記者 吳立洋 21世紀經濟報道記者 馮戀閣 廣州報道
近日,全國信息安全標準化技術委員會秘書處發佈《網絡安全標準實踐指南——粵港澳大灣區跨境個人信息保護要求(征求意見稿)》(以下簡稱“征求意見稿”)。
征求意見稿從術語定義、基本原則、處理要求、權益保障、安全要求對粵港澳大灣區跨境個人信息保護工作做出瞭規制。本次征求意見稿向社會公開征求意見將持續至11月15日。
受訪專傢認為,雖然該標準文件是一項網絡安全標準實踐指南,不具有強制性,但其作為《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》的配套文件,為備忘錄的落地提供瞭實操性的指引,可以作為粵港澳大灣區個人信息跨境活動的參考依據,在實踐中具有重要的指導意義。
細化大灣區數據跨境處理規范
從具體內容來看,本次發佈的征求意見稿從范圍、術語定義、基本原則、個人信息處理要求、個人信息權益保障要求、個人信息安全要求等方面規定瞭粵港澳大灣區跨境處理個人信息應遵守的基本原則,在《個人信息保護法》等上位法律法規的基礎上進一步細化瞭個人信息跨境的基本規范。
征求意見稿中指出,該文件適用於大灣區內個人信息處理者依據備忘錄以認證方式開展個人信息跨境處理活動。其中,備忘錄指的是今年6月29日國傢互聯網信息辦公室與香港特區政府創新科技及工業局簽署的《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》;而認證則是指《個人信息保護法》第38條要求的個人信息跨境處理活動安全認證。
“當前,個人信息跨境安全認證目前還在落地過程中,目前信安標委已發佈《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》。”世輝律師事務所合夥人王新銳在接受南方財經全媒體記者采訪時表示。
在當前的個人信息處理者合規實踐中,出境記錄的記錄和留檔是規范數據傳輸行為,便於後期溯源的重要方式。標準中提到,個人信息處理者對個人信息跨境處理活動需進行日志記錄,日志至少保存3年。
“這一保存標準與《個人信息保護法》項下對個人信息保護影響評估報告的保存時間一致。”觀韜中茂(上海)律師事務所合夥人吳丹君指出,在具體操作上,需要一定的系統配置和組織準備工作,比如服務器設置日志保存時間或專門的日志機等。操作層面的難度主要體現於確保日志的連續性和完整性。
此外,作為面向粵港澳大灣區的個人信息跨境指南,征求意見稿主要面向的也是區域內的數據跨境行為,這對於我國數據跨境實踐也具有顯著的探索意義。
王新銳指出,征求意見稿要求個人信息處理者與境外接收方簽訂具有法律約束力的文件,約定權利義務,並要求接收方不得將接收的個人信息轉移至粵港澳大灣區之外的第三方。也即,大灣區之間的跨境傳輸不得向其他區域進行再轉移。
對於區域外的數據跨境行為,征求意見稿也給出瞭明確的法規適用邊界。“明確個人信息處理者應與接收方簽訂具有法律約束力的文件,並要求接收方不得將接收的個人信息轉移至粵港澳大灣區之外的第三方,這一要求旨在嚴格控制數據流轉的范圍。”吳丹君表示。
相關定義存在差異等難題待解
今年以來,粵港澳大灣區數據跨境流動頻頻迎來新動態。
6月29日,國傢互聯網信息辦公室與香港特區政府創新科技及工業局簽署《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》。簽署公告中提到,各方將在國傢數據跨境安全管理制度框架下,建立粵港澳大灣區數據跨境流動安全規則。
10月底,香港特區行政長官李傢超發表《行政長官2023年施政報告》時提到,將在大灣區以先行先試方式,簡化內地個人數據流動到香港的合規安排,便利大灣區內包括金融、醫療等跨境服務提供。此外,香港特區政府財政司司長主持的“數字化經濟發展委員會”正就數據跨境流動等問題進行研究,將明年初提出建議。
在吳丹君看來,征求意見稿作為《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》的配套文件在近日推出,則進一步為備忘錄的落地提供瞭實操性的指引。
不過,受訪專傢認為,雖然征求意見稿提出瞭更細化的操作指南,但大灣區數據跨境實踐中仍有許多難題待解。
王新銳認為,包括大灣區內個人信息跨境流動的合法性和必要性判斷、數據流向大灣區和流向其他國傢的實質差異等都是下一步需要關註的方向。
吳丹君則補充道,目前,粵港澳的數據跨境流動並未設立統一的監管機構,對於數據跨境流動的協調與監管職責尚未明確劃分。因此,一旦出現個人信息跨境流動的不合規情況,具體由哪一個監管機構負責管理,仍需進一步的法規規定和政策指導。
此外,由於粵港澳三地對於“個人信息”的定義和劃分存在差異,這在一定程度上導致三地在監管范圍和強度上存在不同。“因此,如何實現粵港澳三地在個人信息保護方面的協同監管,將是未來需要解決的重要問題。”她指出。
發表評論 取消回复