内地《个人信息保护法》自今年11月起实施，是内地首部针对个人信息保护而订立的法律，对个人信息（即港人所指的个人资料）从内地转移至其他司法管辖区作出规管。本文旨在为香港企业重点介绍当中的规定及主要要求。

　　《个人信息保护法》反映了保护个人信息方面最新的国际标准，亦标志着内地在个人信息保护领域踏进新里程。当中值得注意的规定之一是关于个人信息跨境转移的规管。香港企业，尤其是于内地开展个人信息处理活动的企业，都需要了解并且遵循这些规定。

　　《个人信息保护法》下跨境资料转移的先决条件

　　首先，个人信息处理者如欲向境外提供个人信息，须分别按《个人信息保护法》第三十九条及第五十五条的规定，取得相关资料当事人的单独同意，以及进行个人信息保护影响评估。处理者亦须具备《个人信息保护法》第三十八条所指明的其中一项条件：即（i）通过国家网信部门的安全评估；（ii）经专业机构进行个人信息保护认证；（iii）按照国家网信部门制定的标准合同与境外接收方订立合同；或（iv）内地法规规定的其他条件。

　　尽管国家网信部门尚未公布影响评估、安全评估、认证及标准合同条款的细节，数据处理者仍可参考国家互联网信息办公室于10月29日发布的《数据出境安全评估办法（征求意见稿）》（下称“《征求意见稿》”）咨询文件，了解当中可能涉及的规则。

　　《征求意见稿》第五条规定，数据处理者在将数据转移离开内地前，应事先开展数据出境风险自我评估。有关自我评估应针对多个特定范畴，当中包括：（i）数据出境的合法性、正当性和必要性；（ii）出境数据的数量和敏感程度；（iii）处理者为确保数据安全而采取的措施；及（iv）数据接收方保护数据的能力。

　　《征求意见稿》第九条亦列明数据转移合同须包括的条款，例如：（i）接收方对数据的准许用途；（ii）数据的保存地点；（iii）数据的保存期限和对数据再次转移作出的限制；及（iv）数据外洩事件的处理方法。

　　对关键信息基础设施运营者的额外规定

　　关键信息基础设施运营者及指定类别的处理者（有关例子包括处理个人信息达到指定数量，即《征求意见稿》所指一百万人的个人信息）须遵从更严格的规定。根据《个人信息保护法》第四十条，这类处理者须将个人信息储存于内地。如确需将个人信息转移离开内地，便须通过国家网信部门组织的安全评估，除非其他法规另有豁免。

　　“关键信息基础设施”可理解为重要行业和领域的重要网络设施和信息系统，当中包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等，以及其他一旦遭到破坏、丧失功能或数据洩漏时可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统（见《关键信息基础设施安全保护条例》第二条）。

　　另外，国家互联网信息办公室于11月14日发布了《网络数据安全管理条例（征求意见稿》）》（下称“《条例草案》”）咨询文件，建议对境外上市或正计划到境外上市的数据处理者作出额外的规定。

　　对境外上市的数据处理者的额外规定

　　《条例草案》第十三条订明，（i）处理一百万人以上个人信息的数据处理者赴国外上市；及（ii）数据处理者赴香港上市，并影响或可能影响国家安全，均须申报网络安全审查。此外，《条例草案》第三十二条要求赴境外上市的数据处理者，须每年开展一次数据安全评估，并于每年1月31日前向网信部门提交报告。《条例草案》的咨询期刚于12月13日结束，相信网信办在考虑各方意见后，会订定《条例草案》最后文本。\作者：个人资料私隐专员　锺丽玲大律师