*本文首发于LexisNexis律商联讯
2024年9月10日,国家网信办与澳门特区政府经济及科技发展局、澳门特区政府个人资料保护局共同公布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称“《SCC实施指引(澳门)》”)以及《标准合同》和《承诺书》模板。此举是为了落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中“关于共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施,加强个人信息跨境标准合同备案管理”的合作措施,《SCC实施指引(澳门)》的发布,与23年12月发布的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《SCC实施指引(香港)》”)一同推动粤港澳大湾区内的企业和个人“数据+”贸易的发展。
《关于促进粤港澳大湾区数据跨境流动的合作备忘录》背景、影响
粤港澳大湾区作为我国沿海开放前沿地区,经济发展水平全国领先,拥有便捷高效的现代综合交通运输体系和集聚的科技创新研发能力,是我国领先发展数字经济、深度加强内地与港澳合作的示范地。去年2月底,国务院发布了《数字中国建设整体布局规划》,从数字基础设施、数据要素、数字技术、平台经济等方面为数字经济发展提供长期目标,推动数字技术和实体经济深度融合。澳门特区政府响应国家号召,顺应数字经济的发展趋势,积极完善数据创新要素的流通机制,在《澳门特别行政区经济和社会发展第二个五年规划(2021-2025年)》中对加快数字澳门发展作出了相关规划,旨在推动横琴粤澳深度合作区的阶段性建设目标的达成,构建并持续优化一流的营商环境。
其实早在2005年,澳门立法会就通过了《个人资料保护法》。该法在制定的过程中重点参考了欧盟及葡萄牙的相关法例,在个人信息保护层面借鉴了欧洲国家的监管标准,旨在加强个人隐私权的保护,主要适用于以自动化或非自动化手段对个人资料的处理。之后在2023年6月,特区政府为配合澳门发展定位,加强粤港澳大湾区之间的数据流动,三方共同签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。该合作备忘录是加强两岸三地深度合作促进双边数据跨境流动的重要政策,为《SCC实施指引(澳门)》提供了风向标及坚实的政策保障。
《SCC实施指引(澳门)》的适用范围主要是注册于广东九市1及澳门的个人信息处理者与个人信息接收方。该指引通过标准合同备案的方式极大降低了有频繁个人信息跨境流通需求的企业或个人关于信息跨境流动申报的合规负担。尤其对于在大湾区经营的澳门企业以及在澳门经营的大湾区公司,其本身与对岸分支机构或母公司之间就存在频繁的数据流通需求,《SCC实施指引(澳门)》的公布实施极大简化了其日常数据流通中关于个人信息出境的合规流程,优化了营商环境。
《SCC实施指引(香港)》实施以来
的成果以及未来对于粤澳企业的启示
《SCC实施指引(香港)》在内容上与《SCC实施指引(澳门)》基本一致,主要简化了数据跨境流动备案程序,降低了大湾区粤港企业的合规成本,有效推动了大湾区各行业的融合发展。自2023年12月10日实施以来,两地已有多家企业完成备案,这些企业的业务领域主要涉及医疗、金融、交通出行、人力资源等。
对于澳门而言,自回归以来澳门一直以旅游博彩业见长。在旅游博彩业的带动下,澳门经济保持较快的增长速度。澳门属于典型的外向型经济体,尽管自身体量较小,但其依靠自身自由港的地位,积极融入大湾区的发展,和香港一同承担了链接内地和国际市场的重要窗口和桥梁。由于博彩业的特殊性,澳门在个人数据的采集和分析上有着得天独厚的优势,而如何减少数据流动地域限制、通过合法方式开发利用该部分信息数据并且用数据流进一步带动上下游各行业的发展成为澳门寻求全面发展、与湾区加深融合的新抓手。
《SCC实施指引(澳门)》重点条款解析
根据《实施指引》第二条第二款的规定,个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市(本文内简称“广东九市”),或者澳门特别行政区。由此可见,《SCC实施指引(澳门)》明确将企业类型的个人信息处理者及接收方以注册地为划分标准。
需要注意的是,实践中存在内地企业在广东九市以及澳门行政区域内设立不具备法人资格的分支机构(如注册在澳门的分公司、代表处以及办公室等),此类分支机构是否能适用《SCC实施指引(澳门)》而享受数据跨境流动的便利措施尚且存在疑问。
本团队律师认为,根据《个人信息保护法》对于个人信息处理者的定义2,个人和组织均可以作为个人信息处理者。实践中注册在澳门的分公司、代表处、办公室等其他类型的法律实体,虽然不具有独立的法人资格,但是作为一个法律意义上的组织,其应当可以适用《SCC实施指引(澳门)》所规定的关于个人信息跨境流动的便利措施。
