鑽石舞台

為了落實《網絡安全法》中關於數據出境的基本框架，國家互聯網信息辦公室分別於2017年和2019年就數據出境安全評估出台過兩個辦法的徵求意見稿。隨着2021年《數據安全法》和《個人信息保護法》的相繼實施，上述兩個徵求意見稿被同年頒布的《數據出境安全評估辦法（徵求意見稿）》所替代，正式版預計會很快出台。這些都標誌着我國數據出境安全管理制度建設正在處在「加速期」。

香港特別行政區憑藉其國際金融中心、貿易中心、航運中心等優勢，一直以來作為連接內地與國際的重要紐帶，承接來自內地的資本、勞動力、技術等生產要素。近年來數字經濟高速發展，涉港的數據跨境流通也日益頻繁。黨中央、國務院發布的《粵港澳大灣區發展規劃綱要》強調要探索有利於信息等創新要素跨境流動和區域融通的政策舉措，例如促進信息等要素的跨境和區域流動、加強醫療數據和生物樣本跨境使用的管理等，為香港在大灣區數據跨境流動扮演重要角色提供了機遇。而2022年初實施的新修訂版《網絡安全審查辦法》將涉數據企業上市需進行網絡安全審查的範圍限定在「國外」，也給香港的資本市場以及與內地數據互聯互通帶來很多想象空間。

本文擬通過初探香港個人資料跨境傳輸規則，展望其與內地在數據跨境流動領域的合作前景。

(一）《個人資料（私隱）條例》

香港早在1995年便出台了《個人資料（私隱）條例》（「條例」），是亞洲最早全面保障個人信息的法域之一。其中關於數據跨境傳輸的規則是第33條。然而，該第33條至今遲遲未正式實施。即使2021年香港立法會對《條例》進行修訂，也未改變這一現狀。

1．基本概念

《條例》中沒有使用中國大陸常用的「個人數據」或「個人信息」的概念，而是採用了「個人資料」一詞。根據《條例》第2條的定義，個人資料是直接或間接與個人有關的，從該資料中可以確定有關個人身份的，存在形式可以查詢或處理的資料。可以看出，《條例》「個人資料」與歐盟通用數據保護條例（GDPR）中「個人數據」及中國大陸《個人信息保護法》中「個人信息」有細微差別，《條例》強調「確定」性（即要明確到具體個人身份），而後兩者強調「可識別」性（即僅需從群體中挑出個體，無需具體到個人身份）。另外，《條例》中也未對這一概念進行細分，如敏感個人信息等。

同時，該條例中也未對資料跨境作出定義。不過，香港數據保護機構（即香港個人資料私隱專員公署）出台了《跨境資料轉移中的個人資料保護指南》，在該指南中對資料跨境做出如下定義：「將資料轉移到香港以外的地方，通常表現為將個人資料從香港發送或者傳輸到另一個司法管轄區進行儲存或者處理等行為。例如，通過快遞、郵寄或電子方式發送包含個人數據的紙質或電子文件。」

2．資料跨境傳輸的具體規定

《條例》第33條是對資料跨境傳輸的專門規定。根據該條款，個人資料原則上不能被傳輸至香港之外，除非：

a）傳輸目的地有與《條例》大體上相似或有已經生效的與本條例的目的相同的法律（類似歐盟GDPR的「白名單」制度）– 第33(2)(a)條，

b）使用者有合理理由相信該地存在有這種法律– 第33(2)(b)條，

c）有關的資料當事人已通過書面同意該項傳輸– 第33(2)(c)條，

d）該使用者有合理理由相信：(i)該項傳輸是為避免針對資料當事人的不利行動或減輕該行動的影響而作出的；(ii)獲取資料當事人的書面同意不是切實可行的；及(iii)如獲取書面同意是切實可行的，資料當事人會給予上述同意– 第33(2)(d)條，

