在跨境数据流动合规化要求日渐严格的今天,澳门地区的银行如何在保障数据安全和合规的前提下,以更简单、便捷的方式实现与内地银行和企业的数据互通,是内地与澳门共同面临的一大挑战。2024年9月10日,国家互联网信息办公室(“国家网信办”)发布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(“《实施指引》”)及其所附的《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》(“《内地澳门标准合同》”)。与现行的相关法律法规相比,新规进一步放宽了个人数据出境的限制,并简化了相关评估、备案等流程,提高了粤澳地区银行跨境数据流动的效率,为两地金融合作注入新活力。
《实施指引》适用于注册于或位于粤港澳大湾区内地城市(即广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市及肇庆市)及澳门特别行政区(“粤澳地区”)的组织、个人。
《内地澳门标准合同》为涉及个人、员工和客户数据的跨境业务提供了规范框架。在跨境融资、资产管理、客户身份验证等场景,均可采用该标准合同约定跨境流动的个人信息。
如引言所述,《实施指引》是针对粤澳地区在现行法规基础上的放宽规定,因此,订立《内地澳门标准合同》后的个人信息应严格限定在粤港澳大湾区内流动,数据不得流向大湾区以外的任何组织或个人。
我国当前普遍适用的跨境数据流动标准合同版本,为国家网信办于2023年6月实施的《个人信息出境标准合同办法》(“《标准合同办法》”)所附的《个人信息出境标准合同》(“《标准合同》”),与《实施指引》所附《内地澳门标准合同》为并行不悖的合同版本。因此,如粤澳地区个人或组织确保所进行跨境转移的个人信息仅在粤港澳大湾区进行流动,考虑选择采用《内地澳门标准合同》可更大程度地便利双方。
《实施指引》及《内地澳门标准合同》的相关条款,在遵循个人信息保护的核心原则上与先前的《标准合同》和现行法规保持一致。相较于《标准合同办法》,《实施指引》在适用范围、个人信息保护影响评估、法律责任和备案流程等方面优化了跨境数据流动的合规要求,以适应粤港澳大湾区经济一体化的需求。具体如下:
一家澳门银行与珠海企业计划进行跨境合作,涉及到客户数据的共享。在《实施指引》出台之前,银行需要根据《个人信息出境标准合同办法》完成复杂的个人信息保护影响评估,并准备详尽的评估报告,涵盖数据出境后的权益风险、数据安全等风险点。评估完成后,还需向省级网信部门提交包括评估报告、企业的资质证明等多项备案材料。这个过程往往耗时耗力且成本高昂,影响跨境数据流动的效率。
《实施指引》的出台极大简化了流程。对于这家澳门银行拟向珠海企业提供的个人数据,该银行只需针对简化后的评估要求完成评估,依照《实施指引》准备标准合同、承诺书,并在标准合同生效后10个工作日内向澳门个人资料保护局提交备案申请,而无需提交复杂的评估报告,提高了银行的业务效率。
对于粤澳地区的跨境电商企业,以往在数据跨境传输数量上的限制可能会影响其业务开展。如该跨境电商企业处理的个人信息数量接近限制标准,企业可能面临复杂的评估和审批流程。
《实施指引》实施后,企业无需再受数量限制的束缚,能够更加自由地进行数据传输,包括客户的订单信息、物流数据和市场调研数据等,促进数据在粤澳两地之间顺畅流动。这有助于企业更精准地捕捉市场动态,优化供应链,提高客户体验。对于科技企业而言,进行研发合作时,可能需要大量的数据交流来推动创新。放宽数量限制后,企业可以更大胆地开展合作,加速技术研发和产品升级的进程。
随着《个人信息保护法》《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》的相继出台,中国内地在个人数据和重要数据出境安全方面建立了日趋完善的管理体系。《实施指引》的实施,为澳门地区银行与内地银行、企业之间的数据跨境提供了清晰的指引。在执行《实施指引》的过程中,澳门地区银行可以通过内部培训,持续优化合规体系,并关注《实施指引》的实施和后续更新,以确保数据处理活动符合《实施指引》要求。
目前,已有多家粤港企业在医疗、金融领域顺利完成了跨境合同的备案工作。未来粤澳地区银行和企业有望借助《实施指引》开展个人信息跨境流动的标准合同备案,推动数据跨境流动的便捷化,进一步激发大湾区金融业务的活力和健康发展。
本文作者
周亮、陈慕寒
本文由大成金融专委会审核
— 往期推荐 —
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。