內地數據出境安全評估辦法生效 私隱公署提醒港企或須申報

撰文:馬煒傑
出版:更新:

國家互聯網信息辦公室發布的《數據出境安全評估辦法》今日(1日)生效,私隱專員公署提醒香港企業,尤其是在內地開展業務的香港企業或機構,例如銀行、保險公司和證券公司等,如符合《數據出境安全評估辦法》所訂明的情形,可能須按有關規定向國家網信部門申報數據出境安全評估。

個人資料私隱專員鍾麗玲指出,在《數據出境安全評估辦法》實施前已經開展的數據出境活動,如不符合規定,亦須在實施起計6個月內,即2023年2月28日前,完成整改。

鑑於國家網信部門處理申請可能需時,有關企業或機構應盡早了解《數據出境安全評估辦法》的規定及評估對其數據出境活動的影響,作出適時的跟進和尋求專業意見,以符合相關要求。

鍾麗玲指出,在《數據出境安全評估辦法》實施前已經開展的數據出境活動,如不符合規定,亦須在實施起計6個月內,即2023年2月28日前,完成整改。(張浩維攝/資料圖片)

《數據出境安全評估辦法》下,包括企業或機構的數據處理者向境外提供數據時,如涉及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據時須開展數據出境風險自評估,並須通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

另外,當涉及到關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息;或國家網信部門規定的其他需要申報數據出境安全評估的情形,開展數據出境風險自評估。

進行出境風險自評估時,應包括重點評估以下事項:

數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;

出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;

境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;

數據出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;

與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務;

其他可能影響數據出境安全的事項。

而為協助有關企業或機構了解內地個人信息出境相關法規的最新發展,私隱專員公署將舉辦網上專題講座,公署亦更新了內地《個人信息保護法》專題網頁,提供包括《辦法》在內的簡介。