Award Icon

粵港澳大灣區跨境數據流動合規指引:企業須知

引言

粵港澳大灣區(「大灣區」)是全球規模最為深遠的區域經濟一體化項目之一,涵蓋三個不同法律管轄區。大灣區以珠江三角洲為核心,將九個廣東省內地城市(廣州、深圳、珠海、佛山、惠州、東莞、中山、江門、肇慶)與香港及澳門兩個特別行政區納入統一區域發展框架之下。大灣區在國務院2019年《粵港澳大灣區發展規劃綱要》中被定位為具有全球影響力的國際科技創新中心。

跨越司法管轄邊界的數據自由流通,對於發揮大灣區發展潛力至關重要。本文梳理香港與內地大灣區城市之間跨境數據傳輸的法律框架,並講解企業在該地區營運所需了解的若干核心合規義務進行說明。


第一部分:香港——第33條尚未生效,現行義務仍須遵守

香港《個人資料(私隱)條例》(香港法律第486章)(「《私隱條例》」)自1995年頒布起已載有跨境個人資料轉移限制條文(「33」),但該條文至今仍未生效。第33條一旦生效,將原則上禁止將個人資料轉移至香港以外的地方,除非滿足若干特定條件——包括目的地司法管轄區提供與《私隱條例》相當水平的保障、資料當事人已作出獨立自願的同意,或資料使用者已採取一切合理預防措施並盡職審查以確保資料獲得相當保障(一般透過合約條款落實)。

就香港政府相關政策局立場而言,當局的最新取態是由於對中小企業可能因此承受的財務負擔存有顧慮,故此現階段並非落實相關條文的合適時機。香港個人資料私隱專員公署(「私隱專員公署」)的立場則比較進取——其一貫態度是在第33條最終生效之前鼓勵自願合規,並為此發布最佳實務指引及示範合約條款供企業參考採用(詳見下文)。

在第33條尚未生效的情況下,所有源自香港的跨境數據轉移仍須遵守《私隱條例》附表一所載的六項保障資料原則(「保障原則」),該等原則適用於所有個人資料處理活動,不論資料是否轉移出香港。其中最直接相關的包括:

  • 保障原則一(收集目的及方式):個人資料須為與資料使用者的職能或活動直接相關的合法目的而收集,且收集手法不得超出該目的所需的範圍。若資料作為更廣泛處理流程的一部分進行跨境轉移,原始收集行為須已合理預期此類用途。
  • 保障原則三(使用限制):未經資料當事人的訂明同意,個人資料不得用於全新用途。若跨境轉移的目的與收集資料時的目的不同或不直接相關,則構成違反保障原則三,除非已取得同意。此為現行有效的法律義務,亦是業界最常出現的違規情況。
  • 保障原則四(資料安全):資料使用者須採取一切切實可行的步驟,確保個人資料免受未經授權或意外的查閱、處理、刪除、遺失或不當使用。關鍵在於,保障原則四亦適用於境外處理者:若香港資料使用者將資料轉移至內地或其他地方的第三方處理者,而該處理者發生數據洩漏,香港資料使用者若未對該處理者實施充分的合約及技術保障,仍可能被裁定違反保障原則四。
  • 《私隱條例》第65(2)條——代理人行為的法律責任:香港資料使用者須對代其處理資料的數據處理者違反《私隱條例》行為承擔法律責任,前提是資料使用者未採取充分的預防措施。此條款無論處理者身處何地(包括中國內地機構)均適用。

私隱專員公署指引:非強制性,但影響深遠

2022年5月,私隱專員公署發布《跨境轉移個人資料的建議合約條款》指引(「《建議合約條款》指引」),提供兩套建議合約條款(「建議條款」):

  • 資料使用者對資料使用者(DU-DU):適用於接收方將資料用於自身業務用途的轉移場景。
  • 資料使用者對數據處理者(DU-DP):適用於接收方僅代表轉移方處理資料、不會自用的場景。

