文 | 中国网络安全审查技术与认证中心 郑潇潇 甘杰夫 樊华 朱博
在全球数字化环境下,诸多行业领域都依赖数据资源高效有序地流通,同时,数据治理及保护的重要性日益增加。如何在数据资源要素的安全保障与合作开放间取得平衡,促进我国现有制度措施与对外经济需求和国际贸易协定相适应,推动数据跨境国际合作,最终实现安全、有序、高效的数据资源跨境流动,是亟待解决的问题。港澳在我国经济发展和对外开放中肩负着重要的纽带作用,在我国先试先行探索数据跨境国际合作的研究和实践工作上具备一定优势,本文主要对港澳个人信息跨境的相关政策规则进行梳理和解读,以期为读者提供相关参考。
一、相关背景介绍
随着数字技术和经济蓬勃发展,数据的资源特性凸显,数据的重要性日益提升,数据治理成为必然。作为数据治理的重要组成部分,数据跨境规则已越来越多地被纳入法律法规和国际贸易协定中。维护数据主权是我国的重要立场,我国数据安全保障体系不断建设完善,体现出我国的数据治理先进性。同时,我国一直秉持互利共赢的外交主张,致力于在贸易协定框架下推进国际经贸合作。在当前国际数字经济格局和数据治理趋势下,我国应加快建立能代表我国主张的数据治理语系,促进我国制度措施与数字化发展相适应,实现安全、有序、高效的数据资源跨境流动,扩大我国数字贸易国际朋友圈,提升我国数字化国际竞争力和国际话语权。
港澳在我国经济发展和对外开放中肩负着重要的纽带作用。2019 年,中共中央、国务院印发的《粤港澳大湾区发展规划纲要》中提出,充分认识和利用“一国两制”制度优势,促进资源要素在大湾区便捷高效地流动,先试先行创新机制改革,发挥大湾区在国际合作中的示范作用。同时,港澳均针对个人信息保护建立了与国际接轨的法规要求和措施,在监管的理念上与内地具有共识。因此,在我国先试先行探索个人数据跨境的研究和实践上,港澳具备一定优势。
二、香港个人资料跨境规则的梳理与解读
香港个人资料跨境规则主要基于香港《个人资料(私隐)条例》(以下简称《条例》),其目的是为保障与个人资料有关的个人隐私。《条例》主要对个人资料及隐私的查阅、更正、核对、转移、直接促销等方面做出了规定,对豁免情况进行了单独说明,提出了 6 项保障资料原则。为确保《条例》工作实施,专门设立了“个人资料私隐专员”(以下简称“专员”)和香港个人资料私隐专员公署(以下简称“私隐专员公署”)。
《条例》主要通过第三十三条“禁止除在指明情况外将个人资料移转至香港以外地方”做出规定,但该条尚未实施,目前个人资料转移至香港境外不受限制。私隐专员公署分别于 2014 年和 2022 年发布《保障个人资料:跨境资料转移指引》和《跨境资料转移指引:建议合约条文范本》,对相关条款和原则进行说明,以帮助资料使用者提高资料转移的保护意识和能力。
在本文中主要做以下解读:一是第三十三条的主旨目的是确保被转移的个人资料能够获得同等于《条例》下所能获得的保障,并规定了资料转移的适用范围和允许条件。二是在目前第三十三条款尚未实施的情况下,《条例》中的条款 65(2)、第 6A 部、第 2 保障资料原则(3)和第 4 保障资料原则(2)能在一定程度上为个人资料提供保障。三是《保障个人资料:跨境资料转移指引》除条款说明外,还提供了若干补充说明和建议。四是资料使用者可参考《建议范本条文》(2014)和《跨境资料转移指引:建议合约条文范本》(2022),根据自身情况通过类似合约的方式达到资料保障目的。五是如第三十三条生效,个人资料转移需满足的转移条件之一包括:(1)转移目的地经过专员或资料使用者的允许(白名单),目前如何评估“白名单”尚不明确;(2)资料当事人书面同意或避免对当事人不利;(3)资料使用者间采取相关方式确保对资料提供保障;(4)属于豁免情况。六是即使第三十三条生效,根据现有规则,个人资料转移也无需事前获得专员同意。
三、澳门个人资料跨境规则的梳理与解读
澳门个人资料跨境规则主要基于澳门《个人资料保护法》(以下简称《保护法》),其原则是个人资料的处理应以透明的方式进行,应尊重个人隐私和相关法律订定的基本权利、自由和保障。《保护法》对个人资料处理、资料当事人权利、资料转移、资料相关通知和许可等方面做出了规定。为确保《保护法》工作实施,专门设立了个人资料保护办公室(以下简称“个资办”)。
