数据出境100问系列 | Part4：粤港澳大湾区（内地、香港）个人信息跨境流动标准合同

Original W&W国际法律团队出海互联网法律观察

2024-08-25

团队介绍：

W&W国际法律团队，国内外一站式法律合规顾问

W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域，如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。

（如有项目需求或了解代表案例，欢迎联系。）

联系方式：

邮箱：jie.wang@kindinglaw.com

TEL：+86 13650790754

文/ 王捷律师团队

导言

随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布，由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业开展国际业务必须面对的课题。

我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。为了方便实务，让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定，我们计划以前述规定为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结。

报告全文获取方式：跨境无忧，合规先行|《数据出境100问》PRO版重磅发布：您的全球合规导航手册

我们热切地期待与各位同行朋友深入探讨各种新型问题，有任何数据合规实务需求与问题探讨，请随时联系王捷律师团队，联系方式见文末。

更新说明

本文章的V1.0版本更新于2022年7月，彼时《个人信息出境标准合同办法》仍在征求意见稿阶段，《数据出境安全评估办法》亦刚刚发布。

在本次2024年4月的更新中，本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分，根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南（第二版）、《个人信息出境标准合同备案指南（第二版）》的最新规定进行了更新，对原有部分，包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分，均进行了更新或更正。

系列预告

”

本系列文章将分为以下七部分，将在本公众号持续更新。

第一部分：数据出境关键概念剖析
第二部分：数据出境安全评估高频问题与适用解读
第三部分：标准合同高频问题与适用解读
第四部分：粤港澳大湾区（内地、香港）个人信息跨境流动标准合同
第五部分：个人信息保护认证高频问题与适用解读
第六部分：数据出海实践关键问题与海外SCCS要点对比
第七部分：境外个人信息跨境传输

本篇是第四部分内容，主要介绍粤港澳大湾区（内地、香港）个人信息跨境流动标准合同。

第四部分：粤港澳大湾区（内地、香港）个人信息跨境流动标准合同

2023年6月，国家互联网信息办公室与香港特别行政区政府创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称“《备忘录》”），就粤港澳大湾区数据跨境流动建立安全保障规则。

同年12月31日，国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同发布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称为“《大湾区实施指引》”），并以附件形式提供《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同》（以下简称为“《大湾区标准合同》”）及《承诺书》模板，本指引文件的出台，为粤港地区企业提供了便捷的数据流动机制，进一步推动粤港地区数字经济的发展。

Q75

《大湾区实施指引》适用于哪些企业？如何判断自身是否落入适用范围？

依据《大湾区实施指引》第二条的规定，个人信息处理者及接收方应注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区，即个人信息处理者或接收方有任何一方不是位于前述列举地区的，则不适用《大湾区实施指引》。需要注意的是，《大湾区实施指引》第二条采取列举的方式明确了适用范围，其中并不包括中国澳门特别行政区。

我们认为该《大湾区实施指引》一方面为内地九市个人信息出境合规减负的同时，对于香港地区企业也属于一定程度上的利好消息，尤其对于跨粤港的集团，《大湾区实施指引》在一定程度能够减轻集团内个人信息流动的合规成本。

Q76

企业在大湾区内注册的分公司或者分支机构等能否适用《大湾区实施指引》？

根据《个人信息保护法》第七十三条第一款，个人信息处理者是指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。分公司或分支机构并非“组织”，而仅是“组织”的一部分。另外基于我们对《大湾区标准合同》备案规定的观察，其要求备案申请主体提供法定代表人的证明文件影印本，有关部门尚未进一步释明适用范围，如果提交该文件为强制性要求，则不具备法人资格的主体可能难以满足备案要求。因此，根据现有规定，在大湾区内注册的分公司或者分支机构难以适用《大湾区实施指引》。

Q77

《大湾区实施指引》不适用哪些个人信息类别、不适用那一类主体？

《大湾区实施指引》第二条明确规定，被相关部门、地区告知或者公开发布为重要数据的个人信息不适用《大湾区标准合同》。

该指引的适用范围并未提及处理个人信息条数、累计向境外提供个人信息数量以及关键信息基础设施运营者等条件。对于位于大湾区且落入安全评估范围的主体来说，该指引文件也并未释明个人信息出境路径的适用关系，我们认为目前已落入安全评估范围的主体是否可以采用签订《大湾区标准合同》作为个人信息跨境传输机制的问题，仍有待明确。

Q78

《大湾区实施指引》和内地《个人信息出境标准合同办法》下的个人信息保护影响评估有什么区别？

从条文看，《大湾区实施指引》中对于个人信息保护影响评估的内容要求，相较《标准合同办法》删去了以下内容：

出境个人信息的规模、范围、种类、敏感程度的说明；

个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

个人信息权益维护的渠道是否通畅的说明；

境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

兜底条款（其他可能影响个人信息出境安全的事项）。

我们认为，一方面为响应《备忘录》建立粤港澳大湾区数据跨境流动安全规则，促进粤港澳大湾区数据跨境安全有序流动，推动粤港澳大湾区高质量发展的目标，出于在粤港两地加速推进该数据跨境路径，《大湾区实施指引》在较大程度上减缓了企业进行个人信息保护影响评估的负担。另一方面，《大湾区实施指引》由个人信息处理者自愿性质参与，如个人信息保护影响评估太过繁琐，或采取与《个人信息出境标准合同办法》一致的较为严格的做法，并不利于该机制的推广。

关于大湾区标准合同更详细的内容，可见我们的公众号文章：

声明

报告内容系作者对法律及项目实务的理解及高度总结，同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点，不构成法律意见。鉴于数据合规法律法规的多变，以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况，具体内容需要依赖于对现有规则的理解和把握，且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。

报告内容系作者原创，引用、转载均请联系作者并注明出处，禁止抄袭，谢谢！欢迎联系主编投稿。

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州创始合伙人、主任律师

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验，具备中外律所从业背景；为各类涉互联网企业提供各类综合合规支持，包括数据合规、个人信息保护、产品模式合规等，尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案；并发表了超过300多篇的实务文章与专题报告。

专攻领域：

个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。

涉足国家及地区：

中国（含港澳台地区）、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。

职业资格：

持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

让我们继续以文会友，以笔聚力|盘点2023&共迎2024

访谈实录（上）：法务转型律师，并非拍脑袋

访谈实录（中）：没有什么事是做分享解决不了的，如果有，那就继续坚持

新年贺礼| 《全球数据合规2023图鉴》重磅发布，要做年终总结吗，我们帮你梳理好了