oln

粤港澳大湾区跨境数据流动合规指引： 企业须知

引言

粤港澳大湾区（“大湾区”）是全球规模最为深远的区域经济一体化项目之一，涵盖三个不同法律管辖区。大湾区以珠江三角洲为核心，将九个广东省内地城市（广州、深圳、珠海、佛山、惠州、东莞、中山、江门、肇庆）与香港及澳门两个特别行政区纳入统一区域发展框架之下。大湾区在国务院2019年《粤港澳大湾区发展规划纲要》中被定位为具有全球影响力的国际科技创新中心。

跨越司法管辖边界的数据自由流通，对于实现大湾区发展潜力至关重要。本文梳理香港与内地大湾区城市之间跨境数据传输的法律框架，并就企业在该地区运营所需了解的若干核心合规义务进行说明。

---

第一部分：香港——第33条尚未生效，现行义务仍须遵守

香港《个人资料（私隐）条例》（香港法律第486章）（“《私隐条例》”）自1995年颁布起已载有跨境个人资料转移限制条文（“第33条”），但该条文至今仍未生效。第33条一旦生效，将原则上禁止将个人资料转移至香港以外的地方，除非满足若干特定条件——包括目的地司法管辖区提供与《私隐条例》相当水平的保障、资料当事人已给予单独的自愿同意，或资料使用者已采取一切合理预防措施并尽职审查以确保资料获得相当保障（通常通过合同保障措施实现）。

就香港政府相关政策局立场而言，当局的最新立场是由于对中小企业可能因此承受的财务负担存有顾虑，故此目前不是推进落实工作的最好时机。香港个人资料私隐专员公署（“私隐专员公署”）的立场则比较进取——其一贯态度是在第33条最终生效之前鼓励自愿合规，并为此发布最佳实践指引及示范合同条款供企业采用（详见下文）。

在第33条尚未生效的情况下，从香港进行的跨境数据转移仍须遵守《私隐条例》附表一所载的六项保障资料原则（“保障原则”），该等原则适用于所有个人资料处理活动，无论资料是否离港。其中最直接相关的包括：

• 保障原则一（收集目的及方式）：个人资料须为与资料使用者的职能或活动直接相关的合法目的而收集，且收集方式不得超出该目的所需的范围。若资料作为更广泛处理链的一部分进行跨境转移，原始收集活动须已合理预期此类用途。
• 保障原则三（使用限制）：未经资料当事人的订明同意，个人资料不得用于新目的。若跨境转移的目的与收集资料时的目的不同或不直接相关，则构成违反保障原则三，除非已取得同意。此为现行有效的法律义务，亦是常见的违规来源。
• 保障原则四（资料安全）：资料使用者须采取一切切实可行的步骤，确保个人资料免受未经授权或意外的查阅、处理、删除、遗失或使用。关键在于，保障原则四亦适用于境外处理者：若香港资料使用者将资料转移至内地或其他地方的第三方处理者，而该处理者发生数据泄露，香港资料使用者若未对该处理者实施充分的合同及技术保障，仍可能被认定违反保障原则四。
• 《私隐条例》第65(2)条——代理人行为的法律责任：香港资料使用者须对代其处理资料的数据处理者违反《私隐条例》的行为承担法律责任，前提是资料使用者未采取充分的预防措施。此条款无论处理者身处何地（包括中国内地）均适用。

私隐专员公署指引：非强制性，但影响深远

2022年5月，私隐专员公署发布《跨境转移个人资料的建议合同条款》指引（“《建议合同条款》指引”），提供两套建议合同条款（“建议条款”）：

• 资料使用者对资料使用者（DU-DU）：适用于接收方将资料用于其自身目的的转移情形。
• 资料使用者对数据处理者（DU-DP）：适用于接收方仅代表转移方处理资料的情形。

《建议合同条款》指引明确不具法律约束力。然而，私隐专员公署已表明，在调查任何涉嫌违反《私隐条例》的情况时，将会考虑企业是否遵从该指引——尤其是否已采纳建议条款或同等条款。应进一步指出的是，建议条款所涵盖的大部分义务已反映《私隐条例》现行生效的规定——尤其是保障原则三及保障原则四。建议条款不仅仅是前瞻性准备；其所要求的相当部分在今日已属强制性义务。

《保护关键基础设施（电脑系统）条例》与数据私隐的交汇

香港于2025年3月19日通过《保护关键基础设施（电脑系统）条例》（香港法律第653章）（”《关键基础设施条例》”），并于2026年1月1日起正式生效，成为香港首部专门针对关键基础设施网络安全的法例。《关键基础设施条例》虽非数据私隐法规，但其与《私隐条例》在合规层面存在重要交汇，对于在大湾区运营并处理跨境个人资料的企业值得关注。