《建議合約條款》指引明確不具法律約束力。然而,私隱專員公署已表明,在調查任何涉嫌違反《私隱條例》的個案時,將會考慮企業是否遵從該指引——尤其是否已採納建議條款或同等條款。應進一步指出的是,建議條款所涵蓋的大部分義務已反映《私隱條例》現行生效的規定——尤其是保障原則三及保障原則四。建議條款不僅僅是前瞻部署;其所要求的相當部分在今日已屬強制性義務。

《保護關鍵基礎設施(電腦系統)條例》與數據私隱的交匯

香港於2025年3月19日通過《保護關鍵基礎設施(電腦系統)條例》(香港法律第653章)(「《關鍵基礎設施條例》」),並於2026年1月1日起正式生效,成為香港首條專門針對關鍵基礎設施網絡安全的法例。《關鍵基礎設施條例》雖非專屬的個人資料私隱法規,但其與《私隱條例》在合規層面存在重要關聯,對於在大灣區營運並處理跨境個人資料的企業值得重點關注。

《關鍵基礎設施條例》規管八大指定行業的關鍵基礎設施營運者(「關基營運者」),包括能源、資訊科技、銀行及金融服務、交通運輸(包括航空、陸路及海上運輸)、醫療服務,以及電訊及廣播服務行業。該條例對關基營運者施加法定義務,要求其採取合適措施保護其電腦系統,以減低網絡攻擊對必要服務造成干擾或破壞的風險,從而維持香港社會的正常運作及公眾利益。具體而言,《關鍵基礎設施條例》要求關基營運者建立及維持完善的網絡安全管理體系,包括制訂及執行電腦系統安全管理計劃、定期進行風險評估及審計、履行事故通報責任,並建立系統化的事故預防與應對機制。

儘管《關鍵基礎設施條例》主要聚焦關鍵基礎設施電腦系統的技術安全,其制度設計在整體上亦全面優化本港數據保護環境。該等要求與《私隱條例》下的數據保障原則相互呼應,特別是關於數據用戶須採取一切切實可行步驟保障個人資料安全的規定;《關鍵基礎設施條例》則通過引入更具強制性的組織及技術措施,協助相關機構更妥善履行上述義務。

香港企業的合規建議

將個人資料從香港轉移至中國內地的企業,應考慮落實以下基本合規措施:

  1. 數據梳理:全面梳理所有離港的個人資料類別、收集的法律依據、轉移目的,以及接收方的身份與所在地。
  2. 目的一致性審查(保障原則三):就每項已識別的轉移,審核跨境轉移的目的是否與收集資料時的目的相同或直接相關。如不一致,須重新取得同意或重新規劃數據流轉安排。
  3. 數據處理者合約管控(保障原則四 / 第65(2)條):與所有內地處理者簽訂書面數據處理協議,涵蓋數據安全標準、分包處理限制、洩漏通報義務、審計權限及數據保留規範。DU-DP建議條款可作為良好的合約範本。
  4. 資料使用者對資料使用者的轉移:若內地接收方將資料用於其自身目的,則需要DU-DU合約保障,涵蓋目的限制、數據主體權利、安全及問責機制。
  5. 私隱聲明審查:確保私隱收集聲明充分描述跨境轉移的可能性及所採取的保障措施。私隱聲明內容不足是私隱專員公署調查中的常見問題。
  6. 為第33條生效提前部署:無論時機如何,現在落實建議條款均屬良好實務,並將在第33條最終生效時大幅減低合規負擔。

第二部分:中國內地——三部主要法律,三種傳輸機制

中國內地針對個人信息的數據跨境治理框架主要建基於三部相互聯繫的法律之上:

