香港企业数据传输须知，中国跨境数据传输安全评估要求

中国新的网络安全法于2017年6月1日生效时，随附了《个人信息和重要数据境外传输安全评估办法》（以下简称《办法》）草案，以征求公众意见。此后颁布的《数据安全法》和《个人信息保护法》（简称"PIPL"）涉及到 "重要数据 "和此类数据以及其他跨境数据传输，例如，中国公民的个人数据。

2022年7月7日，中国网络空间管理局（简称"CAC"）颁布了《数据出口安全评估办法》，自2022年9月1日起生效。本文列出了香港企业可能需要采取和遵守的跨境数据传输安全评估的要求（请注意：如果是对于PIPL下的个人信息，还有其他要求，比如获得同意和进行个人信息保护影响评估等）。

具体措施

• 适用范围

一般来说，与欧盟的《通用数据保护条例》（缩写“GDPR”）一样，《办法》采取了数据本地化规则，即中国的数据相关法律只适用于在中国境内运营过程中收集和产生的或与中国公民有关的个人信息（数据）及其他重要数据。办法》第4条规定，将数据转移出中国的实体，如果符合以下任何一项标准，必须申请安全评估。

1.数据处理者跨越边境转移重要数据的

2.跨境传输重要数据和个人信息的数据处理者是关键信息基础设施（"CII"）的运营商

3.跨境传输个人信息的数据处理者处理超过100万人的个人信息

4.自上一年1月1日以来，跨境/跨界传输个人信息的数据处理者累计向外传输了超过10万人的个人信息，以及超过1万人的敏感个人信息

5. 在CAC规定下，需要提交安全评估报告

• 重要数据

《办法》将 "重要数据 "定义为 "一旦被篡改、破坏、泄露或非法获取或使用，可能危及国家安全、经济运行、社会稳定和公众健康安全的任何数据"。什么是重要数据的确切范围还不清楚，可能需要一段时间才能确定重要数据的详细范围。它包括诸如以下信息：

• 敏感的个人信息

根据PIPL，敏感的个人信息是指披露或非法使用这些信息容易导致个人尊严受到侵犯或人身或财产安全受到损害的个人信息。PIPL中的例子有

1.生物统计学

2. 宗教信仰

3. 特定身份，如性别认同和性偏好

4.医疗健康

5. 财务账户

6. 行踪

7. 与14岁以下的未成年人有关的个人信息

• 跨境数据传输

《办法》没有对 "跨境数据传输 "进行定义，但根据《中国互联网络信息中心》的规定，以下情况被认为是需要进行安全评估的跨境数据传输的。

1.在中国境内收集和产生的数据被数据处理者在中国境外传输和存储时；

2.数据处理者在中国境内存储收集和产生的数据，但海外组织和个人要远程访问这些数据时。

在上述情况下，从中国大陆向香港转移数据被认为是跨境数据转移。相应地，如果这种转移与上述标准有关，那么就需要进行安全评估。因此，如果一家香港公司想从香港远程访问中国大陆的某些数据，这种访问属于上述情况，但当涉及到10,000名员工或中国客户的敏感个人信息时，那么就需要进行安全评估。

如果在《办法》生效前进行的跨境数据转移不符合《办法》的规定，数据处理者必须在《办法》生效后的6个月内采取措施予以纠正。

安全评估程序

• 自我评估

数据处理者可以自己进行自我评估，并通过省级地方网络空间管理部门向CAC报告这种安全评估。自我评估过程和报告需要考虑以下因素。

1.跨境转移的合法性、正当性和必要性，以及(b)接收方在辖区外处理数据的目的、范围和方式。

2. 境外数据的数量、范围、类别和敏感性，以及数据跨境转移可能对国家安全、公共利益以及个人或组织的合法权利和利益构成的风险。

3.辖区外接收方承担的责任和义务，以及该接收方履行上述责任和义务的管理和技术措施及能力是否能确保出境数据的安全。

4.出境数据在跨境传输过程中及之后遭受篡改、破坏、泄露、丢失、转移、非法获取或非法使用等风险，以及是否有渠道维护个人信息权益等。

5.拟与境外接收方签订的有关跨境数据传输的合同或其他具有法律效力的文件中是否充分规定了数据安全保护责任和义务；以及

6.其他可能影响跨境数据传输安全的事项。

对于香港企业来说，即使香港公司在中国大陆没有设立机构，即使是远程处理,但当他要处理个人数据或重要数据时，也必须遵守这些措施。不遵守可能会导致严重的后果，例如，根据《个人所得税法》，将被处以罚款，对于性质严重的案件，最高可处以5千万元人民币或上一年年营业额的5%的罚款。为遵守《办法》的相关要求，建议企业应寻求专业和法律意见，以避免和减轻违反相关数据保护法的情况。