觀點

鍾麗玲

鍾麗玲:內地《個人信息保護法》下的跨境資料轉移

【明報文章】內地《個人信息保護法》自今年11月起實施,是內地首部針對個人信息保護而訂立的法律。《個人信息保護法》對個人信息(即港人所指的個人資料)從內地轉移至其他司法管轄區作出規管。本文旨在為香港企業重點介紹當中的規定及主要要求。

《個人信息保護法》反映了保護個人信息方面最新的國際標準,亦標誌着內地在個人信息保護領域踏進新里程。當中值得注意的規定之一是關於個人信息跨境轉移的規管。香港企業,尤其是於內地開展個人信息處理活動的企業,都需要了解並且遵循這些規定。

○《個人信息保護法》下跨境資料轉移的先決條件

首先,個人信息處理者如欲向境外提供個人信息,須分別按《個人信息保護法》第39條及第55條的規定,取得相關資料當事人的單獨同意,以及進行個人信息保護影響評估。處理者亦須具備《個人信息保護法》第38條所指明的其中一項條件:即(i)通過國家網信部門的安全評估;(ii)經專業機構進行個人信息保護認證;(iii)按照國家網信部門制定的標準合同與境外接收方訂立合同;或(iv)內地法規規定的其他條件。

儘管國家網信部門尚未公布影響評估、安全評估、認證及標準合同條款的細節,數據處理者仍可參考國家互聯網信息辦公室於10月29日發布的《數據出境安全評估辦法(徵求意見稿)》(下稱「《徵求意見稿》」)諮詢文件,了解當中可能涉及的規則。

《徵求意見稿》第5條規定,數據處理者在將數據轉移離開內地前,應事先開展數據出境風險自我評估。有關自我評估應針對多個特定範疇,當中包括:(i)數據出境的合法性、正當性和必要性;(ii)出境數據的數量和敏感程度;(iii)處理者為確保數據安全而採取的措施;及(iv)數據接收方保護數據的能力。

《徵求意見稿》第9條亦列明數據轉移合同須包括的條款,例如:(i)接收方對數據的准許用途;(ii)數據的保存地點;(iii)數據的保存期限和對數據再次轉移作出的限制;及(iv)數據外泄事件的處理方法。

○對關鍵信息基礎設施運營者的額外規定

關鍵信息基礎設施運營者及指定類別的處理者(有關例子包括處理個人信息達到指定數量,即《徵求意見稿》所指100萬人的個人信息)須遵從更嚴格的規定。根據《個人信息保護法》第40條,這類處理者須將個人信息儲存於內地。如確需將個人信息轉移離開內地,便須通過國家網信部門組織的安全評估,除非其他法規另有豁免。

至於什麼是「關鍵信息基礎設施」,相信可理解為重要行業和領域的重要網絡設施和信息系統,當中包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等,以及其他一旦遭到破壞、喪失功能或數據泄漏時可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施和信息系統(見《關鍵信息基礎設施安全保護條例》第2條)。

○對境外上市的數據處理者的額外規定

另外,國家互聯網信息辦公室於11月14日發布了《網絡數據安全管理條例(徵求意見稿》)》(下稱「《條例草案》」)諮詢文件,建議對境外上市或正計劃到境外上市的數據處理者作出額外的規定。《條例草案》第13條訂明,(i)處理100萬人以上個人信息的數據處理者赴國外上市;及(ii)數據處理者赴香港上市,並影響或可能影響國家安全,均須申報網絡安全審查。此外,《條例草案》第32條要求赴境外上市的數據處理者,須每年開展一次數據安全評估,並於每年1月31日前向網信部門提交報告。《條例草案》的諮詢期剛於12月13日結束,相信網信辦在考慮各方意見後,會訂定《條例草案》的最後文本。

○罰則

值得一提的是,違反《個人信息保護法》規定最高可被判處人民幣5000萬元或上一年度營業額5%的罰款。履行個人信息保護職責的部門亦可作出其他行政處罰,包括責令暫停相關業務,或吊銷相關業務許可或營業執照(《個人信息保護法》第66條)。

為加深公眾對《個人信息保護法》的認識,個人資料私隱專員公署(私隱公署)最近出版了《內地〈個人信息保護法〉簡介》。《簡介》除了提供印刷本外,亦可在私隱公署網站下載:bit.ly/3FyOXqb

作者是個人資料私隱專員

[鍾麗玲]

上 / 下一篇新聞