2023年12月10日，国家互联网信息办公室、香港特区政府创新科技及工业局联合公布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称《实施指引》），该实施指引是互联网信息办公室与香港特区政府创新科技及工业局签署的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》框架下有关促进粤港澳大湾区个人信息跨境流动的便利措施，是《备忘录》框架下的首项落地政策。本文根据《实施指引》梳理和介绍其中的粤港澳大湾区（内地、香港）个人信息跨境流动合规要点。

一、作为个人信息处理者

1．处理应当具备合法性基础和符合《标准合同》内容

个人信息处理者处理个人信息应当具有合法性基础，符合属地相关法律法规规定。就内地个人信息处理者而言，应当符合《个人信息保护法》。就香港个人信息处理者而言，应当符合香港《个人资料（私隐）条例》的相关规定。

2.数据最小化

个人信息处理者提供给接收方的数据应当限于实现处理目的所需要的数据。

3.基于告知和取得个人同意后进行处理

《实施指引》明确规定了按照实施指引通过订立标准合同跨境提供个人信息的，个人信息处理者跨境提供个人信息前，应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意。

4.明确告知接收方情况和信息跨境情况

个人信息处理者应当向个人信息主体告知接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类、保存期限、个人信息向同辖区第三方提供的情况，以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的，从其规定。

5.保障个人信息主体作为第三方受益人的权利

个人信息处理者应当告知个人信息主体其与接收方通过本合同约定个人信息主体为第三方受益人，个人信息主体未在30内明确拒绝的即享有本合同约定的第三方受益人权利。个人信息主体作为第三方收益人的权利包括知情权、决定权，限制（拒绝）处理权、查阅权、复制权、更正权、补充权、删除权等。

6.确保接收方采取技术和管理措施

个人信息处理者应综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险，尽合理努力确保接收方采取技术和管理措施。

7.履行个人信息保护影响评估义务

个人信息处理者应当对拟向接收方提供个人信息的活动开展个人信息保护影响评估，重点评估个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；对个人信息主体权益的影响及安全风险；接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

8.在规定区域内提供个人信息

个人信息处理者按照《实施指引》 ，通过订立标准合同跨境提供个人信息的，不得向粤港澳大湾区以外的组织、个人提供。

二、作为接收方

1.按照约定处理目的处理

接收方接受个人信息后，应当严格按照《标准合同》规定的处理目的处理个人信息，不得超过约定处理目的处理。

2.发生变更重新订立标准合同和备案

接收方拟超过约定目的处理个人信息的，应当事先告知个人信息处理者，补充或者重新签订《标准合同》和履行备案手续；个人信息处理者属地相关法律法规要求不需要告知的，从其规定。

3.提供《标准合同》副本义务

接收方应当根据个人信息主体的请求向其提供《标准合同》副本，对于涉及的商业秘密等信息，可以在不影响个人信息主体理解的前提下进行适当处理。

4.采取影响最小的处理方式

接收方处理个人信息应当采取可以实现处理目的的、对个人信息主体权益影响最小的处理方式。

5.最短保存期限

个人信息的保存期限为实现处理目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。

6.采取保障个人信息处理安全的措施

接收方应当综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险，采取加密、匿名化、去标识化、访问控制等技术和管理措施。

7.安全事件应对措施

如果接收方处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅，应当开展下列工作：（1）及时采取适当补救措施，减轻对个人信息主体造成的不利影响；（2）立即通知个人信息处理者，并报告属地监管机构；（3）按照相关法律法规的要求通知个人信息主体；（4）记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅有关的情况，包括采取的所有补救措施。

8.在规定范围内传输数据

接收方不得将依据《标准合同》接收的个人信息向粤港澳大湾区以外的组织、个人提供。

9.仅在法定条件下可向第三方传输数据

接收方只有在同时符合以下条件情况下，才可以向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息，并且相关传输应当仅限于粤港澳大湾区内地或香港特别行政区同辖区内：（1）确有业务需要；（2）告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知的，从其规定；（3）基于个人同意处理个人信息的，应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。（4）按照《标准合同》附录一所列约定向第三方提供个人信息，不得超出《标准合同》约定提供个人信息。

10.转委托

接收方应当根据个人信息主体的请求向其提供《标准合同》副本，对于涉及的商业秘密等信息，可以在不影响个人信息主体理解的前提下进行适当处理。

11.合规审计、记录保存、接受监管

接收方应当承诺向个人信息处理者提供已遵守《标准合同》所列义务和责任的必要信息，并接收个人信息处理者的合规审计；对开展的个人信息处理活动进行客观纪录，保存记录至少3年；还应当同意接受属地监管机构的监管。

12.特定情形通知个人信息处理者

接收方所在地政府部门、司法机关要求接收方提供依据本合同项下的个人信息时，接收方应当立即通知个人信息处理者。

粤港澳大湾区数据跨境的政策和规则正在不断创新和发展，天商数据合规中心将及时更新最新政策动态，服务市场主体做好数据跨境合规部署和提供专业意见，依法依规实现数据跨境流动，继续在数字经济和数据合规领域深耕发展。

本文作者

胡嘉雯

·广东天商律师事务所管委会副主任、业务建设工作委员会主任、数据合规中心主任，广东省法学会律师学研究会理事

胡嘉雯律师入选某市党政机关外聘法律顾问库、某省数据资产登记合规委员会成员。胡嘉雯律师多年为政府机关、企事业单位提供常年法律顾问服务和专项法律服务，涉及行政执法、行政监管、公司合法合规治理等法律服务事项，具有丰富的实践经验；深入研究数字经济、数据合规、数据交易领域，发表数据合规、数据交易、公共数据授权运营等领域的相关专题文章；代理数百件民商事、行政诉讼案件，有丰富的争议解决和出庭经验。