简介

澳洲与香港于2019年签署了一项标志性的双边自由贸易协议，其中一项重要特点是双方均发出承诺数据自由流动政策的声明。此政策反映了服务和投资对贸易的重要性日益增加，贸易自由化不再只是与关税有关，而且更着重数据流动对贸易服务（例如电子商务）和投资海外市场日益重要的影响。

自2019年初以来的众多事件反映出许多国家基于政治形势而在全球化问题上正在走回头路（至少目前如此），而这种分歧亦反映于跨境数据转移的政策方面。

目前事件

来到2021年，随着地缘政治两极化持续，中国最近实施了一系列的数据保护／管控政策。继2017年的《网络安全法》后，中国再于2021年9月1日实施《数据安全法》，限制未通过安全评估的跨境数据转移。与此类似的《个人信息保护法》亦已于2021年8月通过，并将于2021年11月1日生效。

《数据安全法》及《个人信息保护法》的实施，看来是在对其过去就数据自由流通向包括东盟成员国在内的其他国家作出的承诺上走回头路。

从欧盟于2016年实施的《一般资料保护规例》以及美国多个联邦和州份的私隐法例来看，世界各地的政府均认为有需要实施充分的资料保护法以保障其公民的相关权益。然而，数据自由流动亦是全球数码经济的基石，过度监管可能会窒碍这种新型经济的发展，因此有关政策也必须平衡不同需要。

然而，由于现时有关数据保护／管控的法律具有域外效力，企业若要传送客户资料到海外，可能需要面对很大的合规障碍。此外，随着5G网络快速在全球推行，各地政府亦必须准备迎接新技术之下更强大的运算能力所带来更复杂的网络威胁。

新的《个人信息保护法》对数据流动的限制

正当许多跨国企业还在应对突然公布的《数据安全法》，《个人信息保护法》的通过令他们更急切地需要调整业务运作。根据《个人信息保护法》，业务实体如希望将个人资料转移到海外，则必须取得每名资料当事人同意。

《个人信息保护法》另一项特点是由有关部门进行的安全评估规定。此规定不仅像《网络安全法》那样评估「关键信息基础设施运营者」，而且还会评估其他储存超过「规定数量」个人资料的公司。

其他规定还包括向专业机构取得「个人信息保护认证」，并与海外的资料接收方签订一份由有关部门制定的合约。

比较其他主要经济体系的监管发展

欧盟

《一般资料保护规例》以严格及涵盖范围广泛见称，它适用于所有以欧盟居民为目标并收集资料的机构。在《一般资料保护规例》于2016年实施后，资料一般不得转移到欧盟或欧洲经济区以外，除非接收者的国家已获欧洲委员会发出适足性认定（adequacy decision），确认设有令欧洲委员会满意的资料保护制度。发送资料的实体亦应设有全面的资料保障措施。

根据《一般资料保护规例》，欧洲委员会有权制定标准契约条款（「标准条款」），以适当地保障转移到未获得适足性认定的第三方国家的个人资料。于2021年6月，欧洲委员会推出了一套新的标准条款，以替代已沿用十年的旧条款，并将欧盟法院于2020年7月在Schrems II (Case C‑311/18) 这宗重要案例中的裁决考虑在内。在该案中，过去容许将数据由欧盟自由地转移到认可美国公司的监管框架（欧盟与美国私隐护盾方案）被裁定无效，因为美国有关部门就收集个人资料拥有的广泛权力，令美国的资料保护法不符合欧盟标准。在Schrems II案中，法院裁定，每宗资料转移须经过个别评估，以判断个人资料会否获得充分保护。

欧洲资料保护委员会（「委员会」）于2020年11月刊发（并于2021年6月修订）的建议文件，就资料转移的影响评估内容提供指引，并建议按照以下六个步骤评估与资料转移有关的风险：

·            第1步：识别资料转移，包括资料转发及次处理链。

·           第2步：识别所依据的《一般资料保护规例》资料转移规则，例如标准条款、具约束力的企业规则、行为守则等。

·           第3步：若依据标准条款或具约束力的企业规则，则应评估该规则是否在所有相关的资料转移情况（包括第三方国家的法律）下有效。

·            第4步：如有需要，采取补充措施。

·            第5步：考虑是否须作出任何程序步骤。

·            第6步：每隔一段适当的时间后重新评估。

委员会于2020年11月就「欧洲基本保障」刊发了另一份建议文件，就评估第三方国家的监察法例是否符合欧盟资料保护的标准提供进一步指引。该文件确立了四项必须考虑的欧洲基本保障：(i) 应根据清晰、确切及可供查阅的规则处理资料；(ii) 须证明有关法例就所追求的合法目标而言属必要及相称；(iii) 设有独立及公正无私的监察机制，而该机制有权采纳具约束力及可供资料当事人倚赖的决定；及 (iv) 个人可透过纠正权利及通知获得有效的补救方法，以有效地行使权利。

美国

美国仍未有一项整全的联邦法律规管资料的保护，资料转移是受到州份及行业的政策规管，当中最全面的法例是2020年生效的《加州消费者私隐法》。美国设有公认严格的资料私隐法，却没有任何政策限制资料的转移。虽然美国欢迎跨境数据转移进出，但即使资料保护标准较高的国家，亦因美国执法部门的强大调查权力而却步。如果美国继续漠视全球的反应，美国与全球其他地区的数据流动便很可能断绝，而像Schrems II案的裁决可能再次颁布在美国身上。

香港的情况如何？

资料保护问题一直都在香港立法会的时间表上。自1995年起，香港法例第486章《个人资料（私隐）条例》（《私隐条例》）已加入第33条限制个人资料的跨境转移，但多年过去，第33条仍未实施。尽管如此，资料使用者仍须遵守《私隐条例》下的保障资料原则，其中包括在改变资料用途前取得订明同意，并以合约或其他方式防止数据被未经授权下存取或处理时间过长。

鉴于全球收紧规定的趋势及中国政府的举措，第33条将来可能会实施。但数据自由流动是跨境业务运作的支柱，考虑到第33条对数据流动的潜在负面影响，相信香港立法会作所的任何决定将会平衡商业需要与法律要求，这也是香港制度的独特之处。不过，《私隐条例》实施多年以来从未进行大幅修订，日后可能需要参考其他司法管辖区的标准和做法再作修订。

要点

如今企业广泛应用宝贵的业务数据来开发新产品或服务，或提高现有产品或服务的利润。在企业日渐善于发掘数据的经济价值之际，全球的严格监管趋势不但可能限制数据对于业务发展的潜能，更可能令企业承受法律风险。

香港在数据跨境转移方面采取开放立场，并继续成为经常转移数据的跨国公司的安全港。不过，近期全国收紧私隐限制，可能会威胁到香港与其他司法管辖区之间的自由贸易协定。为此，企业应该：(i) 保持警惕及实施适当的保护措施；(ii) 检视现时依据香港与其他司法管辖区的双边协定而订立的合约，就该等协定一旦中止的情况准备应变计划；(iii) 妥善拟订新的合约，以预防政策突变，并将风险分散至各个订约方，以协助保持业务连系；(iv) 如已订立数据转移协议，应避免违约风险，及／或就上述数据转移安排一旦中止的情况议定缓减影响的计划，例如签订合约补遗以实施适当的应变方案。