国家网信办发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引 》

近年来，粤港澳大湾区的经济往来日益密切，地区整体发展取得了显著的进展。然而，随着粤港澳各地区城市之间的交流合作增加，数据流动中个人信息的合法、安全、有序跨境传输缺乏一套完善、统一的规范和流程，从而存在潜在的网络安全风险。

为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理”的合作措施，国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下称《标准合同实施指引》）。

《标准合同实施指引》指导粤港澳信息传输

粤港澳大湾区之间的信息流动逐渐呈现出频繁、海量的特点，但一直缺乏符合几方诉求的信息处理方式。在《标准合同实施指引》第二条和第三条中明确提出，粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求，通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动，应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合，保障个人信息跨境安全、自由流动。

值得一提的是，被相关部门、地区告知或者公开发布为重要数据的个人信息除外，且个人信息处理者及接收方应注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区。

不仅如此，《标准合同实施指引》第四条强调通过订立标准合同跨境提供个人信息的，应当履行标准合同列明的义务和责任其中主要包括个人信息处理者跨境提供个人信息前，应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意；不得向粤港澳大湾区以外的组织、个人提供。在第五条提出通过订立标准合同跨境提供个人信息前，应当开展个人信息保护影响评估。

（一）个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；

（二）对个人信息主体权益的影响及安全风险；

（三）接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

对于跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响或者可能影响个人信息权益其他情况的，《标准合同实施指引》第七条要求个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。

《标准合同实施指引》明确各方监管职责

粤港澳各地区信息传输过程中需要向各地方相关机构及时汇报。在《标准合同实施指引》第九条和第八条中明确表示个人信息处理者及接收方接受属地监管机构的监督管理，个人信息处理者及接收方应在标准合同生效之日起 10 个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案，并提交法定代表人身份证件影印件；承诺书；标准合同，要求个人信息处理者及接收方应当对所备案材料的真实性负责。

此外，在《标准合同实施指引》第八条中还强调个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的，应立即采取补救措施，按照属地通知国家互联网信息办公室、广东省互联网信息办公室，或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。

同时，《标准合同实施指引》中提出了发动民众“监督”的想法，《第十条》中提出任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动，但不履行本实施指引及标准合同要求的义务和责任的，可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。在收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的，可以要求个人信息处理者或者接收方整改；需要交由其他执法部门处置的，交由相关部门依法处置。

全文链接：http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm

附件1：粤港澳大湾区（内地、香港）个人信息跨境流动标准合同

附件2：承诺书

本文作者：FreeBuf