数据传输:香港跨境数据传输的奇怪案例
《个人资料条例》,简称"PDPO于1995年通过,并于1996年12月开始生效。其主要条款之一是第33条中对跨境数据传输的限制,但截止到目前27年过去了,此条款至今未生效。
《个人资料条例》是亚洲历史最悠久的综合性数据保护法律之一。该法规源自1994年发表的法律改革委员会报告。其中关于跨境数据传输部分在今天看来仍然是一个有趣的话题。其主要结论是,对跨境数据流的监管是全面数据保护立法的一个重要特征。
1995年,香港正处于现代数据隐私法的浪潮中,其中一个关键组成部分就是对跨境数据转移的监管。
PDPO第33条到底规定了什么?
第33条禁止将个人数据转移到香港以外的地方(除非符合某些条件)。这项禁令旨在适用于将个人数据从香港转移到香港以外的地方、或在两个其他司法管辖区之间转移个人数据。基本目的是确保个人资料在香港以外的地方得到与《隐私条例》所提供的相同程度的保障。
但在某些条件下,允许将个人数据转移到香港境外,比如以下几种情况:
1、资料使用者有合理的理由相信,个人资料将会转移到一个绝对安全的地方;
2、资料使用者已采取一切合理的预防措施以确保个人资料不会以违反《私隐条例》的情况下,数据可以被持有、处理或使用。
3、资料当事人已书面同意做相关数据转移处理。
4、资料使用者需避免或减轻转移资料对资料当事人的产生不利影响,或者取得资料当事人的书面同意。
5、有关的个人数据豁免于数据保护原则("DPP")3,该原则涉及个人数据的使用限制。
6、个人资料将转移到个人数据隐私专员公署("PCPD"),个人资料隐私专员公署是一个独立的法定机构。
这个基本框架对国际数据保护界的许多人来说是熟悉的。起初这项规定没有达到法律改革委员会建议的程度,但在1995年已经达到国际标准。
个人资料隐私专员公署的发展进程
公署的目的是使第33条尽可能迅速地生效。1997年,公署表示,推迟实施第33条的一个原因是因为需要准备和发布相关指导意见,完成指导意见的实行将促进该条款的生效。
2012年9月,公署发布了关于外包给数据处理者的指导意见。
2013年12月,公署委托的顾问完成了一份研究报告,提供了一个方法和标准,以决定不同的司法管辖区是否有与《私隐条例》实质上相似或具有相同目的的现行法律。顾问研究了50个司法管辖区相关规定,认为其中35个司法管辖区可列入「白名单」。其中,只有两个在亚洲,一个在北美洲,一个在大洋洲,其他31个在欧洲。
2014年12月29日,PCPD发布了关于跨境数据传输的指南,并建议在涉及数据传输的合同中加入示范条款。这是一份自愿遵守的指南。香港政府委托顾问公司司进行商业影响评估研究,而公署对该研究提出了意见。
2017 年 5 月,香港政府的政制及內地事务局就第 33条所采取的所有措施向立法会汇报。
2018年11月,公署聘请了一名顾问,对商业影响评估研究中发现的问题进行审议并提出解决方案。顾问建议公署应修订跨境资料转移指引中的建议范本条款,以提高指引的实用性和便利性,帮助资料使用者解决根本的业务需求。
2020年1月,香港政府的政制及内地事务局向立法会报告了更新《私隐条例》的建议,包括六项主要建议。没有提到第33条的实施。
2022年5月12日,PCPD发布了关于建议合同条款范本的更新指南,大概是采纳了顾问的建议。该指南承认第33条没有生效,但建议在自愿基础上采用示范合同条款,特别是对中小型企业。
实施的阻力
实施过程中遇到了阻力。实施第33条的建议引起了香港商界特别是中小型企业的关注。商业界对变革的抵制并不罕见,来自商业界的游说在世界各地都很普遍。然而,这种情况在香港更为严重,因为香港是由一个城市组成的管辖区。
对商业运作是否有不利影响、实现合规困难度以及合规的成本等方面都是考虑的主要问题。最终显示,在香港广泛的跨境商业活动中,没有迹象表明跨境数据转移破坏了个人数据隐私。因此,基本的商业观点是,如果它没有坏,就不要修复它。
重点转移
1997年,在回答第33条何时生效的问题时,公署回答说"目前还没有具体的日期,但合同范本的发布将有助于该条款迅速生效"。
2014年,在发布跨境数据传输指南时,PCPD表示。"今天全球数据流动的情况与1990年代颁布条例时明显不同。在此背景下,监管跨境数据流动的问题比以往任何时候都更加尖锐。世界各国都在采用一系列机制来保护个人在跨境数据流动中的个人数据隐私。以确保香港作为金融中心和数据中心的国际地位得以保持,现在是政府重新关注第33条实施的时候了。 "
2017-18年,商界对实施的阻力凸显出来,并造成了损失。
在2020年4月回应媒体关于数据本地化的询问的声明中,PCPD缓和了其对实施第33条的立场。
未来
未来可能会发生相关的变化。促进变化的原因之一可能是中国大陆的数据隐私法律的快速转变。根据 "一国两制 "的原则,中国大陆是一个独立于香港的法律管辖区。随着商业和社会生活的深度融合,香港和中国大陆之间的数据传输量将大幅增加。这将增加对数据传输法律的高效性和可靠性的需求。
在香港和中国大陆之间转移数据的最有效和可靠的法律依据是对两个司法管辖区的个人数据保护具有一定的标准。然而,除非第33条得到实施,否则香港没有法定的依据可以做出充分的判断。有一些替代方法。例如,使用推荐的示范条款可能会有帮助,但它们的采用不会是统一的,也没有系统性。还有其他政府手段可以实现这一目标,尤其是香港和中国大陆是一个国家。充分性制度将有更广泛的应用,并提供更多的确定性。最终,让第33条在香港实施也符合其作为国际标准制定者的地位,并且也会促进其他合适的司法管辖区进行类似的充分性确定。
结论
可以說,隐私条例并没有对个人资料转移到香港以外这一行为做出法律限定,甚至有可能永远不会在相关实时。
香港的这种状况似乎与国际趋势不一致。这就是为什么这是一个奇怪而有趣的案例。对于一个司法管辖区来说,认为充分性或等同性制度不是正确的方法这一情况也许是令人耳目一新的。这无疑为香港提供了暂时的竞争优势的前景。从长远来看,对与中国大陆和国际上传输个人数据的有效和可靠手段的需求可能会推动变革。
香港法律在跨境数据传输方面没有保护措施是不对的。企业需要注意现有的义务,以及在治理个人数据方面的最佳做法和道德标准。镭速传输可以帮助你,为你提供一站式大文件传输服务,支持大文件跨区域传输和海量小文件传输,同时,还拥有网银级别AES-256的加密技术,简单易部署。可以点击此处申请试用。https://www.raysync.cn/apply
镭速传输提供一站式文件传输加速解决方案,旨在为IT、影视、生物基因、制造业等众多行业客户实现高性能、安全、稳定的数据传输加速服务。传统文件传输方式(如FTP/HTTP/CIFS)在传输速度、传输安全、系统管控等多个方面存在问题,而镭速文件传输解决方案通过自主研发、技术创新,可满足客户在文件传输加速、传输安全、可管可控等全方位的需求。
本文《数据传输:香港跨境数据传输的奇怪案例》内容由镭速大文件传输软件整理发布,如需转载,请注明出处及链接:https://www.raysync.cn/news/post-id-1058