  • 《網絡安全法》(2017年6月1日起生效):訂立網絡營運者的基本合規要求。關鍵信息基礎設施(「關基」)營運者須遵守數據本地儲存要求,在內地營運期間收集和產生的個人信息及重要數據須存儲於境內,僅在通過安全評估後方可向境外傳輸。關基營運者涵蓋電信、能源、交通、金融及公共服務等行業。
  • 《數據安全法》(2021年9月1日起生效):建立基於國家安全、公共利益及經濟發展重要性的數據分級分類制度,適用範圍不限於個人信息。「重要數據」受到更嚴格的監管限制。《數據安全法》具有域外效力,適用於在中國內地境外進行的、損害國家安全、公共利益或中國公民合法權益的數據處理行為。
  • 《個人信息保護法》(2021年11月1日起生效):中國內地規管個人信息保護的核心全面法例,在結構上與歐盟《通用數據保障條例》(GDPR)有相似之處(惟細節內容存在差異)。《個人信息保護法》亦具有域外效力,適用於在中國內地境外進行的個人信息處理活動,但須滿足以下條件之一:以向境內居民提供產品或服務為目的;或以分析、評估境內居民行為為目的。《個人信息保護法》的實施另有配套細則規範跨境傳輸的具體程序與要求,主要包括:《數據出境安全評估辦法》(2022年9月1日起施行)、《個人信息出境標準合同辦法》(2023年6月1日起施行)、《促進和規範數據跨境流動規定》(2024年3月22日起施行)(「2024年《規定》」)、《個人信息保護合規審計管理辦法》(2025年5月1日起施行),以及《個人信息出境認證辦法》(2026年1月1日起施行)。

另外,在上述三部法律之下,國務院於2024年9月30日發布《網絡數據安全管理條例》(2025年1月1日起施行),以行政法規層面對網絡數據安全管理作出全面規範。在跨境數據傳輸方面主要發揮以下作用:其一,以行政法規層級對現行部門規章下三種傳輸機制(詳見下文)予以整合和確認,賦予該框架更高的法律權威;其二,就「重要數據」提供可落地的一般性定義,有助於企業識別須觸發強制安全評估的數據類型;其三,在2024年《規定》的基礎上新增豁免場景;其四,要求境外數據處理者在境內設立專門團隊或指定代表,加強對境外數據處理活動的監管;其五,重申數據處理者在取得數據出境安全評估批准後,須嚴格按照評估所確定的目的、方式、範圍、類型及規模開展數據出境活動,不得超出評估核准範圍。

《個人信息保護法》下的跨境傳輸機制

受《個人信息保護法》約束並擬向境外提供個人信息的個人信息處理者(「處理者」),一般必須符合以下三種合規機制之一:

  • 機制一 —— 國家互聯網信息辦公室(「網信辦」)安全評估:以下處理者必須強制申請安全評估:(a)關基營運者向境外提供個人信息或重要數據;(b)關基營運者以外的處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬條以上個人信息(不含敏感個人信息)或者1萬條以上敏感個人信息;或(c)國家網信部門規定的其他需要申報數據出境安全評估的情形。
  • 機制二 —— 標準合同(「中國SCC」):關基營運者以外的處理者自當年1月1日起累計向境外提供10萬條以上、不滿100萬條個人信息(不含敏感個人信息)或者不滿1萬條敏感個人信息的,可與境外接收方簽訂網信辦發布的標準合同模板(2023年6月頒布)。中國SCC要求事先開展個人信息保護影響評估(「PIPIA」),評估報告須保存三年。簽署後的標準合同須於簽訂之日10個工作日內向有管轄權的地方網信辦完成備案。
  • 機制三 —— 個人信息保護認證:處理者可向網信辦認可的認證機構申請認證,以證明其跨境處理活動符合適用標準。此機制尤其適用於跨國企業集團內部的數據傳輸,認證機構對處理者的整體合規體系進行評估,而非逐項審核單次傳輸。

2024年《規定》下的豁免及其他便利措施

2024年《規定》就傳輸機制引入重要豁免及其他便利安排:

  • 豁免上述三種機制的形勢(不包括重要數據):(i)關基營運者以外的處理者自當年1月1日起累計向境外提供不足 10 萬條個人信息的(不含敏感個人信息);(ii)為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境速遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;(iii)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;或(iv)緊急情況下為保護市民的生命健康和財產安全,確需向境外提供個人信息的。
  • 自由貿易試驗區便利措施:各自由貿易試驗區可制訂數據出境負面清單,明確須受傳輸限制的數據類型;不在負面清單範圍內的數據,可豁免適用安全評估、標準合同備案及認證等標準合規要求。

