个保评估仍是数据出境前“必选动作”

　　“数据跨境新范式”系列报道

　　《个人信息出境标准合同办法》《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称《大湾区合同指引》）均明确提出：个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估（以下简称“个保评估”），但两者在评估内容、材料要求方面的表述均有明显差异。相关要求的变动能否为个人信息处理者减轻数据出境合规负担？开展评估时需要注意哪些细节？

　　侧面体现对香港法律环境的认可

　　对比《个人信息出境标准合同办法》与《大湾区合同指引》两份文件可以看出，粤港澳大湾区（内地、香港）个人信息跨境流动标准合同（以下简称“大湾区合同”）对个保评估内容要求明显减少。个人信息出境标准合同（以下简称“内地标准合同”）要求个人信息处理者向境外提供个人信息前，应当开展个保评估，重点评估以下六方面内容：

　　（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

　　（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

　　（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

　　（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

　　（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

　　（六）其他可能影响个人信息出境安全的事项。

　　大湾区合同仅要求个人信息处理者重点评估三方面内容，具体包括：

　　（一）个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；

　　（二）对个人信息主体权益的影响及安全风险；

　　（三）接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

　　数交数据经纪（深圳）有限公司专家、广和律师事务所信息网络委主任、深圳－新加坡智慧城市合作计划数据跨境管理小组专家丁振赣指出，相关表述的变动不应被视为对个保评估要求的实质性改变。他提醒，我国《个人信息保护法》第五十六条已明确规定个保评估应当包括的内容，大湾区合同提出的评估要求与《个人信息保护法》无本质区别，只是省去了对香港个人信息保护政策法规和出境风险的评估。

　　南都大数据研究院留意到，相较于内地标准合同，大湾区合同除了删减个保评估要求外，还删除“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”章节，从侧面体现了对于香港作为接收方所在地的个人信息保护法律政策与法律环境的认可。

　　个人信息处理者应重视个保评估

　　在个保评估方面，《大湾区合同指引》另一个引发关注的焦点是未要求个人信息处理者在进行合同备案时提交个保评估报告。在丁振赣看来，免提交个保评估报告不能减轻个人信息处理者开展个保评估的义务：“个保评估是个人信息处理者实施个人信息出境行为前的必备合规动作，也是切实保护个人信息主体权益、降低数据合规风险的重要举措，要倍加重视。”

　　泰和泰(深圳)律师事务所合伙人律师易怀炯、律师洪瑞成同时指出，尽管《大湾区合同指引》简化了个人信息跨境流动的程序要求，但并未豁免企业应当履行的个人信息保护义务，特别是开展个保评估的义务。因此，企业不应认为指引实施后，相关部门就会放松对个人信息跨境流动的监管，企业仍旧应当以高标准，主动落实开展个保评估的义务。

　　南都大数据研究院也分别从香港特区政府资讯科技总监办公室（下称“香港资科办”）的简介会材料和大湾区合同文本确认，尽管个保评估报告不需在合同备案时提交，但个人信息处理者仍需在备案之日前三个月内完成该报告，并保存至少三年。

　　丁振赣建议，个保评估工作对于大部分个人信息处理者而言还是稍显复杂，有需要的企业在第一次开展个保评估时，可以寻找专业的第三方机构协助实施，以降低合规风险。企业在首次评估中学习到方法框架，今后便可以自行开展个保评估工作。

　　材料查验减少5个工作日

　　南都大数据研究院留意到，与内地标准合同相比，大湾区合同在“境外接收方的义务”中未再提出“允许个人信息处理者对必要的数据文件和文档进行查阅”以及“应当按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件”等义务。

　　对此，金杜律师事务所合伙人律师宁宣凤、合伙人律师吴涵、律师助理姚敏侣撰文指出，相关调整在保证香港个人资料私隐专员公署依照《个人资料（私隐）条例》正常开展个人资料保护和监督管理的同时，有效降低了香港企业在商业合作上针对所接收来自粤港澳大湾区内地个人信息时的合规顾虑。

　　此外，南都大数据研究院还注意到，大湾区合同在材料查验时间上有所压缩。《个人信息出境标准合同备案指南（第一版）》提出，对个人信息处理者提交的标准合同备案材料，所在地省级网信办应在收到材料后的15个工作日内完成材料查验，并通知备案结果。

　　广东省互联网信息办公室发布的《关于落实〈粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引〉的通知》提出，其将在收到纸质版材料后10个工作日完成材料查验并通知结果。

　　香港资科办发布的《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同备案指南（适用于香港特别行政区）》承诺，将在收到备案文件后的10个工作日内通知个人信息处理者其备案结果。

　　BSI亚太区首席数据治理标准专家、中国区首席安全官潘蓉认为，粤港澳大湾区在数据跨境方面不存在政治壁垒，因此更多的挑战在于政府治理、企业业务、居民需求等方面因为数据、标准、流程不一致导致的不便。《大湾区合同指引》通过优化数据流通流程，有助于打破地域限制，促进数据的再利用。