竞天公诚律师事务所 - 专业平等包容合作

《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》解读

作者：唐青时间：2024-11-15

分享：

本文首发于《律商联讯》，经授权转载。

2024年9月10日，《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》（以下简称“澳门版《指引》”）正式公布并生效，随附《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同》（以下简称“《大湾区标准合同（澳门）》”）及《承诺书》。澳门版《指引》的出台进一步畅通了粤港澳大湾区内个人信息跨境流动的渠道，为区域内安全有序的个人信息流动奠定了基础。本文将简要分析澳门版《指引》的发布背景、核心要点、与澳门个人信息保护相关法律的关系及其发布意义。

一、澳门版《指引》的发布背景

早在2019年2月，中共中央国务院印发了《粤港澳大湾区发展规划纲要》，旨在提升粤港澳大湾区在国家经济发展和对外开放中的支撑引领作用。随后数年间，粤港澳大湾区逐步实现了从九市融合到与香港、澳门地区联动，一体化发展逐渐落地。这一进程中，数据作为数字经济的核心要素，已成为推动大湾区一体化发展的关键引擎，促进数据自由流通成为当下重要议题。

在数据跨境流通的监管方面，《个人信息保护法》第38条中对于个人信息出境提供了三种合规途径：开展数据出境安全评估、订立个人信息标准合同以及通过个人信息保护认证。2024年3月22日生效的《促进和规范数据跨境流动规定》对部分数据向境外传输情形提供了豁免选项，促进了安全便捷的数据流动。

为了满足内地的数据跨境流通监管要求与促进粤港澳大湾区数据自由流通，2023年6月29日，国家互联网信息办公室与香港特区政府创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称“《备忘录》”），同年12月，《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称“香港版《指引》”）正式发布。2024年9月9日，国家互联网信息办公室与澳门经济财政司签署了《备忘录》，次日便发布了澳门版《指引》。香港版《指引》与澳门版《指引》均符合《个人信息保护法》第38条中对于个人信息出境的规定，并且在《促进和规范数据跨境流动规定》的基础上进一步放宽监管要求。

二、澳门版《指引》的核心要点

澳门版《指引》及其附件在整体结构和基本内容上与香港版的相关规定基本一致，仅根据澳门相关法律规定对监管机构、适用法律等部分细节进行了微调。本部分在介绍澳门版《指引》的七个核心要点的同时，会与内地《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）和香港版《指引》等相关法规进行比较，突出说明澳门版《指引》的特殊之处。

（一）适用主体

与《标准合同办法》的适用主体不同，澳门版《指引》中规定，作为个人信息处理者与接收方的组织或个人需注册于或位于粤港澳大湾区内地的九个城市（广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市）或澳门特别行政区。

（二）适用范围

在《促进和规范数据跨境流动规定》中，在涉及重要数据、跨境个人信息达到一定数量（自当年1月1日起累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息）以及关键信息基础设施运营者参与处理的数据出境情形中，数据处理者无法通过订立标准合同的方式满足数据跨境流动的合规要求，需进行数据出境安全评估。而澳门版《指引》仅规定重要数据的跨境流动合规不能通过订立《大湾区标准合同（澳门）》的方式完成，跨境的个人信息数量以及个人信息处理者的身份不再作为是否需要进行事前数据出境安全评估的考虑因素，从而减轻了相关情形的合规负担。

（三）接收方向第三方提供个人信息的限制

澳门版《指引》在接收方向第三方提供个人信息的限制上相对宽松，有助于粤港澳大湾区内部个人信息的再次流通。《标准合同办法》对境外接收方向境外第三方提供个人信息设定了较高门槛，需要同时满足五个条件：确有业务需要、告知个人信息主体、取得个人信息主体同意、与第三方达成书面协议以及根据个人信息主体的要求提供书面协议的副本。此外，在处理敏感个人信息和儿童个人信息的场景中，《标准合同办法》对个人处理者有额外的合规要求。澳门版《指引》在向内地或者澳门同辖区的其他第三方转移个人信息的场景中免除了向个人信息主体提供书面协议副本的强制要求，接收方只需在合同附录一中说明向第三方提供个人信息的基本情况，以替代《标准合同办法》中接收方需“与第三方达成书面协议”的繁琐要求。

虽然澳门版《指引》对于上述的限制有所放松，但是在该框架下的个人信息跨境流动仍需符合其适用范围，即相关个人信息不得向粤港澳大湾区以外的组织、个人提供。

（四）法律基础与监管机构

澳门版《指引》的制定基于内地和澳门两地的不同法律制度。内地的个人信息保护体系主要依托《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律；澳门则主要依托《个人资料保护法》和《网络安全法》。内地的监管机构为国家互联网信息办公室及广东省互联网信息办公室，而澳门的监管机构为澳门特别行政区政府个人资料保护局。