《关键基础设施条例》规管八大指定行业的关键基础设施营运者（”关基营运者”），包括能源、资讯科技、银行及金融服务、交通运输（涵盖航空、陆路及海上运输）、医疗服务，以及电讯及广播服务。该条例对关基营运者施加法定义务，要求其采取适当措施保护其电脑系统，以降低网络攻击对必要服务造成干扰或破坏的风险，从而维护香港社会的正常运作及公众利益。具体而言，《关键基础设施条例》要求关基营运者建立及维持全面的网络安全管理体系，包括制定及实施电脑系统安全管理计划、定期进行风险评估及审计、履行事故通报责任，并建立有系统的事故预防与应对机制。

尽管《关键基础设施条例》主要聚焦关键基础设施电脑系统的技术安全，其制度设计在整体上亦强化了数据保护环境。该等要求与《私隐条例》下的数据保障原则相互呼应，特别是关于数据用户须采取一切切实可行步骤保障个人资料安全的规定；《关键基础设施条例》则通过引入更具强制性的组织及技术措施，协助相关机构更有效履行上述义务。

香港企业的合规建议

将个人资料从香港转移至中国内地的企业，应考虑采取以下基本合规措施：

1. 数据梳理：识别所有离港的个人资料类别、收集的法律依据、转移目的，以及接收方的身份与所在地。
2. 目的一致性审查（保障原则三）：就每项已识别的转移，评估跨境转移的目的是否与收集资料时的目的相同或直接相关。如不一致，须重新取得同意或重新规划数据流转架构。
3. 数据处理者合同管控（保障原则四 / 第65(2)条）：与所有内地处理者签订书面数据处理协议，涵盖数据安全标准、分包处理限制、泄露通报义务、审计权及数据保留要求。DU-DP建议条款可作为良好的起点范本。
4. 资料使用者对资料使用者的转移：若内地接收方将资料用于其自身目的，则需要DU-DU合同保障，涵盖目的限制、数据主体权利、安全及问责制度。
5. 私隐声明审查：确保收集声明充分描述跨境转移的可能性及所采取的保障措施。私隐声明不足是私隐专员公署调查中的常见问题。
6. 为第33条生效作准备：无论时机如何，现在落实建议条款均属良好做法，并将在第33条最终生效时减轻合规负担。

---

第二部分：中国内地——三部主要法律，三种传输机制

中国内地针对个人信息的数据跨境治理框架主要建立在三部相互联系的法律之上：

• 《网络安全法》（2017年6月1日起生效）：确立网络运营者的基本合规要求。关键信息基础设施（“关基”）运营者须遵守数据本地化要求，在内地运营期间收集和产生的个人信息及重要数据须存储于境内，仅在通过安全评估后方可向境外传输。关基运营者涵盖电信、能源、交通、金融及公共服务等领域。
• 《数据安全法》（2021年9月1日起生效）：建立基于国家安全、公共利益及经济发展重要性的数据分级分类制度，适用范围不限于个人信息。“重要数据”受到更严格的限制。《数据安全法》具有域外效力，适用于在中国内地境外进行的、损害国家安全、公共利益或中国公民合法权益的数据处理活动。
• 《个人信息保护法》（2021年11月1日起生效）：中国内地全面的个人信息保护法律，在结构上与欧盟《通用数据保护条例》（GDPR）有相似之处（内容上仍存在差异）。《个人信息保护法》亦具有域外效力，适用于在中国内地境外进行的个人信息处理活动，但须满足以下条件之一：以向境内自然人提供产品或服务为目的；或以分析、评估境内自然人行为为目的。《个人信息保护法》的实施另有配套细则规范跨境传输的具体程序与要求，主要包括：《数据出境安全评估办法》（2022年9月1日起施行）、《个人信息出境标准合同办法》（2023年6月1日起施行）、《促进和规范数据跨境流动规定》（2024年3月22日起施行）（“2024年《规定》”）、《个人信息保护合规审计管理办法》（2025年5月1日起施行），以及《个人信息出境认证办法》（2026年1月1日起施行）。

另外，在上述三部法律之下，国务院于2024年9月30日发布《网络数据安全管理条例》（2025年1月1日起施行），以行政法规层面对网络数据安全管理作出全面规范。在跨境数据传输方面主要发挥以下作用：其一，以行政法规层级对现行部门规章下三种传输机制（详见下文）予以整合和确认，赋予该框架更高的法律权威；其二，就“重要数据”提供具有可操作性的一般性定义，有助于企业识别须触发强制安全评估的数据类型；其三，在2024年《规定》的基础上引入额外豁免情形；其四，要求境外数据处理者在境内设立专门机构或指定代表，加强对境外数据处理活动的监管；其五，重申数据处理者在取得数据出境安全评估批准后，须严格按照评估所确定的目的、方式、范围、类型及规模开展数据出境活动，不得超出评估范围。

