查看原文
其他

重磅!《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布(附要点与逐条对比)


12月13日,《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(“《指引》”)发布,《指引》由国家互联网信息办公室、香港特别行政区政府创新科技及工业局和香港个人资料私隐专员公署共同制定,是对《关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施的落实,将有助于促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。此前,全国信安标委曾于11月1日发布《网络安全标准实践指南—粤港澳大湾区个人信息保护要求(征求意见稿)》
《指引》适用于注册于或位于粤港澳大湾区内地部分(广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市)以及香港特别行政区的个人信息处理者及接收方跨境处理个人信息的场景。
本文总结了《指引》规定的“粤港个人信息跨境流动标准合同”(以下简称“粤港SCC”)与内地“个人信息出境标准合同”(以下简称“内地SCC”)相比的五点显著区别,并附上了粤港SCC模板与内地SCC模板的逐条对比。
在将于12月19日举行的“第二届粤港澳数据合作会议”上,来自相关主管部门的嘉宾还将带来关于“粤港个人信息跨境流动标准合同”在两地适用的更多解读和实践指引,可点击以下链接进入会议报名入口:“第二届粤港澳数据合作会议”即将在广州南沙举行

01

适用的数量范围更广泛,预计一年内“粤->港”跨境提供100万人以上个人信息或无需申报安全评估

内地SCC中明确规定,凡是落入《数据出境安全评估办法》第四条规定情形的,均不能适用SCC;即使对此条规定有放宽的《规范和促进数据跨境流动规定(征求意见稿)》生效,内地SCC仍不能适用预计一年内向境外提供超过100万人个人信息的情形。
粤港SCC中则未明确提及个人信息的数量和时间等限制适用条件,这意味着预计一年内“粤->港”跨境提供100万人以上个人信息,可适用粤港SCC,无需申报数据出境安全评估。
注:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同指引》的法律效力低于《数据出境安全评估办法》和生效后的《规范和促进数据跨境流动规定》,不排除上位法规定的100万人以下个人信息数量限制在后续粤港SCC备案指南或相关文件中被解释为仍然有效的可能性。

02

对再转移的限制条件更宽松,向同辖区内的第三方再转移无需再行备案

粤港SCC模板“第三条 接收方的义务和责任”第八款规定,依据双方签订的标准合同向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息时仅需满足“确有业务需要+告知+按照属地法律法规要求取得同意”即可,无需再履行标准合同备案或其他事前合规程序,这将极大地便利数据在粤港地域范围内的流通。

第三条 接收方的义务和责任

(八)同时符合下列条件,方可向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息:

1.确有业务需要

2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知,从其规定。

3.基于个人同意处理个人信息的,应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。

4. 按照附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。

03

减轻了接收方的义务和责任,降低了合同采用的难度

与内地SCC相比,粤港SCC在接收方的义务和责任条款删减了对接收方的要求,例如,接收方无需履行内地SCC中“允许个人信息处理者对必要的数据文件和文档进行查阅”和“按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件”等义务,这将便利个人信息处理者与接收方就依据粤港SCC开展个人信息跨境处理活动进行协商,降低合同采用的难度和沟通成本。

内地SCC中对境外接收方义务的要求(部分)

粤港SCC中对境外接收方义务的要求(部分)

承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。

承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对本合同涵盖的处理活动进行合规审计,并为人信息处理者开展合规审计提供便利。

对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件

对开展的个人信息处理活动进行客观记录,保存记录至少3年。

 

04

给予了境外接收方所在地法律更大的适用空间,便利了标准合同的拟定和履行

粤港SCC模板删去了内地SCC模板“第四条 境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行的影响”,且在个人信息保护影响评估、重新签订合同和备案、合同解除等相关条款中不再考量关于境外接收方所在地法律环境相关内容,这默认了香港作为境外接收方所在地的法律政策环境不会对出境后的个人信息主体权益产生不利影响,相当于在实质上承认香港的法律政策环境具有“适当保护水平”。

此外,粤港SCC限缩了内地法律的域外适用要求,在术语定义、合同义务履行和争议解决等方面给予了香港法律的适用空间:

  • 术语定义:香港法律中个人资料、资料使用者、资料当事人等定义可与内地法律个人信息、个人信息处理者、个人信息主体等定义对应使用,极大地便利了粤港双方主体就SCC签订协商和在香港的适用;

  • 合同义务履行:个人信息主体同意、个人信息保护义务等的履行遵从属地相关法律法规要求,境外接收方遵守香港法律规定即可;

  • 争议解决:可约定香港国际仲裁中心仲裁解决,可向香港有管辖权的法院提起诉讼。

粤港SCC中对内地法律的域外适用的限缩,意味着香港接收方仅需遵循属地《个人资料(私隐)条例》等相关法律法规规定即可,这将有效降低接收方履行合同义务的难度。

05

简化了个人信息保护影响评估的内容,且标准合同的备案工作更简单

粤港SCC中个人信息影响评估的要点仅包括“个人信息处理者和境外接收方处理个人信息的目的、方式等的合法性、正当性、必要性”、“对个人信息主体权益的影响及安全风险”和“境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全”三项,删去了内地SCC在个人信息保护影响评估中要求的“出境个人信息的规模、范围、种类、敏感程度”、“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”、“当地个人信息保护政策和法规对合同履行的影响”等内容,这意味着粤港SCC中个人信息保护影响评估工作的开展难度将降低。此外,与内地SCC模板相比,《指引》中粤港SCC模板第八条规定的备案材料也有所简化

附:"粤港澳大湾区(内地、香港)个人信息跨境流动标准合同模板"与"个人信息出境标准合同模板"逐条对比



END


修改于
继续滑动看下一个
数据信任与治理
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存