同意要求與敏感個人信息專項同意

《個人信息保護法》對跨境提供個人信息設置了單獨且明確的同意要求:須向數據當事人告知境外接收方的名稱及聯繫方式、處理目的與方式、個人信息類別及當事人的權利,當事人須對跨境提供行為單獨作出獨立同意(有別於對基礎處理活動所給予的同意)。

對於敏感個人信息(依據《個人信息保護法》,包括醫療健康數據、生物識別信息、金融賬戶資料、行蹤軌跡信息及未成年人資料),同意門檻更高:須取得明確的專項同意,且處理目的須達到「確有必要」的標準。


第三部分:大灣區專項機制——大灣區標準合同
背景

鑑於大灣區建設是國家戰略舉措,制定有利政策和專項監管框架以促進有益於大灣區發展的跨境活動,乃順勢而為之舉。在數據治理領域,一項重大監管進展是《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(「大灣區標準合同」),由網信辦與香港創新科技及工業局於2023年12月13日聯合發布,並附有《實施指引》。大灣區標準合同自公布當日起即時生效。

大灣區標準合同的性質與主要內容

大灣區標準合同為大灣區內地九市與香港之間的個人信息雙向流轉建立了一套專門的、簡化的傳輸機制。作為一項預先審批的合同模板,大灣區標準合同為內地個人信息處理者提供了在特定場景下替代全國通用的中國 SCC 機制的合規路徑,使其在向香港提供個人信息時,在不觸發強制安全評估情形的前提下,無需通過網信辦安全評估,整體合規門檻相對簡化。與此同時,其適用條件不涉及傳輸數量的量化門檻,在一定程度上較中國SCC具有更高的靈活性。《大灣區標準合同》簡化了PIPIA的重點評估內容,由6項減至3項。其主要特點如下:

  • 適用範圍:大灣區標準合同適用於大灣區內地城市與香港之間雙向的個人信息跨境流轉。參與方須在大灣區內地或香港註冊企業(適用於機構)或居住(適用於個人)。
  • 與《個人信息保護法》機制的關係:對於內地個人信息處理者而言,大灣區標準合同可作為在大灣區內地城市與香港之間傳輸個人信息時,替代標準中國SCC的機制。但對於須強制通過安全評估的關基營運者或大規模處理者,大灣區標準合同不獲豁免安全評估要求。
  • 自願採用:大灣區標準合同係自願採用,不取代現行法定機制。然而,在實務層面,大灣區標準合同是目前監管認可、操作性最強的大灣區跨境數據流轉機制,其使用可提供臨時性合同安排所無法保障的監管確定性。
  • PIPIA 要求:在簽訂大灣區標準合同之前,中國內地個人信息處理者仍須開展 PIPIA。與標準中國 SCC 制度不同,PIPIA 報告無需作為備案檔提交給主管機關,而由企業內部起草並妥善存檔保留,以備後續監管抽查。此外,與中國 SCC 下的 PIPIA 相比,大灣區標準合同下的 PIPIA 要求有所簡化,無需就個人信息出境後遭到篡改、破壞等風險、境外接收方所在國家或地區的個人信息保護政策法規對標準合同履行的影響及其他可能影響個人信息出境安全的事項進行評估。香港一方的資料使用者在《私隱條例》下無需開展 PIPIA,但私隱專員公署建議自願開展私隱影響評估為良好實務。
  • 數據主體的合同保障:大灣區標準合同載有保護雙方數據當事人權利的強制性條款,包括查閱、更正及刪除其個人信息的權利,以及就違約行為直接向個人信息處理者或接收方追討賠償的權利。該等條款屬於強制性規定,當事方不得予以刪除或修改。
  • 允許補充商業條款:大灣區標準合同模板所載核心條款為不可協商條款,但當事方可根據具體商業安排補充額外條款,前提是該等條款不得與標準合同所確立的保護水平相衝突或予以削弱。如存在衝突,應以大灣區標準合同為準。

