香港游客必知!GDPR下的网络安全新规
香港游客必知!GDPR下的网络安全新规
随着全球化和信息化的不断深入,跨境个人信息传输已成为跨国日常商业活动中的重要组成部分。在香港这一国际金融和商业中心,关于个人资料跨境传输的规定尤为关键,它不仅关系到个人权益的保护,也涉及到商业交易的合规性和国际合作的顺畅性。
香港个人资料保护的核心法律文件是《个人资料(私隐)条例》(以下简称“《私隐条例》”),自1996年12月20日起实施(仍有部分条款尚未实施),是亚洲区域内最早全面保障个人信息安全的法律之一。《私隐条例》设立了一个独立的法定机构——个人资料私隐专员公署,负责《私隐条例》的执行工作和促使各界人士遵守《私隐条例》的规定。《私隐条例》旨在保障个人资料的收集、持有、处理及使用过程中的个人权利,赋予国际认可的保障资料原则法定效力,其中第33条对个人资料的跨境传输做出了规定。《私隐条例》第33条虽然已经多次修订,但至今仍未实施。
2014年12月,个人资料私隐专员公署发布了《保障个人资料:跨境资料转移指引》(以下简称“2014年《指引》”),旨在向资料使用者提供实务性指引,为《私隐条例》第33条的实施做好准备,协助资料使用者了解在第33条生效之后,关于个人资料跨境传输需履行的义务。2014年《指引》对第33条的适用问题、第33(2)条项下禁止跨境转移个人资料的例外情况等内容进行了详细说明,并提供了为符合第33(2)(f)条项下克尽职责的规定的建议合同范本。
2022年5月,为解决香港企业在拟定个人资料跨境传输合同条款时可能遇到的实际困难以及与日俱增的国际间个人资料传输面临的挑战和复杂性,个人资料私隐专员公署发布了《跨境资料转移指引:建议合约条文范本》(以下简称“2022年《指引》”),旨在对2014年《指引》的内容进行补充。
本文将结合《私隐条例》第33条、2014年《指引》及2022年《指引》,简析香港个人资料跨境传输相关规则。
一、 《私隐条例》第33条的规定
第33(1)条明确规定了第33条适用的个人资料范围为资料使用者在香港收集、持有、处理或使用的个人资料,或资料使用者收集、持有、处理或使用是由主要业务地点是在香港的人所控制的个人资料。
第33(2)条规定了个人资料跨境传输的条件,资料使用者原则上不得将个人资料转移至香港以外的地方,除非符合以下条件:
(a)个人资料转移目的地是为本条的施行而在第(3)款下的公告中指明的;
(b)该使用者有合理理由相信个人资料转移目的地有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效;
(c)有关的资料当事人已书面同意该项移转;
(d)该使用者有合理理由相信:(i)该项移转是为避免针对资料当事人的不利行动或减轻该等行动的影响而作出的;(ii)获取资料当事人对该项移转的书面同意不是切实可行的;及(iii)如获取书面同意是切实可行的,则资料当事人是会给予上述同意的;
(e)该资料凭借《私隐条例》第八部的规定获得豁免,而不受第3保障资料原则所管限;
(f)该使用者已采取所有合理的预防措施及已作出所有应作出的努力,以确保该资料不会在个人资料转移目的地以违反《私隐条例》的方式收集、持有、处理或使用。
第33(3)条及第33(4)条则对第33(2)(a)条项下的公告进行了说明,规定专员有合理理由相信个人资料转移目的地有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效,可进行宪报公告,并在该地区已不再有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效时,废除或修订该公告。
为避免疑问,第33(5)条对何为主要业务地点是在香港的资料使用者、第33(3)条项下公告的性质以及第33条与第50条的关系进行了明确。
二、 2014年《指引》对《私隐条例》第33条的解析
2014年《指引》内容主要分为两部分:一是对第33条适用的相关问题进行解释;二是提供参考协议模板供资料使用者与境外资料接收方签署,以满足“已采取所有合理的预防措施及作出所有应作出的努力,以确保处理个人资料的方式不会违反条例的规定”的要求。本部分将主要针对2014年《指引》对第33条适用的相关问题解释进行介绍。
(一) 适用主体
2014年《指引》进一步说明了第33条的适用主体仅限于资料使用者,即就个人资料而言,独自或连同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人(类似于《个人信息保护法》项下的个人信息处理者)。而《私隐条例》第2(12)条规定,不为其任何本身目的而纯粹代另一人持有、处理或使用个人资料的人不算该个人资料的资料使用者(即资料处理者,类似于《个人信息保护法》项下的受托人),故不适用第33条。2014年《指引》以电讯服务为例,强调了电讯服务提供者为其他资料使用者而跨境传输个人资料,不适用第33条,但是使用电讯服务的资料使用者须适用第33条。虽有上述分析,但2014年《指引》在对资料使用者聘用第三方处理个人资料涉及将资料转移至香港境外的分析中提到“管有个人资料的资料使用者须对资料当事人负责,确保第三方服务提供者的作为(如在香港境外储存及/或处理个人资料)符合第33条的规定”,因此,受资料使用者委托持有、处理或使用个人资料的主体虽然不直接适用第33条,但因资料使用者适用第33条,受委托的主体的行为也须符合第33条的规定。
(二) 适用情况
第33条适用情况为:(1)将个人资料由香港转移至境外;(2)在两个其他司法区之间转移个人资料,但有关转移是由香港的资料使用者所控制。而个人资料在两个香港主体传输过程中中转境外,且未在传输中被查阅或储存,这种情况下的资料传输不受第33条的规制。
与中国大陆将“数据处理者收集和产生的数据存储在境内,境外的机构、组织或个人可以查询、调取、下载、导出”纳入数据出境行为类似,2014年《指引》特别强调,跨国企业将个人资料存储于香港的服务器中,其香港境外办事处的雇员可以下载相关个人资料,则上述个人资料的传输也须符合第33条的规定。
(三) 第33(2)条项下禁止跨境转移个人资料的例外情况
1. 第33(2)(a)条专员在公报指明的司法区——白名单
专员将评估其他司法区是否有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律正在生效,并根据第33(3)条公告司法区名单(白名单)。资料使用者可以将个人资料转移至白名单上的任何司法区。这种由个人资料主管机关评估其他司法区数据保护法律法规是否达到其保护标准,并对传输至达到标准的司法区的数据跨境传输免除限