国家网信办官方公众号“网信中国”公布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》

背景与意义

2024年9月10日,国家网信办、澳门特区政府经济及科技发展局和澳门特区政府个人资料保护局共同发布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称“《SCC实施指引(澳门)》”),随附指引一同发布的还有《标准合同》和《承诺书》模板。

此举是落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中“关于共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施,加强个人信息跨境标准合同备案管理”的合作措施,《SCC实施指引(澳门)》的发布,也将和此前发布的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《SCC实施指引(香港)》”)一道,共同为粤港澳大湾区企业提供更加便捷的数据流动机制,进一步推动粤港澳大湾区数字经济的发展。

图源:澳门个人资料保护局《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》图文包

《SCC实施指引(澳门)》之适用主体

根据《SCC实施指引(澳门)》第二条之规定,粤港澳大湾区个人信息处理者可按照指引要求,通过订立标准合同的方式进行粤港澳大湾区内地和澳门之间的个人信息跨境流动。具体而言,个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市(以下简称“广东九市”),或者澳门特别行政区。也就是说,非上述列举范围内地区的个人信息处理者及接收方,不适用本指引。值得注意的是,《SCC实施指引(澳门)》以列举的方式明确了适用主体所在地的范围,并不包括上述广东九市以外的地区和香港特别行政区

《SCC实施指引(澳门)》适用的范围,图源:澳门个人资料保护局《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》图文包

《SCC实施指引(澳门)》的公布,一方面,能够减轻广东九市企业个人信息出境的合规负担,另一方面,对于澳门企业同样释放了利好信号,特别是对于在粤经营的澳门企业,《SCC实施指引(澳门)》的公布实施能够在一定程度上降低个人信息流动的合规成本。

澳门有关个人信息出境的法律规定

澳门有关个人信息跨境的要求规定于澳门《个人资料保护法》当中。对于个人信息出境合同的有关规定,见《个人资料保护法》第二十条第二款,即如果个人资料接收地法律体系不能确保“适当保护程度”,但负责处理资料的实体确保有足够的保障他人私人生活、基本权利和自由的机制,尤其通过适当的合同条款确保这些权利的实施,澳门个人资料保护局可以许可个人资料的跨境转移。

此外,尽管未提出明确的数据分类分级管理要求,但对于“将个人资料转移到特区以外的地方”,原则上要求“接受转移资料当地的法律体系能够确保适当的保护程度”,而是否达到“适当保护程度”仍需要“公共当局”(即澳门个人资料保护局)决定,判断因素之一就包括个人资料的属性。如果需转移到特区以外的个人资料较为敏感,澳门个人资料保护局有可能以“接受转移资料当地的法律体系不能够确保适当的保护程度”为由,不允许个人资料出境。

排除适用的范围

《SCC实施指引(澳门)》第二条明确,被相关部门、地区告知或公开发布为重要数据个人信息不适用个人信息标准出境合同。对于重要数据的识别界定,我国《数据安全法》第21条规定各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。目前,我国电信领域数据、汽车数据有较为明确的重要数据划分依据或目录,其他领域、行业或地区的重要数据目录的编制正在推进当中。而根据上文,澳门地区有关部门也会根据个人资料的属性(包括敏感和重要程度)做出是否允许出境的判断。

值得注意的是,《SCC实施指引(澳门)》第二条并未对拟出境个人信息的规模做出限制。按照《促进和规范数据跨境流动规定》(简称《跨境流动规定》)第7条、第8条之规定,关键信息基础设施(简称“关基”)运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,方可适用订立个人信息出境标准合同的路径,超过上述两个区间范围的,仍需进行数据出境安全评估并向所在地省级网信部门申报。

对于注册于广东九市的企业而言,如果自身非关基运营者,而又满足《跨境流动规定》第7条第(二)项条件的,其是否还应当通过广东省网信办向国家网信部门申报数据出境安全评估?经由与有关网信部门沟通确认,为便利粤港澳大湾区范围内数据跨境安全有序流动,推动高质量发展,大湾区范围内,内地与香港、澳门之间的个人信息跨境流动标准合同之适用,遵循《SCC实施指引》,即除被相关部门、地区告知或公开发布为重要数据的个人信息不适用个人信息标准出境合同,其他情形均得适用。也就是说,广东九市数据处理者,如果非关基运营者,但自当年1月1日起累计向香港、澳门地区数据接收者提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的,仍可适用个人信息跨境流动标准合同备案。

提交备案的材料

根据《SCC实施指引(澳门)》第七条的规定,个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案。根据两地企业实际情况和个人信息出境之规定不同,备案材料亦有区别:

澳门个人资料保护局公布的《个人资料处理通知书》附表H(有关粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同备案通知的资讯)

港澳两版《SCC实施指引》的区别

《SCC实施指引(澳门)》同此前已公布的《SCC实施指引(香港)》在总体框架和内容基本保持一致,但存在部分细节的不同。以下为港澳两版《SCC实施指引》内容上的不同之处:

本文作者

刘能斌

赛博研究院 咨询顾问&研究员

刘境棠

赛博研究院 咨询总监&高级研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。