值得注意的是,同意要求及敏感個人信息的專項同意義務在採用大灣區標準合合同時不會豁免。大灣區標準合同通過合同條款明確劃分個人信息處理者與接收方各自承擔的義務,但並不免除個人信息處理者依據《個人信息保護法》須履行的實質性同意要求。

備案要求——雙重備案義務

大灣區標準合同的一項顯著特點是其雙重備案責任。與中國SCC(僅要求數據出口方向有管轄權的地方網信辦備案)不同,大灣區標準合同要求資料使用者/處理者與接收方均須於大灣區標準合同生效之日10個工作日內,分別向各自的主管機關進行備案:

  • 中國內地一方(處理者/接收方):向廣東省互聯網信息辦公室(或相關市級網信辦)備案。
  • 香港一方(資料使用者/接收方):向數字政策辦公室備案。
大灣區認證——潛在的第二通道

與大灣區標準合同並行,全國信息安全標準化技術委員會於2023年11月1日發布了《網絡安全標準實踐指南——粵港澳大灣區跨境個人信息保護要求(徵求意見稿)》,為大灣區個人信息保護認證(「大灣區認證」)提供技術基礎,作為大灣區內部數據流轉的替代便利機制。該機制採用認證方式,由合資格機構對機構的數據處理及傳輸實踐進行全面評估,尤其適合跨境傳輸量大、關係持續且逐項簽訂合同操作繁瑣的機構。

然而,截至本文發布之日,大灣區專項認證機制尚未正式落地實施。2025年以來的監管進展主要集中於完善《個人信息保護法》項下全國性個人信息保護認證機制——包括《個人信息出境認證辦法》(2026年1月1日起施行)及國家標準GB/T 46068-2025(2026年3月1日起施行)的發布——而大灣區專項認證機制的獨立操作框架仍有待進一步監管公布。

大灣區標準合同機制的局限性

以下幾項重要限制企業必須留意:

  • 依據大灣區標準合同傳輸的數據,不得再轉移至大灣區以外(例如轉至新加坡數據中心或英國總部),否則須另行遵守《個人信息保護法》的跨境傳輸要求。
  • 大灣區標準合同不凌駕於《私隱條例》之上。香港資料使用者即便採用大灣區標準合同,仍須遵守《私隱條例》下的所有適用義務——包括各項保障原則、洩漏通報指引及對數據處理者的監督義務。
  • 大灣區標準合同只適用於個人信息,不涵蓋中國內地法律下的「重要數據」——重要數據可能須另行接受監管處理,包括在適用情況下須通過網信辦安全評估。

結語

大灣區跨境數據流轉的監管環境錯綜複雜,執法預期持續提升,對跨境數據實踐的審查日漸嚴格,政策信號一致指向更嚴密的監管與更有序的便利機制並行推進。大灣區標準合同作為首個區域性數據流轉綜合框架,實屬重要突破——但它是一項工具,而非萬能解決方案,有效運用需要審慎的法律分析、健全的檔記錄及嚴格的落實執行。

有效的合規管理需要結構化的端對端方案。這通常始於梳理數據流轉、識別法律依據及合規漏洞排查的準備工作,繼而設計覆蓋私隱聲明、治理政策、傳輸機制及洩漏應對的合規框架,最終落實至合作機構資格審核、合同簽署、雙向備案協調及跨境後續傳輸的管理。

盡早建立系統化、具前瞻性合規體系的企業,而非待執法巡查才被動應對,將更有能力高效流轉數據、從容應對監管審查,並在市場中建立更具公信力的數據治理聲譽,贏得客戶及合作夥伴的信賴。

本文作者具備香港律師及粵港澳大灣區律師雙重執業資格。

免責聲明:本文僅供一般參考及資訊用途。本文內容不構成法律意見,不應被視為法律意見加以依賴。本文所述法律情形反映截至本文出版日期之狀況,相關內容可能隨時變化。讀者在依據本文內容採取任何行動或作出任何決定之前,應就相關司法管轄區具體情況,向具備執業資格的法律從業者尋求獨立法律意見。本所對任何人士因依賴本文內容而招致的任何損失或損害概不承擔法律責任。

分享

上一篇

下一篇

Previous

Next