粤港澳大湾区数据跨境治理制度建设与完善的思考

分享到

《粤港澳大湾区发展规划纲要》强调要探索有利于信息等创新要素跨境流动和区域融通的政策举措,粤港澳大湾区各市抢先布局数字经济“新赛道”,而大湾区数据跨境流动的法律制度建设和完善刻不容缓。

一、粤港澳大湾区数据跨境治理制度

香港和澳门系中国特别行政区,但实行的法律制度与内地不同,即内地与港澳在法律层面形成了事实上的“跨境”。

(一)中国内地数据跨境治理制度

中国内地在数据跨境流动治理方面已确立了基本的法律制度,目前有《网络安全法》《数据安全法》《个人信息保护法》三部基础法律。此外还有一些行政法规,例如《关键信息基础设施安全保护条例》《数据出境安全评估办法》等,共同构建起涵盖安全评估、保护认证、标准合同等数据跨境流动治理体系。       

(二)香港的数据跨境治理制度

香港特别行政区在1995年就制定了《个人资料(私隐)条例》(以下称《私隐条例》),后又多次进行了修订。《私隐条例》主要包含如下内容:名词释义,个人资料私隐保护机构设置及职能,数据用户资料申报登记,个人资料的查阅、更正、提供、使用、删除、同意等规则,投诉救济,定罪及罚款的处罚规则等。其中,《私隐条例》第33条规定“禁止除在指明情况外将个人资料移转至香港以外地方”,但该条尚未实施。因此,在香港而言,数据是自由跨境流动的。

香港个人资料私隐专员公署于2022年5月发布《跨境资料转移指引:建议合约条文范本》(以下称《建议条文范本》),使机构能订立清晰的协议,在符合《私隐条例》规定及良好数据道德标准的前提下转移资料。但是《建议条文范本》未设置处罚条款,这实质上还是在现行《私隐条例》的框架下,数据可以任意地跨境转移。

近年来,在中央政府的推动下,内地与香港对于个人信息/资料在粤港澳大湾区跨境流动进行尝试。

2023年2月,中国人民银行、银保监会、证监会、外汇局和广东省政府发布《关于金融支持前海深港现代服务业合作区全面深化改革开放的意见》,提出为便利香港居民信用融资,在征得香港居民同意的情况下,允许前海合作区内符合条件的港资商业银行依法共享其香港母行掌握的同一香港居民信用状况。通过告知-同意的方式,在深圳前海自贸区内实现数据跨境自由流动,开展金融创新,促进深港经济融合发展。

(三)澳门的数据跨境治理制度

澳门特别行政区于2005年制定的《个人资料保护法》共九章四十六条,内容包括个人资料的处理规则、资料当事人的权利、个人资料处理者的义务、个人资料转移到特区以外、行政和司法保护等,体系上相当完备。

其中对于个人资料转移到澳门以外的地方,原则是对整体进行审议,尤其应考虑数据的性质、处理数据的目的、期间或处理计划、数据源地和最终目的地,确定接收转移数据的当地能适当保护的情况下,依法可以转移。如果转移是执行合同、保护公共利益、保护数据当事人重大利益所必须,则不受上述规定所限。也可以在确保他人的私人生活、基本权利和自由机制的情况下,通过签订合同来实现;此外可向公共当局申请许可跨境转移资料。

 二、粤港澳大湾区数据跨境治理现状

目前,中央政府与香港特区政府共同制定了便利的数据跨境规则,与澳门特区之间尚未制定数据跨境流动的统一规则。

(一)《标准合同指引》

2023年12月10日,国家互联网信息办公室与香港特区政府创新科技及工业局共同制定了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下称《标准合同指引》),指导相关机构通过签订标准合同的形式落实解决内地与香港的数据跨境流动事宜。

《标准合同指引》规定,不论数据处理者的身份是否属于关键信息基础设施运营者,也不论向港澳提供的数据体量大小、个人信息是否敏感,只要不属于重要数据,珠三角九市都可以与香港通过签订标准合同来进行数据跨境流动,但重要数据仍然需要进行安全评估方能出境。

(二)《标准合同指引》的作用和意义

相比目前中国内地实施的《个人信息出境标准合同规定》《标准合同指引》不限定数据处理主体身份,不限定跨境提供的个人信息数量以及是否为敏感个人信息,只要不属于重要数据都可以跨境自由流动。

同时,《标准合同指引》规定在进行个人信息保护影响评估时对内容进行了简化,与《个人信息保护法》的第五十六条规定相吻合。而且《标准合同指引》规定,合同备案只需提交法定代表人身份证件复印件、承诺书、标准合同,无需同时提交《个人信息保护影响评估报告》,对备案要求也作了简化。

