跨境資料轉移的個人資料保障

Scott Thiel合夥人及Louise Crawford,Legal Officer,香港歐華律師事務所

雖然《個人資料(私隱)條例》(下稱《條例》)第33條限制將個人資料轉移至香港以外地方的規定至今尚未生效,但香港個人資料私隱專員公署(下稱「公署」)於2014年12月29日發出《保障個人資料:跨境資料轉移指引》(下稱《指引》),旨在協助資料使用者瞭解在第33條生效之後有關跨境資料轉移所須遵從的法律責任。香港歐華律師事務所有份參與起草和編製《指引》以及當中所包含的資料轉移建議條文。

《條例》第33(2)條列出了跨境資料轉移限制的六個例外情況。資料使用者如欲將個人資料轉移至香港以外地方,便須符合其中任何一個例外情況。《指引》中有關例外情況的要點包括:

  • 第一個例外情況規定,如果個人資料將轉移至白名單中公署指定的任何一個司法區,便可獲准跨境轉移。但是,《指引》至今並未透露哪些司法區列入白名單。
  • 第33(2)條列出另一個例外情況是取得資料當事人以書面形式明確及自願同意跨境轉移。這對資料使用者來說是個較繁重的同意規定。
  • 跨境轉移限制的其中一個例外情況是,凡假使該資料在香港以某方式收集、持有、處理或使用,便會屬違反《條例》的規定,該使用者已採取所有合理的預防措施及已作出所有應作出的努力,以確保該資料不會在香港以外的地方以該方式收集、持有、處理或使用。公署建議,當事人之間採取可強制執行合約的方式進行轉移可能會符合這項克盡職責的規定。公署也因此擬備了一套資料轉移的建議範本條文,協助資料使用者擬備可執行的資料轉移協議。

我們建議資料使用者開始檢討其資料收集及轉移做法,以確保該等做法與《指引》中列出的建議做法一致。部分待辦事項包括:

  • 檢討及更新收集個人資料聲明;
  • 檢討及更新跨境個人資料轉移安排;及
  • 制訂整個集團適用的集團內部跨境資料轉移的政策。