速评：大湾区版个人信息跨境流动标准合同及其实施指引落地

要点速览

• 适用范围：
  • 地域范围：指引适用于均注册于或位于粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港的个人信息处理者（信息提供方）及接收方之间的个人信息跨境流动。换言之，指引不适用于任何一方位于大湾区内地部分或香港以外的个人信息跨境转移，接收方也不得向大湾区内地部分或香港以外的其他第三方二次转移个人信息。
  • 适用情形：相比现行的全国政策，指引放宽了标准合同备案机制的适用范围，即取消了在处理个人信息和出境个人信息数量上的限制，原本可能因出境个人信息量较大（例如达到100万人以上）而需要申报安全评估的个人信息处理者，如符合指引的地域适用范围，则同样可以采取标准合同备案的方式实现个人信息出境。指引明确排除适用的仅有被相关部门、地区告知或者公开发布为重要数据的个人信息的跨境，仍需遵循现行政策申报安全评估。

综合来看，指引将令以下两类企业直接获益：（1）在大湾区内地部分展业并在香港布局有子公司拓展海外业务的企业；以及（2）以香港为总部并有意拓展内地、尤其是大湾区业务的企业。对于业务范围不局限于大湾区粤港两地的大型跨国企业而言，也可考虑通过调整地区布局来享受部分个人信息跨境便利。

• 与全国版标准合同的对比：大湾区版标准合同的结构与条款大致参照了全国版的标准合同，并在接收方义务、接收方向第三方再转移的条件等条款上进行了适当的删减，同时在术语定义、争议解决条款上容纳和体现了香港法和大湾区的地域考量因素。尤其是大湾区版标准合同删除了“境外接收方所在地国家或地区个人信息保护政策和法规对合同履行的影响”这一章节，这从侧面体现了对于香港作为接收方所在地的个人信息保护法律政策与法律环境的统一认可。

• 个人信息保护影响评估：与标准合同相呼应，针对大湾区个人信息跨境流动的个人信息保护影响评估，指引删除了对接收方所在地法律政策的评估要求，同时删去���“出境个人信息的规模、范围、种类、敏感程度”、“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”等评估方面。个人信息保护影响评估报告也不再作为备案材料之一。这将有助于简化个人信息保护影响评估工作，企业也将对评估工作和评估报告的起草拥有更多自主性，而不必严格采取网信办此前发布的出境版评估报告模板，也省去了对评估报告中可能披露较多企业内部经营信息的担忧。

• 两地监管协同：与全国版标准合同备案规定不同，指引提供了个人信息处理者与接收方向广东网信办或香港政府资讯科技总监办公室的两种备案渠道，备案义务由双方承担。实践中双方如何协调备案事宜，还有待进一步监管指引的澄清。双方分别接受属地监管机构的监管。违规投诉举报、个人信息安全事件报告等，也同样可以向两地多个监管机构进行。此举一方面便利了个人信息处理者和接收方履行合规义务的途径，避免因两地法律差异或冲突带来的合规障碍和成本，同时也有效利用和促进粤港两地监管机构的信息互通与执法合作机制，提高监管效率。

• 由香港至内地的跨境流动：根据指引及大湾区版标准合同，由香港向大湾区内地部分的个人信息跨境流动，同样可以适用指引及大湾区版标准合同。香港《个人资料（私隐）条例》对香港个人资料的出境设定了原则性的要求。结合香港个人资料私隐专员公署（PDPC）此前发布的《跨境资料转移指引》及其建议合约条文范本（Recommended Model Clauses, RMC），PDPC在指引发布之后对其适用也进行了说明：如跨境活动落入指引范围，则建议跨境双方签署大湾区版标准合同；如跨境活动超越指引的适用范围，则建议双方签署RMC。

未来可期

• 指引在同一时间由香港创新科技及工业局发布，同时香港政府资讯科技总监办公室将于本月开展大湾区标准合同先行先试安排，首阶段将公开邀请银行业、征信业和医疗业的机构参与，此后将适时调整试行安排并推广到其他行业。
• 本次指引是对《国家网信办与香港创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》中有关“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理”这一措施的落实，也是备忘录框架下的首项落地政策。此前，信安标委发布《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求（征求意见稿）》，同样是基于备忘录的合作措施，并适用于大湾区内以认证方式开展个人信息跨境处理活动的个人信息处理者。相信未来还将有一系列根据备忘录制定的大湾区个人信息跨境流动的开放政策陆续出台，以对应个���法、数安法下有关个人信息和重要数据跨境转移的各项机制。