《个人信息保护法》下的跨境传输机制

受《个人信息保护法》约束并拟向境外提供个人信息的个人信息处理者（“处理者”），一般须满足以下三种合规机制之一：

• 机制一—— 国家互联网信息办公室（“网信办”）安全评估：以下处理者须强制通过安全评估：（a）关基运营者向境外提供个人信息或重要数据；（b）关基运营者以外的处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息；或（c）国家网信部门规定的其他需要申报数据出境安全评估的情形。
• 机制二 —— 标准合同（“中国SCC”）：关基运营者以外的处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，可与境外接收方签订网信办发布的标准合同模板（2023年6月颁布）。中国SCC要求事先开展个人信息保护影响评估（“PIPIA”），评估报告须保存三年。签署后的标准合同须于签订之日10个工作日内向有管辖权的地方网信办备案。
• 机制三 —— 个人信息保护认证：处理者可向网信办认定的认证机构申请认证，以证明其跨境处理活动符合适用标准。此机制尤其适用于跨国企业集团内部的数据传输，认证机构对处理者的整体合规体系进行评估，而非逐项传输审核。

2024年《规定》下的豁免及其他便利措施

2024年《规定》就传输机制引入重要豁免及其他便利措施：

• 豁免上述三种机制的情形（不包括重要数据）：（i）关基运营者以外的处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的；（ii）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（iii）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；或（iv）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。
• 自由贸易试验区便利措施：各自由贸易试验区可制定数据出境负面清单，明确须受传输限制的数据类型；不在负面清单范围内的数据，可豁免适用安全评估、标准合同备案及认证等标准合规要求。

同意要求与敏感个人信息专项同意

《个人信息保护法》对跨境提供个人信息设置了单独且明确的同意要求：须向资料当事人告知境外接收方的名称及联系方式、处理目的与方式、个人信息类别及当事人的权利，当事人须对跨境提供行为单独作出同意（有别于对基础处理活动所给予的同意）。

对于敏感个人信息（依据《个人信息保护法》，包括医疗健康数据、生物识别信息、金融账户数据、行踪轨迹信息及未成年人信息），同意门槛更高：须取得明确的专项同意，且处理目的须达到“确有必要”的标准。

---

第三部分：大湾区专项机制——大湾区标准合同

背景

鉴于大湾区建设是国家战略举措，制定有利政策和专项监管框架以促进有益于大湾区发展的跨境活动，乃顺势而为之举。在数据治理领域，一项重大监管进展是《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同》（“大湾区标准合同”），由网信办与香港创新科技及工业局于2023年12月13日联合发布，并附有《实施指引》。大湾区标准合同自颁布之日起即时生效。

大湾区标准合同的性质与主要内容

大湾区标准合同为大湾区内地九市与香港之间的个人信息流转建立了一套专门的、简化的传输机制。作为一项预先批准的合同模板，大湾区标准合同为内地个人信息处理者提供了在特定场景下替代中国SCC的合规路径，使其在向香港提供个人信息时，在不触发强制安全评估情形的前提下，无需通过网信办安全评估，整体合规门槛相对简化。与此同时，其适用条件不涉及传输数量的量化门槛，在一定程度上较中国SCC具有更高的适用灵活性。《大湾区标准合同》简化个PIPIA的重点评估内容，由6项减至3项。其主要特点如下：

• 适用范围：大湾区标准合同适用于大湾区内地城市与香港之间双向的个人信息跨境流转。参与方须在大湾区内地或香港注册（适用于机构）或居住（适用于个人）。
• 与《个人信息保护法》机制的关系：对于内地个人信息处理者而言，大湾区标准合同可作为在大湾区内地城市与香港之间传输个人信息时，替代标准中国SCC的机制。但对于须强制通过安全评估的关基运营者或大规模处理者，大湾区标准合同并不取代安全评估要求。
• 自愿采用：大湾区标准合同系自愿采用，不取代现行法定机制。然而，在实践中，大湾区标准合同是目前最具实践意义且获监管机构认可的大湾区跨境数据流转机制，其使用可提供临时性合同安排所无法保障的监管确定性。
• PIPIA要求：在签订大湾区标准合同之前，中国内地个人信息处理者仍须开展PIPIA。与标准中国SCC制度不同，PIPIA报告无需作为备案文件提交给主管机关，而由企业内部起草并妥善留存，以备后续监管查验。此外，与中国SCC下的PIPIA相比，大湾区标准合同下的PIPIA要求有所简化，无需就个人信息出境后遭到篡改、破坏等风险等、境外接收方所在国家或地区的个人信息保护政策法规对标准合同履行的影响及其他可能影响个人信息出境安全的事项进行评估。香港一方的资料使用者在《私隐条例》下无需开展PIPIA，但私隐专员公署建议自愿开展隐私影响评估为良好实践。
• 数据主体的合同保护：大湾区标准合同载有保护双方数据主体权利的强制性条款，包括查阅、更正及删除其个人信息的权利，以及就违约行为直接向个人信息处理者或接收方提出索赔的权利。该等条款属于强制性规定，当事方不得予以排除或变更。
• 允许补充商业条款：大湾区标准合同模板所载核心条款为非协商性条款，但当事方可根据具体商业安排补充额外条款，前提是该等条款不得与标准合同所确立的保护水平相冲突或予以削弱。如存在冲突，应以大湾区标准合同为准。