（五）备案材料

在备案材料方面，澳门版《指引》要求提交承诺书、标准合同和属地监管机构要求的其他材料，而在香港版《指引》中，除了承诺书和标准合同，还明确要求提交法定代表人身份证件影印件。

（六）个人信息保护影响评估

澳门版《指引》简化了《标准合同办法》中的个人信息保护影响评估内容，删除了“个人信息出境后风险、境外接收方政策评估”的部分，合同方无需再对澳门的个人信息保护水平进行事先评估。此举肯定了澳门的个人信息保护法律具有适当的保护水平，减轻了评估工作的负担。

（七）约定个人信息主体为第三方受益人

与香港版《指引》一致，在澳门版《指引》的附件《大湾区标准合同（澳门）》中，个人信息处理者与接收方约定个人信息主体为第三方受益人，并且需要向个人信息主体告知其享有第三方受益人的相关权利，如个人信息主体未在30日内明确拒绝，则可以自动享有《大湾区标准合同（澳门）》中约定的第三方受益人权利。第三方受益人权利包括知情权、决定权等，其范围与《个人信息保护法》第四章的内容保持一致。

三、澳门版《指引》与澳门个人信息保护相关法律的关系

澳门于2002年开始启动关于个人信息保护的立法工作，以葡萄牙《个人资料保护法》为蓝本，结合澳门本土实际情况，形成澳门《个人资料保护法》（Macau Law 8/2005）并于2006年2月19日生效。其中，该法律第五章是对“将个人资料转移到特区以外的地方”的规定，该章由两条规范组成。

该章的第十九条规定了澳门向特区以外区域转移个人资料的基本原则，核心在于确保接收方所在地的法律体系提供适当的保护。该条规定的“适当的保护程度”与欧盟《一般数据保护条例》（GDPR）第45条“充分性认定”相似，即只有当接收方所在地的法律体系通过澳门个人资料保护局的“充分性认定”，方可被纳入“白名单”，确保数据主体的权利不因数据流转至其他司法管辖区而受到损害。然而，通过电话咨询澳门个人资料保护局确认：截至目前，澳门个人资料保护局尚未将任何国家或地区纳入达到适当保护水平的“白名单”。

当接收方所在地的法律体系未达到澳门《个人资料保护法》第十九条所要求的保护标准时，该章的第二十条允许在特殊情形下进行个人资料的跨境转移。第二十条第一款中，这些特殊情形包括资料当事人明确同意转移以及该款列举的其他五种情况（如合同必需或公共利益等）。在这些情形中，转移方都需要通知澳门个人资料保护局。

在不满足第二十条第一款的特殊情形时，该章的第二十条第二款规定，在采用“适当的合同条款”确保足够的个人信息保护机制的前提下，澳门个人资料保护局可以许可个人资料的跨境转移。可以认为，澳门版《指引》提供的《大湾区标准合同（澳门）》是受澳门个人资料保护局认可的“适当的合同条款”。个人信息处理者与接收方选择签订《大湾区标准合同（澳门）》并在澳门个人资料保护局处备案，可视为获得该局的许可。在此情境下，澳门版《指引》与澳门《个人资料保护法》得以自然衔接。

四、澳门版《指引》的发布意义

粤港澳大湾区作为中国改革开放和区域经济融合的重要战略布局，体现了“一国两制三法域”的特殊区位优势和法治环境。粤港澳大湾区内的数据跨境流动区别于国际间的跨境数据流动，其核心是在“一国”框架下实现“三法域”之间的数据传输。粤港澳大湾区内的数据跨境流动不仅是推动区域经济一体化的关键手段，也在很大程度上推动了内地与香港、澳门的互补与融合，助力港澳更好地融入国家发展大局。不仅是数据跨区流动合作，我国也积极推动数据跨国流动合作，例如于2024年6月签署的《关于中德数据跨境流动合作的谅解备忘录》以及2024年9月建立的中欧数据跨境流动交流机制。粤港澳大湾区数据跨境流动的合作经验可以为全球数据跨境流动治理探索提供新思路、新方案。

虽然香港版《指引》和澳门版《指引》就内地和香港之间，内地和澳门之间的个人信息流通作出了重要布局，但是目前澳门和香港之间还没有相关的个人信息流通合作框架，两地之间的个人信息跨境流动仍然要按照当地的监管规则进行处理。相信未来大湾区之间数据跨境流动和区域融通的合作可以进一步加强，推进粤港澳大湾区高质量发展。

★感谢陆砚文与实习生韩洛斯对本文作出的贡献。