黄继儿：与香港相比，内地数据跨境监管更严、更紧

12月22日，南都个人信息保护研究中心联合清华大学人工智能国际治理研究院、人工智能治理研究中心（清华大学）在北京举办2022啄木鸟数据治理论坛。在个人信息保护专场中，香港金叶大律师事务所首席执业大律师、香港原个人资料私隐专员黄继儿发表了题为《香港数据出境限制》的演讲，分享了他对数据跨境的思考与看法。

对于香港的数据跨境，《个人资料（私隐）条例》（以下简称“《条例》”）第33条作出了一系列规定，其中包括：个人信息原则上不能被传输至香港之外，除非传输目的地有与《条例》大体上相似或有已生效的与本条例的目的相同相同的法律；资料使用者有合理理由相信该地存在类似法律；有关资料当事人已通过书面同意该项传输等。

据悉，《条例》于1995年出台，是亚洲最早全面保障个人信息的法律之一，不过第33条至今未正式实施。不过，香港个人资料私隐专员公署于2014年公布了《跨境资料转移中的个人资料保护指南》，对企业数据跨境提供合规指引，帮助个人信息处理者了解数据跨境传输需要承担的相关责任。

为何《条例》第33条迟迟未生效？黄继儿分析，香港的中小企业担心此条款对营商环境造成影响，认为《条例》加剧了其合规的难度，而企业实施合规措施需要更多的时间。

他表示，个人资料私隐专员公署拟备了两套数据跨境转移建议的合约条文范本供企业参考，分别为：“由一名资料使用者转移予另一名资料使用者”以及“由一名资料使用者转移予一名资料处理者”，企业可以通过公署的官网下载。

黄继儿认为，与香港的数据跨境规则相比，内地的数据跨境监管更严、更紧。具体来说，内地的数据跨境需要满足单独同意、数据安全审批、专业机构的保护认证等一系列要求，而香港的数据跨境并没有此类限制，且在豁免方面的规定相较内地更加细化。

他进一步总结，企业为满足《条例》第33条的规定，需要遵守33条（a）至（f）五项中的一项；“白名单”对每个人和个人信息处理者都是最好的；书面同意最适合提出跨境请求的客户。

谈及企业在香港数据跨境的合规建议，他认为，除了需要遵守第33条的规定之外，还需遵守数据保护相关的一般保障性原则、隐私风险评估以及数据伦理治理，同时采纳合约条文范本、维护国家主权与安全、参照内地相关法规、寻求法律专业意见。

采写：南都记者 孙朝