《保护法》主要通过“第五章 将个人资料转移至特区以外的地方”做出规定。个人资料转移的原则是须遵守《保护法》规定,且转移目的地的法律体系能确保适当的保护程度。这个保护程度应根据实际情况进行审议,然后由个资办决定目的地的法律体系能否确保适当的保护程度。在满足规定条件时允许个人资料跨境转移。在个资办官网上对关于个人资料转移到澳门以外的意见书和许可进行公布。
梳理澳门个人资料跨境规则,我们认为主要包括以下几方面:一是个人资料转移至澳门境外需满足转移条件之一,即:(1)个资办经审议决定某转移目的地的法律体系能确保适当保护;(2)资料当事人明确同意、或依据相关合同、或因重要利益及事项、或为信息查询所需;(3)资料处理者能确保提供足够保障机制,特别是采取了合同等方式;(4)属于豁免情况。二是无论符合哪种可将个人资料转移至澳门境外的条件,都需先通过个资办许可。
四、内地与港澳个人数据跨境监管规定比对
根据内地、香港和澳门关于数据/个人信息跨境的有关监管规定,本文主要对三地规定中的保护目的、保护和监管对象、出境活动和条件,以及监管同意等进行比对。
一是保护目的。内地《网络安全法》《数据安全法》和《个人信息保护法》中都有对数据/信息跨境的要求,数据/个人信息跨境不仅涉及个人利益,还关乎国家安全和数字主权,以及对公共利益的保护。而香港《条例》和澳门《保护法》仅针对个人资料和权益的保护。
二是保护对象和监管对象。保护对象方面,三地都对个人信息/资料跨境保护提出了要求,对于“个人信息/资料”的定义也较接近,此外,内地还对重要数据的跨境提出了要求。监管对象方面,三地的监管对象分别称之为:“内地-个人信息处理者”“香港-个人资料使用者”和“澳门-负责处理个人资料的实体”,内地监管对象还包括重要数据处理者。
三是出境活动和出境条件。对于内地,数据出境指向境外提供个人信息和数据;对于香港,数据出境除了指将个人资料从香港移转至境外,还包括由香港资料使用者控制的在境外的其他两地间发生的个人资料的移转;对于澳门,数据出境指将个人资料转移到澳门特区以外的地方。根据数据/个人信息处理者的不同,内地数据出境条件主要包括:安全评估、个人信息保护认证、相关方订立合同、法律法规或网信部门规定的其他条件、缔结或参加了国际条约或协定等;港澳出境条件主要包括:对资料转移目的地的认可、资料当事人同意或涉及重大利益、资料发收方间采取了相关保障措施、其他豁免情况等条件。
四是监管同意。对于内地,应具备出境条件之一才能出境,属于事前批准监管。对于香港,无需事先获得专员同意,但违反规定会受到处罚,属于事后处罚监管。对于澳门,根据不同的出境条件,须经个资办决定或经对个资办做出通知、或经个资办许可,也属于事前批准监管。
五、促进内地与港澳个人数据跨境流动合作建议
考虑到内地与港澳在数据跨境的规则和监管机制上存在一定差异,为促进内地与港澳之间数据安全、有序、高效地跨境流动,建议各方相关工作主管部门建立关于数据跨境流动共同监管与促进的合作框架。合作方向建议如下:
一是开展个人信息跨境认证采信与互认合作。根据我国《个人信息保护法》,内地采用认证手段为个人信息跨境提供安全保障,这体现出我国个保认证工作的先进性;同时认证作为国际通行的合格评定手段,能够保证评价工作的客观性和一致性,便于认证结果向更大范围推广;并且我国已具备成熟的认证监管体系和从业队伍。因此,利用认证手段开展个人信息跨境合作具有先进性和成熟性。建议三地建立统一的认证体系和认证依据,开展对技术评价和认证结果的采信互认合作,便利三地数据/个人信息的跨境传输和处理。
二是研究数据/个人信息跨境安全评估结果采信。建议港澳在对内地数据出境安全评估工作研判的基础上,采信内地数据出境安全评估结果,允许将个人资料转移至通过评估的内地数据/个人信息处理者。
三是提高对标准合同的一致性。建议三地合作开展关于资料相关方间合同的比对研究,提高各方监管部门对标准合同效力认可的一致性,帮助企业节约管理成本。
四是建立“白名单”机制。建议港澳在对内地相关法律体系进行研判的基础上,将内地列入其“白名单”地区。另外,虽然内地相关规定中暂不包含“白名单”方式,但也可考虑在一定范围内,将港澳作为内地“白名单”地区。
五是建立合作监管组织机制。在合作促进个人数据跨境流动的同时,也应加强监管合作,通过联合监管实现信息公开和共享,提高工作效率和质量,降低安全风险。
六是开展试点实践,逐步扩大合作。我国数据跨境机制建立时间尚短,很多工作仍待探索和完善,因此有必要根据数据类型和传输区域逐步开展试点实践,循序渐进扩大合作范围。
(本文刊登于《中国信息安全》杂志2023年第7期)
来源:中国信息安全