此外,澳门《个人资料保护法》关于个人资料3的定义与我国《个人信息保护法》中关于个人信息的定义并不相同,这在实践中可能会给不同地区的企业造成潜在的合规风险。本团队律师建议,两岸企业在订立标准合同时应当分别就各自传输和接受的信息在各自法域下同时进行审查,确保传输的个人信息能够满足澳门《个人资料保护法》和我国《个人信息保护法》的双重规定,避免合规风险。
根据《SCC实施指引(澳门)》第四条的规定,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:1.个人信息处理者跨境提供个人信息前,应按照属地法律法规要求告知个人信息主体或取得个人信息主体的同意;2.个人信息处理者以及个人信息接收者不得向粤港澳大湾区以外的组织、个人提供据此标准合同获得的个人信息。
本团队律师认为,这一块的规定其实与《个人信息保护法》中关于个人信息处理者向其他个人信息处理者提供其处理的个人信息的要求类似。因此,未来在实践中《SCC实施指引(澳门)》应该会参照《个人信息保护法》中关于转交数据的合规要求来处理。例如粤港澳大湾区内的个人信息处理者如果需要跨境传输个人数据,那么他们在获取个人信息前,应当向个人信息主体明确告知接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类、保存期限、个人信息向同辖区第三方提供的情况,以及行使个人信息主体权利的方式和程序等事项。此外,《SCC实施指引(澳门)》还根据法定告知义务的正当性原则以及基于对个人信息的严格保密义务将传输范围严格限定在了粤港澳大湾区范围之内,其规定了个人信息处理者与个人信息接收者均不得向粤港澳大湾区以外的组织和个人提供根据签订标准合同获得的个人信息。因此我们认为,在未来的实践中,企业只能通过《SCC实施指引(澳门)》将数据传输到澳门,但无法通过澳门企业依据《SCC实施指引(澳门)》间接将数据传输到境外第三方,反之亦然,二这一点需要额外注意。
根据《SCC实施指引(澳门)》第五条的规定,个人信息处理者订立标准合同进行跨境提供个人信息前,须重点评估:1.个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性和必要性;2.对个人信息主体权益的影响以及安全风险;3.接收方承担的义务以及履行义务的管理和技术措施、能力等能否保障个人信息的安全。
在重点评估内容上,《SCC实施指引(澳门)》与《SCC实施指引(香港)》保持一致。相较于内地的《个人信息出境标准合同办法》,两个指引都简化了个人信息保护影响评估中较为困难和复杂的部分,意在增强数据跨境流动的灵活性,减少数据跨境流动的合规成本。
在实践中,我们一般建议企业遵循以“明确告知+获取同意”为核心的个人信息处理规则,并通过以下标准来审核处理目的的合法性、正当性和必要性等要求:1)不得通过误导、欺诈、胁迫等方式处理个人信息。2)处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。3)收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。4)处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。5)处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。6)个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。7)任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
《SCC实施指引(澳门)》规定了当发生跨境提供个人信息的目的、范围、种类、方式或者接收方处理个人信息的用途、方式发生变化等影响或者可能影响个人信息权益的其他情况时,个人信息处理者需要重新开展个人信息保护影响评估,补充或重新订立标准合同并按照个人信息处理者属地法律法规要求履行备案手续和法定通知义务。
这里比较有意思的一点是,虽然《SCC实施指引(香港)》中没有规定法定通知义务,但是本团队律师通过查询香港法律《个人资料(私隐)条例》了解到,当个人资料被用于新目的之前,必须得到资料当事人自愿给予的明确同意,该条款中暗含了法定通知义务。因此无需在实施指引中重复赘述。
因此,本团队律师认为,《SCC实施指引(澳门)》中特定情况下通知义务的增加,是为了弥补澳门法律原本没有关于个人信息处理情势发生变更后履行程序合规义务的空白,也势必也会对澳门在未来关于个人信息保护的立法上产生进一步影响。
通过比较两个实施指引可以发现,《SCC实施指引(澳门)》中将备案材料有关“法定代表人身份证件影印件”的要求删除。
