前言
点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。
01
适用的数量范围更广泛,预计一年内“粤->港”跨境提供100万人以上个人信息或无需申报安全评估
粤港SCC中则未明确提及个人信息的数量和时间等限制适用条件,这意味着预计一年内“粤->港”跨境提供100万人以上个人信息,可适用粤港SCC,无需申报数据出境安全评估。
注:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同指引》的法律效力低于《数据出境安全评估办法》和生效后的《规范和促进数据跨境流动规定》,不排除上位法规定的100万人以下个人信息数量限制在后续粤港SCC备案指南或相关文件中被解释为仍然有效的可能性。
02
对再转移的限制条件更宽松,向同辖区内的第三方再转移无需再行备案
第三条 接收方的义务和责任 (八)同时符合下列条件的,方可向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息: 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知,从其规定。 3.基于个人同意处理个人信息的,应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。 4. 按照附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。 |
03
减轻了接收方的义务和责任,降低了合同采用的难度
内地SCC中对境外接收方义务的要求(部分) | 粤港SCC中对境外接收方义务的要求(部分) |
承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 | 承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对本合同涵盖的处理活动进行合规审计,并为人信息处理者开展合规审计提供便利。 |
对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。 | 对开展的个人信息处理活动进行客观记录,保存记录至少3年。 |
04
给予了境外接收方所在地法律更大的适用空间,便利了标准合同的拟定和履行
粤港SCC模板删去了内地SCC模板“第四条 境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行的影响”,且在个人信息保护影响评估、重新签订合同和备案、合同解除等相关条款中不再考量关于境外接收方所在地法律环境相关内容,这默认了香港作为境外接收方所在地的法律政策环境不会对出境后的个人信息主体权益产生不利影响,相当于在实质上承认香港的法律政策环境具有“适当保护水平”。
此外,粤港SCC限缩了内地法律的域外适用要求,在术语定义、合同义务履行和争议解决等方面给予了香港法律的适用空间:
术语定义:香港法律中个人资料、资料使用者、资料当事人等定义可与内地法律个人信息、个人信息处理者、个人信息主体等定义对应使用,极大地便利了粤港双方主体就SCC签订协商和在香港的适用;
合同义务履行:个人信息主体同意、个人信息保护义务等的履行遵从属地相关法律法规要求,境外接收方遵守香港法律规定即可;
争议解决:可约定香港国际仲裁中心仲裁解决,可向香港有管辖权的法院提起诉讼。
粤港SCC中对内地法律的域外适用的限缩,意味着香港接收方仅需遵循属地《个人资料(私隐)条例》等相关法律法规规定即可,这将有效降低接收方履行合同义务的难度。
05
简化了个人信息保护影响评估的内容,且标准合同的备案工作更简单
粤港SCC中个人信息影响评估的要点仅包括“个人信息处理者和境外接收方处理个人信息的目的、方式等的合法性、正当性、必要性”、“对个人信息主体权益的影响及安全风险”和“境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全”三项,删去了内地SCC在个人信息保护影响评估中要求的“出境个人信息的规模、范围、种类、敏感程度”、“个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险”、“当地个人信息保护政策和法规对合同履行的影响”等内容,这意味着粤港SCC中个人信息保护影响评估工作的开展难度将降低。此外,与内地SCC模板相比,《指引》中粤港SCC模板第八条规定的备案材料也有所简化。
附:"粤港澳大湾区(内地、香港)个人信息跨境流动标准合同模板"与"个人信息出境标准合同模板"逐条对比
NIS研究院整理编辑
·END·
以往信息请关注“协会服务中心”公众号
深圳市网络与信息安全行业协会
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...