跨境数据传输中的个人数据保护

虽然《个人资料（私隐）条例》（“条例”）第33条对目前在香港以外地区转移个人资料的限制尚未生效，但香港个人资料私隐专员（“ PCPD” ”）于2014年12月29日发布了《跨境数据传输中的个人数据保护指南》（“指南”），旨在帮助数据用户理解第33条生效后对跨境数据传输的合规义务。DLA Piper Hong Kong为指南的起草和准备以及其中包含的推荐数据传输条款做出了贡献。

该条例第33（2）条规定的跨境数据传输限制有六个例外，如果数据用户希望将个人数据转移到香港以外，则数据用户必须满足其中任何一个条件。与《指南》中的某些例外有关的要点包括：

第一个例外规定，如果要将个人数据转移到白名单中PCPD指定的任何一个司法管辖区，则允许跨境转移。但是，该指南尚未披露要列入白名单的司法管辖区。

以书面形式获得数据主体对跨境转移的明确和自愿同意也是第33（2）条规定的例外之一，对于数据用户而言，这被视为更为繁重的同意要求。

跨境转移限制的例外之一是，数据用户已采取一切合理的预防措施并尽了一切努力，以确保不会在香港以外的地方收集，保存，处理或使用数据。如果该地点是香港，则将以任何方式违反该条例的规定。PCPD建议，转让双方之间采用可强制执行的合同方式可以满足这种尽职调查的要求。因此，PCPD准备了一组推荐的模型数据传输条款，以帮助数据用户制定可执行的数据传输协议。

我们建议数据用户开始审查其数据收集和传输实践，以确保它们与《指南》中提出的建议实践保持一致。一些待办事项包括：

查看和更新您的个人信息收集声明； 审查和更新您的跨境个人数据传输安排； 制定跨集团内部数据传输的集团范围策略。