數據跨境轉移的監管趨勢:(暫時)遠離全球化的一步?
簡介
澳洲與香港於2019年簽署了一項標誌性的雙邊自由貿易協議,其中一項重要特點是雙方均發出承諾數據自由流動政策的聲明。此政策反映了服務和投資對貿易的重要性日益增加,貿易自由化不再只是與關稅有關,而且更著重數據流動對貿易服務(例如電子商務)和投資海外市場日益重要的影響。
自2019年初以來的眾多事件反映出許多國家基於政治形勢而在全球化問題上正在走回頭路(至少目前如此),而這種分歧亦反映於跨境數據轉移的政策方面。
目前事件
來到2021年,隨著地緣政治兩極化持續,中國最近實施了一系列的數據保護/管控政策。繼2017年的《網絡安全法》後,中國再於2021年9月1日實施《數據安全法》,限制未通過安全評估的跨境數據轉移。與此類似的《個人信息保護法》亦已於2021年8月通過,並將於2021年11月1日生效。
《數據安全法》及《個人信息保護法》的實施,看來是在對其過去就數據自由流通向包括東盟成員國在內的其他國家作出的承諾上走回頭路。
從歐盟於2016年實施的《一般資料保護規例》以及美國多個聯邦和州份的私隱法例來看,世界各地的政府均認為有需要實施充分的資料保護法以保障其公民的相關權益。然而,數據自由流動亦是全球數碼經濟的基石,過度監管可能會窒礙這種新型經濟的發展,因此有關政策也必須平衡不同需要。
然而,由於現時有關數據保護/管控的法律具有域外效力,企業若要傳送客戶資料到海外,可能需要面對很大的合規障礙。此外,隨著5G網絡快速在全球推行,各地政府亦必須準備迎接新技術之下更強大的運算能力所帶來更複雜的網絡威脅。
新的《個人信息保護法》對數據流動的限制
正當許多跨國企業還在應對突然公布的《數據安全法》,《個人信息保護法》的通過令他們更急切地需要調整業務運作。根據《個人信息保護法》,業務實體如希望將個人資料轉移到海外,則必須取得每名資料當事人同意。
《個人信息保護法》另一項特點是由有關部門進行的安全評估規定。此規定不僅像《網絡安全法》那樣評估「關鍵信息基礎設施運營者」,而且還會評估其他儲存超過「規定數量」個人資料的公司。
其他規定還包括向專業機構取得「個人信息保護認證」,並與海外的資料接收方簽訂一份由有關部門制定的合約。
比較其他主要經濟體系的監管發展
歐盟
《一般資料保護規例》以嚴格及涵蓋範圍廣泛見稱,它適用於所有以歐盟居民為目標並收集資料的機構。在《一般資料保護規例》於2016年實施後,資料一般不得轉移到歐盟或歐洲經濟區以外,除非接收者的國家已獲歐洲委員會發出適足性認定(adequacy decision),確認設有令歐洲委員會滿意的資料保護制度。發送資料的實體亦應設有全面的資料保障措施。
根據《一般資料保護規例》,歐洲委員會有權制定標準契約條款(「標準條款」),以適當地保障轉移到未獲得適足性認定的第三方國家的個人資料。於2021年6月,歐洲委員會推出了一套新的標準條款,以替代已沿用十年的舊條款,並將歐盟法院於2020年7月在Schrems
II (Case
C‑311/18) 這宗重要案例中的裁決考慮在內。在該案中,過去容許將數據由歐盟自由地轉移到認可美國公司的監管框架(歐盟與美國私隱護盾方案)被裁定無效,因為美國有關部門就收集個人資料擁有的廣泛權力,令美國的資料保護法不符合歐盟標準。在Schrems
II案中,法院裁定,每宗資料轉移須經過個別評估,以判斷個人資料會否獲得充分保護。
歐洲資料保護委員會(「委員會」)於2020年11月刊發(並於2021年6月修訂)的建議文件,就資料轉移的影響評估內容提供指引,並建議按照以下六個步驟評估與資料轉移有關的風險:
