鉴于近年来个人数据处理日益数字化和业务运营全球化，个人数据隐私专员（“PCPD”）最近发布了《跨境个人数据传输推荐示范合同条款指南》（“2022年指南”）。1本协议旨在协助组织制定适当的合同条款，以在香港的数据隐私制度内实现此类传输。Linklaters的Albert Yuen、Yang Fan和Eunice Lee研究了2022指南的关键方面，并与欧盟2021标准合同条款（“欧盟SCC”）进行了比较。

出身背景

虽然香港数据隐私法、《个人数据（隐私）条例》（第486章）（2012年修订）（“PDPO”）下的跨境传输控制尚未生效，但建议香港机构在其商业合同中实施2022年指南中所附的最新推荐合同示范条款（“RMC”），作为最佳做法。虽然RMC将涵盖从香港向外部管辖区传输数据的数据隐私合规性，但通常与位于香港以外的对应方（无论是集团间还是与第三方处理方）存在双向数据流。因此，国际组织还需要考虑从对方将其数据传输到香港的司法管辖区（例如欧盟）遵守适用数据隐私制度的数据传输要求。

对于已经有基于欧盟SCC的内部国际集团数据传输协议（“IGDTA”）的组织，此类IGDTA几乎涵盖了更新后的RMC中的所有内容。因此，此类组织不太可能需要将RMC批发纳入其IGDTA。相反，有一个专门针对香港的附件就足够了，该附件将欧盟SCC适用于受PDPO约束的任何跨境转账，但有一些小的修改，以跟踪特定于RMC的义务。

以现有指导意见为基础

本最新指南补充了2014年发布的之前的PCPD“跨境数据传输中的个人数据保护指南”（“2014年指南”）2，并更新了之前附于2014年指南的RMC。

在2014年的指导意见中，PCPD坚持认为，尽管《个人数据保护条例》第33条（对香港以外的跨境数据传输实施控制）尚未实施，但仍鼓励数据用户遵循该制度。

换言之，除非满足其中一个条件，否则建议数据用户不要在香港境外传输个人数据，其中一个涉及在双方之间订立合同条款，以履行数据用户采取一切合理预防措施和尽职调查以允许跨境传输的义务。

八年后，即使有了2022年的指导意见，我们也没有取得太大进展，没有对《隐私权法》进行新的修订，也没有说明《隐私权法案》第33条何时开始实施。

2022年指南和RMC的关键方面

2022年指南中包含的新RMC在实质上与2014年指南中列出的RMC相似，但以更“用户友好”的格式涵盖（典型）PDPO要求。

它还方便地涵盖了两种跨境数据传输场景：

• 从数据用户向另一数据用户的传输；和
• 从数据用户到数据处理器的传输。

RMC在很大程度上被分组，以满足以下PDPO要求：

• 目的限制：受让人只能出于收集目的和相关范围使用或处理个人数据。
• 安全：受让人应将约定的安全措施应用于个人数据的使用或处理。
• 保留和删除：受让人应仅在实现转让目的所需的一段时间内保留个人数据，并在达到转让目的后采取一切切实可行的步骤删除个人数据。
• 准确性和透明度：受让人应采取合理措施确保数据保持准确，并使其处理政策和做法透明。
• 继续转账：继续转账应符合适用RMC的要求。

注意到许多跨国公司的外包安排是复杂和长期的，《2022年指南》还鼓励数据用户酌情提供额外的合同保证，包括：

• 报告受让人数据安全测试和审查的权利和义务；
• 对受让人系统的审计和检查；
• 数据安全违规通知；和
• 法规遵从性支持以及与数据访问和纠正请求的合作。

与欧盟SCC的比较

许多受《一般数据保护条例》（条例（EU）2016/679）（“GDPR”）下欧盟数据隐私制度约束的跨国公司将已经建立了2021发布的欧盟SCC。这些欧盟SCC通常将纳入IGDTA，这将被跨国公司用于在其全球集团公司之间传输个人数据。

此类组织的一个关键问题是，考虑在其IGDTA中使用SCCs是否足以涵盖香港实体根据《个人数据保护条例》第33条（如同其具有法律效力）和2022年指南进行的数据传输。换言之，问题在于欧盟SCC是否涵盖更新后的RMC中的所有内容。

简而言之，答案是肯定的，只有少数例外。RMC中的绝大多数义务将通过使用欧盟SCC来涵盖。例如，如果您的组织使用欧盟SCC，上述关于目的限制、保留和删除、准确性和透明度以及数据违规通知的义务已经涵盖。小的例外情况与远期转移有关，其中RMC和欧盟SCC中的义务包含一些小但实质性的差异。例如，从进口商数据用户向第三方传输个人数据需要RMC的同意，而欧盟SCC则不需要此类明确同意。此外，RMC包含关于直接营销的义务，而欧盟SCC中没有此类义务。

这意味着，对于拥有基于2021欧盟SCC的IGDTA以在全球集团公司间传输个人数据的组织，此类组织不太可能需要将RMC批发纳入其IGDTA。相反，有一个针对香港的附件就足够了，该附件将欧盟SCCs应用于受PDPO约束的任何跨境传输，但有一些小的修改，以跟踪特定于RMC的转发数据传输和直接营销义务。

这对你意味着什么？

PCPD建议，如果需要在香港以外地区跨境传输个人数据，数据用户应将更新的RMC（无论是独立的形式，还是经过修改的等效形式）纳入其商业协议。

虽然2022年指南和RMC被视为最佳实践指南，但RMC涵盖的大部分主题代表了适用于根据PDPO在香港运营的组织的现有数据隐私要求。

使用RMC将使在香港以外传输个人数据的数据用户相信此类传输符合《个人数据保护条例》（包括该条例生效时的第33条）。

此外，包括这些更新的RMC有助于证明组织在对任何涉嫌违反PDPO的行为进行辩护时已进行了合理的尽职调查并采取了适当的保护措施。

对于许多受GDPR下欧盟数据隐私制度约束的跨国公司来说，他们已经建立了欧盟SCC，并且还需要在香港实体或供应商之间进行数据传输，一个关键的考虑因素是当他们已经将欧盟SCC纳入IGDTA时，如何采用RMC并遵守2022指南。好消息是，一般而言，欧盟SCC已经涵盖了更新后的RMC中的几乎所有内容，此类组织不太可能需要将RMC全部纳入其IGDTA。相反，有一个针对香港的附件就足够了，该附件将欧盟SCCs应用于受PDPO约束的任何跨境转账。

因此，香港组织应采取措施审查和确认其当前和未来的商业协议是否包含与RMC同等的要求，对于那些已经根据其IGDTA采用欧盟SCC的组织，应考虑是否希望通过一个特定的附件，将PDPO特定的细微差别应用于受PDPO约束的跨境转让。

本文：