但《标准合同指引》未规定数据从香港向其他国家和地区流动应承担何种法律责任,以及如何承担法律责任,这就导致《标准合同指引》适用时强制效力不足。

三、粤港澳大湾区数据跨境治理制度建设与完善的思考

(一)粤港澳大湾区数据跨境治理的方针和原则

1.粤港澳大湾区数据跨境治理的方针是属于一个国家内的数据流动,放在“一国两制”的框架内。

香港已经实施了《香港特别行政区维护国家安全法》,置于国家统一的安全架构内,政治安全有了保障。因此,粤港澳大湾区的数据跨境流动实质上是在一个国家内的数据流动,其治理方针应该是促进和加快数据要素的流通,最大限度地发挥数据的赋能作用,内地与港澳形成互补和融合,促使香港、澳门更好融入国家发展大局。

2.粤港澳大湾区数据跨境治理的原则应该是安全、便利、高效。

数据安全涉及国家安全、公共利益以及个人、组织合法权益。因此数据安全是基础,是前提。粤港澳数据跨境流动应该秉持便利高效原则,便利包括实体便利和程序便利。

实体便利方面,首先,只要个人信息处理者及接收方在粤港澳大湾区内就可以参与数据的跨境流动,不论是组织还是个人,也无需考察其是否属于关键信息基础设施运营者。其次,不论是否属于敏感个人信息,也不论跨境流动的个人信息数量多少,都应保证其便利流动。

程序便利方面,包括申报资料的简便以及申报程序的简便。即提交最少的资料,一个机构一个层级一次申报,在最短的时间获得批准或许可。

(二)粤港澳大湾区数据跨境治理制度建设与完善的意见和建议

1.扩大可豁免的数据范围。

国家互联网信息办公室于今年3月22日发布了《促进和规范数据跨境流动规定》,对于一些场景的数据跨境流动进行豁免。鉴于此,建议尽快制定“粤港澳大湾区数据流动规定”,规范在大湾区范围内的安全评估、保护认证、标准合同等流动路径方式,将目前生效执行的《标准合同指引》纳入其中。

制定“粤港澳大湾区数据流动规定”的目的是基于大湾区的特殊性,扩大豁免在大湾区可流动的数据范围。例如目前港澳居民可在广东参加社保,享受购房、教育与内地居民同等待遇。那么在大湾区开展金融活动,参加社保,参与购房、教育等活动而需要提供个人信息时,建议可不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

2.抓紧制定比较宽松的大湾区珠三角九市的重要数据目录。

国务院在2023年12月发布《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》,提出支持上海自贸试验区率先制定重要数据目录。由此,广东省政府和港澳特区政府应尽快制定大湾区统一的重要数据目录。否则等到各自贸区或其他城市均制定了重要数据目录,在大湾区范围内可能会形成新的壁垒和数据流动障碍。

另外,在制定大湾区重要数据目录时,要把可能涉及危害国家安全、经济运行、社会稳定、公共健康等数据定义为重要数据,深入研究、详细论证,避免重要数据扩大化,促进数据的快速高效流动,为大湾区数字经济发展服务。

3.积极推动香港《私隐条例》第33条“禁止除在指明情况外将个人资料移转至香港以外地方”生效实施,使数据从大湾区内地九市流动到香港后能够得到有效保护。

香港个人资料私隐专员公署于2014年公布了《跨境资料转移中的个人资料保护指南》,旨在向资料使用者提供实务性指引,为第33条的实施做好准备;于2022年5月发布《跨境资料转移指引:建议合约条文范本》,提供跨境资料转移的情况应用。因此,《私隐条例》第33条生效实施的客观条件已经具备,香港应该提升个人资料的保护水平,最大限度地发挥内地数据的资源价值,促进香港数字经济的发展。

4.推动开展认证活动,拓宽数据跨境的路径,减轻数据处理者的负担。

《个人信息保护法》规定了个人信息安全保护认证的跨境流动渠道,这是国际通行做法,国家也颁布了相关规范。但在实务中,由于对从事数据安全管理认证的工作相对滞后,使数据跨境安全认证工作难以开展。建议在大湾区尽快开展个人信息保护认证工作,以减轻数据处理者的负担。

 5.应该秉持审慎包容的原则来制定大湾区的数据流动规则,进行数据跨境安全治理。

在制定大湾区数据流动规则、重要数据目录,推动数据安全评估、认证时,建议采取审慎包容的原则,激发产学研以及市场主体参与热情,充分发挥数据的作用和效能,为数字经济的快速发展服务。同时在实践中不断完善各项制度,根据新情况新问题不断提升数据治理能力。

与此同时,各政府部门在制定数据跨境制度时应尽量考虑给市场主体更多的主动权和创新发展空间,激发数据要素潜能,推动粤港澳大湾区数字经济安全快速发展。

【作者:王德华,星啸-赵·司徒·郑(东莞)联营律师事务所】

【责任编辑:尚鑫】