e）該資料憑藉《條例》第8部項下獲得豁免，包括執行司法職能、個人事務、僱傭等事由– 第33(2)(e)條，

f）該使用者已採取所有合理的預防措施並已作出所有應盡的努力，以確保該資料不會在傳輸目的地以違反《條例》的方式收集、持有、處理或使用– 第33(2)(f)條。

然而，鑑於上述條款尚未正式實施，現階段將個人資料傳輸出香港並無任何限制。不過，資料使用者在將個人資料傳輸到境外時，仍然有義務遵守《條例》的其他規定，如第4(2)條要求資料使用者在個人資料傳輸給處理者情況下負有安全保障義務。此外，香港個人資料私隱專員公署還鼓勵資料使用者遵循《跨境資料轉移中的個人資料保護指南》的相關指引。

(二）《跨境資料轉移個人保護指南》

香港個人資料私隱專員公署於2014年公布了《跨境資料轉移中的個人資料保護指南》(「指南」），專門針對跨境資料傳輸中資料使用者義務所提供的合規指引，旨在幫助資料使用者們了解在第33條生效後，其在資料跨境傳輸中需要承擔的相關責任。

1．對《條例》第33條適用範圍的澄清

如果一個位於香港的個人或實體向同樣位於香港的接收者傳輸資料，但互聯網路由經過香港以外的地方，根據《指南》的規定，這種情況不屬於《條例》第33條調整的範疇。然而，如果接收者位於香港以外，則需要遵守《條例》第33條的規定，例如：跨國公司在位於香港的內部服務器中儲存個人數據，但其在香港以外的雇員被允許下載個人數據，這也屬於《條例》第33條調整的範疇。

此外，《指南》中特別提到，資料使用者將個人資料處理工作委託給第三方處理者的趨勢日益普遍。這種趨勢下，資料使用者必須通過訂立合同或其他方法，防止資料被傳輸至資料處理者後的保存時間超過處理該資料所需的時間，並防止未經授權的查閱、處理、刪除、遺失或使用，例如：資料使用者將客戶的個人資料轉交位於香港以外的實體，以便直接進行電話促銷。在這種情況下，該實體在使用個人資料促銷時，仍須遵守《條例》的規定。同時，資料使用者也須為該實體根據授權而作出的行為負責。

2．對《條例》第33條中例外的說明

關於《條例》33條所提的例外（即可以跨境傳輸的情形），《指南》中作了進一步的說明。

首先，《條例》第33(2)(b)條關於接收者所在地有「與本條例基本相似或具有相同目的的任何法律生效」，這一例外情況主要是針對未經評估的司法管轄區，而非經審查並認定不足以列入白名單的司法管轄區。

如果個人資料的接收人不在白名單中，資料使用者仍可把個人資料傳輸到香港以外的地方，只要其有合理理由相信該地方有「與條例實質上相似或目的相同」的法律。為滿足這項規定，資料使用者應自行對擬接收者所在地的資料保護（或數據保護）制度進行專業評估。評估應考慮多項因素，包括適用範圍、是否有相同的原則、當事人的權利及救濟方法、遵守程度及傳輸限制等。資料使用者不能僅依賴於主觀信任，必須能夠證明其相信是合理的。資料使用者在進行評估時可以參考編制白名單時所採用的方法。

其次，《條例》第33(2)(c)規定基於當事人同意是資料境外傳輸的依據之一。《指南》中明確，這種同意需要以書面形式明確和自願地作出，並且沒有被撤回。對於資料使用者來說，取得同意是一項更嚴苛的要求，因為給予同意表明資料當事人允許其個人資料被送往一個資料隱私保護水平不確定，甚至可能不合標準的地方。資料當事人應被告知傳輸個人資料的目的和作出這種同意的後果，即個人資料被傳輸到另一個地方後，可能受到較低標準的保護。而且，為了取得資料當事人對傳輸的書面同意，資料使用者應以容易理解和可讀的方式，向資料當事人提供有關其個人資料將被傳輸到哪些地方的信息。

