「南金融、北創科」是下一屆政府的地緣經濟布局,因此北部都會區將會是重點發展項目之一,對香港與深圳協作,以及融入粵港澳大灣區非常關鍵。數字經濟是全球經濟發展的大趨勢,國家亦不敢怠慢,於今年3月發布《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,強調要打造數字經濟新優勢。
因此,數字資訊互聯互通是港深經濟協作的關鍵成功因素(Critical Success Factor)。然而,在一國兩制之下,不少香港公司(尤其是中小型企業)對數據「過河」無不戰戰兢兢,恐怕一不小心會觸犯內地法律。
數據合約條文 需要因地制宜
有見及此,香港個人資料私隱專員公署於5月12日發布《跨境資料轉移指引 : 建議合約條文範本》。文件中私隱公署建議兩套針對跨境數據轉移合約的條文範本,供數據使用者參考和自行修改使用。
建議條文範本適用於兩種類型的跨境數據傳輸:包括從一個數據用戶到另一個數據用戶(兩者均為資料使用者);以及從資料使用者到資料處理者。再者,其用途廣泛,可應用於例如個人資料從香港實體(即公司或個人)跨境轉移至香港以外的另一實體;或者當轉移由香港數據用戶控制時,兩個實體之間的轉移均在香港境外等的不同場景。
建議條文範本可確保跨境數據轉移符合香港的《個人資料(私隱)條例》(PDPO)的要求,但視乎數據需不需要進一步由接收地轉移至另一地方,數據用戶須考慮相關的司法管轄區的法律規管,例如歐盟的《通用數據保護條例》(GDPR)和中國的《個人信息保護法》(PIPL)。所以數據用戶在使用範本時必需因地制宜,作出適當的修改和潤色。
以《個人信息保護法》為例,PIPL會因應出口數據是否來自關鍵信息基礎設施,以及出口數據量是否超額,來決定合約是否需要額外施加不同的跨境數據轉移限制。又例如,歐盟的2021年標準合同條款要求當事方進行私隱影響評估。
涉陸數據轉移 五項關鍵條款
有本地法律界人士指出,參考國家互聯網信息辦公室於2021年10月發布的《跨境數據傳輸安全評估辦法》草案,涉及内地跨境數據轉移的標準合同,可能採用的關鍵條款將會需要當事人明確地列出:
一、數據輸出的目的、方式和範圍,以及境外接收方處理數據的使用和方式;
二、數據在中國境外的保留期限,以及在保留期限或合同期限屆滿或達到處理目的後將採取的措施;
三、境外接收方在實際控制權或業務範圍發生重大變化,或境外接收方所在司法管轄區的法律環境發生變化,而導致數據安全難以保障時,應採取的安全措施;
四、分配違反安全義務的責任,以及具有約束力和可執行的爭議解決條款;和
五、發生數據洩露時,應採取的補救措施,以及確保個人行使權利的有效渠道的義務。
靈活評估和更新數據合同
概括而言,香港企業必需要及時了解全球數據保護法律,並靈活地評估和更新其數據合同,特別是針對深圳的數字經濟的需求,助力香港產業融合大灣區,並充當國家的國際創科中心。
再者,筆者希望國家互聯網信息辦公室能盡早確定其標準數字合同草案,釋除香港公司對個人數據輸出到中國境外的疑惑。
原刊於《星島日報》,本社獲作者授權轉載。