· 第1步:識別資料轉移,包括資料轉發及次處理鏈。
· 第2步:識別所依據的《一般資料保護規例》資料轉移規則,例如標準條款、具約束力的企業規則、行為守則等。
· 第3步:若依據標準條款或具約束力的企業規則,則應評估該規則是否在所有相關的資料轉移情況(包括第三方國家的法律)下有效。
· 第4步:如有需要,採取補充措施。
· 第5步:考慮是否須作出任何程序步驟。
· 第6步:每隔一段適當的時間後重新評估。
委員會於2020年11月就「歐洲基本保障」刊發了另一份建議文件,就評估第三方國家的監察法例是否符合歐盟資料保護的標準提供進一步指引。該文件確立了四項必須考慮的歐洲基本保障:(i) 應根據清晰、確切及可供查閱的規則處理資料;(ii) 須證明有關法例就所追求的合法目標而言屬必要及相稱;(iii) 設有獨立及公正無私的監察機制,而該機制有權採納具約束力及可供資料當事人倚賴的決定;及 (iv) 個人可透過糾正權利及通知獲得有效的補救方法,以有效地行使權利。
美國
美國仍未有一項整全的聯邦法律規管資料的保護,資料轉移是受到州份及行業的政策規管,當中最全面的法例是2020年生效的《加州消費者私隱法》。美國設有公認嚴格的資料私隱法,卻沒有任何政策限制資料的轉移。雖然美國歡迎跨境數據轉移進出,但即使資料保護標準較高的國家,亦因美國執法部門的強大調查權力而卻步。如果美國繼續漠視全球的反應,美國與全球其他地區的數據流動便很可能斷絕,而像Schrems II案的裁決可能再次頒佈在美國身上。
香港的情況如何?
資料保護問題一直都在香港立法會的時間表上。自1995年起,香港法例第486章《個人資料(私隱)條例》(《私隱條例》)已加入第33條限制個人資料的跨境轉移,但多年過去,第33條仍未實施。儘管如此,資料使用者仍須遵守《私隱條例》下的保障資料原則,其中包括在改變資料用途前取得訂明同意,並以合約或其他方式防止數據被未經授權下存取或處理時間過長。
鑒於全球收緊規定的趨勢及中國政府的舉措,第33條將來可能會實施。但數據自由流動是跨境業務運作的支柱,考慮到第33條對數據流動的潛在負面影響,相信香港立法會作所的任何決定將會平衡商業需要與法律要求,這也是香港制度的獨特之處。不過,《私隱條例》實施多年以來從未進行大幅修訂,日後可能需要參考其他司法管轄區的標準和做法再作修訂。
要點
如今企業廣泛應用寶貴的業務數據來開發新產品或服務,或提高現有產品或服務的利潤。在企業日漸善於發掘數據的經濟價值之際,全球的嚴格監管趨勢不但可能限制數據對於業務發展的潛能,更可能令企業承受法律風險。
香港在數據跨境轉移方面採取開放立場,並繼續成為經常轉移數據的跨國公司的安全港。不過,近期全國收緊私隱限制,可能會威脅到香港與其他司法管轄區之間的自由貿易協定。為此,企業應該:(i) 保持警惕及實施適當的保護措施;(ii) 檢視現時依據香港與其他司法管轄區的雙邊協定而訂立的合約,就該等協定一旦中止的情況準備應變計劃;(iii) 妥善擬訂新的合約,以預防政策突變,並將風險分散至各個訂約方,以協助保持業務連繫;(iv) 如已訂立數據轉移協議,應避免違約風險,及/或就上述數據轉移安排一旦中止的情況議定緩減影響的計劃,例如簽訂合約補遺以實施適當的應變方案。
如有查詢,歡迎與我們聯絡: |
E: techcyber@onc.hk T: (852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2021 |