第三，《條例》33(2)(d)允許為避免和減輕對資料當事人的不利影響而進行的跨境傳輸。該例外適用於傳輸前無法獲得資料主體同意，但為保護資料主體的利益而必須進行傳輸。例如：包括為履行資料主體為當事人的合同而必須傳輸，如果不進行傳輸，資料主體將遭受重大經濟損失。必須注意的是，這一例外的適用範圍很窄，即資料使用者必須證明他們的相信是合理的，並提供相關的事實情況。

第四，《條例》32(2)(f)中還規定了資料使用者採取合理的預防措施和盡職調查情況下在傳輸。《指南》中表明，在傳輸各方之間簽訂具有可執行性的合同是滿足這一例外情況的方法之一。《指南》在附件中設計了一套資料傳輸條款的範本，但這一示範條款僅是建議，並非強制。如果是發生在集團內部的跨境轉移，那麼資料使用者應當實施足夠的內部保障措施和政策，這一情形類似於GDPR中的「約束性企業規則」（BCR），但目前香港個人資料私隱專員公署尚未出台相應的範本或指南以明確「內部保障措施和政策」的具體內容。

關於《條例》33條遲遲無法生效的原因，可以從香港前個人資料私隱專員黃繼兒大律師在2020年1月「大灣區數據互聯互通與安全發展高峰論壇」上的報告中窺見端倪。該報告中提到，推遲實施第33條主要是因為「資料處理的數碼化和企業經營的全球化加劇了在港經營企業對33條的擔憂」。具體而言，包括以下四方面的原因：（1）企業擔憂33條實施後將對其日常經營產生影響；（2）中小企業對合規感到困難；（3）缺乏公署的指南，加劇了合規的難度；（4）企業實施合規措施需要更多的時間。由此可見，香港作為國際經貿交往的中心，在港企業對於數據自由流動具有較高的需求。因此，香港地區數據保護和數據自由流動之間的矛盾格外突出，如何在二者之間作出平衡是香港立法者當前面臨的艱難抉擇。

如前文所述，中國大陸正在加快建立數據出境安全管理制度，《數據出境安全評估辦法》等配套法規文件實施在即。鑑於香港與大陸處於不同法律區域，數據在兩地之間流動即構成跨境流動，屆時入港數據將面臨大陸的相應監管措施（如《個人信息保護法》第38條規定的安全評估、認證或訂立標準合同）。然而香港與大陸雖然「兩制」，但畢竟是「一國」，數據在兩地之間流動能否建立起某種「簡化安排」或「便利通道」，以便促進互聯互通是一個值得探索話題。要達到該目標固然涉及多方因素，但《條例》33條的早日生效必將產生正向作用，畢竟這給入港數據再出境創建了一道「安全閥」。

此外，《條例》由於制定時間早，在保護範圍、數據主體權利、處罰措施等方面的規定相較於近年來國際上主流的立法實踐來說略顯落後，以處罰措施為例：《條例》中並未直接規定違反條例的行為將受到的處罰，即使違反執行通知也僅處以每日1000港幣的罰款，而《個人信息保護法》的處罰金額則可能高達人民幣5000萬或上一年度營業額5%。這樣較為寬鬆的立法現狀亟待補強。

為了促進內地與香港數據跨境流動合作，筆者提出如下幾點建議：

1.修改和完善《條例》，確保與內地相關法律接軌（例如，將「個人資料」定義範圍擴大至與內地《個人信息保護法》中的「個人信息」一致），以便「車同軌，書同文」，並將兩地的個人信息保護水平拉齊。

2.對於接收大陸個人信息的香港主體採取認證機制，取得認證的香港接收方可以直接接收大陸數據。

3.在香港建立監督機制，持續監督入港數據的存儲、使用、傳輸等處理情況。

4.在完善第33條配套規則的基礎上，推動第33條儘快生效，以確保入港數據向第三地再傳輸時具有一定限制，以免使香港成為內地數據出境安全管理的「短板」。

文章來源：網絡安全應急技術國家工程實驗室