本团队律师认为,此处变更是因为两地商事法律的不同。因为在澳门商业体系中并没有“法定代表人”概念,澳门相似概念比如有自然人商业企业主或法人商业企业主。因而在该条款最后增加了一项“属地监管机构要求的其他材料”作为兜底条款,对于属地监管机构来说扩大了其实施的空间,使备案提交材料更符合两地法律规定和个人信息跨境流动现实状况。
《SCC实施指引(澳门)》删除了属地监管机构对个人信息处理者及接收方在三种特殊场景下的监管义务,但是在澳门指引合同模板中个人信息处理者及接收方在该三种情形下仍然应当履行受属地监管机构的监督管理义务。
本团队律师认为,此处相较于《SCC实施指引(香港)》该条款的删减系文本内容上的优化,是因为在标准合同中已经分散规定了属地监管机构在三种特殊场景下的监督管理,因此在实施指引中不做另外的冗余阐述。而在未来实践中,涉及个人信息跨境传输的企业方仍然需要承担该等监管义务。
造成港澳实施指引
差异的历史缘由
经过前文比对,并且在查阅了港澳两地相关法律规定、政策文件以及立法会会议纪要等相关文件后,我们认为两份指引在内容上的差异主要是由于法律规定框架不同而形成的。
1996年12月,香港《个人资料(私隐)条例》(以下简称“个资条例”)正式生效。个资条例系亚洲最早订立的单一的完整的个人信息保障法律,涵盖了个人信息由产生到销毁的整个生命周期,保障了信息数据的自由流动,具备较完整的法治体系和数据流通保障体系。此后,个资条例分别在2012年、2021年经历了较大的修订调整,目前实行的是2021年的修订版本。
个资条例确立了六项保障资料原则,分别是:①收集目的及方式;②准确性、储存及保留;③使用;④保安措施;⑤透明度;⑥查阅及更正。为了配合个资条例的实施,香港个人资料私隐专员公署还形成了《保障个人资料:跨境资料转移指引》以及《跨境资料转移指引:建议合约条文范本》等一系列文件。
较为特别的是,个资条例设立了:①个人资料私隐专员(The Privacy Commissioner for Personal Data)这一职位;②香港个人资料私隐专员公署(Office of the Privacy Commissioner for Personal Data)这一部门;③个人资料(私隐)咨询委员会这一咨询机构。就个人资料私隐专员而言,2021年修订版本作了两项修订:①赋予专员进行刑事调查和提出检控的权力,专员可以决定是否以自己的名义提出检控,或改案件转介警方,由律政司提出检控;②赋予专员要求停止披露和移除“起底”内容的权力。
在个资条例中,个人资料跨境相关规定主要见于第33条“禁止除在指明情况外将个人资料移转至香港以外地方”,但该条至今仍尚未实施。纵观第33条全文,该条与内地的《个人信息保护法》有相通之处,意在确保被转移的个人资料能够获得与个资条例保护水平相当的保障,规定了个人资料移转的适用范围和条件。纵观个资条例,尽管第33条尚未实施,但其中65(2)条、第6A部等条文也在一定程度上提供保障。退一步讲,根据三十三条所载内容,即便三十三条生效,个人资料移转也无需先经个人资料私隐专员的同意。
澳门个人资料权首先见于澳门《民法典》第七十八条、第七十九条、第八十一条之规定。2005年,澳门出台了《个人资料保护法》。除《个人资料保护法》外,澳门还出台了《公共地方录像监视法律制度》,澳门个人资料保护局制定了《个人资料保护办公室私隐政策》及针对各行业发布的指引文件。
与香港个资条例相同的是,澳门《个人资料保护法》亦确定了6项基本原则,分别是:①透明原则;②尊重基本权利原则;③合法善意原则;④适度原则;⑤目的限制原则;⑥限期保存原则。此外,《个人资料保护法》第三章集中规定了个人资料当事人享有的五项权力:资讯权、查阅权、反对权、不受自动化决定的约束的权利、损害赔偿权。
依据澳门《民法典》第79条及《个人资料保护法》相关规定,澳门特别行政区设立了个人资料保护办公室,以行使法律赋予当局的职权。2024年2月1日起,个人资料保护办公室由临时性项目组改为常设部门,即个人资料保护局。
在《个人资料保护法》中,将个人资料进行跨境转移的相关规定详见第五章“将个人资料转移到特区以外的地方”。其中第十九条要求个人资料跨境的原则为:①遵守该法规定;②接收转移资料当地的法律体系能确保适当的保护程度。前述保护成都的考量因素包括转移的所有情况和整体,尤其考量资料的性质、处理资料的目的、期间或处理计划、资料来源地和最终目的地,以及相关专业规则和安全措施。域外法律体系的适当保护程度是否符合要求由个人资料保护局决定。此外,第二十条还规定了,在符合特定情况时,个人资料可破例转移到不符合第十九条所规定的地方,但须对个人资料保护局进行通知。
由此可见,香港与澳门的《SCC实施指引》中所存在的几处不同,主要在于两地主管部门香港个人资料私隐专员公署和澳门个人资料保护局的定位不同。不仅如此,在两地法律体系下,个人资料转移所须履行的手续也完全不同。因此,两地《SCC实施指引》在起草时便分别考虑了两岸三地的法律框架和监管体系,通过内地与香港、澳门分别订立《SCC实施指引》的方式避免了法律规定的冲突。
