個資跨境處理保護要求規範簡介

【本報訊】《網絡安全標準實踐指南——粵港澳大灣區（內地、澳門）個人信息跨境處理保護要求（徵求意見稿）》是就在灣區九市和澳門間進行個人信息（即個人資料）跨境流動制定了一系列基本原則、處理、權益保障和安全要求等規範。

意見稿指出，該文件是作為灣區內地九市和澳門的個人信息跨境安全互認的認證（在內地九市）及認可（在澳門）的依據，適用於內地九市和澳門的個資處理者或接收方按相關規定向所屬地負責單位申請或履行相關跨境操作的認證認可。

在澳按文件辦視為已採取適當個資保護措施

就澳門而言，可以以此文件及相關認證為便利方式，作為已經採取適當個人資訊保護措施的依據，尤其是為澳門《個人資料保護法》第二十三條所指的確保個人資訊處理的安全而採取的措施提供適當的參考，但不直接視作任何已履行法律規定義務的認定。同時，不直接適用於受澳門《網路安全法》規範的關鍵基礎設施公共營運者。

文件設定六方面基本原則，要求個資處理者和接收方在處理個資時應予遵循，包括：合法、正當、誠信原則；最小必要原則；公開透明原則；權益保障原則；確保安全原則；責任明確原則。

跨境處理個資應有法律約束力文件

如不得通過誤導、欺詐或脅迫等方式處理個資，處理個資應具有明確、合理和合法的目的，跨境處理個資應遵守合約協議等具有法律約束力文件的約定和承諾，不得違背約定和承諾損害個人資訊主體的合法權益等。

在個人信息跨境，文件要求處理者和接收方在進行個資跨境處理前，要明確約定跨境處理目的、方式、個資種類和規模、傳輸方式、跨境後保存地點及保質期、個資提供給同轄區第三方的情況，制定個資跨境安全管理制度，記錄跨境處理活動情況且至少保存三年，並接受所在地監管機構的監管等。

跨境處理要告知當事人並取得同意

同時，處理者在跨境提供個資時，還應依屬地法律法規要求向個資當事人告知相關事宜，包括資料接收者的名稱或姓名、聯絡方式，相關處理目的、處理方式、個資種類、保存期限及可行使個人資訊權利的方式和程序等，並在跨境前取得當事人同意，除非屬地法律法規另有要求。

又要求處理者要對擬接收方提個資的活動開展個資保護影響評估，並要對接收方個資跨境活動作監督措施，防接收方私自向適用範圍以外的組織、個人提供相關跨境個資。

接收方也有一系列要求，包括如合相關規定和需要，跨境個資可向區內第三方提供；當發生或可能發生個資安全事件時，應及時採取補救措施減輕對個資當事人的不利影響，並立即通知個資處理者和通報屬地監管機構等。

設個資當事人權利保障

在個資主體權利方面，當事人有權查閱、拒絕處理、更正和刪除其個資，不受自動化決定約束，以及要求解釋說明個資處理規則等。處理者和接收方有義務要為當事人行使相關權利提供便利條件，包括設立申請受理和處理機制渠道。個資處理者和接收方也應採取措施保護個資安全，防止跨境個資遭外洩、篡改、破壞、遺失、濫用等風險。

文件也提出，當發現或被內地監理機關、澳門特區監理機關告知影響或可能影響中國境內、澳門的個人、組織合法權益，危害國家主權、安全及發展利益的，應及時停止處理者或接收方所作的個資跨境流動或處理，並通知相關個資處理者或接收者。

意見稿表明，該文件規定不影響內地履行個資保護職責的部門和澳門個人資料保護局在職責範圍內依法加強個資保護和監督管理工作，包括處理與個資保護有關的投訴、舉報，調查、處理違法個資處理活動等。