息处理者或者接收方整改；需要交由其他执法部门处置的，交由相关部门依法处置。如果涉及违反《私隐条例》的情况，也可直接向香港个人资料私隐专员公署作出投诉举报。

先行先试安排

什么是先行先试安排？

为有序落实《大湾区标准合同》，政府资讯科技总监办公室和广东省互联网信息办公室共同推出《大湾区标准合同》便利措施，惠及大湾区内地城市和香港特区各行各业。在香港方面，香港政府资讯科技总监办公室推出《大湾区标准合同》便利措施的先行先试安排，在首阶段邀请银行业、征信业及医疗业参与。

自2024年1月1日起，有兴趣参与《大湾区标准合同》便利措施的先行先试安排的个人或企业，可以继续提交参与意向书。香港特区政府资讯科技总监办公室将初步检视意向书的有关资料，并通知适合的个人或机构知悉参与先行先试安排的意向，该个人或机构可以与内地合作伙伴签订《大湾区标准合同》及进行相关备案手续。

《大湾区实施指引》

出台意义

在数字经济蓬勃发展的今天，国家高度重视数据作为生产要素的价值，数据保护方面的立法层出不穷，推动和保障数据自由、安全、有序跨境流动。从《合作备忘录》的签署到《大湾区实施指引》的落地实施，进一步加快了数据作为生产要素推动内地和香港特区的科技创新和高质量发展的进程。《大湾区实施指引》配套的《大湾区标准合同》坚持自主缔约与备案管理相结合的原则，为大湾区内的个人信息跨境数据流动带来了便利，具有利好的现实意义。符合条件的企业可以根据《大湾区实施指引》及《大湾区标准合同》的要求适当调整个人信息跨境合规策略，在合规的基础上降低成本。企业在享受《大湾区标准合同》带来的便利的同时，也要注意自身的责任义务和监管要求，避免触碰监管红线。

《数据跨境流动规定（征求意见稿）》中规定了自由贸易试验区的负面清单制度，《大湾区实施指引》与其相互呼应，进一步完善了我国的数据跨境传输法律体系。虽然《数据跨境流动规定（征求意见稿）》尚未发布正式稿，但该规定设置了多种情形下的数据跨境流动便利措施，引起了不少企业的密切关注。我们相信《数据跨境流动规定（征求意见稿）》的正式稿将是规范和促进数据跨境流动立法方面的又一里程碑。

结语

W&W国际法律团队结合大量实务经验，发布了本系列解读，衷心希望能够为大家提供实用的指引，帮助企业解决在《大湾区实施指引》实务应用中遇到的问题，同时也欢迎有关企业在面临困惑、需要交流或有数据合规实务需求时与我们联系。

#《粤港澳大湾区个人信息跨境流动标准合同实施指引》系列解读合集

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州联合创始人、执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验，具备中外律所从业背景；为各类涉互联网企业提供各类综合合规支持，包括数据合规、个人信息保护、产品模式合规等，尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案；并发表了超过200多篇的实务文章与专题报告。

专攻领域：

个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。

涉足国家及地区：

中国（含港澳台地区）、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。

职业资格：

持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

让我们继续以文会友，以笔聚力|盘点2023&共迎2024

访谈实录（上）：法务转型律师，并非拍脑袋

访谈实录（中）：没有什么事是做分享解决不了的，如果有，那就继续坚持

新年贺礼| 《全球数据合规2023图鉴》重磅发布，要做年终总结吗，我们帮你梳理好了