未来企业出海澳门
需要注意的数据合规要点
未来内地企业与澳门企业的合作中如果涉及到个人信息处理的板块,可以考虑通过跨境流通标准合同备案的方式来降低自身数据合规成本。需要额外注意《SCC实施指引(澳门)》的几个适用条件。首先,数据范围被限定在个人信息,且不包括被相关部门、地区告知或公开发布为重要数据的个人信息。其次,企业必须先进行个人信息保护影响评估再签订标准合同。而企业在进行评估时需要额外注意合法性、正当性、必要性的界定。再者,个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地管辖的原则向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案。根据两地企业实际情况和个人信息出境之规定不同,备案材料亦有区别,内地企业出海澳门需要准备承诺书、标准合同、个人信息保护影响评估报告以及广东省互联网信息办公室规定的其他材料。最后,虽然广东九市与澳门之间的个人信息跨境流动已经被大幅简化,但注册于内地其他城市的企业还是需要注意,如果其需要向澳门传输个人信息数据,依旧要遵守《个人信息保护法》以及《个人信息出境标准合同》的相关规定。
我们希望未来能以粤港澳大湾区之间的个人信息跨境流动为标杆,通过相关部门签订双边协议、多边协议或者加入全球各类组织,逐步简化国家或地区间数据往来的合规成本,共同创造一个数据交互迅速且便捷的营商大环境。
注释
1 广东九市是指“广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市”
2 第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
3 (一)“個人資料”:與某個身份已確定或身份可確定的自然人(“資料當事人”)有關的任何資訊,包括聲音和影像,不管其性質如何以及是否擁有載體。所謂身份可確定的人是指直接或間接地,尤其透過參考一個認別編號或者身體、生理、心理、經濟、文化或社會方面的一個或多個特徵,可以被確定身份的人;
本文作者
尤如
合伙人
上海办公室
youru@vtlaw.cn
尤如律师于2014年获得美国纽约州注册律师资格,2019年获得中国律师执业资格,曾任混合所有制股权私募基金管理公司的合规负责人,与众多银行、证券公司、金融租赁公司等金融机构及地方政府融资平台、上市企业等长期密切合作。尤律师及团队服务的客户与项目涉及新能源、新材料、医药、化工、矿产、文创、数据中心等多个行业,涉及私募基金管理、PE/VC投融资、企业股权激励、股权/资产并购、银团贷款、资产证券化(ABS/CMBS/ABN)、投资相关的争议解决等多种业务内容,能够深刻理解客户的商业与投融资目标,准确策划商业运营模式,规避投融资及企业运营的法律风险。
张哲豪
合伙人
上海办公室
zhangzhehao@vtlaw.cn
张哲豪律师长期为多家境内外企业提供常年法律服务,并代理解决其在境内的部分相关争议。张哲豪律师近年来代理的案例/项目主要包括:美国Klausner Lumber Two,LLC在美重组项目、美国North Carolina Sawmills公司股东权益纠纷、德国Drees & Sommer Aktiengesellschaft 在华子公司的并购项目、某大型房地产集团股东分红及股权回购纠纷、德国Schweizer Electronic Aktiengesellschaft在华子公司跨境银团融资项目、爱仕达与德国某公司跨境并购项目、德国AISI在华子公司与某内资企业不正当竞争一案、奥地利某著名水果加工企业在华子公司与中国内地政府之间关于企业合规及房屋土地产权确权项目、某港资建筑设计院与国内大型房地产开发公司之间的项目合作纠纷、宁波华翔集团与西班牙安通林集团股权并购项目,及其他数十起德资企业在华子公司/分公司在合同法、公司法、商标法下的大额诉前/诉讼争议等。
马楷阳
律师
深圳办公室
makaiyang@vtlaw.cn
马楷阳律师同时持有中国律师执业资格,美国纽约州律师资格,服务的客户来自中国大陆、中国香港、美国、英属安圭拉群岛、英属维京群岛、挪威等国家或地区。2022年,马楷阳律师被评为“深圳市涉外律师新锐人才”。2024年,马楷阳律师先后获LEGALBAND评选为“中国律界俊杰榜30强”、LEGAL ONE评选为“中国律界实力新锐30强”。目前,马楷阳律师在广东省法学会信息通信法学研究会、深圳市法学会数字法学研究会、深圳律协数字经济法委担任理事等职务。同时,马楷阳律师持有深圳数据交易所认证的数据交易合规师(DEXCO)认证资格。2023年4月,马楷阳律师作为编委之一参与编写的《元宇宙法律服务》一书由法律出版社正式出版。
高以琦
律师助理
上海办公室
