个人信息跨境再迎区域性文件！粤港澳大湾区实践指南征求意见发布-尊龙凯时注册

南方财经全媒体记者 吴立洋 21世纪经济报道记者 冯恋阁 广州报道

近日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求》(以下简称“征求意见稿”)。

征求意见稿从术语定义、基本原则、处理要求、权益保障、安全要求对粤港澳大湾区跨境个人信息保护工作做出了规制。本次征求意见稿向社会公开征求意见将持续至11月15日。

受访专家认为，虽然该标准文件是一项网络安全标准实践指南，不具有强制性，但其作为《关于促进粤港澳大湾区数据跨境流动的合作备忘录》的配套文件，为备忘录的落地提供了实操性的指引，可以作为粤港澳大湾区个人信息跨境活动的参考依据，在实践中具有重要的指导意义。

细化大湾区数据跨境处理规范

从具体内容来看，本次发布的征求意见稿从范围、术语定义、基本原则、个人信息处理要求、个人信息权益保障要求、个人信息安全要求等方面规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则，在《个人信息保护法》等上位法律法规的基础上进一步细化了个人信息跨境的基本规范。

征求意见稿中指出，该文件适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。其中，备忘录指的是今年6月29日国家互联网信息办公室与香港特区政府创新科技及工业局签署的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》；而认证则是指《个人信息保护法》第38条要求的个人信息跨境处理活动安全认证。

“当前，个人信息跨境安全认证目前还在落地过程中，目前信安标委已发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。”世辉律师事务所合伙人王新锐在接受南方财经全媒体记者采访时表示。

在当前的个人信息处理者合规实践中，出境记录的记录和留档是规范数据传输行为，便于后期溯源的重要方式。标准中提到，个人信息处理者对个人信息跨境处理活动需进行日志记录，日志至少保存3年。

“这一保存标准与《个人信息保护法》项下对个人信息保护影响评估报告的保存时间一致。”观韬中茂律师事务所合伙人吴丹君指出，在具体操作上，需要一定的系统配置和组织准备工作，比如服务器设置日志保存时间或专门的日志机等。操作层面的难度主要体现于确保日志的连续性和完整性。

此外，作为面向粤港澳大湾区的个人信息跨境指南，征求意见稿主要面向的也是区域内的数据跨境行为，这对于我国数据跨境实践也具有显著的探索意义。

王新锐指出，征求意见稿要求个人信息处理者与境外接收方签订具有法律约束力的文件，约定权利义务，并要求接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方。也即，大湾区之间的跨境传输不得向其他区域进行再转移。

对于区域外的数据跨境行为，征求意见稿也给出了明确的法规适用边界。“明确个人信息处理者应与接收方签订具有法律约束力的文件，并要求接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方，这一要求旨在严格控制数据流转的范围。”吴丹君表示。

相关定义存在差异等难题待解

今年以来，粤港澳大湾区数据跨境流动频频迎来新动态。

6月29日，国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。签署公告中提到，各方将在国家数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则。

10月底，香港特区行政长官李家超发表《行政长官2023年施政报告》时提到，将在大湾区以先行先试方式，简化内地个人数据流动到香港的合规安排，便利大湾区内包括金融、医疗等跨境服务提供。此外，香港特区政府财政司司长主持的“数字化经济发展委员会”正就数据跨境流动等问题进行研究，将明年初提出建议。

在吴丹君看来，征求意见稿作为《关于促进粤港澳大湾区数据跨境流动的合作备忘录》的配套文件在近日推出，则进一步为备忘录的落地提供了实操性的指引。

不过，受访专家认为，虽然征求意见稿提出了更细化的操作指南，但大湾区数据跨境实践中仍有许多难题待解。

王新锐认为，包括大湾区内个人信息跨境流动的合法性和必要性判断、数据流向大湾区和流向其他国家的实质差异等都是下一步需要关注的方向。

吴丹君则补充道，目前，粤港澳的数据跨境流动并未设立统一的监管机构，对于数据跨境流动的协调与监管职责尚未明确划分。因此，一旦出现个人信息跨境流动的不合规情况，具体由哪一个监管机构负责管理，仍需进一步的法规规定和政策指导。

此外，由于粤港澳三地对于“个人信息”的定义和划分存在差异，这在一定程度上导致三地在监管范围和强度上存在不同。“因此，如何实现粤港澳三地在个人信息保护方面的协同监管，将是未来需要解决的重要问题。”她指出。