值得注意的是，同意要求及敏感个人信息的专项同意义务在采用大湾区标准合同时并不获豁免。大湾区标准合同通过合同条款明确划分个人信息处理者与接收方各自承担的义务，但并不免除个人信息处理处理者依据《个人信息保护法》须履行的实质性同意要求。

备案要求——双重备案义务

大湾区标准合同的一项显著特点是其双重备案要求。与中国SCC（仅要求数据出口方向有管辖权的地方网信办备案）不同，大湾区标准合同要求资料使用者/处理者与接收方均须于大湾区标准合同生效之日10个工作日内，分别向各自的主管机关进行备案：

• 中国内地一方（处理者/接收方）：向广东省互联网信息办公室（或相关市级网信办）备案。
• 香港一方（资料使用者/接收方）：向数字政策办公室备案。

大湾区认证——潜在的第二通道

与大湾区标准合同并行，全国信息安全标准化技术委员会于2023年11月1日发布了《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求（征求意见稿）》，为大湾区个人信息保护认证（“大湾区认证”）提供技术基础，作为大湾区内部数据流转的替代便利机制。该机制采用认证方式，由认可机构对机构的数据处理及传输实践进行全面评估，尤其适合跨境传输量大、关系持续且逐项签订合同在操作上不具可行性的机构。

然而，截至本文撰写之日，大湾区专项认证机制尚未正式实施。2025年以来的监管进展主要集中于完善《个人信息保护法》项下全国性个人信息保护认证机制——包括《个人信息出境认证办法》（2026年1月1日起施行）及国家标准GB/T 46068-2025（2026年3月1日起施行）的发布——而大湾区专项认证机制的独立操作框架仍有待进一步明确。

大湾区标准合同机制的局限性

以下几项重要限制须予以注意：

• 依据大湾区标准合同传输的数据，不得进一步转移至大湾区以外（例如转至新加坡数据中心或英国总部），否则须另行遵守《个人信息保护法》的跨境传输要求。
• 大湾区标准合同不凌驾于《私隐条例》之上。香港资料使用者即便采用大湾区标准合同，仍须遵守《私隐条例》下的所有适用义务——包括各项保障原则、泄露通报指引及对数据处理者的监督义务。
• 大湾区标准合同仅适用于个人信息，不涵盖中国内地法律下的“重要数据”——重要数据可能须另行接受监管处理，包括在适用情况下须通过网信办安全评估。

结语

大湾区跨境数据流转的监管环境颏为复杂，执法预期持续提升，对跨境数据实践的审查日渐严格，政策信号一致指向更严密的监管与更有序的便利机制并行推进。大湾区标准合同作为首个区域性数据流转综合框架，实属重要突破——但它是一项工具，而非完整的解决方案，有效运用需要审慎的法律分析、健全的文件记录及严格的落实执行。

有效的合规管理需要结构化的端对端方案。这通常始于梳理数据流转、识别法律依据及差距的准备工作，继而设计覆盖私隐声明、治理政策、传输机制及泄露应对的合规框架，最终落实至资格审查、合同签署、双向备案协调及跨境后续传输的管理。

尽早建立结构化、具前瞻性合规体系的企业，而非待执法压力来临才被动应对，将更有能力高效流转数据、从容应对监管审查，并在市场中建立更具公信力的数据治理声誉，赢得客户及商业伙伴的信任。

本文作者具备香港律师及粤港澳大湾区律师双重执业资格。

免责声明：本文仅供一般参考及资讯用途。本文内容不构成法律意见，不应被视为法律意见加以依赖。本文所述法律情形反映截至本文出版日期之状况，相关内容可能随时变化。读者在依据本文内容采取任何行动或作出任何决定之前，应就相关司法管辖区的具体情况，向具备执业资格的法律从业者寻求独立法律意见。本所对任何人士因依赖本文内容而招致的任何损失或损害概不承担法律责任。

最新消息

作者