“数据跨境新范式”系列报道
跨境数据流动创新,大湾区先行先试。国家互联网信息办公室、香港创新科技及工业局于2023年12月13日公布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。三周后,广东省互联网信息办公室发布关于落实大湾区合同指引的通知,这一数据跨境流动创新安排正式落地。
与内地现行的个人信息出境主要途径相比,新指引具体简化哪些合规要求?为区域经济、企业活力带来哪些利好?南都大数据研究院推出“数据跨境新范式”系列报道,从出境数据量放宽、个保评估简化、适用范围等三个方面进行详细解读。
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《大湾区合同指引》)出台之前,我国《个人信息保护法》已经规定数据出境安全评估、个人信息保护认证、个人信息出境标准合同(以下简称“内地标准合同”)三种主要的个人信息合法出境途径,《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等一系列文件为个人信息处理者申请数据出境提供了具体操作指引。作为促进粤港澳大湾区个人信息跨境流动的便利措施,《大湾区合同指引》具体简化哪些个人信息出境条件?与上述三种现行数据出境途径相比有何优势?
三大数据出境途径适用场景各不同
同样是办理个人信息跨境流动,为何要规定多种不同出境途径?中央财经大学副教授张金平撰文指出,在全球数字经济当中,个人信息跨境流动频繁而多样。为有效平衡不同个人信息跨境需求下的个人信息安全和经济发展两大利益,多元互补的个人信息出境合法机制更为科学、合理。
BSI亚太区首席数据治理标准专家、中国区首席安全官潘蓉接受南都采访时表示,三种个人信息出境途径的使用主体、范围场景与检查机构均有差异。
她指出,具体而言,符合以下5种情况之一的个人信息处理者必须进行数据出境安全评估:关键信息基础设施运营者;出境数据中含有重要数据;处理100万人以上个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息;国家网信办规定的其他需要申报数据出境安全评估的情形。安全评估的监管机构为国家网信办和所在地省级网信办。
展开全文
未达到数据出境安全评估要求的个人信息,可通过订立内地标准合同的形式进行合法出境。即非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时满足上述4项条件,才能适用标准合同路径,且不允许采取数量拆分等手段,将应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。监管责任在于签订合同的双方。
所有涉及个人信息跨境的主体都可以申请个人信息保护认证,由市场化运营的第三方机构实施认证和获证后监督,认证证书有效期为3年。
在中国网络安全审查技术与认证中心网络安全审查二部主任陈世翔看来,适合采用认证方式满足向境外提供个人信息管理要求的个人信息处理者包括但不限于:一是向境外接收方持续提供个人信息的个人信息处理者;二是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;三是落实法规标准要求,亟须加强个人信息跨境提供安全制度措施、规范开展个人信息处理活动的个人信息处理者;四是为向个人信息主体、境外接收方等明示个人信息处理达到相关标准要求的个人信息处理者。
跨境提供个人信息条件明显放宽
对比三种途径,通过内地标准合同实现个人信息出境的适用条件、范围相当严格。大湾区合同虽然仍以标准合同为基础,参照了其中整体结构和不少条款,但对跨境提供个人信息的条件明显放宽。相较内地标准合同对出境个人信息数量的限制,大湾区合同未提及任何要求。
南都大数据研究院留意到,虽然《数据出境安全评估办法》第四条规定,当数据处理者向境外提供数据达到一定数量或向境外提供重要数据时,应当申报数据出境安全评估,但《个人信息保护法》第四十条提出:法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。香港特区政府资讯科技总监办公室也在其新闻公报中明确,大湾区合同“免除了内地数据跨境安全管理框架下就有关个人信息处理者跨境转移个人信息的数量限制”。换言之,身处内地的个人信息处理者若通过大湾区合同向香港接收方提供个人信息,将不再有数量上的限制。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋表示,此举极大便利了粤港澳大湾区内的数据跨境传输。按常规做法,出境数据达到一定条件时需要经国家网信部门评估方可出境。无论时间还是程序,都要比签订内地标准合同复杂。取消了关于数量的条件限制,原本应当经网信部门评估后方可出境的数据,可通过更便利的渠道出境。
潘蓉对此表示,此举最大利好就是减少个人信息流动壁垒,提高数据流通效率。原来不适用内地标准合同出境路径的大量个人信息持有者,如今可以通过订立大湾区合同来实现数据出境。她同时建议,个人信息处理者在不违反大湾区合同条款要求的情况下,应补充控制条款来约束数据接收方,以满足数据全生命周期的安全要求。
敏感个人信息不设具体要求
除数据数量外,大湾区合同并未对“敏感个人信息”(例如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息)跨境流动提出具体要求,仅提出被相关部门、地区告知或者公开发布为重要数据的个人信息不适用于大湾区合同。
在潘蓉看来,这些规定便于持有大量敏感个人信息的企业。持有敏感数据的保险、金融、医疗等公司受此利好,可以优化IT基础设施,选择在大湾区范围内靠近业务需求的城市建立数据中心存储数据,开展数据分析和使用。
北京大成(广州)律师事务所高级合伙人律师周亮、律师姚梓南也撰文认为此举对金融业带来明显利好。对于金融企业而言,需要传输的信息往往数量巨大,同时金融账户等信息属于“敏感信息”。在内地标准合同框架下,金融企业无法就大量金融账户信息进行跨境传输,而在大湾区合同中这类信息大量传输成为可能。跨境银行之间的数据互通更为便捷,香港银行与内地银行之间的合作更为简单。有些银行在内地、香港各自设立总部,背后虽然是同一股东,但它们在不同系统里注册,运营方面并不互通。通过大湾区合同,两地合作银行之间共享信息的成本大大减少。
香港企业也对相关安排表示支持。作为首批通过《个人信息出境标准合同办法》备案的香港企业,香港诺华诚信有限公司已于2023年6月实现个人信息合规出境。其行政总裁何佳意表示,香港与内地对于个人信息分类定义不一,《大湾区合同指引》对跨境个人信息种类和数量的优化,能协助香港机构减少时间去了解内地对于数据的定义,同时减少两地定义不一从而引伸的实际操作矛盾,有助降低企业申请报备的难度,促进大湾区内跨境服务的提供。
南都调研
总第189期
A05-07版
策划:王卫国 邹莹
统筹:凌慧珊 张纯
采写:李伟锋 袁炯贤 实习生 周惠琪 何兴如
设计:张博 张许君
出品:南都大数据研究院
